Trojan-Downloader.Win32.Small.iwh infection

BSR -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,

Mon PC est infecté par le virus Trojan-Downloader.Win32.Small.iwh.

J'ai installé hijackthis sur mon drive C et lancé un "do a system scan" dont voice le résultat ci dessous :

Je vous remercie par avance pour votre aide pour éliminer ce virus.

BSR

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:31:39, on 26/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Maxtor\Schedule2\schedul2.exe
C:\PROGRA~1\ANTIVI~1\backweb\6588780\Program\SERVIC~1.EXE
C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\FSGK32.EXE
C:\Program Files\AntivirusFirewall\backweb\6588780\program\fsbwsys.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fssm32.exe
C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Program Files\AntivirusFirewall\Common\FSMB32.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AntivirusFirewall\Common\FCH32.EXE
C:\Program Files\AntivirusFirewall\Anti-Virus\fsqh.exe
C:\Program Files\AntivirusFirewall\Common\FAMEH32.EXE
C:\Program Files\AntivirusFirewall\Anti-Virus\fsrw.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsav32.exe
C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRAM FILES\DELL\DELL LASER MFP 1600N\PSU\ScanToPc.exe
C:\Program Files\DELL\Dell Laser MFP 1600n\PaperPort\pptd40nt.exe
C:\Program Files\AntivirusFirewall\Common\FSM32.EXE
C:\Program Files\AntivirusFirewall\FSGUI\ispnews.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Fichiers communs\Maxtor\Schedule2\schedhlp.exe
C:\Program Files\Creative\Creative Live! Cam\VideoFX\StartFX.exe
C:\WINDOWS\P1370Mon.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exe
C:\PROGRA~1\ANTIVI~1\ANTI-S~1\fsaw.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\AntivirusFirewall\FSGUI\fsguidll.exe
C:\Program Files\Creative\Shared Files\CamTray.exe
C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\AntivirusFirewall\backweb\6588780\Program\fspex.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\WINDOWS\BricoPacks\Crystal Clear\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Crystal Clear\YzShadow\YzShadow.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [P3000x_S2P] C:\PROGRAM FILES\DELL\DELL LASER MFP 1600N\PSU\ScanToPc.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\DELL\Dell Laser MFP 1600n\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\DELL\Dell Laser MFP 1600n\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\AntivirusFirewall\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\AntivirusFirewall\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\AntivirusFirewall\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Program Files\AntivirusFirewall\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Maxtor\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [AVFX Engine] C:\Program Files\Creative\Creative Live! Cam\VideoFX\StartFX.exe
O4 - HKLM\..\Run: [P1370Mon.exe] C:\WINDOWS\P1370Mon.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [BMbb1cc8ac] Rundll32.exe "C:\WINDOWS\system32\vbxsrvrp.dll",s
O4 - HKLM\..\Run: [b82ffb30] rundll32.exe "C:\WINDOWS\system32\lfbkbcym.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative WebCam Tray] "C:\Program Files\Creative\Shared Files\CamTray.exe"
O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzShadow\YzShadow.exe
O4 - Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe
O4 - Global Startup: Antivirus Firewall.lnk = C:\Program Files\AntivirusFirewall\backweb\6588780\Program\fspex.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &Bloquer cette fenêtre publicitaire - C:\Program Files\AntivirusFirewall\Anti-Spyware\blockpopups.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Protection Internet Explorer - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\AntivirusFirewall\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: Protection Internet Explorer... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\AntivirusFirewall\Anti-Spyware\ieshield.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su2/CTL_V02002/ocx/15030/CTPID.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Maxtor\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Antivirus Firewall (BackWeb Plug-in - 6588780) - Securitoo Portal - C:\PROGRA~1\ANTIVI~1\backweb\6588780\Program\SERVIC~1.EXE
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\AntivirusFirewall\backweb\6588780\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTServ.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 10126 bytes
Configuration: Windows XP
Firefox 2.0.0.12

12 réponses

  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt,

    Télécharge MSNFix de Laurent
    http://sosvirus.changelog.fr/MSNFix.zip

    Décompresse-le et double clic sur le fichier MSNFix.bat.
    - Exécute l'option R.
    --Si l'infection est détectée, exécute l'option N
    - Sauvegarde ce rapport puis fais un copier/coller de ce rapport sur le forum.

    Note :
    Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
    Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement.

    envoyer le fichier [b] C:\DOCUME~1\florian\Bureau\Upload_Me.zip [/b] sur http://upload.changelog.fr pour faire evoluer msnf
    _________________

    Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    Sauvegarde le sur ton bureau et pas ailleurs !

    Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic

    Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
    Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
    0
  2. BSR
     
    Ci dessous le rapport de MSNFix :

    (PS : Je n'ai pas trouvé de fichier upload_me.zip sur mon disque C ?)

    Puis celui de combofix (killbagle)

    lors de l'analyse combofix, securitoo a détecté EICAR Test File sur mon ordinateur. Je l'ai supprimé, come recommandé.

    merci
    BSR

    1) MSNFix 1.691

    C:\Documents and Settings\BASILE SCHARR\Bureau\MSNFix\MSNFix
    Fix exécuté le 26/03/2008 - 21:55:24,09 By BASILE SCHARR
    mode normal

    ************************ Recherche les fichiers présents

    ... C:\DOCUME~1\BASILE~1\LOCALS~1\Temp\removalfile.bat
    ... C:\WINDOWS\cookies.ini

    ************************ Recherche les dossiers présents

    Aucun dossier trouvé

    ************************ Suppression des fichiers

    .. OK ... C:\DOCUME~1\BASILE~1\LOCALS~1\Temp\winlogon.exe
    .. OK ... C:\DOCUME~1\BASILE~1\LOCALS~1\Temp\services.exe
    .. OK ... C:\DOCUME~1\BASILE~1\LOCALS~1\Temp\removalfile.bat
    .. OK ... C:\WINDOWS\cookies.ini

    ************************ Nettoyage du registre

    Les fichiers encore présents seront supprimés au prochain redémarrage

    Aucun Fichier trouvé

    ************************ Fichiers suspects

    Aucun Fichier trouvé

    Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 26032008_22151453.zip

    ************************ HKLM\...\Winlogon\Userinit

    Userinit = C:\WINDOWS\system32\userinit.exe,

    ------------------------------------------------------------------------
    Auteur : !aur3n7 Contact: https://www.ionos.fr/
    ------------------------------------------------------------------------

    --------------------------------------------- END ---------------------------------------------

    2) COMBOFIX

    ComboFix 08-03-25.4 - BASILE SCHARR 2008-03-26 22:29:09.2 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1375 [GMT 1:00]
    Endroit: C:\Documents and Settings\BASILE SCHARR\Bureau\KillBagle.exe
    * Création d'un nouveau point de restauration
    * Resident AV is active

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\BMbb1cc8ac.xml
    C:\WINDOWS\pskt.ini
    C:\WINDOWS\system32\jkkihge.dll
    C:\WINDOWS\system32\kyeuavcp.dll
    C:\WINDOWS\system32\lfbkbcym.dll
    C:\WINDOWS\system32\mycbkbfl.ini
    C:\WINDOWS\system32\npqss.ini
    C:\WINDOWS\system32\npqss.ini2
    C:\WINDOWS\system32\ssqpn.dll
    C:\WINDOWS\system32\vbxsrvrp.dll
    C:\WINDOWS\system32\wvursst.dll
    C:\WINDOWS\system32\xxywtur.dll

    .
    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-02-26 to 2008-03-26 ))))))))))))))))))))))))))))))))))))
    .

    2008-03-26 21:23 . 2008-03-26 21:23 253 --a------ C:\WINDOWS\cookies.MSNFix
    2008-03-13 20:16 . 2006-04-25 20:33 421,888 --a------ C:\WINDOWS\system32\DYMOSmartPaste.dll
    2008-03-10 20:32 . 2008-03-05 18:08 42,304 --a------ C:\WINDOWS\system32\fmrsslink.dll
    2008-03-06 20:40 . 2008-03-06 20:40 <REP> d-------- C:\Documents and Settings\BASILE SCHARR\Application Data\Samsung
    2008-03-06 20:32 . 2008-03-06 20:32 <REP> d-------- C:\WINDOWS\system32\Samsung PC Studio Codecs
    2008-03-06 20:32 . 2005-08-28 20:51 766 --a------ C:\WINDOWS\system32\Uninstall.ico
    2008-03-06 20:31 . 2008-03-06 20:31 <REP> d-------- C:\WINDOWS\system32\Samsung_USB_Drivers
    2008-03-06 20:31 . 2008-03-06 20:31 <REP> d-------- C:\Program Files\Samsung
    2008-03-06 20:31 . 2005-08-30 17:59 94,000 --a------ C:\WINDOWS\system32\drivers\ss_mdm.sys
    2008-03-06 20:31 . 2005-08-30 17:57 58,320 --a------ C:\WINDOWS\system32\drivers\ss_bus.sys
    2008-03-06 20:31 . 2005-08-13 05:06 22,486 -ra------ C:\WINDOWS\system32\UnInstall_Driver.ico
    2008-03-06 20:31 . 2005-08-30 17:58 8,304 --a------ C:\WINDOWS\system32\drivers\ss_mdfl.sys
    2008-03-06 20:31 . 2005-08-30 17:58 6,144 --a------ C:\WINDOWS\system32\drivers\ss_cmnt.sys
    2008-03-06 20:31 . 2005-08-30 17:58 6,144 --a------ C:\WINDOWS\system32\drivers\ss_cm.sys
    2008-03-06 20:31 . 2005-08-30 17:57 5,808 --a------ C:\WINDOWS\system32\drivers\ss_whnt.sys
    2008-03-06 20:31 . 2005-08-30 17:57 5,808 --a------ C:\WINDOWS\system32\drivers\ss_wh.sys

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-03-16 17:27 --------- d-----w C:\Program Files\DYMO Label
    2008-03-12 20:26 --------- d-----w C:\Documents and Settings\BASILE SCHARR\Application Data\uTorrent
    2008-03-11 20:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help
    2008-03-09 20:10 --------- d-----w C:\Program Files\Java
    2008-03-06 20:35 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-03-03 20:15 --------- d-----w C:\Program Files\Mozilla Thunderbird
    2008-02-23 10:31 --------- d-----w C:\Documents and Settings\BASILE SCHARR\Application Data\Skype
    2008-02-23 10:30 --------- d-----w C:\Documents and Settings\BASILE SCHARR\Application Data\skypePM
    2008-02-20 19:56 --------- d-----w C:\Documents and Settings\All Users\Application Data\LogiShrd
    2008-02-20 19:55 0 ---ha-w C:\WINDOWS\system32\drivers\Msft_Kernel_LHidFilt_01005.Wdf
    2008-02-20 19:54 --------- d-----w C:\Program Files\Fichiers communs\Logitech
    2008-02-20 19:54 --------- d-----w C:\Program Files\Fichiers communs\Logishrd
    2008-02-20 19:54 --------- d-----w C:\Documents and Settings\BASILE SCHARR\Application Data\InstallShield
    2008-02-19 20:06 --------- d-----w C:\Program Files\PDFCreator
    2008-02-19 20:05 253,116 ----a-w C:\WINDOWS\PDFCreator_Toolbar_Uninstaller_281.exe
    2008-02-19 20:05 15,397 ----a-w C:\Program Files\settings.dat
    2008-02-19 20:05 --------- d-----w C:\Program Files\PDFCreator Toolbar
    2008-02-16 09:08 32 ----a-w C:\Documents and Settings\All Users\Application Data\ezsid.dat
    2008-02-16 09:06 --------- d-----w C:\Program Files\Skype
    2008-02-16 09:06 --------- d-----w C:\Program Files\Fichiers communs\Skype
    2008-02-16 09:06 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skype
    2008-02-06 20:54 --------- d-----w C:\Program Files\si.Mail
    .

    ------- Sigcheck -------

    2007-06-13 14:22 3199488 d47db3366ecc9e9de86fb24eaa10b411 C:\WINDOWS\explorer.exe
    2007-06-13 14:10 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
    2004-08-05 13:00 1036288 4c33e5b9a6197b6ed215f6cfba0a2daa C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
    2007-06-13 14:22 3199488 d47db3366ecc9e9de86fb24eaa10b411 C:\WINDOWS\system32\dllcache\explorer.exe
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00 15360]
    "Creative WebCam Tray"="C:\Program Files\Creative\Shared Files\CamTray.exe" [2005-10-27 11:00 299008]
    "RocketDock"="C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe" [2006-05-14 21:47 344064]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-11-03 20:10 344064]
    "High Definition Audio Property Page Shortcut"="HDAudPropShortcut.exe" [2004-08-12 16:45 61952 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
    "SoundMan"="SOUNDMAN.EXE" [2004-10-21 07:20 77824 C:\WINDOWS\SOUNDMAN.EXE]
    "P3000x_S2P"="C:\PROGRAM FILES\DELL\DELL LASER MFP 1600N\PSU\ScanToPc.exe" [2004-10-27 07:44 57344]
    "PaperPort PTD"="C:\Program Files\DELL\Dell Laser MFP 1600n\PaperPort\pptd40nt.exe" [2004-04-19 00:45 57393]
    "IndexSearch"="C:\Program Files\DELL\Dell Laser MFP 1600n\PaperPort\IndexSearch.exe" [2004-04-19 01:16 40960]
    "F-Secure Manager"="C:\Program Files\AntivirusFirewall\Common\FSM32.exe" [2005-10-26 02:51 122929]
    "F-Secure TNB"="C:\Program Files\AntivirusFirewall\TNB\TNBUtil.exe" [2005-07-18 15:51 700416]
    "F-Secure Startup Wizard"="C:\Program Files\AntivirusFirewall\FSGUI\FSSW.exe" [2005-10-18 09:29 372736]
    "News Service"="C:\Program Files\AntivirusFirewall\FSGUI\ispnews.exe" [2005-05-31 13:45 356352]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
    "Acronis Scheduler2 Service"="C:\Program Files\Fichiers communs\Maxtor\Schedule2\schedhlp.exe" [2007-06-14 16:43 149024]
    "AVFX Engine"="C:\Program Files\Creative\Creative Live! Cam\VideoFX\StartFX.exe" [2006-10-19 18:44 20480]
    "P1370Mon.exe"="C:\WINDOWS\P1370Mon.exe" [2006-06-20 00:00 36864]
    "Google Desktop Search"="C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" [2007-10-16 20:22 1838592]
    "Device Detector"="DevDetect.exe" []
    "Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-09-21 03:10 55824 C:\WINDOWS\KHALMNPR.Exe]
    "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-09-21 03:10 55824 C:\WINDOWS\KHALMNPR.Exe]
    "PWRISOVM.EXE"="C:\Program Files\PowerISO\PWRISOVM.EXE" [2007-04-09 13:23 200704]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
    c:\program files\fichiers communs\logitech\bluetooth\LBTWlgn.dll 2007-11-15 10:10 72208 c:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTWLgn.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wvursst]
    wvursst.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "C:\\Program Files\\AntivirusFirewall\\backweb\\6588780\\Program\\fspex.exe"=
    "C:\\Program Files\\Utorrent\\utorrent.exe"=
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\MSN Messenger\\livecall.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "C:\\Program Files\\Skype\\Phone\\Skype.exe"=

    R0 FSFW;F-Secure Firewall Driver;C:\WINDOWS\system32\drivers\fsdfw.sys [2005-11-18 16:04]
    R2 BackWeb Plug-in - 6588780;Antivirus Firewall;C:\PROGRA~1\ANTIVI~1\backweb\6588780\Program\SERVIC~1.EXE [2007-09-06 19:44]
    R2 F-Secure Filter;F-Secure File System Filter;C:\Program Files\AntivirusFirewall\Anti-Virus\Win2K\FSfilter.sys [2004-09-10 16:14]
    R2 F-Secure Gatekeeper;F-Secure Gatekeeper;C:\Program Files\AntivirusFirewall\Anti-Virus\Win2K\FSgk.sys [2008-03-24 21:49]
    R2 F-Secure Recognizer;F-Secure File System Recognizer;C:\Program Files\AntivirusFirewall\Anti-Virus\Win2K\FSrec.sys [2004-06-01 10:03]
    R3 P1370Aud;Creative WebCam Audio Control;C:\WINDOWS\system32\Drivers\P1370Aud.sys [2005-12-05 07:29]
    R3 P1370Aul;PD1370 Lower Filter Driver;C:\WINDOWS\system32\Drivers\P1370Aul.sys [2005-12-06 07:58]
    R3 P1370Vfx;P1370Vfx;C:\WINDOWS\system32\DRIVERS\P1370Vfx.sys [2006-03-24 15:24]
    R3 P1370VID;Live! Cam Voice;C:\WINDOWS\system32\DRIVERS\P1370Vid.sys [2006-06-20 14:39]
    S3 AVR309Prj;AVR309:USB to UART device driver;C:\WINDOWS\system32\Drivers\AVR309.sys [2007-02-20 14:31]
    S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-08-30 17:57]
    S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-08-30 17:58]
    S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-08-30 17:59]

    .
    **************************************************************************

    catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-03-26 22:35:50
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cach‚s ...

    Balayage cach‚ autostart entries ...

    Balayage des fichiers cach‚s ...

    Scan termin‚ avec succŠs
    Les fichiers cach‚s: 0

    **************************************************************************
    .
    --------------------- DLLs a charg‚ sous des processus courants ---------------------

    PROCESS: C:\WINDOWS\explorer.exe
    -> C:\WINDOWS\BricoPacks\Crystal Clear\UberIcon\UberIcon.dll
    -> C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\MouseHook2.dll
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\Program Files\Fichiers communs\Maxtor\Schedule2\schedul2.exe
    C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
    C:\Program Files\AntivirusFirewall\Anti-Virus\FSGK32.EXE
    C:\Program Files\AntivirusFirewall\backweb\6588780\program\fsbwsys.exe
    C:\Program Files\AntivirusFirewall\Anti-Virus\fssm32.exe
    C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
    C:\Program Files\AntivirusFirewall\Common\FSMB32.EXE
    C:\WINDOWS\system32\HPZipm12.exe
    C:\WINDOWS\system32\wdfmgr.exe
    C:\Program Files\AntivirusFirewall\Common\FCH32.EXE
    C:\Program Files\AntivirusFirewall\Anti-Virus\fsqh.exe
    C:\Program Files\AntivirusFirewall\Common\FAMEH32.EXE
    C:\Program Files\AntivirusFirewall\Anti-Virus\fsrw.exe
    C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe
    C:\Program Files\AntivirusFirewall\Anti-Virus\fsav32.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exe
    C:\PROGRA~1\ANTIVI~1\ANTI-S~1\fsaw.exe
    C:\Program Files\AntivirusFirewall\FSGUI\fsguidll.exe
    C:\Program Files\AntivirusFirewall\backweb\6588780\Program\fspex.exe
    C:\Program Files\Logitech\SetPoint\SetPoint.exe
    C:\WINDOWS\BricoPacks\Crystal Clear\UberIcon\UberIcon Manager.exe
    C:\WINDOWS\BricoPacks\Crystal Clear\YzShadow\YzShadow.exe
    C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
    C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe
    .
    **************************************************************************
    .
    Temps d'accomplissement: 2008-03-26 22:36:52 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-03-26 21:36:48
    .
    2008-03-11 20:58:42 --- E O F ---
    0
  3. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    analyse ce fichier sur virus total et dis lmoi si inféctés: https://www.virustotal.com/gui/

    C:\WINDOWS\system32\fmrsslink.dll

    ________

    recolle un nouveau hijackthis et dis tes soucis
    0
  4. BSR
     
    bonsoir,

    voici l'analyse via virus total et le nouveau rapport hijackthis.
    Je ne constate pas pour le moment de message opu comportement anormal.
    comment être certain que le trojan a été supprimé ?.

    Fichier fmrsslink.dll reçu le 2008.03.27 20:13:45 (CET)
    Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
    Résultat: 0/32 (0%)
    en train de charger les informations du serveur...
    Votre fichier est dans la file d'attente, en position: 5.
    L'heure estimée de démarrage est entre 51 et 73 secondes.
    Ne fermez pas la fenêtre avant la fin de l'analyse.
    L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
    Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
    Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
    les résultats seront affichés au fur et à mesure de leur génération.
    Formaté Formaté
    Impression des résultats Impression des résultats
    Votre fichier a expiré ou n'existe pas.
    Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

    Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
    Email:

    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2008.3.26.0 2008.03.27 -
    AntiVir 7.6.0.75 2008.03.27 -
    Authentium 4.93.8 2008.03.27 -
    Avast 4.7.1098.0 2008.03.27 -
    AVG 7.5.0.516 2008.03.27 -
    BitDefender 7.2 2008.03.27 -
    CAT-QuickHeal 9.50 2008.03.26 -
    ClamAV 0.92.1 2008.03.27 -
    DrWeb 4.44.0.09170 2008.03.27 -
    eSafe 7.0.15.0 2008.03.18 -
    eTrust-Vet 31.3.5648 2008.03.27 -
    Ewido 4.0 2008.03.27 -
    F-Prot 4.4.2.54 2008.03.27 -
    F-Secure 6.70.13260.0 2008.03.27 -
    FileAdvisor 1 2008.03.27 -
    Fortinet 3.14.0.0 2008.03.27 -
    Ikarus T3.1.1.20 2008.03.27 -
    Kaspersky 7.0.0.125 2008.03.27 -
    McAfee 5261 2008.03.27 -
    Microsoft 1.3301 2008.03.27 -
    NOD32v2 2979 2008.03.27 -
    Norman 5.80.02 2008.03.26 -
    Panda 9.0.0.4 2008.03.26 -
    Prevx1 V2 2008.03.27 -
    Rising 20.37.32.00 2008.03.27 -
    Sophos 4.27.0 2008.03.27 -
    Sunbelt 3.0.978.0 2008.03.18 -
    Symantec 10 2008.03.27 -
    TheHacker 6.2.92.256 2008.03.27 -
    VBA32 3.12.6.3 2008.03.25 -
    VirusBuster 4.3.26:9 2008.03.27 -
    Webwasher-Gateway 6.6.2 2008.03.27 -
    Information additionnelle
    File size: 42304 bytes
    MD5: cd616cadbaa5f6401c008675a785d8e0
    SHA1: 870eec6bdac66497a09006ec7cfa7f61e2148693
    PEiD: -

    2) rapport hijackthis :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 20:24:36, on 27/03/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16608)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Maxtor\Schedule2\schedul2.exe
    C:\PROGRA~1\ANTIVI~1\backweb\6588780\Program\SERVIC~1.EXE
    C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
    C:\Program Files\AntivirusFirewall\Anti-Virus\FSGK32.EXE
    C:\Program Files\AntivirusFirewall\backweb\6588780\program\fsbwsys.exe
    C:\Program Files\AntivirusFirewall\Anti-Virus\fssm32.exe
    C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
    C:\Program Files\AntivirusFirewall\Common\FSMB32.EXE
    C:\WINDOWS\system32\HPZipm12.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\AntivirusFirewall\Common\FCH32.EXE
    C:\Program Files\AntivirusFirewall\Anti-Virus\fsqh.exe
    C:\Program Files\AntivirusFirewall\Common\FAMEH32.EXE
    C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe
    C:\Program Files\AntivirusFirewall\Anti-Virus\fsrw.exe
    C:\Program Files\AntivirusFirewall\Anti-Virus\fsav32.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\PROGRAM FILES\DELL\DELL LASER MFP 1600N\PSU\ScanToPc.exe
    C:\Program Files\DELL\Dell Laser MFP 1600n\PaperPort\pptd40nt.exe
    C:\Program Files\AntivirusFirewall\Common\FSM32.EXE
    C:\Program Files\AntivirusFirewall\FSGUI\ispnews.exe
    C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
    C:\Program Files\Fichiers communs\Maxtor\Schedule2\schedhlp.exe
    C:\Program Files\Creative\Creative Live! Cam\VideoFX\StartFX.exe
    C:\WINDOWS\P1370Mon.exe
    C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
    C:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exe
    C:\PROGRA~1\ANTIVI~1\ANTI-S~1\fsaw.exe
    C:\Program Files\PowerISO\PWRISOVM.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\AntivirusFirewall\FSGUI\fsguidll.exe
    C:\Program Files\Creative\Shared Files\CamTray.exe
    C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe
    C:\Program Files\AntivirusFirewall\backweb\6588780\Program\fspex.exe
    C:\Program Files\Logitech\SetPoint\SetPoint.exe
    C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
    C:\WINDOWS\BricoPacks\Crystal Clear\UberIcon\UberIcon Manager.exe
    C:\WINDOWS\BricoPacks\Crystal Clear\YzShadow\YzShadow.exe
    C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe
    C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
    O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [P3000x_S2P] C:\PROGRAM FILES\DELL\DELL LASER MFP 1600N\PSU\ScanToPc.exe
    O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\DELL\Dell Laser MFP 1600n\PaperPort\pptd40nt.exe
    O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\DELL\Dell Laser MFP 1600n\PaperPort\IndexSearch.exe
    O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\AntivirusFirewall\Common\FSM32.EXE" /splash
    O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\AntivirusFirewall\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
    O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\AntivirusFirewall\FSGUI\FSSW.EXE" /reboot
    O4 - HKLM\..\Run: [News Service] "C:\Program Files\AntivirusFirewall\FSGUI\ispnews.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
    O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Maxtor\Schedule2\schedhlp.exe"
    O4 - HKLM\..\Run: [AVFX Engine] C:\Program Files\Creative\Creative Live! Cam\VideoFX\StartFX.exe
    O4 - HKLM\..\Run: [P1370Mon.exe] C:\WINDOWS\P1370Mon.exe
    O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
    O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
    O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
    O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
    O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Creative WebCam Tray] "C:\Program Files\Creative\Shared Files\CamTray.exe"
    O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe
    O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\UberIcon\UberIcon Manager.exe
    O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzShadow\YzShadow.exe
    O4 - Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe
    O4 - Global Startup: Antivirus Firewall.lnk = C:\Program Files\AntivirusFirewall\backweb\6588780\Program\fspex.exe
    O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
    O8 - Extra context menu item: &Bloquer cette fenêtre publicitaire - C:\Program Files\AntivirusFirewall\Anti-Spyware\blockpopups.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: Protection Internet Explorer - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\AntivirusFirewall\Anti-Spyware\ieshield.dll
    O9 - Extra 'Tools' menuitem: Protection Internet Explorer... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\AntivirusFirewall\Anti-Spyware\ieshield.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su2/CTL_V02002/ocx/15030/CTPID.cab
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
    O20 - Winlogon Notify: wvursst - wvursst.dll (file missing)
    O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Maxtor\Schedule2\schedul2.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Antivirus Firewall (BackWeb Plug-in - 6588780) - Securitoo Portal - C:\PROGRA~1\ANTIVI~1\backweb\6588780\Program\SERVIC~1.EXE
    O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
    O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\AntivirusFirewall\backweb\6588780\program\fsbwsys.exe
    O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe
    O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
    O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
    O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTServ.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok c'est bon rien dans hjakchtths

    fix cete ligne
    O20 - Winlogon Notify: wvursst - wvursst.dll (file missing)

    ___________

    pour verifier qu'il reste rien:

    colle le rapport d'un scan en ligne
    avec un des suivants:

    bitdefender en ligne :
    http://www.bitdefender.fr/scan_fr/scan8/ie.html

    Panda en ligne :
    http://pandasoftware.fr

    Kaspersky en ligne
    https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

    secuser en ligne :
    http://www.secuser.com/outils/antivirus.htm

    scan en ligne firefox

    https://www.trendmicro.com/fr_fr/business.html
    0
  7. BSR
     
    L'analyse en ligne avec kaperski est en cours. Je viens d'avoir une alter d'infection via securitoo et au même moment, 2 virus ont été trouvés dans 8 objets par l'analyse en ligne. Celle ci n'est pas terminée, je dois donc attendre pour poster le rapport.

    Dois-je fixer tt de suite la ligne en question ou attendre une autre analyse ?
    0
  8. BSR
     
    Le fichier infecté était le suivant :

    Résultat : 1 antiprogramme(s) détecté(s)
    Trojan-Downloader.Win32.Small.iwh (virus)

    * C:\SYSTEM VOLUME INFORMATION\_RESTORE{F6CA266E-C878-41F3-8A09-525E2D64EB35}\RP145\A0018200.EXE Action : supprimé
    0
  9. BSR
     
    Ci-joint l'analyse kapersky :
    3 vuris détectés sur 11 objets.

    Thursday, March 27, 2008 10:17:30 PM
    Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
    Kaspersky On-line Scanner version : 5.0.83.0
    Dernière mise à jour de la base antivirus Kaspersky : 27/03/2008
    Enregistrements dans la base antivirus Kaspersky : 599185
    Paramètres d'analyse
    Analyser avec la base antivirus suivante standard
    Analyser les archives vrai
    Analyser les bases de messagerie vrai
    Cible de l'analyse Poste de travail
    C:\
    D:\
    E:\
    H:\
    Statistiques de l'analyse
    Total d'objets analysés 68628
    Nombre de virus trouvés 3
    Nombre d'objets infectés 11 / 0
    Nombre d'objets suspects 0
    Durée de l'analyse 01:46:24

    Nom de l'objet infecté Nom du virus Dernière action
    C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\BASILE SCHARR\Application Data\ispnews\ispn.ini L'objet est verrouillé ignoré
    C:\Documents and Settings\BASILE SCHARR\Application Data\ispnews\ispnc.items L'objet est verrouillé ignoré
    C:\Documents and Settings\BASILE SCHARR\Application Data\ispnews\ispnr.items L'objet est verrouillé ignoré
    C:\Documents and Settings\BASILE SCHARR\Cookies\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\BASILE SCHARR\Local Settings\Application Data\Google\Google Desktop\9e1d9fb7ccd2\dbc2e.ht1 L'objet est verrouillé ignoré
    C:\Documents and Settings\BASILE SCHARR\Local Settings\Application Data\Google\Google Desktop\9e1d9fb7ccd2\dbdam L'objet est verrouillé ignoré
    C:\Documents and Settings\BASILE SCHARR\Local Settings\Application Data\Google\Google Desktop\9e1d9fb7ccd2\dbdao L'objet est verrouillé ignoré
    C:\Documents and Settings\BASILE SCHARR\Local Settings\Application Data\Google\Google Desktop\9e1d9fb7ccd2\dbeam L'objet est verrouillé ignoré
    C:\Documents and Settings\BASILE SCHARR\Local Settings\Application Data\Google\Google Desktop\9e1d9fb7ccd2\dbeao L'objet est verrouillé ignoré
    C:\Documents and Settings\BASILE SCHARR\Local Settings\Application Data\Google\Google Desktop\9e1d9fb7ccd2\dbm L'objet est verrouillé ignoré
    C:\Documents and Settings\BASILE SCHARR\Local Settings\Application Data\Google\Google Desktop\9e1d9fb7ccd2\dbu2d.ht1 L'objet est verrouillé ignoré
    C:\Documents and Settings\BASILE SCHARR\Local Settings\Application Data\Google\Google Desktop\9e1d9fb7ccd2\dbvm.cf1 L'objet est verrouillé ignoré
    C:\Documents and Settings\BASILE SCHARR\Local Settings\Application Data\Google\Google Desktop\9e1d9fb7ccd2\dbvmh.ht1 L'objet est verrouillé ignoré
    C:\Documents and Settings\BASILE SCHARR\Local Settings\Application Data\Google\Google Desktop\9e1d9fb7ccd2\fii.cf1 L'objet est verrouillé ignoré
    C:\Documents and Settings\BASILE SCHARR\Local Settings\Application Data\Google\Google Desktop\9e1d9fb7ccd2\fiih.ht1 L'objet est verrouillé ignoré
    C:\Documents and Settings\BASILE SCHARR\Local Settings\Application Data\Google\Google Desktop\9e1d9fb7ccd2\hp L'objet est verrouillé ignoré
    C:\Documents and Settings\BASILE SCHARR\Local Settings\Application Data\Google\Google Desktop\9e1d9fb7ccd2\hpt2i.ht1 L'objet est verrouillé ignoré
    C:\Documents and Settings\BASILE SCHARR\Local Settings\Application Data\Google\Google Desktop\9e1d9fb7ccd2\rpm.cf1 L'objet est verrouillé ignoré
    C:\Documents and Settings\BASILE SCHARR\Local Settings\Application Data\Google\Google Desktop\9e1d9fb7ccd2\rpm1m.cf1 L'objet est verrouillé ignoré
    C:\Documents and Settings\BASILE SCHARR\Local Settings\Application Data\Google\Google Desktop\9e1d9fb7ccd2\rpm1mh.ht1 L'objet est verrouillé ignoré
    C:\Documents and Settings\BASILE SCHARR\Local Settings\Application Data\Google\Google Desktop\9e1d9fb7ccd2\rpmh.ht1 L'objet est verrouillé ignoré
    C:\Documents and Settings\BASILE SCHARR\Local Settings\Application Data\Google\Google Desktop\9e1d9fb7ccd2\safeweb\goog-black-enchashm.cf1 L'objet est verrouillé ignoré
    C:\Documents and Settings\BASILE SCHARR\Local Settings\Application Data\Google\Google Desktop\9e1d9fb7ccd2\safeweb\goog-black-enchashmh.ht1 L'objet est verrouillé ignoré
    C:\Documents and Settings\BASILE SCHARR\Local Settings\Application Data\Google\Google Desktop\9e1d9fb7ccd2\safeweb\goog-black-urlm.cf1 L'objet est verrouillé ignoré
    C:\Documents and Settings\BASILE SCHARR\Local Settings\Application Data\Google\Google Desktop\9e1d9fb7ccd2\safeweb\goog-black-urlmh.ht1 L'objet est verrouillé ignoré
    C:\Documents and Settings\BASILE SCHARR\Local Settings\Application Data\Google\Google Desktop\9e1d9fb7ccd2\safeweb\goog-malware-domainm.cf1 L'objet est verrouillé ignoré
    C:\Documents and Settings\BASILE SCHARR\Local Settings\Application Data\Google\Google Desktop\9e1d9fb7ccd2\safeweb\goog-malware-domainmh.ht1 L'objet est verrouillé ignoré
    C:\Documents and Settings\BASILE SCHARR\Local Settings\Application Data\Google\Google Desktop\9e1d9fb7ccd2\safeweb\goog-white-domainm.cf1 L'objet est verrouillé ignoré
    C:\Documents and Settings\BASILE SCHARR\Local Settings\Application Data\Google\Google Desktop\9e1d9fb7ccd2\safeweb\goog-white-domainmh.ht1 L'objet est verrouillé ignoré
    C:\Documents and Settings\BASILE SCHARR\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\BASILE SCHARR\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\BASILE SCHARR\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\BASILE SCHARR\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\BASILE SCHARR\Local Settings\Historique\History.IE5\MSHist012008032720080328\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\BASILE SCHARR\Local Settings\Temp\~DFB5D7.tmp L'objet est verrouillé ignoré
    C:\Documents and Settings\BASILE SCHARR\Local Settings\Temp\~DFCDC7.tmp L'objet est verrouillé ignoré
    C:\Documents and Settings\BASILE SCHARR\Local Settings\Temp\~DFE057.tmp L'objet est verrouillé ignoré
    C:\Documents and Settings\BASILE SCHARR\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\BASILE SCHARR\NTUSER.DAT L'objet est verrouillé ignoré
    C:\Documents and Settings\BASILE SCHARR\ntuser.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
    C:\Program Files\AntivirusFirewall\Anti-Virus\dbupdate.log L'objet est verrouillé ignoré
    C:\Program Files\AntivirusFirewall\Anti-Virus\Qrt.log L'objet est verrouillé ignoré
    C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\chandir.dat L'objet est verrouillé ignoré
    C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\chandir.idx L'objet est verrouillé ignoré
    C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\chn.dat L'objet est verrouillé ignoré
    C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\chn.idx L'objet est verrouillé ignoré
    C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\D0000000.FCS L'objet est verrouillé ignoré
    C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\fsbwupst.log L'objet est verrouillé ignoré
    C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\inuse.txt L'objet est verrouillé ignoré
    C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\L0000017.FCS L'objet est verrouillé ignoré
    C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\main.log L'objet est verrouillé ignoré
    C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\prs.dat L'objet est verrouillé ignoré
    C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\prs.idx L'objet est verrouillé ignoré
    C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\prs_die.dat L'objet est verrouillé ignoré
    C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\prs_die.idx L'objet est verrouillé ignoré
    C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\prs_dnd.dat L'objet est verrouillé ignoré
    C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\prs_dnd.idx L'objet est verrouillé ignoré
    C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\prs_ext.dat L'objet est verrouillé ignoré
    C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\prs_ext.idx L'objet est verrouillé ignoré
    C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\prs_rcv.dat L'objet est verrouillé ignoré
    C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\prs_rcv.idx L'objet est verrouillé ignoré
    C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\storydb.dat L'objet est verrouillé ignoré
    C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\storydb.idx L'objet est verrouillé ignoré
    C:\Program Files\AntivirusFirewall\Common\admin.pub L'objet est verrouillé ignoré
    C:\Program Files\AntivirusFirewall\Common\policy.bpf L'objet est verrouillé ignoré
    C:\Program Files\AntivirusFirewall\Common\policy.ipf L'objet est verrouillé ignoré
    C:\Program Files\AntivirusFirewall\Spam Control\log\fs_sa_log.txt L'objet est verrouillé ignoré
    C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
    C:\System Volume Information\_restore{F6CA266E-C878-41F3-8A09-525E2D64EB35}\RP144\A0018116.exe/data.rar/keygen.exe Infecté : Trojan-Downloader.Win32.Small.iwh ignoré
    C:\System Volume Information\_restore{F6CA266E-C878-41F3-8A09-525E2D64EB35}\RP144\A0018116.exe/data.rar/serial.exe Infecté : Trojan-Downloader.Win32.Small.tmc ignoré
    C:\System Volume Information\_restore{F6CA266E-C878-41F3-8A09-525E2D64EB35}\RP144\A0018116.exe/data.rar Infecté : Trojan-Downloader.Win32.Small.tmc ignoré
    C:\System Volume Information\_restore{F6CA266E-C878-41F3-8A09-525E2D64EB35}\RP144\A0018116.exe RarSFX: infecté - 3 ignoré
    C:\System Volume Information\_restore{F6CA266E-C878-41F3-8A09-525E2D64EB35}\RP144\A0018117.exe/data.rar/keygen.exe Infecté : Trojan-Downloader.Win32.Small.iwh ignoré
    C:\System Volume Information\_restore{F6CA266E-C878-41F3-8A09-525E2D64EB35}\RP144\A0018117.exe/data.rar/serial.exe Infecté : Trojan-Downloader.Win32.Small.tmc ignoré
    C:\System Volume Information\_restore{F6CA266E-C878-41F3-8A09-525E2D64EB35}\RP144\A0018117.exe/data.rar Infecté : Trojan-Downloader.Win32.Small.tmc ignoré
    C:\System Volume Information\_restore{F6CA266E-C878-41F3-8A09-525E2D64EB35}\RP144\A0018117.exe RarSFX: infecté - 3 ignoré
    C:\System Volume Information\_restore{F6CA266E-C878-41F3-8A09-525E2D64EB35}\RP145\A0018200.exe L'objet est verrouillé ignoré
    C:\System Volume Information\_restore{F6CA266E-C878-41F3-8A09-525E2D64EB35}\RP146\change.log L'objet est verrouillé ignoré
    C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
    C:\WINDOWS\SoftwareDistribution\DataStore\DataStore.edb L'objet est verrouillé ignoré
    C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.log L'objet est verrouillé ignoré
    C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb L'objet est verrouillé ignoré
    C:\WINDOWS\SoftwareDistribution\EventCache\{60804DDC-5152-4D88-A3A7-9F5E07A1E34C}.bin L'objet est verrouillé ignoré
    C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
    C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\ODiag.evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\OSession.evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
    C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
    C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
    C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
    E:\PROGRAMMES\OFFICEOnev6.5.exe//All/oonepdf/SETUP.EXE/300.exe Infecté : Trojan-Spy.Win32.Delf.wh ignoré
    E:\PROGRAMMES\OFFICEOnev6.5.exe//All/oonepdf/SETUP.EXE Infecté : Trojan-Spy.Win32.Delf.wh ignoré
    E:\PROGRAMMES\OFFICEOnev6.5.exe Commodore: infecté - 2 ignoré
    E:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
    Analyse terminée.
    0
  10. BSR
     
    J'ai effectué un partage du volume C:\systeme volume information et j'ai supprimé les deux virus avec securitoo.
    J'ai supprimer les 2 points de restauration concernés par les virus.
    Sur E:, j'ai supprime le fichier officeone 6.5

    L'analyse kapersky sur ces deux répertoires (voir rapport précedent) est la suivante :
    Thursday, March 27, 2008 10:50:58 PM
    Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
    Kaspersky On-line Scanner version : 5.0.83.0
    Dernière mise à jour de la base antivirus Kaspersky : 27/03/2008
    Enregistrements dans la base antivirus Kaspersky : 599328
    Paramètres d'analyse
    Analyser avec la base antivirus suivante standard
    Analyser les archives vrai
    Analyser les bases de messagerie vrai
    Cible de l'analyse Dossiers
    C:\System Volume Information\
    E:\PROGRAMMES\
    Statistiques de l'analyse
    Total d'objets analysés 402
    Nombre de virus trouvés 0
    Nombre d'objets infectés 0 / 0
    Nombre d'objets suspects 0
    Durée de l'analyse 00:09:15

    Nom de l'objet infecté Nom du virus Dernière action
    C:\System Volume Information\_restore{F6CA266E-C878-41F3-8A09-525E2D64EB35}\RP146\change.log L'objet est verrouillé ignoré
    Analyse terminée.
    0
  11. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok c'est bon! tu as bien travailllé

    encore des soucis?
    0
  12. BSR
     
    A priori, plus de problème.
    Merci pour votre aide
    BSR
    0
  13. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok

    bonne continuation
    0