Infection massive de Trojan

Lord Pepper -
Utilisateur anonyme - 5 avr. 2008 à 21:19

Bonjour,

J'ai eu, il y a quatre jours, une infection du Trojan SdBot-3267. J'ai suivi tout les conseils donnés et, à priori, il n'est plus présent sur ma machine. Mais ce n'était que le premier d'une série. Hier, Win32:Small-JMH est apparu et j'ai eu la bêtise de ne pas régler le problème tout de suite, ayant un temps limité pour utiliser ma machine à une tache urgente. Bref, aujourd'hui, m'attelant à la tache de le supprimer, je me rends compte que ma machine est bien plus infecté encore. Alors, au final, nous avons après un Scan d'Avast! : Win32:Smal-JMH (présent dans les fichiers temporaires et dans les Restore) ; SdBot-QT (Fichiers temporaire et Restore) ; Trat-BHO (Restore et divers .dll de System32) ; Delf-IYW (dans Restore seulement) et enfin Quost-BRM (dans un .exe de System32). Bref, je pense que je pourrai les supprimer un à un en suivant les conseils donnés ici et là mais au vu de la vitesse de l'infection, je vous consulte pour savoir si vous n'avez pas une solution globale qui traine par là...

En vous remerciant, voici mon HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:37:14, on 26/03/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Promise Technology, Inc\Promise Array Management\MsgSvr.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\explorer.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\WINDOWS\System32\cmd.exe
C:\Documents and Settings\Lord Pepper\Bureau\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {4229EF5C-8DE4-47F8-81FF-BBBCB7830525} - C:\WINDOWS\System32\urqonkkj.dll

(file missing)
O2 - BHO: (no name) - {90A7019D-E6A6-475D-88E9-9A8A6CB6D27F} - C:\WINDOWS\System32\wvuusrom.dll

(file missing)
O2 - BHO: (no name) - {9292C2AD-D36E-4051-AF6D-0C6D2AEE0C10} - C:\WINDOWS\System32\xxywwwxw.dll
O2 - BHO: {b1641758-91cb-5ddb-a2b4-f7c2913dc869} - {968cd319-2c7f-4b2a-bdd5-bc198571461b} -

C:\WINDOWS\System32\axwkptdy.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility]

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader

8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [8ca48906] rundll32.exe "C:\WINDOWS\System32\tljnbafn.dll",b
O4 - HKLM\..\Run: [BM8f97ba9a] Rundll32.exe "C:\WINDOWS\System32\aiqboymp.dll",s
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org

2.0\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers

communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -

C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -

C:\WINDOWS\web\related.htm
O20 - Winlogon Notify: xxywwwxw - C:\WINDOWS\SYSTEM32\xxywwwxw.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program

Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil

Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil

Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil

Software\Avast4\ashWebSv.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -

C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Promise Array Message Server (RAIDmSvr) - Unknown owner - C:\Program

Files\Promise Technology, Inc.\Promise Array Management\MsgSvr.exe
O23 - Service: Scanning Analist Management System (SAMS) - Unknown owner -

C:\WINDOWS\System32\sams.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc.

- C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: WUSB54GCSVC - Unknown owner - C:\Program Files\Compact Wireless-G USB Adapter

Wireless Network Monitor\WLService.exe (file missing)

Afficher la suite

A voir également:

Infection massive de Trojan
Trojan remover - Télécharger - Antivirus & Antimalwares
Anti trojan - Télécharger - Antivirus & Antimalwares
Trojan b901 system32 win config 34 ✓ - Forum Virus
Virus trojan al11 ✓ - Forum Virus
Cheval de troie trojan ✓ - Forum Virus

15 réponses

Réponse 1 / 15

Utilisateur anonyme

Effectivement, ils sont presque tous là.

Bonjour/Bonsoir
• Ne pas surfer ailleurs que sur le site
• Couper MSN ou tout autre connexion hormis celle sur le site
• Appliquer exactement et dans l'ordre les procédures indiquées.
• Au cas ou plusieurs intervenants se manifestent, en choisir un et un seul.

• Rester devant la machine en rafraichissant souvent le forum pour voir les nouvelles réponses.
• Répondre sans attendre à toutes les questions posées dans l'ordre ou elles ont étés posées
• Soyez précis dans vos réponses. Tenez vous en au sujet et rien qu'au sujet.
• A proscrire : le language SMS.

• Ne pas quitter tant qu'il n'est pas dit explicitement que le problème est résolu ou qu'il
dépasse les compétences de celui ou ceux qui vous aident.
• N'ouvrez pas plusieurs discussions sur le même sujet sauf si on vous le demande
(Problème non résolu. Ca arrive)

• Ne pas s'impatienter. L'analyse d'un rapport et la recherche de solutions
appropriées prends un certain temps.
Inutile donc de reposter le même message. Nous ne vous oublions pas,
nous vous cherchons une solution

• Ne pas oublier : nous sommes bénévoles.
Nous mangeons, nous dormons, nous travaillons, nous avons une vie de famille aussi.

Préalable
• Vider la corbeille
• Fermer toutes les applications

================ PareFeu XP - Vista ===================
• Si un autre pare-feu que celui de windows est installé, vérifier qu'il est actif et passer à l'étape CCleaner

• Sinon

pour activer/désactiver le Pare-feu Vista
pour activer/désactiver le Pare-feu Xp le Pare-feu Vista

• Activer le pare-Feu si ce n'est déjà fait

===================== CCLEANER ========================
Pour le petit coup de polish.
• Appliquer la procédure ci-dessous.
• l'outil pourra être conservé pour faire le ménage de temps en temps en appliquant la même procédure.

Nettoyage avec CCleaner
On va commencer par faire un peu le ménage

• Télécharger CCLeaner et l'installer sur le bureau en refusant l'installation de la barre Yahoo.

• Fermer toutes les applications
• Lancer CCLeaner
S'il n'est pas en Français cliquer sur Options, Setting, Language
et sélectionner Français
• cocher dans le menu Nettoyeur - onglet Windows :
Internet Explorer: Fichiers Internet Temporaires, Cookies
• Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
• Avancé: Vieilles données du Prefetch
• Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
• Cocher dans le menu Nettoyeur - onglet Applications : Internet: Sun Java
• Cocher , si cela est possible, dans le menu Nettoyeur - onglet Applications :
Firefox/Mozilla: Cache Internet, Cookies
• Click sur Analyse
• Click sur le bouton Lancer le nettoyage dans le menu Nettoyeur.
• Click sur Registre
• Sélectionner tout
• Click sur Chercher des erreurs (En bas)

Une fois le scan terminé sélectionner tout
• Click sur Réparer les erreurs sélectionnées

==================== HIJACKTHIS ======================

Desinstaller HitjackThis qui est mal installé puis

HijackThis

• Télécharger HijackThis
• Installer HijackThis en se laissant guider (Accepter le répertoire proposé sans rien changer)
• Fermer HijackThis
• Télécharger sur le bureau HJTNew (Si le Pare-Feu ou l'Anti-virus se manifeste, Ignorer)
• Fermer toutes les applications
• Se débrancher d'Internet (Enlever le cable, c'est encore la meilleure solution)
• Lancer HJTNew.exe (Si le Pare-Feu ou l'Anti-virus se manifeste, Ignorer)

======================== SDFIX ========================

• Télécharger SDFix
• L'installer dans un répertoire dédié (faire exactement la procédure d'installation sans rien modifier)

Il est indispensable d'effectuer le nettoyage avec SDFix en mode sans échec.
------
• Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
• Attention, pas d’accès à internet dans ce mode. Enregistrer ou imprimer les consignes.

• Relancer le Pc et tapoter la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
• Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel
-------
• Une fois en mode sans échec, double-click sur RunThis.bat qui se trouve dans le dossier C:\SDFix\
• Taper Y puis appuyer sur la touche Entrée du clavier, afin de lancer le nettoyage !
• SDFix va procéder au nettoyage, patience...
• Une fenêtre indique que SDFix doit redémarrer l'ordinateur afin de terminer le nettoyage.
-------
• Appuyer sur une touche du clavier pour redémarrer le PC.
• Au redémarrage du PC, SDFix indique que le nettoyage est terminé.
• Appuyer sur une touche du clavier afin d'ouvrir le rapport créé par SDFix.
• Il peut être enregistré si besoin, par exemple si on demande de le poster sur un forum (menu Edition / Enregistrer sous).
• Sans quoi le rapport sera quand même sauvegardé dans le fichier suivant : Report.txt
dans le dossier SDFix (ex : C:\SDFix\Report.txt).

===================== COMBOFIX ========================

Combofix

• Installer ComboFix sur le bureau
Note :
Le serveur de téléchargement peut être en surcharge et renvoyer une page d'erreur. Il faut insister.
• Renommer COMBOFIX.EXE en COMBO-FIX.EXE
------
• Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
• Attention, pas d’accès à internet dans ce mode. Enregistrer ou imprimer les consignes.

• Relancer le Pc et tapoter la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
• Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel
-------
• Désactiver seulement pendant l'utilisation de ComboFix, la protection de l'antivirus et de l'antispyware ceux-ci pouvant entraver le bon fonctionnement de combofix
• Fermer toutes les applications en cours
• Double-click sur l'icône qui s'est installé sur le bureau
• Appuyer sur la touche 1 puis sur entrée:
• Laisser Combofix travailler sans se servir de la machine.
• Si ComboFix a besoin de redémarrer la machine, laisser faire sinon redémarrer en mode normal.
• Copier/Coller le rapport généré dans le bloc-note dans le prochain message
(Ce fichier est automatiquement généré et enregistré sous C:\Combofix.txt)

===================== MSNFix ========================

MSNFix.zip

Télécharger MSNFix.zip (de !aur3n7 et Regis59) sur le bureau :

Conseil : Toujours télécharger avant utilisation pour profiter des dernières mises à jour.
Remarque: Il est possible que l'antivirus détécte un virus au téléchargement,
il s'agit de Process.exe qui est un faux positif.

• Décompresser (clic droit : Extraire ici).
• A la racine du système, déplace le dossier décompressé, comme suit : C:\MSNFix.
• L'ouvrir et double click sur le fichier MSNFix.bat
• Exécutez l'option R.
• Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage.
• Sauvegarder ce rapport puis en faire un copier/coller sur le forum.
• Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt
• Ce n'est pas la fin du déverminage

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations.
Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement.

poster un rapport HiJackthis

_

Lord Pepper

Alors... J'ai eu un sérieux problème hier ce qui fait que je n'ai pu m'en occuper ni répondre dans l'instant. J'ai tout fait ce soir. On commence par le premier HijackThis, fait après execution de CCleaner (d'ailleurs, petit problème pour la procédure de CCleaner... J'ai bien tout fait comme il était demandé mais je n'ai pas pu cocher Sun Java dans l'application Internet... Je l'ai pas trouvé...) :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:10:30, on 27/03/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\spooIsv.exe
C:\WINDOWS\System32\mgqjbq.exe
C:\WINDOWS\System32\explorer.exe
C:\WINDOWS\System32\firewall.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\WINDOWS\System32\vpbhfc.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Promise Technology, Inc\Promise Array Management\MsgSvr.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Trend Micro\HijackThis\MonJack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {4229EF5C-8DE4-47F8-81FF-BBBCB7830525} - (no file)
O2 - BHO: (no name) - {90A7019D-E6A6-475D-88E9-9A8A6CB6D27F} - (no file)
O2 - BHO: (no name) - {9292C2AD-D36E-4051-AF6D-0C6D2AEE0C10} - C:\WINDOWS\System32\xxywwwxw.dll
O2 - BHO: {b1641758-91cb-5ddb-a2b4-f7c2913dc869} - {968cd319-2c7f-4b2a-bdd5-bc198571461b} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\vpbhfc.exe
O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O20 - Winlogon Notify: xxywwwxw - C:\WINDOWS\SYSTEM32\xxywwwxw.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Promise Array Message Server (RAIDmSvr) - Unknown owner - C:\Program Files\Promise Technology, Inc.\Promise Array Management\MsgSvr.exe
O23 - Service: Scanning Analist Management System (SAMS) - Unknown owner - C:\WINDOWS\System32\sams.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WUSB54GCSVC - Unknown owner - C:\Program Files\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe (file missing)

Réponse 2 / 15

vieu bison boiteu Messages postés 45522 Date d'inscription Statut Contributeur Dernière intervention Ambassadeur 3 556

salut Lord Pepper

faire un scann en ligne

http://www.secuser.com/outils/antivirus.htm
sur la première page , tu cliques sur l'image et les outils de diagnostique vont se charger
puis dans la fenêtre "Poste de travail" , tu sélectionnes les unités et tu coches "Auto Clean"

tu as aussi
https://assiste.com/404_La_page_demandee_n_existe_pas.php
http://www.bitdefender.fr/bd/site/search.php# (option Online Scanner)
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

à+

Réponse 3 / 15

Utilisateur anonyme

Tout les petits incidents que tu m'as décrit ne sont pas graves

Pour ceci nous verrons après peut-être que cela va se remettre correctement. La désinfection d'abord, les réglages ensuite.

Je regarde tes rapports mais à première vue cela a été la lessive de printemps.

;)

Lord Pepper

Bon, pas encore tout à fait nettoyé...

Je me suis permis de lancer un scan d'Avast! pensant que ca n'aurait pas trop d'impact négative sur ton diagnostique (peut être à tort). Bref, on est loin des 56 infections repérées la dernière fois mais il en reste 11. 10 dans les Restore (les coupables sont Small-JMH, Trat-BHO, Qhost-BRM, virtob et Trojan-gen, deux p'tits nouveaux qui ont du s'inviter à la fête en douce hier soir). Qhost est également présent dans un .exe de System32. Il est le seul à être rester en place dans System32, à priori. Toujours à priori SdBot-QT et Delf-IYW n'ont pas survécu. On est également sans nouvelle de SdBot-3267, parachuté en éclaireur il y a cinq jours maintenant.

Je vais me coucher là (je me lève pour bosser dans 6 heures...) J'espère pouvoir en finir demain soir... En tout cas, merci de ton aide !

Utilisateur anonyme > Lord Pepper

Merci de ta participation active.
Evite quand même de faire autre chose que les procédures en route, sinon je risque de perdre mon fil conducteur.

Réponse 4 / 15

Utilisateur anonyme

================== MalwareBytes =====================

Telecharger MalwareBytes

Le Tutorial

Poster le rapport de fin + Rapport HiJackThis

Lord Pepper

Voilà :

Malwarebytes' Anti-Malware 1.09
Version de la base de données: 507

Type de recherche: Examen complet (C:\|)
Eléments examinés: 80124
Temps écoulé: 1 hour(s), 1 minute(s), 26 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

et le I Jack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:38:56, on 28/03/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Promise Technology, Inc\Promise Array Management\MsgSvr.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\MonJack.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O20 - Winlogon Notify: xxywwwxw - xxywwwxw.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Promise Array Message Server (RAIDmSvr) - Unknown owner - C:\Program Files\Promise Technology, Inc.\Promise Array Management\MsgSvr.exe
O23 - Service: Scanning Analist Management System (SAMS) - Unknown owner - C:\WINDOWS\System32\sams.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WUSB54GCSVC - Unknown owner - C:\Program Files\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe (file missing)

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 5 / 15

Utilisateur anonyme

CCL
HJ
+ SDFix
+ ComboFix
+ MSNFix
+ MalwaresBytes
*********************** Ne pas tenir compte des lignes ci-dessus

---------------- CORRECTION COMBOFIX ------------------

fais ceci :

• Copier le texte ci-dessous :

File::
c:\windows\system32\sams.exe

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SAMS]

• Ouvrir le Bloc-Notes puis coller le texte copié. (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
• Sauvegarder ce fichier sous le nom de CFScript.txt.
• Glisser maintenant le fichier CFScript.txt dans Combofix.exe comme montré ici
• Cela va relancer Combofix,
• Une fenêtre bleue va apparaître: un message qui apparait ( Type 1 to continue, or 2 to abort)
• taper 1 puis valider.

• Patienter le temps du scan. Le bureau va disparaitre à plusieurs reprises: c'est normal!
• Ne toucher à rien tant que le scan n'est pas terminé.

• Après redémarrage, copier/coller le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de redémarrage, redémarrer et poster les rapports.

Lord Pepper

Le rapport combofix :

ComboFix 08-03-25.4 - Lord Pepper 2008-03-28 12:55:01.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.635 [GMT 1:00]
Endroit: C:\Documents and Settings\Lord Pepper\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Lord Pepper\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE ::
c:\windows\system32\sams.exe
.

((((((((((((((((((((((((((((( Fichiers créés 2008-02-28 to 2008-03-28 ))))))))))))))))))))))))))))))))))))
.

2008-03-28 10:38 . 2008-03-28 10:38 <REP> d-------- C:\WINDOWS\LastGood
2008-03-28 08:50 . 2008-03-28 08:50 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-03-28 08:50 . 2008-03-28 08:50 <REP> d-------- C:\Documents and Settings\Lord Pepper\Application Data\Malwarebytes
2008-03-28 08:50 . 2008-03-28 08:50 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-03-28 08:44 . 2008-03-28 08:44 <REP> d-------- C:\WINDOWS\system32\bits
2008-03-28 08:43 . 2008-03-28 10:54 <REP> d--h----- C:\WINDOWS\$hf_mig$
2008-03-28 08:43 . 2005-02-25 04:35 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-03-27 23:11 . 2004-07-01 23:08 331,776 --a------ C:\WINDOWS\system32\winhttp.dll
2008-03-27 23:11 . 2004-07-01 23:08 17,408 --a------ C:\WINDOWS\system32\qmgrprxy.dll
2008-03-27 23:11 . 2004-07-01 23:08 7,680 -----c--- C:\WINDOWS\system32\dllcache\bitsprx2.dll
2008-03-27 23:11 . 2004-07-01 23:08 7,680 --------- C:\WINDOWS\system32\bitsprx2.dll
2008-03-27 23:11 . 2004-07-01 23:08 7,168 -----c--- C:\WINDOWS\system32\dllcache\bitsprx3.dll
2008-03-27 23:11 . 2004-07-01 23:08 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll
2008-03-27 23:07 . 2007-07-30 19:19 549,720 --a------ C:\WINDOWS\system32\wuapi.dll
2008-03-27 23:07 . 2007-07-30 19:19 325,976 --a------ C:\WINDOWS\system32\wucltui.dll
2008-03-27 23:07 . 2007-07-30 19:19 216,408 --a------ C:\WINDOWS\system32\wuaucpl.cpl
2008-03-27 23:07 . 2007-07-30 19:19 203,096 --a------ C:\WINDOWS\system32\wuweb.dll
2008-03-27 23:07 . 2004-08-03 14:00 187,160 --a------ C:\WINDOWS\system32\wuaueng1.dll
2008-03-27 23:07 . 2004-08-03 13:59 170,776 --a------ C:\WINDOWS\system32\wuauclt1.exe
2008-03-27 23:07 . 2007-07-30 19:18 33,624 --a------ C:\WINDOWS\system32\wups.dll
2008-03-27 22:41 . 2008-03-27 22:45 <REP> d-------- C:\MSNFix
2008-03-27 22:11 . 2008-03-27 22:27 <REP> d-------- C:\SDFix
2008-03-27 22:06 . 2008-03-27 22:06 <REP> d-------- C:\Program Files\Trend Micro
2008-03-27 22:00 . 2008-03-27 22:00 <REP> d-------- C:\Program Files\CCleaner
2008-03-27 21:55 . 2008-03-27 21:55 45,056 --a------ C:\WINDOWS\system32\vpbhfc.exe
2008-03-27 21:55 . 2008-03-27 21:55 38,912 --a------ C:\WINDOWS\system32\vjkdiyr.exe
2008-03-27 21:55 . 2008-03-27 21:55 38,912 --a------ C:\WINDOWS\system32\drzfhsnd.exe
2008-03-27 21:51 . 2008-03-27 21:51 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier
2008-03-27 21:50 . 2008-03-27 21:51 <REP> d-------- C:\WINDOWS\system32\ZoneLabs
2008-03-27 21:50 . 2008-03-27 21:50 <REP> d-------- C:\Program Files\Zone Labs
2008-03-26 22:42 . 2008-03-26 22:42 45,056 --a------ C:\WINDOWS\system32\bndw.exe
2008-03-26 22:42 . 2008-03-26 22:42 38,912 --a------ C:\WINDOWS\system32\vflr.exe
2008-03-26 22:35 . 2008-03-26 22:35 45,056 --a------ C:\WINDOWS\system32\nehjdvva.exe
2008-03-26 22:35 . 2008-03-26 22:35 38,912 --a------ C:\WINDOWS\system32\ybaefdd.exe
2008-03-26 22:27 . 2008-03-26 22:27 45,056 --a------ C:\WINDOWS\system32\cgmsruun.exe
2008-03-26 22:27 . 2008-03-26 22:27 38,912 --a------ C:\WINDOWS\system32\gwjemr.exe
2008-03-26 22:25 . 2008-03-26 22:25 3,584 --ah----- C:\WINDOWS\system32\pmvby.exe
2008-03-26 22:24 . 2008-03-26 22:25 43,520 --ah----- C:\WINDOWS\system32\abkdv.exe
2008-03-26 22:23 . 2008-03-26 22:25 21,912 --ah----- C:\WINDOWS\system32\ebneva.exe
2008-03-26 22:19 . 2008-03-26 22:20 38,912 --a------ C:\WINDOWS\system32\fmom.exe
2008-03-26 22:17 . 2008-03-26 22:17 45,056 --a------ C:\WINDOWS\system32\txyt.exe
2008-03-26 22:17 . 2008-03-26 22:17 38,912 --a------ C:\WINDOWS\system32\ncykyi.exe
2008-03-26 22:13 . 2008-03-26 22:15 75,176 --ah----- C:\WINDOWS\system32\qhmnfbup.exe
2008-03-26 22:11 . 2008-03-26 22:15 60,968 --ah----- C:\WINDOWS\system32\ftzjqi.exe
2008-03-26 22:07 . 2008-03-26 22:07 2,896 --ah----- C:\WINDOWS\system32\wfcja.exe
2008-03-26 22:06 . 2008-03-26 22:10 16,384 --ah----- C:\WINDOWS\system32\jxdnc.exe
2008-03-26 22:01 . 2008-03-26 22:03 37,660 --ah----- C:\WINDOWS\system32\wgrvf.exe
2008-03-26 21:55 . 2008-03-26 21:56 22,344 --ah----- C:\WINDOWS\system32\ficbzlha.exe
2008-03-26 21:53 . 2008-03-26 21:53 45,056 --a------ C:\WINDOWS\system32\tlspiwm.exe
2008-03-26 21:53 . 2008-03-26 21:53 38,912 --a------ C:\WINDOWS\system32\rdkbq.exe
2008-03-26 21:48 . 2008-03-26 21:48 38,912 --a------ C:\WINDOWS\system32\auczobh.exe
2008-03-26 21:44 . 2008-03-26 21:44 45,056 --a------ C:\WINDOWS\system32\hcrmknm.exe
2008-03-26 21:36 . 2008-03-26 21:36 126 --a------ C:\WINDOWS\system32\kupg.bat
2008-03-26 20:59 . 2008-03-26 21:01 52,224 --ah----- C:\WINDOWS\system32\dzyje.exe
2008-03-26 20:57 . 2008-03-26 21:02 76,288 --ah----- C:\WINDOWS\system32\zntiubxd.exe
2008-03-26 20:57 . 2008-03-26 21:02 51,560 --ah----- C:\WINDOWS\system32\gpxc.exe
2008-03-26 20:52 . 2002-08-29 11:45 44,032 --a--c--- C:\WINDOWS\system32\dllcache\ftp.exe
2008-03-26 20:51 . 2008-03-26 20:51 1,586,274 ---hs---- C:\WINDOWS\system32\nfabnjlt.ini
2008-03-25 21:08 . 2008-03-25 21:08 1,581,485 ---hs---- C:\WINDOWS\system32\jmoyaxdv.ini
2008-03-25 20:40 . 2008-03-25 20:40 1,581,425 ---hs---- C:\WINDOWS\system32\iglvaxmp.ini
2008-03-25 20:12 . 2008-03-25 20:12 1,580,285 ---hs---- C:\WINDOWS\system32\marbeooq.ini
2008-03-24 20:38 . 2008-03-25 20:39 1,581,365 ---hs---- C:\WINDOWS\system32\xqoqbmrt.ini
2008-03-24 15:08 . 2008-03-24 15:08 52,736 --a------ C:\WINDOWS\system32\xhedbbj.exe
2008-03-24 15:08 . 2008-03-24 15:08 36,864 --a------ C:\WINDOWS\system32\urlwg.exe
2008-03-24 14:12 . 2008-03-24 14:12 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-03-24 14:12 . 2008-03-24 14:12 1,409 --a------ C:\WINDOWS\QTFont.for
2008-03-24 12:59 . 2008-03-24 12:59 52,736 --a------ C:\WINDOWS\system32\fuunww.exe
2008-03-24 12:59 . 2008-03-24 12:59 36,864 --a------ C:\WINDOWS\system32\tybfqetr.exe
2008-03-24 06:41 . 2008-03-24 06:41 52,736 --a------ C:\WINDOWS\system32\lqmyx.exe
2008-03-24 06:41 . 2008-03-24 06:41 36,864 --a------ C:\WINDOWS\system32\smnnpci.exe
2008-03-24 03:46 . 2008-03-24 03:47 437,248 --a------ C:\log.MSNFix
2008-03-24 02:13 . 2008-03-24 02:13 52,736 --a------ C:\WINDOWS\system32\fpfth.exe
2008-03-24 02:13 . 2008-03-24 02:13 36,864 --a------ C:\WINDOWS\system32\atsh.exe
2008-03-23 23:00 . 2008-03-23 23:00 52,736 --a------ C:\WINDOWS\system32\peuz.exe
2008-03-23 23:00 . 2008-03-23 23:00 36,864 --a------ C:\WINDOWS\system32\sjgkl.exe
2008-03-23 20:57 . 2008-03-23 20:57 52,736 --a------ C:\WINDOWS\system32\krihlk.exe
2008-03-23 20:57 . 2008-03-23 20:57 36,864 --a------ C:\WINDOWS\system32\qvae.exe
2008-03-23 20:55 . 2008-03-24 15:43 <REP> d-------- C:\WINDOWS\ERUNT
2008-03-23 20:15 . 2008-03-23 20:15 53,248 --------- C:\WINDOWS\system32\xqgwei.exe
2008-03-23 20:15 . 2008-03-23 20:15 52,736 --a------ C:\WINDOWS\system32\rqup.exe
2008-03-23 20:15 . 2008-03-23 20:15 36,864 --a------ C:\WINDOWS\system32\xkiuk.exe
2008-03-23 20:15 . 2008-03-23 20:15 36,864 --a------ C:\WINDOWS\system32\lgem.exe
2008-03-23 20:07 . 2008-03-23 20:07 36,864 --a------ C:\WINDOWS\system32\rkfqc.exe
2008-03-23 20:05 . 2008-03-23 20:05 52,736 --a------ C:\WINDOWS\system32\ykmjxaj.exe
2008-03-23 20:05 . 2008-03-23 20:05 36,864 --a------ C:\WINDOWS\system32\evyy.exe
2008-03-23 18:35 . 2008-03-23 18:35 52,736 --a------ C:\WINDOWS\system32\feavqxj.exe
2008-03-23 18:35 . 2008-03-23 18:35 36,864 --a------ C:\WINDOWS\system32\xsaxa.exe
2008-03-23 18:35 . 2008-03-23 18:35 36,864 --a------ C:\WINDOWS\system32\mhvxo.exe
2008-03-23 17:32 . 2008-03-24 20:36 1,578,685 ---hs---- C:\WINDOWS\system32\ubqifrra.ini
2008-03-23 17:31 . 2008-03-23 17:31 52,736 --a------ C:\WINDOWS\system32\fbpq.exe
2008-03-23 17:31 . 2008-03-23 17:31 36,864 --a------ C:\WINDOWS\system32\mzdpsz.exe
2008-03-23 17:31 . 2008-03-23 17:31 36,864 --a------ C:\WINDOWS\system32\lmckmah.exe
2008-03-23 17:29 . 2008-03-23 17:29 52,736 --a------ C:\WINDOWS\system32\uaih.exe
2008-03-23 17:29 . 2008-03-23 17:29 36,864 --a------ C:\WINDOWS\system32\przmuw.exe
2008-03-23 17:29 . 2008-03-23 17:29 36,864 --a------ C:\WINDOWS\system32\ppevkto.exe
2008-03-23 06:01 . 2008-03-23 06:01 36,864 --a------ C:\WINDOWS\system32\efyyqkk.exe
2008-03-23 06:00 . 2008-03-23 06:01 52,736 --a------ C:\WINDOWS\system32\xpkijd.exe
2008-03-23 06:00 . 2008-03-23 06:00 36,864 --a------ C:\WINDOWS\system32\eduy.exe
2008-03-22 19:37 . 2008-03-22 19:37 52,736 --a------ C:\WINDOWS\system32\havlos.exe
2008-03-22 19:37 . 2008-03-22 19:37 36,864 --a------ C:\WINDOWS\system32\yknv.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-28 09:37 --------- d-----w C:\Documents and Settings\Lord Pepper\Application Data\OpenOffice.org2
2008-03-27 20:51 45,056 ----a-w C:\WINDOWS\system32\mgqjbq.exe
2008-03-27 20:51 38,912 ----a-w C:\WINDOWS\system32\tlmv.exe
2008-03-26 17:03 --------- d-----w C:\Documents and Settings\Coyote\Application Data\OpenOffice.org2
2008-03-24 14:57 135,168 ----a-w C:\WINDOWS\system32\sfc_os.dll
2008-03-23 18:16 20,747 ----a-w C:\WINDOWS\system32\drivers\AegisP.sys
2008-03-23 18:16 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-03-22 03:43 --------- d-----w C:\Program Files\Foxit Software
2008-03-22 03:41 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-03-22 01:21 --------- d-----w C:\Program Files\Symantec
2008-03-22 01:21 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2008-03-22 01:21 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
2008-03-06 22:18 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-02-03 17:54 --------- d-----w C:\Documents and Settings\Lord Pepper\Application Data\dvdcss
2002-08-29 10:45 437,248 --sh--r C:\WINDOWS\system32\msmsnger.exe
.

((((((((((((((((((((((((((((( snapshot@2008-03-27_22.39.34.48 )))))))))))))))))))))))))))))))))))))))))
.
+ 2004-07-01 22:08:13 360,960 ------w C:\WINDOWS\system32\bits\qmgr.dll
- 2002-08-29 10:44:50 14,848 ----a-w C:\WINDOWS\system32\cdm.dll
+ 2007-07-30 18:19:20 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
- 2008-03-24 21:54:16 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-03-27 21:45:06 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-03-24 21:54:16 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2008-03-27 21:45:06 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2008-03-24 21:54:16 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2008-03-27 21:45:06 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2007-07-30 18:19:20 92,504 -c--a-w C:\WINDOWS\system32\dllcache\cdm.dll
+ 2004-08-03 13:04:44 185,624 -c--a-w C:\WINDOWS\system32\dllcache\iuengine.dll
+ 2007-07-30 18:19:16 53,080 -c--a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
+ 2007-07-30 18:19:42 1,712,984 -c--a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
- 2002-08-29 10:44:52 166,912 ----a-w C:\WINDOWS\system32\iuengine.dll
+ 2004-08-03 13:04:44 185,624 ----a-w C:\WINDOWS\system32\iuengine.dll
- 2002-08-29 10:44:56 223,232 ----a-w C:\WINDOWS\system32\qmgr.dll
+ 2004-07-01 22:08:13 360,960 ----a-w C:\WINDOWS\system32\qmgr.dll
+ 2007-07-30 18:18:40 33,624 ----a-w C:\WINDOWS\system32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\7.0.6000.381\wups.dll
- 2005-05-04 13:45:28 14,560 ------w C:\WINDOWS\system32\spmsg.dll
+ 2005-02-25 03:35:24 15,072 ------w C:\WINDOWS\system32\spmsg.dll
- 2002-08-29 10:45:16 142,848 ----a-w C:\WINDOWS\system32\wuauclt.exe
+ 2007-07-30 18:19:16 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
- 2002-08-29 10:45:08 190,464 ----a-w C:\WINDOWS\system32\wuaueng.dll
+ 2007-07-30 18:19:42 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
+ 2007-07-30 18:19:12 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
+ 2004-06-30 16:00:00 185,344 ------w C:\WINDOWS\system32\xpob2res.dll
+ 2008-03-28 09:37:03 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_670.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 11:45 13312]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASUS Probe"="C:\Program Files\ASUS\Probe\AsusProb.exe" [2002-12-06 16:07 617984]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-08-25 12:52 339968]
"HPDJ Taskbar Utility"="C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe" [2001-07-23 19:51 200704]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-02-12 20:38 98304]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 02:06 40048]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-04-19 14:26 7700480]
"nwiz"="nwiz.exe" [2007-04-19 14:26 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2007-04-19 14:26 86016]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 19:27 919016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 11:45 13312]

C:\Documents and Settings\Coyote\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 2.0.lnk - C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe [2006-01-25 18:42:22 61440]

C:\Documents and Settings\Lord Pepper\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 2.0.lnk - C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe [2006-01-25 18:42:22 61440]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2004-12-06 23:58:54 110592]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [2000-01-21 09:15:56 65588]
VIA RAID TOOL.lnk - C:\Program Files\VIA\RAID\raid_tool.exe [2004-11-17 20:51:28 565248]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxywwwxw]
xxywwwxw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\8ca48906]
C:\WINDOWS\System32\tljnbafn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BM8f97ba9a]
C:\WINDOWS\System32\aiqboymp.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinDLL (mysnlive.exe)]
C:\WINDOWS\System32\mysnlive.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\System32\\msmsnger.exe"=

R0 viasraid;viasraid;C:\WINDOWS\System32\DRIVERS\viasraid.sys [2003-10-31 04:22]
S1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys []
S3 gtermddo;gtermddo;C:\DOCUME~1\LORDPE~1\LOCALS~1\Temp\gtermddo.sys []
S3 MBAMCatchMe;MBAMCatchMe;C:\Program Files\Malwarebytes' Anti-Malware\catchme.sys [2008-03-19 18:31]

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-03-28 11:57:00 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-28 12:57:45
Windows 5.1.2600 Service Pack 1 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\SAMS]
"ImagePath"="C:\WINDOWS\System32\sams.exe"
.
--------------------- DLLs a chargé sous des processus courants ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\Ati2evxx.dll
.
Temps d'accomplissement: 2008-03-28 12:58:33
ComboFix-quarantined-files.txt 2008-03-28 11:58:19
ComboFix2.txt 2008-03-27 21:39:49
.
2008-03-28 07:44:42 --- E O F ---

et le HIJack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:02:47, on 28/03/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Promise Technology, Inc\Promise Array Management\MsgSvr.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\MonJack.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O20 - Winlogon Notify: xxywwwxw - xxywwwxw.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Promise Array Message Server (RAIDmSvr) - Unknown owner - C:\Program Files\Promise Technology, Inc.\Promise Array Management\MsgSvr.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WUSB54GCSVC - Unknown owner - C:\Program Files\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe (file missing)

Réponse 6 / 15

Utilisateur anonyme

CCL
HJ
+ SDFix
+ ComboFix
+ MSNFix
+ MalwaresBytes
*********************** Ne pas tenir compte des lignes ci-dessus

----------------------- Fixer des lignes HitjackThis -------------------

Relancer Hitjackthis

• Fixer cette/ces lignes

O20 - Winlogon Notify: xxywwwxw - xxywwwxw.dll (file missing)

• Pour fixer cette/ces lignes.
• Cliquer sur la petite case à gauche de chaque ligne à fixer.

• Une fois cette/ces lignes cochées, cliquer sur le bouton en bas FIX CHECKED
• Fermer et relancer HitJackThis
• Copier/Coller le nouveau rapport sur le forum.

Lord Pepper

Le rapport HJack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:16:21, on 28/03/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Promise Technology, Inc\Promise Array Management\MsgSvr.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\notepad.exe
C:\Program Files\Trend Micro\HijackThis\MonJack.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Promise Array Message Server (RAIDmSvr) - Unknown owner - C:\Program Files\Promise Technology, Inc.\Promise Array Management\MsgSvr.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WUSB54GCSVC - Unknown owner - C:\Program Files\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe (file missing)

Réponse 7 / 15

Utilisateur anonyme

CCL
HJ
+ SDFix
+ ComboFix
+ MSNFix
+ MalwaresBytes
*********************** Ne pas tenir compte des lignes ci-dessus

Je ne vois plus rien. On finalise

Comment va la Machine ?

================= TOOLSCLEANER2 ===================
Pour enlever les outils que l'on a utilisé.
• Télécharger ToolsCleaner2
• Double-clic dessus à l'endroit où il a été téléchargé :
• clic sur Recherche
• patienter un moment le temps qu'il travaille...
• Lorsque la recherche est terminée ToolsCleaner affiche une liste des différents outils trouvés,
• clic sur Suppression afin de les supprimer.
• Fermer le programme en cliquant sur Quitter.
• Poster le rapport qui se trouve ici >>> C:\TCleaner.txt

Supprimer TOOLSCLEANER et tous les rapports ayant pu être sauvegardé.

=============== DESINSTALLER AVAST ==================

desintaller avast qui est une vrai passoire via le lien ci dessous

desintal Avast

===================== ANTIVIR ========================
Qui remplacera avantageusement AVAST

Télécharger ANTIVIR qui est un antivirus gratuit

Suivre la procédure jusqu'au bout. En cas de doute demander

Procédure d'installation

Pour les réglages

------
• Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
• Attention, pas d’accès à internet dans ce mode. Enregistrer ou imprimer les consignes.

• Relancer le Pc et tapoter la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
• Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel
-------
• Faire une analyse complète de la machine

En fin de scan ( qui est assez long)
• Clic Sauvegarder REPORT puis Enregistrer sous et choisir bureau
-------
• Relancer la machine en mode normal
• Copier/coller le rapport ici

================ AVG ANTI-SPYWARE ===================
Gratuit
Merci à ep44 pour ce mode explicatif
Télécharger:
AVG-AntiSpyware
• Installer
• Le lancer
• Click : Mise à jour
------
• Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
• Attention, pas d’accès à internet dans ce mode. Enregistrer ou imprimer les consignes.

• Relancer le Pc et tapoter la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
• Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel
-------
• Dans ANALYSE ( en forme de loupe ) <<===== I M P O R T A N T
• Paramètres ==> sous COMMENT REAGIR==>click sur Actions recommandées ==>Quarantaine
• Click : Analyse complète du système

En fin de scan ( qui est assez long)
• Clic Appliquer toutes les actions <== ceci Très important
• Clic Sauvegarder rapport puis Enregistrer sous et choisir bureau
-------
• Relancer la machine en mode normal
• Copier/coller le rapport ici

(Ne surveillera plus le PC en arrière-plan dans 30 jours mais pourra servir à faire des scans et supprimer les infections)
---------------------------------------

===================== CCLEANER ========================
Pour le petit coup de polish.
• Appliquer la procédure ci-dessous.
• l'outil pourra être conservé pour faire le ménage de temps en temps en appliquant la même procédure.
• Fermer toutes les applications
• Lancer CCLeaner
• cocher dans le menu Nettoyeur - onglet Windows :
Internet Explorer: Fichiers Internet Temporaires, Cookies
• Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
• Avancé: Vieilles données du Prefetch
• Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
• Cocher dans le menu Nettoyeur - onglet Applications : Internet: Sun Java
• Cocher , si cela est possible, dans le menu Nettoyeur - onglet Applications :
Firefox/Mozilla: Cache Internet, Cookies
• Click sur Analyse
• Click sur le bouton Lancer le nettoyage dans le menu Nettoyeur.
• Click sur Registre
• Sélectionner tout
• Click sur Chercher des erreurs (En bas)

Une fois le scan terminé sélectionner tout
• Click sur Réparer les erreurs sélectionnées

=========== POINT DE RESTAURATION SYSTEME =============

* Désactivation :
Clic droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > cocher la case "Désactiver la Restauration du système sur tous les lecteurs"
• Appliquer
• patienter jusqu’a ce que cela soit marqué "désactivé" puis Ok.

* Activation :
Suivre le même chemin ; décocher la case "Désactiver la Restauration du système sur tous les lecteurs"
• Appliquer
• patienter que cela soit à nouveau sur "surveillance" puis Ok.
• Redémarrer l'ordinateur..

====================================
Aller dans le Forum Windows et se faire guider pour updater le système avec windows XP SP2

Ton inscription sur ce site sera le seul remerciement que j'accepterais ;)
Cela permettra pour une prochaine fois de mettre ton topic en résolu.

Réponse 8 / 15

Lord Pepper

Je ne peux toujours pas ouvrir le bloc notes depuis le menu démarrer mais je peux ouvrir les fichiers txt sans souci

voilà le rapport tCleaner : (je fais le rste de la procédure)

-->- Recherche:

C:\SDFIX: trouvé !
C:\Combofix: trouvé !
C:\MsnFix: trouvé !
C:\Qoobox: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Lord Pepper\Bureau\SdFix.exe: trouvé !
C:\Documents and Settings\Lord Pepper\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Lord Pepper\Bureau\Msnfix.zip: trouvé !
C:\Documents and Settings\Lord Pepper\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\Lord Pepper\Bureau\HJTInstall.exe: trouvé !
C:\Documents and Settings\Lord Pepper\Recent\MSNFix.lnk: trouvé !
C:\Documents and Settings\Lord Pepper\Recent\HijackThis.lnk: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Lord Pepper\Bureau\SdFix.exe: supprimé !
C:\Documents and Settings\Lord Pepper\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Lord Pepper\Bureau\Msnfix.zip: supprimé !
C:\Documents and Settings\Lord Pepper\Bureau\ComboFix.exe: supprimé !
C:\Documents and Settings\Lord Pepper\Bureau\HJTInstall.exe: supprimé !
C:\Documents and Settings\Lord Pepper\Recent\MSNFix.lnk: supprimé !
C:\Documents and Settings\Lord Pepper\Recent\HijackThis.lnk: supprimé !
C:\SDFIX: supprimé !
C:\Combofix: supprimé !
C:\MsnFix: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Réponse 9 / 15

Utilisateur anonyme

Clique droit sur démarrer

Clique Explorer

Menu outils

Option des dossiers

Onglet type de fichiers

Chercher l'extension TXT

Dans "Détails concernant l'extension TXT cliquer sur modifier

Dans la fenêtre ouvrir avec sélectionner Bloc-notes.

Faire OK partout

Lord Pepper

J'ai eu un souci avec AntiVir. Je l'ai fait en mode sans Echec et voici le rapport. Mais j'ai du m'absenté. J'ai laissé la machine tourner le temps de mon absence et il a refait un scan, à priori tout seul, à moins que j'ai involontairement actionné une commande avant de partir. Bref. Voici le rapport des deux scan, l'un en mode sans echec (le premier) l'autre en normal. Sur le premier scan, il m'a déclaré un fichier infecté par QHost, sur le deuxième par Trash-Gen.

(Ah oui, au fait, je met systématiquement les trucs détectés en quarantaine. c'est le bon choix où je dois les détruire ?)

Je m'attaque maintenant à l'installation et au scan d'AVG, comme demandé.

AntiVir PersonalEdition Classic
Report file date: vendredi 28 mars 2008 15:08

Scanning for 835736 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 1) [5.1.2600]
Username: Lord Pepper
Computer name: NON-AIHXCGKMTQR

Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13/09/2007 14:26:55
ANTIVIR2.VDF : 7.0.0.1 2048 Bytes 13/09/2007 14:27:04
ANTIVIR3.VDF : 7.0.0.2 2048 Bytes 13/09/2007 14:27:13
AVEWIN32.DLL : 7.6.0.15 2806272 Bytes 17/09/2007 17:43:56
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03/08/2007 08:46:00
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: C:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: vendredi 28 mars 2008 15:08

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
10 processes with 10 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '44' files ).

Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Backups\HOSTS
[DETECTION] Is the Trojan horse TR/Qhost.AA
[INFO] The file was moved to '483ffc8e.qua'!

End of the scan: vendredi 28 mars 2008 16:10
Used time: 1:02:14 min

The scan has been done completely.

4607 Scanning directories
302085 Files were scanned
1 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
1 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
302084 Files not concerned
1612 Archives were scanned
1 Warnings
1 Notes

Le deuxième :

AntiVir PersonalEdition Classic
Report file date: vendredi 28 mars 2008 16:24

Scanning for 835736 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 1) [5.1.2600]
Username: SYSTEM
Computer name: NON-AIHXCGKMTQR

Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13/09/2007 14:26:55
ANTIVIR2.VDF : 7.0.0.1 2048 Bytes 13/09/2007 14:27:04
ANTIVIR3.VDF : 7.0.0.2 2048 Bytes 13/09/2007 14:27:13
AVEWIN32.DLL : 7.6.0.15 2806272 Bytes 17/09/2007 17:43:56
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03/08/2007 08:46:00
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: C:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: vendredi 28 mars 2008 16:24

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'wmiprvse.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'SMAgent.exe' - '1' Module(s) have been scanned
Scan process 'MsgSvr.exe' - '1' Module(s) have been scanned
Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
Scan process 'CDANTSRV.EXE' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'vsmon.exe' - '0' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'logonui.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
22 processes with 22 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '39' files ).

Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\System Volume Information\_restore{20A4250F-3CF3-4F53-BFAE-AD47E5F3CCB9}\RP581\A0064271.dll
[DETECTION] Is the Trojan horse TR/Trash.Gen
[INFO] The file was moved to '481d66c6.qua'!

End of the scan: vendredi 28 mars 2008 22:54
Used time: 6:30:35 min

The scan has been done completely.

4729 Scanning directories
308090 Files were scanned
1 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
1 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
308089 Files not concerned
1625 Archives were scanned
1 Warnings
1 Notes

Réponse 10 / 15

Utilisateur anonyme

Non, ce n'est pas grave. Ce qu'il trouve ce sont les scories de ce que l'on a désactivé.

Oui quarantaine c'est bon.

Tu la vides d'ici quelques jours si ton PC fonctionne correctement.

Lord Pepper

Voici le rapport d'AVG (ça a pris un peu de temps...) Au passage j'ai oublié de te dire, ToolsCleaner ne m'a pas désinstallé MalewaresBytes et HJTNew : pas de problème ? Bon, je termine la procédure.

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 00:07:24 29/03/2008

+ Résultat de l'analyse:

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).
HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Erreur lors du nettoyage.
HKU\S-1-5-21-1085031214-1659004503-682003330-1003\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{20A4250F-3CF3-4F53-BFAE-AD47E5F3CCB9}\RP578\A0058808.bat -> Not-A-Virus.Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
:mozilla.10:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Adbrite : Nettoyé.
:mozilla.14:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Adbrite : Nettoyé.
:mozilla.6:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Adbrite : Nettoyé.
:mozilla.82:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Adrevolver : Nettoyé.
:mozilla.83:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Adrevolver : Nettoyé.
:mozilla.84:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Adrevolver : Nettoyé.
:mozilla.85:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Adrevolver : Nettoyé.
:mozilla.86:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Adrevolver : Nettoyé.
:mozilla.87:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Adrevolver : Nettoyé.
:mozilla.7:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.8:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.9:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.37:C:\Documents and Settings\Lord Pepper\Application Data\Mozilla\Firefox\Profiles\u4yfefcx.default\cookies.txt -> TrackingCookie.Atdmt : Nettoyé.
:mozilla.29:C:\Documents and Settings\Lord Pepper\Application Data\Mozilla\Firefox\Profiles\u4yfefcx.default\cookies.txt -> TrackingCookie.Bluestreak : Nettoyé.
:mozilla.76:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Bluestreak : Nettoyé.
:mozilla.15:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Casalemedia : Nettoyé.
:mozilla.16:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Casalemedia : Nettoyé.
:mozilla.17:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Casalemedia : Nettoyé.
:mozilla.18:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Casalemedia : Nettoyé.
:mozilla.19:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Casalemedia : Nettoyé.
:mozilla.20:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Casalemedia : Nettoyé.
:mozilla.30:C:\Documents and Settings\Lord Pepper\Application Data\Mozilla\Firefox\Profiles\u4yfefcx.default\cookies.txt -> TrackingCookie.Doubleclick : Nettoyé.
:mozilla.31:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Doubleclick : Nettoyé.
:mozilla.97:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Estat : Nettoyé.
:mozilla.21:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Fastclick : Nettoyé.
:mozilla.22:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Fastclick : Nettoyé.
:mozilla.23:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Fastclick : Nettoyé.
:mozilla.24:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Fastclick : Nettoyé.
:mozilla.135:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Mediaplex : Nettoyé.
:mozilla.65:C:\Documents and Settings\Lord Pepper\Application Data\Mozilla\Firefox\Profiles\u4yfefcx.default\cookies.txt -> TrackingCookie.Mediaplex : Nettoyé.
:mozilla.65:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.66:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.67:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.68:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.69:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.70:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.71:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.33:C:\Documents and Settings\Lord Pepper\Application Data\Mozilla\Firefox\Profiles\u4yfefcx.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.34:C:\Documents and Settings\Lord Pepper\Application Data\Mozilla\Firefox\Profiles\u4yfefcx.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.35:C:\Documents and Settings\Lord Pepper\Application Data\Mozilla\Firefox\Profiles\u4yfefcx.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.36:C:\Documents and Settings\Lord Pepper\Application Data\Mozilla\Firefox\Profiles\u4yfefcx.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.45:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.46:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.47:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.48:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.88:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Statcounter : Nettoyé.
:mozilla.89:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Statcounter : Nettoyé.
:mozilla.90:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Statcounter : Nettoyé.
:mozilla.35:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyé.
:mozilla.36:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyé.
:mozilla.101:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
:mozilla.102:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
:mozilla.103:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
:mozilla.104:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
:mozilla.74:C:\Documents and Settings\Lord Pepper\Application Data\Mozilla\Firefox\Profiles\u4yfefcx.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
:mozilla.49:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.50:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.51:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.52:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.53:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.125:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Zedo : Nettoyé.
:mozilla.126:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Zedo : Nettoyé.
:mozilla.127:C:\Documents and Settings\Coyote\Application Data\Mozilla\Firefox\Profiles\ptywebyg.default\cookies.txt -> TrackingCookie.Zedo : Nettoyé.

Fin du rapport

Réponse 11 / 15

Utilisateur anonyme

MalwaresBytes tu le gardes, il te servira à faire de temps le ménage.

HJTNew, il était indiqué de le supprimer juste après usage. Suppression à la main, zou dans la corbeille et corbeille vidée.

Lord Pepper

Bon, ben voilà, j'ai fini la procédure.

HJTNew est à la poubelle... Espérons que mon oubli n'ai pas posé problème.

Merci encore. Je vais voir pour le service Pack2 et je vais évidemment devenir membre :)

Utilisateur anonyme > Lord Pepper

Aucun problème pour l'oubli.

Et les fichiers texte, c'est bon ? Tu as suivis la procédure donnée plus haut ?

LordPepper Messages postés 12 Statut Membre > Utilisateur anonyme

Ah oui, j'avais oublié... Ben non, ça n'a pas marché. Enfin, je veux dire : je peux ouvrir les fichiers texte. Je peux les enregistrer, les modifier, enfin tout fonctionne. Mais c'est le raccourci dans le menu Démarrer/Programmes/Accessoires qui marche plus. A la place du sympathique petit icône de bloc-notes j'ai une fenêtre blanche et bleue (je pense que tu vois ce que je te décris). Bref, le raccourci marche pas, c'est bizarre, mais c'est pas très grave.

Utilisateur anonyme > LordPepper Messages postés 12 Statut Membre

Tu cliques droit sur cette petite fenêtre
Propriétés

Dans cible tu Copie/colle ça (verifie si ce n'y est pas déjà)

%SystemRoot%\system32\notepad.exe

Dans démarrer dans tu colles ça

%HOMEDRIVE%%HOMEPATH%

Cliques sur le bouton changer d'icône

Et tu colles ça dans la zone à gauche du bouton parcourir

%SystemRoot%\system32\notepad.exe

Puis OK partout

Réponse 12 / 15

Utilisateur anonyme

;)

LordPepper Messages postés 12 Statut Membre

Salut,

Juste pour te tenir au courant, je suis passé à Vista, pas à XP SP2, parce que j'avais l'opportunité d'avoir un Vista non cracké, donc bon... Du coup, j'ai retrouvé mon bloc note. :)

... Et mes Trojan :) Enfin, pas les mêmes. Si t'as l'opportunité de jeter un coup d'oeil :

http://www.commentcamarche.net/forum/affich 5781025 tr crypt xpack gen

D'après le mec qui se propose de me suivre, c'est grave...

Réponse 13 / 15

Utilisateur anonyme

Salut

Antivir à fait son boulot.

Supprime HiJackThis

Vide la quarantaine d'Antivir

Si ton VISTA est légal, fait la mise à jour avec le SP1 paru sur Windows Update.

===================== CCLEANER ========================
Pour le petit coup de polish.
• Appliquer la procédure ci-dessous.
• l'outil pourra être conservé pour faire le ménage de temps en temps en appliquant la même procédure.

• Télécharger CCLeaner et l'installer sur le bureau en refusant l'installation de la barre Yahoo.
• Fermer toutes les applications
• Lancer CCLeaner
S'il n'est pas en Français cliquer sur Options, Setting, Language et sélectionner Français
• cocher dans le menu Nettoyeur - onglet Windows :
Internet Explorer: Fichiers Internet Temporaires, Cookies
• Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
• Avancé: Vieilles données du Prefetch
• Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
• Cocher dans le menu Nettoyeur - onglet Applications : Internet: Sun Java
• Cocher , si cela est possible, dans le menu Nettoyeur - onglet Applications :
Firefox/Mozilla: Cache Internet, Cookies
• Click sur Analyse
• Click sur le bouton Lancer le nettoyage dans le menu Nettoyeur.
• Click sur Registre
• Sélectionner tout
• Click sur Chercher des erreurs (En bas)

Une fois le scan terminé sélectionner tout
• Click sur Réparer les erreurs sélectionnées

=========== POINT DE RESTAURATION SYSTEME =============

Pour désactiver et réactiver sur Vista

Et attendons la réponse du rigolo de l'autre file.

Bonne continuation ;)

LordPepper Messages postés 12 Statut Membre

Mon Vista est légal.

Les avis sur le SP1 sont très partagé sur ce site mais je te fais confiance, je le télécharge. Je fais tout ça et si ça marche, je clôture sur l'autre fil.

Utilisateur anonyme > LordPepper Messages postés 12 Statut Membre

;)

Réponse 14 / 15

LordPepper Messages postés 12 Statut Membre

Et voilà. J'ai fait ce que tu m'as dit. Pas de problème pour le moment avec le SP1... :) Ah oui, le lien pour la restauration système que tu m'as donné est mort. C'est pas grave, je me suis débrouillé. Tu veux que je lance un scan d'Antivir ?

Réponse 15 / 15

Utilisateur anonyme

Tu peux ça ne nuit pas. A faire régulièrement de toute façon (une fois par mois, plus si tu surfe beaucoup).

Discussions similaires

Menace détectée TrojanSMS-PA sur Google Huawei/Android

massive music quiz

massive music quizz

Comment supprimer le virus Trojan

qu'est ce qu'un "trojan agent/gen" ? svp

Infection massive de Trojan

15 réponses

Votre réponse

Discussions similaires

Newsletters