Trojan virantix.B récalcitrant !

Résolu
alkibiade -  
 recteur -
Bonjour,

Je suis sous windows XP familial (version non piratée) service pack 2.
Mon logiciel antivirus avast me signale un trojan virantix.b. (qui serait dans le fichier c:\windows\system32\univrs.32.dat, fichier que je ne trouve pas d'ailleurs) et peut être aussi un hacktool.Rootkit.selon un historique plus ancien.

Après avoir effectué toutes les manip recommandées dans les forum (démarrage en mode sans échec, désactivation de la restauration automatique, nettoyage avec Ccleaner) j'ai scanné tout mon ordinateur avec ad-aware, spyboot et j'ai fini par un scan minutieux d'avast. Rien n'a été détecté.

j'ai lancé hijackthis et copié le rapport ci-joint (plus bas).

En redémarrant l'ordi en mode normal Avast m'indique à nouveau la présence de ce trojan et me propose de le mettre en quarantaine. cependant malgré cette opération et un nouveau démarrage il réapparaît.

Que faire ? ai-je fait une erreur en redemarrant en mode normal ?

Merci pour votre aide

PS : je dois faire une LAN ce WE, pensez-vous que je sois dangereux pour les autres ordis ?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:03:10, on 02/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
E:\ad-aware\aawservice.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
E:\Eradication_trojan\hijack this rapport d'erreur\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/...
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - (no file)
O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\program files\hp\digital imaging\bin\hpdtlk02.dll
O3 - Toolbar: (no name) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - (no file)
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [UpdateManager] "c:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P26 "EPSON Stylus CX6600 Series" /O6 "USB001" /M "Stylus CX6600"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [braviax] C:\WINDOWS\system32\braviax.exe
O4 - HKLM\..\Run: [avast!] E:\ERADIC~1\AVASTA~1\AVASTA~1\ashDisp.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\SPYBOT~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\SPYBOT~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - E:\ad-aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - E:\Eradication_trojan\avast antivir\avast antivir program\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - E:\Eradication_trojan\avast antivir\avast antivir program\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - E:\Eradication_trojan\avast antivir\avast antivir program\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - E:\Eradication_trojan\avast antivir\avast antivir program\ashWebSv.exe
O23 - Service: Service de sécurité matérielle (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 5077 bytes
Configuration: Windows XP familial
Internet Explorer 6.0

37 réponses

  • 1
  • 2
Résumé de la discussion

Le problème central est la détection répétée par Avast d'un trojan virantix.b dans Windows XP SP2, supposément dans le fichier c:\windows\system32\univrs.32.dat, malgré des nettoyages et scans répétés. Plusieurs outils et procédures ont été employés, notamment mode sans échec, désactivation de la restauration, scans Ad-Aware, Spybot et HijackThis, puis des manipulations comme OTMoveIt et fix.reg. Des réponses suggèrent d’éteindre TeaTimer et SDHelper, d’utiliser ComboFix et de répéter les procédures en mode normal si nécessaire, mais les résultats restent ambigus et la menace peut réapparaître après redémarrage. En cas d’impossibilité de supprimer définitivement l’infection, établir un nouveau point de restauration et répéter les étapes clés, tout en vérifiant les composants et les modules de démarrage.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    Salut

    Le scan Hijackthis toujours en mode normal.

    Fait ceci :

    /!\ Outils très puissant , ne pas reproduire la manip ci-dessous sur son pc sans y avoir été autorisé par une personne compétente /!\

    Désactive ta restauration système
    Clic sur « Démarrer »
    Clic droit sur « Poste de travail », puis sur « Propriétés »,
    Vas sur l’onglet « Restauration système »
    Tu y coches la case « Désactiver la restauration »
    Termine par [Appliquer] [OK]

    Télécharge ComboFix ici → http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    Et enregistre le sur le bureau >>> /!\ IMPORTANT /!\

    Regardes ici, si tu souhaites te familiariser avec son utilisation: https://www.google.fr/?gws_rd=ssl

    AVANT d'utiliser ComboFix :
    → Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours. /!\
    → Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares et de TOUT tes logiciels de protection !!!, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil). /!\

    Sur ton bureau double clic sur Combofix.exe.
    Appuies sur la touche 1, pour que le programme commence à s'exécuter et suis les instructions à l'écran.

    /!\ PENDANT TOUTE la durée (ça peut être assez long si le pc est très infecté) du scan de ComboFix, n'ouvres aucun programme, ne touche pas à ta souris et ne surfe pas sur le net /!\

    Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 40 étapes d’analyse).

    En cours de nettoyage il est possible, que tu reçoives un avertissement te disant que le pc va redémarrer, laisse le faire.

    Après le redemarrage du pc, un rapport s'ouvrira dans le Bloc notes en fin d'analyse, copie et colle tout son contenu dans ton prochain message.

    (Le fichier rapport Combofix.txt , est ensuite automatiquement sauvegardé dans C:\Combofix.txt)

    Ensuite réactive ta restauration système
    Clic droit sur « Poste de travail », puis sur « Propriétés »,
    Vas sur l’onglet « Restauration système »
    Tu décoches la case « Désactiver la restauration »
    Termine par [Appliquer] [OK]

    Tutorial ( aide ): https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    A+
    0
    1. alkibiade
       
      Merci Cyril pour ta réponse très rapide,

      Tu veux aussi le rapport hijackthis après redémarrage en mode normal ?

      je fais cela dès ce soir et te renvoie la réponse demain.

      A+
      0
  2. alkibiade
     
    Bonsoir Cyril

    De retour du badminton, je me suis remis devant ma machine et ai executé toutes les opérations que tu m'as indiquées. Jai ensuite redémarré l'ordi et plus d'alerte, il semble que ce coup ci il soit erradiqué !

    Merci

    Je te mets les deux logs, celle de Combofix en premier puis celle de hijackthis.

    A demain peut-être,

    ComboFix 08-04-01.2 - Propriétaire 2008-04-02 22:17:08.1 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.700 [GMT 2:00]
    Endroit: C:\Documents and Settings\Propriétaire\Bureau\ComboFix.exe
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\system32\_000008_.tmp.dll
    C:\WINDOWS\system32\braviax.exe
    F:\Autorun.inf

    .
    ((((((((((((((((((((((((((((( Fichiers créés 2008-03-02 to 2008-04-02 ))))))))))))))))))))))))))))))))))))
    .

    2008-04-01 23:39 . 2008-04-01 23:39 38,468 --a------ C:\WINDOWS\Administrateur.acl
    2008-04-01 21:37 . 2008-03-29 19:45 1,146,232 --a------ C:\WINDOWS\system32\aswBoot.exe
    2008-04-01 21:37 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
    2008-04-01 21:37 . 2008-03-29 19:23 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
    2008-04-01 21:37 . 2008-03-29 19:35 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
    2008-04-01 21:37 . 2008-01-17 17:34 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
    2008-04-01 21:37 . 2008-03-29 19:31 75,856 --a------ C:\WINDOWS\system32\drivers\aswSP.sys
    2008-04-01 21:37 . 2008-03-29 19:27 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
    2008-04-01 21:37 . 2008-03-29 19:26 26,944 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
    2008-04-01 21:37 . 2008-03-29 19:29 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
    2008-04-01 21:37 . 2008-03-29 19:35 20,560 --a------ C:\WINDOWS\system32\drivers\aswFsBlk.sys
    2008-03-30 12:04 . 2008-03-30 17:18 2,568 --a------ C:\WINDOWS\system32\PerfStringBackup.TMP
    2008-03-18 08:23 . 2008-03-18 08:23 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    2008-03-15 13:35 . 2008-03-15 13:36 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
    2008-03-15 12:14 . 2008-03-15 12:14 61,440 --a------ C:\Documents and Settings\Propriétaire\wn852.exe
    2008-03-15 12:14 . 2008-03-15 12:14 61,440 --a------ C:\Documents and Settings\Propriétaire\wn852.exe
    2008-03-02 15:17 . 2004-02-23 22:43 1,007,616 --a------ C:\WINDOWS\system32\nviewimg.dll

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-04-01 19:31 --------- d-----w C:\Program Files\Symantec Client Security
    2008-04-01 19:31 --------- d-----w C:\Program Files\Symantec
    2008-04-01 19:31 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
    2008-04-01 19:31 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
    2008-04-01 19:21 --------- d-----w C:\Program Files\Symantec AntiVirus
    2008-03-15 13:03 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-03-15 11:35 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
    2008-03-02 13:20 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\Lavasoft
    2008-03-02 13:20 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\Lavasoft
    2008-03-02 13:20 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\Lavasoft
    2008-02-17 10:07 --------- d-----w C:\Program Files\AGEIA Technologies
    2008-02-13 21:16 --------- d-----w C:\Program Files\Fichiers communs\Adobe
    2005-05-18 21:38 0 -csha-w C:\WINDOWS\SMINST\HPCD.sys
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "BackupNotify"="c:\Program Files\HP\Digital Imaging\bin\backupnotify.exe" [2004-01-09 02:34 32768]
    "RecordNow!"="" []
    "MSMSGS"="C:\Program Files\Messenger\MSMSGS.exe" [2004-10-13 18:24 1694208]
    "SpybotSD TeaTimer"="E:\spybot anti spy\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 12:43 2097488]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SunJavaUpdateSched"="C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe" [2004-01-01 22:12 32881]
    "hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 17:04 52736]
    "HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 16:38 241664]
    "HPHUPD05"="c:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe" [2003-08-21 04:23 49152]
    "HPHmon05"="C:\WINDOWS\System32\hphmon05.exe" [2003-08-21 04:16 483328]
    "KBD"="C:\HP\KBD\KBD.EXE" [2003-02-11 20:02 61440]
    "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2004-01-28 00:52 229376]
    "Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [2004-04-14 22:43 233472]
    "VTTimer"="VTTimer.exe" []
    "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-02-23 22:43 3026944]
    "nwiz"="nwiz.exe" [2004-02-23 22:43 753664 C:\WINDOWS\system32\nwiz.exe]
    "PS2"="C:\WINDOWS\system32\ps2.exe" [2002-10-16 16:57 81920]
    "AlcxMonitor"="ALCXMNTR.EXE" [2003-04-03 21:35 50176 C:\WINDOWS\ALCXMNTR.EXE]
    "UpdateManager"="c:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" [2003-08-19 01:01 110592]
    "EPSON Stylus CX6600 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.exe" [2004-03-01 05:00 98304]
    "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2004-01-01 23:54 98304]
    "StandardInstall"="" []
    "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
    "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2004-02-23 22:43 49152]
    "braviax"="C:\WINDOWS\system32\braviax.exe" [ ]
    "avast!"="E:\ERADIC~1\AVASTA~1\AVASTA~1\ashDisp.exe" [2008-03-29 19:37 79224]

    C:\Documents and Settings\Propri‚taire\Menu D‚marrer\Programmes\D‚marrage\
    D‚marrage d'Office.lnk - C:\Program Files\Microsoft Office\Office\OSA.EXE [1996-12-17 01:00:00 51984]
    Microsoft Recherche acc‚l‚r‚e.lnk - C:\Program Files\Microsoft Office\Office\FINDFAST.EXE [1996-12-17 01:00:00 111376]

    C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Adobe Gamma Loader.exe.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2004-12-30 20:32:17 110592]
    HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2003-09-16 13:19:24 237568]

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusDisableNotify"=dword:00000001
    "UpdatesDisableNotify"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "D:\\Program Files\\Rome total war\\RomeTW.exe"=
    "C:\\Program Files\\EA GAMES\\Battlefield Vietnam\\bfvietnam.exe"=

    R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]
    R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]
    R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 08:08]
    S3 USB_RNDIS_51;Broadcom USB Remote NDIS Device Driver;C:\WINDOWS\system32\DRIVERS\usb8023.sys [2004-08-04 08:04]
    S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-04 07:58]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4b80e044-69a4-11dc-aadc-00112f36e7b4}]
    \Shell\AutoRun\command - explorer.exe http://"www.reprendre-en-rhonealpes.fr"

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f6ec0ae6-dd38-11dc-aba6-00112f36e7b4}]
    \Shell\AutoRun\command - wd_windows_tools\setup.exe

    .
    Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
    "2005-05-19 06:09:07 C:\WINDOWS\Tasks\Symantec NetDetect.job"
    - C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE
    .
    **************************************************************************

    catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-04-02 22:18:23
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...

    Scan terminé avec succès
    Les fichiers cachés: 0

    **************************************************************************
    .
    Temps d'accomplissement: 2008-04-02 22:18:48
    ComboFix-quarantined-files.txt 2008-04-02 20:18:39
    Pre-Run: 6,001,201,152 octets libres
    Post-Run: 5,988,659,200 octets libres
    .
    2008-03-13 08:14:51 --- E O F ---

    log hijackthis :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 22:22:57, on 02/04/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    E:\ad-aware\aawservice.exe
    E:\Eradication_trojan\avast antivir\avast antivir program\aswUpdSv.exe
    E:\Eradication_trojan\avast antivir\avast antivir program\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\gearsec.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
    C:\windows\system\hpsysdrv.exe
    C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
    C:\WINDOWS\System32\hphmon05.exe
    C:\HP\KBD\KBD.EXE
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\WINDOWS\ALCXMNTR.EXE
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE
    C:\Program Files\QuickTime\qttask.exe
    E:\ERADIC~1\AVASTA~1\AVASTA~1\ashDisp.exe
    C:\Program Files\Messenger\MSMSGS.EXE
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Program Files\Microsoft Office\Office\OSA.EXE
    E:\spybot anti spy\Spybot - Search & Destroy\TeaTimer.exe
    C:\WINDOWS\explorer.exe
    I:\Eradication_trojan\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q304&bd=pavilion&pf=desktop
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q304&bd=pavilion&pf=desktop
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=374
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
    O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\program files\hp\digital imaging\bin\hpdtlk02.dll
    O3 - Toolbar: (no name) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - (no file)
    O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
    O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
    O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
    O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
    O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
    O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
    O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
    O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
    O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
    O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
    O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
    O4 - HKLM\..\Run: [UpdateManager] "c:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
    O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P26 "EPSON Stylus CX6600 Series" /O6 "USB001" /M "Stylus CX6600"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [braviax] C:\WINDOWS\system32\braviax.exe
    O4 - HKLM\..\Run: [avast!] E:\ERADIC~1\AVASTA~1\AVASTA~1\ashDisp.exe
    O4 - HKCU\..\Run: [BackupNotify] c:\Program Files\HP\Digital Imaging\bin\backupnotify.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\spybot anti spy\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
    O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
    O4 - Startup: Ubisoft register.lnk = C:\Program Files\Ubisoft\Register\schedule.exe
    O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\SPYBOT~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\SPYBOT~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - E:\ad-aware\aawservice.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - E:\Eradication_trojan\avast antivir\avast antivir program\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - E:\Eradication_trojan\avast antivir\avast antivir program\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - E:\Eradication_trojan\avast antivir\avast antivir program\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - E:\Eradication_trojan\avast antivir\avast antivir program\ashWebSv.exe
    O23 - Service: Service de sécurité matérielle (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
    O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    0
  3. Utilisateur anonyme
     
    Re ,

    C'est pas encore fini ;)

    **************************************

    Ouvre le Bloc-Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)

    Copie ce texte ( en gras )d'une traite ( CTRL+C pour copier ) puis colle-le ( CTRL+V dans le bloc-note )

    File::
    C:\WINDOWS\ALCXMNTR.EXE

    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "AlcxMonitor"=-
    "braviax"=-


    Sauvegarde ce fichier sur ton bureau sous le nom de CFScript.txt.

    Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

    http://serveur1.archive-host.com/membres/up/1366464061/CFScript.gif

    Cela va relancer Combofix,

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

    S'il n'y a pas de rédémarrage, poste quand même les rapports.

    A+
    0
    1. thucydide
       
      Bonsoir Cyril,

      Voici le résultat des deux nouveaux passages. Dans l'ordre combofix puis le scan hijackthis.


      ComboFix 08-04-01.2 - Propriétaire 2008-04-03 20:29:25.2 - NTFSx86
      Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.712 [GMT 2:00]
      Endroit: C:\Documents and Settings\Propriétaire\Bureau\ComboFix.exe
      Command switches used :: C:\Documents and Settings\Propri‚taire\Bureau\CFScript.txt
      * Création d'un nouveau point de restauration
      .

      ((((((((((((((((((((((((((((( Fichiers créés 2008-03-03 to 2008-04-03 ))))))))))))))))))))))))))))))))))))
      .

      2008-04-01 23:39 . 2008-04-01 23:39 38,468 --a------ C:\WINDOWS\Administrateur.acl
      2008-04-01 21:37 . 2008-03-29 19:45 1,146,232 --a------ C:\WINDOWS\system32\aswBoot.exe
      2008-04-01 21:37 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
      2008-04-01 21:37 . 2008-03-29 19:23 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
      2008-04-01 21:37 . 2008-03-29 19:35 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
      2008-04-01 21:37 . 2008-01-17 17:34 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
      2008-04-01 21:37 . 2008-03-29 19:31 75,856 --a------ C:\WINDOWS\system32\drivers\aswSP.sys
      2008-04-01 21:37 . 2008-03-29 19:27 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
      2008-04-01 21:37 . 2008-03-29 19:26 26,944 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
      2008-04-01 21:37 . 2008-03-29 19:29 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
      2008-04-01 21:37 . 2008-03-29 19:35 20,560 --a------ C:\WINDOWS\system32\drivers\aswFsBlk.sys
      2008-03-30 12:04 . 2008-03-30 17:18 2,568 --a------ C:\WINDOWS\system32\PerfStringBackup.TMP
      2008-03-18 08:23 . 2008-03-18 08:23 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
      2008-03-15 13:35 . 2008-03-15 13:36 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
      2008-03-15 12:14 . 2008-03-15 12:14 61,440 --a------ C:\Documents and Settings\Propriétaire\wn852.exe
      2008-03-15 12:14 . 2008-03-15 12:14 61,440 --a------ C:\Documents and Settings\Propriétaire\wn852.exe

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2008-04-01 19:31 --------- d-----w C:\Program Files\Symantec Client Security
      2008-04-01 19:31 --------- d-----w C:\Program Files\Symantec
      2008-04-01 19:31 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
      2008-04-01 19:31 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
      2008-04-01 19:21 --------- d-----w C:\Program Files\Symantec AntiVirus
      2008-03-15 13:03 --------- d--h--w C:\Program Files\InstallShield Installation Information
      2008-03-15 11:35 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
      2008-03-02 13:20 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\Lavasoft
      2008-03-02 13:20 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\Lavasoft
      2008-03-02 13:20 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\Lavasoft
      2008-02-17 10:07 --------- d-----w C:\Program Files\AGEIA Technologies
      2008-02-13 21:16 --------- d-----w C:\Program Files\Fichiers communs\Adobe
      2005-05-18 21:38 0 -csha-w C:\WINDOWS\SMINST\HPCD.sys
      .

      ((((((((((((((((((((((((((((( snapshot@2008-04-02_22.18.32,98 )))))))))))))))))))))))))))))))))))))))))
      .
      + 2008-04-03 18:19:54 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_55c.dat
      .
      ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      REGEDIT4
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "BackupNotify"="c:\Program Files\HP\Digital Imaging\bin\backupnotify.exe" [2004-01-09 02:34 32768]
      "RecordNow!"="" []
      "MSMSGS"="C:\Program Files\Messenger\MSMSGS.exe" [2004-10-13 18:24 1694208]
      "SpybotSD TeaTimer"="E:\spybot anti spy\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 12:43 2097488]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "SunJavaUpdateSched"="C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe" [2004-01-01 22:12 32881]
      "hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 17:04 52736]
      "HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 16:38 241664]
      "HPHUPD05"="c:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe" [2003-08-21 04:23 49152]
      "HPHmon05"="C:\WINDOWS\System32\hphmon05.exe" [2003-08-21 04:16 483328]
      "KBD"="C:\HP\KBD\KBD.EXE" [2003-02-11 20:02 61440]
      "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2004-01-28 00:52 229376]
      "Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [2004-04-14 22:43 233472]
      "VTTimer"="VTTimer.exe" []
      "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-02-23 22:43 3026944]
      "nwiz"="nwiz.exe" [2004-02-23 22:43 753664 C:\WINDOWS\system32\nwiz.exe]
      "PS2"="C:\WINDOWS\system32\ps2.exe" [2002-10-16 16:57 81920]
      "AlcxMonitor"="ALCXMNTR.EXE" [2003-04-03 21:35 50176 C:\WINDOWS\ALCXMNTR.EXE]
      "UpdateManager"="c:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" [2003-08-19 01:01 110592]
      "EPSON Stylus CX6600 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.exe" [2004-03-01 05:00 98304]
      "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2004-01-01 23:54 98304]
      "StandardInstall"="" []
      "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
      "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2004-02-23 22:43 49152]
      "braviax"="C:\WINDOWS\system32\braviax.exe" [ ]
      "avast!"="E:\ERADIC~1\AVASTA~1\AVASTA~1\ashDisp.exe" [2008-03-29 19:37 79224]

      C:\Documents and Settings\Propri‚taire\Menu D‚marrer\Programmes\D‚marrage\
      D‚marrage d'Office.lnk - C:\Program Files\Microsoft Office\Office\OSA.EXE [1996-12-17 01:00:00 51984]
      Microsoft Recherche acc‚l‚r‚e.lnk - C:\Program Files\Microsoft Office\Office\FINDFAST.EXE [1996-12-17 01:00:00 111376]

      C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
      Adobe Gamma Loader.exe.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2004-12-30 20:32:17 110592]
      HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2003-09-16 13:19:24 237568]

      [HKEY_LOCAL_MACHINE\software\microsoft\security center]
      "AntiVirusDisableNotify"=dword:00000001
      "UpdatesDisableNotify"=dword:00000001

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "D:\\Program Files\\Rome total war\\RomeTW.exe"=
      "C:\\Program Files\\EA GAMES\\Battlefield Vietnam\\bfvietnam.exe"=

      R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]
      R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]
      R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 08:08]
      S3 USB_RNDIS_51;Broadcom USB Remote NDIS Device Driver;C:\WINDOWS\system32\DRIVERS\usb8023.sys [2004-08-04 08:04]
      S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-04 07:58]

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4b80e044-69a4-11dc-aadc-00112f36e7b4}]
      \Shell\AutoRun\command - explorer.exe http://"www.reprendre-en-rhonealpes.fr"

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f6ec0ae6-dd38-11dc-aba6-00112f36e7b4}]
      \Shell\AutoRun\command - wd_windows_tools\setup.exe

      .
      Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
      "2005-05-19 06:09:07 C:\WINDOWS\Tasks\Symantec NetDetect.job"
      - C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE
      .
      **************************************************************************

      catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-04-03 20:30:41
      Windows 5.1.2600 Service Pack 2 NTFS

      Balayage processus cachés ...

      Balayage caché autostart entries ...

      Balayage des fichiers cachés ...

      Scan terminé avec succès
      Les fichiers cachés: 0

      **************************************************************************
      .
      Temps d'accomplissement: 2008-04-03 20:31:10
      ComboFix-quarantined-files.txt 2008-04-03 18:31:02
      ComboFix2.txt 2008-04-02 20:18:49
      Pre-Run: 5,972,467,712 octets libres
      Post-Run: 5,960,900,608 octets libres
      .
      2008-03-13 08:14:51 --- E O F ---


      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 20:33:02, on 03/04/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      E:\ad-aware\aawservice.exe
      E:\Eradication_trojan\avast antivir\avast antivir program\aswUpdSv.exe
      E:\Eradication_trojan\avast antivir\avast antivir program\ashServ.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\System32\gearsec.exe
      C:\WINDOWS\System32\nvsvc32.exe
      C:\WINDOWS\System32\svchost.exe
      E:\Eradication_trojan\avast antivir\avast antivir program\ashMaiSv.exe
      E:\Eradication_trojan\avast antivir\avast antivir program\ashWebSv.exe
      C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
      C:\windows\system\hpsysdrv.exe
      C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
      C:\WINDOWS\System32\hphmon05.exe
      C:\HP\KBD\KBD.EXE
      C:\Program Files\iTunes\iTunesHelper.exe
      C:\WINDOWS\system32\rundll32.exe
      C:\WINDOWS\ALCXMNTR.EXE
      C:\Program Files\iPod\bin\iPodService.exe
      C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE
      C:\Program Files\QuickTime\qttask.exe
      C:\WINDOWS\system32\RUNDLL32.EXE
      E:\ERADIC~1\AVASTA~1\AVASTA~1\ashDisp.exe
      C:\Program Files\Messenger\MSMSGS.EXE
      C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
      C:\Program Files\Microsoft Office\Office\OSA.EXE
      C:\WINDOWS\explorer.exe
      E:\spybot anti spy\Spybot - Search & Destroy\TeaTimer.exe
      I:\Eradication_trojan\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q304&bd=pavilion&pf=desktop
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q304&bd=pavilion&pf=desktop
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=374
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
      O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\program files\hp\digital imaging\bin\hpdtlk02.dll
      O3 - Toolbar: (no name) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - (no file)
      O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
      O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
      O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
      O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
      O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
      O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
      O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
      O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
      O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
      O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
      O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
      O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
      O4 - HKLM\..\Run: [UpdateManager] "c:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
      O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P26 "EPSON Stylus CX6600 Series" /O6 "USB001" /M "Stylus CX6600"
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [braviax] C:\WINDOWS\system32\braviax.exe
      O4 - HKLM\..\Run: [avast!] E:\ERADIC~1\AVASTA~1\AVASTA~1\ashDisp.exe
      O4 - HKCU\..\Run: [BackupNotify] c:\Program Files\HP\Digital Imaging\bin\backupnotify.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
      O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\spybot anti spy\Spybot - Search & Destroy\TeaTimer.exe
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
      O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
      O4 - Startup: Ubisoft register.lnk = C:\Program Files\Ubisoft\Register\schedule.exe
      O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
      O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\SPYBOT~1\SPYBOT~1\SDHelper.dll
      O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\SPYBOT~1\SPYBOT~1\SDHelper.dll
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
      O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - E:\ad-aware\aawservice.exe
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - E:\Eradication_trojan\avast antivir\avast antivir program\aswUpdSv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - E:\Eradication_trojan\avast antivir\avast antivir program\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - E:\Eradication_trojan\avast antivir\avast antivir program\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - E:\Eradication_trojan\avast antivir\avast antivir program\ashWebSv.exe
      O23 - Service: Service de sécurité matérielle (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
      O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
      0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. alkibiade
     
    oups, je me suis trompé de pseudo, je suis le même !
    0
  6. Utilisateur anonyme
     
    C'est utile , car ça va supprimer des clés de registres infectés et un fichier espion de Realtek.

    Et si je regarde ton rapport , cela n'a pas été fait.

    Précise si tu as eu des soucis , ect...

    si tu as un doute au dernier moment , dis le moi.

    ++
    0
    1. alkibiade
       
      Bonjour Cyril,

      Alors là je comprends de moins en moins.

      j'ai tenté de lancer combofix après avoir décoché la restauration système et désactivé firewalls et antivirus, rien ne se passe, pas de rapport, rien...

      Il faut dire que lorsque j'ai créé le fichier txt en collant les commandes que tu m'avais transmises pour ouvrir avec combofix, je me suis trompé de nom de fichier. Quant j'ai lancé combofix, spyboot m'a averti de modifications que j'ai acceptées (je me suis pas méfié) et combofix n'a pas fonctionné.
      Peut-être là est l'erreur... J'ai ensuite refait un fichier txt avec le bon nom et de nouveau combofix ne fonctionnait pas.
      J'ai donc supprimé combofix et je l'ai réinstallé depuis le lien que tu m'avais fourni mais toujours rien...

      j'ai refait un hijackthis et j'ai le rapport suivant. Peut-être y a-t-il des choses que je peux dire à hijackthis de supprimer (sous tes conseils bien sûr).

      Merci pour ton aide persévérante

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 09:04:27, on 08/04/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      E:\ad-aware\aawservice.exe
      E:\Eradication_trojan\avast antivir\avast antivir program\aswUpdSv.exe
      E:\Eradication_trojan\avast antivir\avast antivir program\ashServ.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\System32\gearsec.exe
      C:\WINDOWS\System32\nvsvc32.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
      C:\windows\system\hpsysdrv.exe
      C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
      C:\WINDOWS\System32\hphmon05.exe
      C:\HP\KBD\KBD.EXE
      C:\Program Files\iTunes\iTunesHelper.exe
      C:\WINDOWS\ALCXMNTR.EXE
      C:\WINDOWS\system32\rundll32.exe
      C:\Program Files\iPod\bin\iPodService.exe
      C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE
      C:\Program Files\QuickTime\qttask.exe
      C:\WINDOWS\system32\RUNDLL32.EXE
      E:\ERADIC~1\AVASTA~1\AVASTA~1\ashDisp.exe
      C:\Program Files\Messenger\MSMSGS.EXE
      E:\spybot anti spy\Spybot - Search & Destroy\TeaTimer.exe
      D:\DAEMONTOOLS\DAEMON Tools Lite\daemon.exe
      C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
      C:\Program Files\Microsoft Office\Office\OSA.EXE
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\Documents and Settings\Propriétaire\Bureau\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q304&bd=pavilion&pf=desktop
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.gmx.fr/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q304&bd=pavilion&pf=desktop
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=374
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
      O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\program files\hp\digital imaging\bin\hpdtlk02.dll
      O3 - Toolbar: (no name) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - (no file)
      O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
      O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
      O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
      O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
      O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
      O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
      O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
      O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
      O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
      O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
      O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
      O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
      O4 - HKLM\..\Run: [UpdateManager] "c:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
      O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P26 "EPSON Stylus CX6600 Series" /O6 "USB001" /M "Stylus CX6600"
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [braviax] C:\WINDOWS\system32\braviax.exe
      O4 - HKLM\..\Run: [avast!] E:\ERADIC~1\AVASTA~1\AVASTA~1\ashDisp.exe
      O4 - HKCU\..\Run: [BackupNotify] c:\Program Files\HP\Digital Imaging\bin\backupnotify.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
      O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\spybot anti spy\Spybot - Search & Destroy\TeaTimer.exe
      O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\DAEMONTOOLS\DAEMON Tools Lite\daemon.exe" -autorun
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
      O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
      O4 - Startup: Ubisoft register.lnk = C:\Program Files\Ubisoft\Register\schedule.exe
      O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
      O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\SPYBOT~1\SPYBOT~1\SDHelper.dll
      O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\SPYBOT~1\SPYBOT~1\SDHelper.dll
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
      O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - E:\ad-aware\aawservice.exe
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - E:\Eradication_trojan\avast antivir\avast antivir program\aswUpdSv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - E:\Eradication_trojan\avast antivir\avast antivir program\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - E:\Eradication_trojan\avast antivir\avast antivir program\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - E:\Eradication_trojan\avast antivir\avast antivir program\ashWebSv.exe
      O23 - Service: Service de sécurité matérielle (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
      O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
      0
  7. Utilisateur anonyme
     
    Re ,

    - Désactiver le TeaTimer de Spybot S&D :
    Lance Spybot S&D:
    => Dans le menu, clic sur "Mode" > Choisis le Mode avançé
    => Dans la colonne de gauche clic sur la rubrique [Outils] > Résident
    => Décoche la case devant Résident "TeaTimer"
    => Décoche la case devant Résident "SDHelper"
    Avant de se désactiver, une fenêtre du TeaTimer va apparaitre et te demander d'accepter ou de refuser les modifications dans le registre, il faut donc accepter les modifications.
    => Referme Spybot

    ***********************************************************

    /!\ Manip crée spécialement pour cet utilisateur , ne pas reproduire chez soi ... /!\

    1)Télécharge OTMoveIt2 ( de Old Timer )

    2)Une fois téléchargé double-clique sur OTMoveIt2.exe pour le lancer.

    Assure toi que la case Unregister Dll's and Ocx's soit bien cochée

    3)puis copie les lignes en gras qui se trouvent en dessous :

    C:\WINDOWS\ALCXMNTR.EXE

    et colle-les dans le cadre de gauche de OTMoveIt : "Paste Standard List Of Files/Folders to Move."
    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaitra dans le cadre Results.
    clique sur Exit pour fermer.
    4) Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    5) Il te sera peut-être demander de redémarrer le pc pour achever la suppression -> Accepte ( si il ne fait pas automatiquement , fait-le toi même )

    /!\ Note : Au démarrage ton bureau RISQUE de ne plus apparaître , dans ce cas fait --> CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
    Puis rends toi à l'onglet "Processus". Clique en haut à gauche sur Fichiers et choisis "Exécuter"

    Tape explorer.exe et valide. Cela fera re-apparaître le Bureau.

    *******************************************************************

    /!\ Manip crée spécialement pour cet utilisateur , ne pas reproduire chez soi ... /!\

    Crée un nouveau document texte : clic droit de souris sur le bureau, "Nouveau"> "Document Texte". Ouvre-le et copie-colle dedans de ce qui est en citation en gras ci-dessous, (copie tout d'un trait) : ( y compris Regedit4, et la ligne vide en dessous )

    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "AlcxMonitor"=-
    "braviax"=-


    Puis "fichier" -> "enregistrer sous" :
    dans : sur le bureau
    Nom du fichier : fix.reg
    Type de fichier : "tous les fichiers"
    clique sur "enregistrer"

    Cela doit ressembler à ça

    Redémarre en MSE

    Autre tutorials pour MSE :

    https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php
    http://www.coupdepoucepc.com/modules/news/article.php?storyid=253

    Double clique sur fix.reg

    → tu dois OBLIGATOIREMENT* avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
    Si c'est bien le cas, clique sur "oui"

    *Prevenir si le message n'apparait pas.

    *************************

    Poste le rapport d'OtmoveIt + un nouveau Hijackthis.
    0
  8. alkibiade
     
    Bonjour Cyril,

    Décidemment les choses sont bizarres.

    J'ai cette fois-ci suivi scrupuleusement ce que tu m'as indiqué (sans erreur de manip'),
    J'ai installé et lancé OTMoveIt avec la ligne de commande à effacer comme tu me l'as indiqué, je te joins le rapport qui me semble contradictoire (fichier déplacé mais non trouvé !?)

    C:\WINDOWS\ALCXMNTR.EXE moved successfully.
    File/Folder not found.

    OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 04092008_083241

    j'ai bien redémarré (alors qu'il ne me le demandait pas), au redémarrage le bureau est apparu normalement sans intervention de ma part.

    j'ai bien créé le fichier txt avec les lignes copiées (yc la ligne vide) et je l'ai bien enregistré en fix.reg le résultat (apparence de l'icône) est conforme à ce que tu m'as envoyé.
    J'ai bien redémarré en mode sans échec mais là impossible de trouver ce fichier reg. Il n'apparaît pas sur mon bureau, mon ordi ne le trouve pas si je fais une recherche sur le nom. J'ai tenté plusieurs fois la même manip' en essayant même de transformer le fichier txt en fichier reg après l'ouverture en mode sans échec mais ce fichier n'est toujours pas visible sur mon bureau alors que d'autres fichiers (.log notamment) et applications (icônes de jeu) sont visibles !
    bizarre non ?

    Donc en définitive je n'ai pas pu lancer fix.reg

    J'espère que tu ne commences pas à te lasser de mon feuilleton à rallonge...

    Merci et à bientôt

    Thierry
    0
  9. Utilisateur anonyme
     
    Re ,

    Le rapport Otmoveit est OK =)

    Pour le fix.reg pas grave on va faire autrement.

    Dans OtmoveIt copie/colle ces lignes :


    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\AlcxMonitor
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\braviax


    > MoveIt !
    Poste le rapport.

    ++
    0
  10. alkibiade
     
    re-bonjour

    super rapide ta réponse !

    juste une précision, je désactive tout comme avant ? (firewall, antivir, teatimer de spybot) je décoche la restauration système ?

    l'opération otmoveIt se fait en mode normal ou sans échec ?

    je fais ensuite un hijackthis en mode normal et je tenvoie le rapport ?
    0
  11. Utilisateur anonyme
     
    Re ,

    Pas besoin de tout désactiver.

    En mode normal.

    J'attends le rapport OtmoveIt avant de te demander celui d'Hijackthis.

    ++
    0
  12. alkibiade
     
    Bonjour,

    Voici le rapport OtmoveIt de ce matin :

    Rapport OTMoveIt2 10 avril 2008

    File/Folder not found.
    < HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\AlcxMonitor >
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\AlcxMonitor not found.
    < HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\braviax >
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\braviax not found.
    File/Folder not found.

    OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 04102008_082300

    Cette fois-ci on dirait qu'il ne les trouve pas...

    A+
    0
  13. Utilisateur anonyme
     
    Re !

    Reposte un Hijackthis stp , on va voir.

    A+
    0
  14. alkibiade
     
    voici le log hijackthis

    je crois qu'ils sont toujours là !

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:52:11, on 10/04/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    E:\ad-aware\aawservice.exe
    E:\Eradication_trojan\avast antivir\avast antivir program\aswUpdSv.exe
    E:\Eradication_trojan\avast antivir\avast antivir program\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\gearsec.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    E:\Eradication_trojan\avast antivir\avast antivir program\ashMaiSv.exe
    E:\Eradication_trojan\avast antivir\avast antivir program\ashWebSv.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
    C:\windows\system\hpsysdrv.exe
    C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
    C:\WINDOWS\System32\hphmon05.exe
    C:\HP\KBD\KBD.EXE
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\WINDOWS\ALCXMNTR.EXE
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    E:\ERADIC~1\AVASTA~1\AVASTA~1\ashDisp.exe
    C:\Program Files\Messenger\MSMSGS.EXE
    D:\DAEMONTOOLS\DAEMON Tools Lite\daemon.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Program Files\Microsoft Office\Office\OSA.EXE
    C:\Documents and Settings\Propriétaire\Bureau\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q304&bd=pavilion&pf=desktop
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.gmx.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q304&bd=pavilion&pf=desktop
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=374
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
    O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\program files\hp\digital imaging\bin\hpdtlk02.dll
    O3 - Toolbar: (no name) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - (no file)
    O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
    O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
    O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
    O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
    O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
    O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
    O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
    O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
    O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
    O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
    O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
    O4 - HKLM\..\Run: [UpdateManager] "c:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
    O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P26 "EPSON Stylus CX6600 Series" /O6 "USB001" /M "Stylus CX6600"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [braviax] C:\WINDOWS\system32\braviax.exe
    O4 - HKLM\..\Run: [avast!] E:\ERADIC~1\AVASTA~1\AVASTA~1\ashDisp.exe
    O4 - HKCU\..\Run: [BackupNotify] c:\Program Files\HP\Digital Imaging\bin\backupnotify.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
    O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\DAEMONTOOLS\DAEMON Tools Lite\daemon.exe" -autorun
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
    O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
    O4 - Startup: Ubisoft register.lnk = C:\Program Files\Ubisoft\Register\schedule.exe
    O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\SPYBOT~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\SPYBOT~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - E:\ad-aware\aawservice.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - E:\Eradication_trojan\avast antivir\avast antivir program\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - E:\Eradication_trojan\avast antivir\avast antivir program\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - E:\Eradication_trojan\avast antivir\avast antivir program\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - E:\Eradication_trojan\avast antivir\avast antivir program\ashWebSv.exe
    O23 - Service: Service de sécurité matérielle (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
    O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    0
  15. alkibiade
     
    Bonjour Cyril,

    je comprend ton agacement, même moi ça commence à me prendre la tête.

    En tous cas merci pour ton aide malgré cela et ta persévérance.

    Donc si je comprends la manip' (je finis par comprendre quels sont les fichiers qui clochent) tu veux virer ou déplacer alcx monitor.exe et braviax.exe qui seraient donc des éléments de trojan, c'est ça ?

    Je vais refaire la manip fix.reg en mode normal (j'ai rien à perdre), je désactive la restauration système pour éviter que le trojan se régénère ?.

    Je me demandais si en demandant à Hijackthis de supprimer les fichiers incriminés (à partir de son rapport il y a des cases à cocher pour qu'il les vire) ça ne le ferait pas aussi ? dans ce cas j'attendrai bien sûr que tu me dises exactement quels sont les fichiers à cocher.

    Merci encore, je te poste ça ce soir

    te bile pas non plus ça peut attendre lundi ^_^ !

    Bon WE
    0
  16. Utilisateur anonyme
     
    Re ,

    Je voudrais supprimer en fait les valeurs de clés de registre infectés.

    Les fixer dans Hijackthis ne résoudrait pas le problème , il empêcherais juste leurs démarrage ...

    Mais ce n'est pas fiable , car elles sont toujours présentes dans le pc.

    donc voila ;)

    non non , on va faire ça aujourd'hui.

    Fait le fix.reg en mode normal stp ^^

    ++
    0
  17. alkibiade
     
    Bonjour,

    Ok je le fais aujourd'hui mais pas avant ce soir, mon ordi est chez moi et là je suis au boulot.

    Bonne journée
    0
  18. Utilisateur anonyme
     
    Y a pas de soucis ;)

    à ce soir
    ++
    0
  • 1
  • 2