Virus récalcitrant

Question

Bonjour,
J'ai un virus qui se loge dans C:\System Volume Information\_restore{B357F4E8-3FF5-4CFB-AACB-A130A485D607}\RP673\A0344707.dll et pareil en remplacant le dernier chiffre par 8. Ces fichiers sont respectivement infectés par Win32:Agent-WJT [Trj] et Win32:Mutant-G [Trj]. Mon antivirus avast me demande que faire (j'ai fait un scan au démarrage), et je lui dis tantôt de mettre en quarantaine, tantôt de supprimer mais chaque fois ils reviennent. Que faire? Merci d'avance!

ludsfa · Answer

salut,


Télécharge puis installe Hijackthis (Trend Micro)
Poste ensuite un rapport dans ta prochaine réponse.
AIDE : Comment utiliser Hijackthis v2.0.2 :

http://www.infos-du-net.com/forum/271838-11-tuto-utiliser-hijackthis

cutter4 · Answer

Voilà:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:29:21, on 02/05/2008
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lesoir.be/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: ZZZsvc_lich - Unknown owner - C:\lich.exe (file missing)

ludsfa · Answer

ok


télécharge SDFix sur ton bureau:
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Double-cliquez sur SDFix.exe pour lancer l'installation.

Cliquez sur Install : cela va créer un dossier (à la racine du disque dur par défaut) nommé SDFix.

Il est indispensable d'effectuer le nettoyage avec SDFix en mode sans échec.

comment redémarrer en mode sans echec:http://forum.telecharger.01net.com/forum/

Une fois en mode sans échec, double-cliquez sur RunThis.bat

Tapez Y puis appuyez sur la touche Entrée de votre clavier, afin de lancer le nettoyage !

Une fois en mode sans échec, double-cliquez sur RunThis.bat

SDFix va procéder au nettoyage, soyez patient...

Cette fenêtre vous indique que SDFix doit redémarrer l'ordinateur afin de terminer le nettoyage.

Appuyez sur une touche de votre clavier pour redémarrer le PC.

Au redémarrage de votre PC, SDFix vous indique que le nettoyage est terminé

Appuyez sur une touche de votre clavier afin d'ouvrir le rapport créé par SDFix.

envoyez le rapport.

cutter4 · Answer

L'ordinateur s'est bloqué quand j'ai appuyé sur une touche pour redémarrer. L'écran est noir mais est entouré de "Mode sans échec". Autre chose, quand j'ai démarré en mode sans échec j'ai du choisir entre "fred" (le nom de mon frère) et "administateur". J'ai choisi "administateur", mais d'habitude on ne me pose pas la question. Je fais quoi maintenant? Je redémarre manuellement et je réessaye?

ludsfa · Answer

il faut que tu choisisse ta session de d'habitude.

oui essaye encore une fois.
Prends bien ton temps

Si vraiment ça marche pas on fera autrement.

cutter4 · Answer

Ca a marché avec ma session habituelle. Voici le rapport:


[b]SDFix: Version 1.177 /b
Run by fred on 02/05/2008 at 16:26

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services /b:

[b]Name /b: 
ZZZdrv_lich
ZZZsvc_lich
PVB83
ZZZdrv_lich
ZZZsvc_lich

[b]Path /b:
\??\C:\lich.sys 
C:\lich.exe 

ZZZdrv_lich - Deleted
ZZZsvc_lich - Deleted
PVB83 - Deleted
ZZZdrv_lich - Deleted
ZZZsvc_lich - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


[b]Checking Files /b: 

Trojan Files Found:

C:\WINDOWS\SYSTEM32\CBOCR.DLL - Deleted
C:\WINDOWS\system32\lich.dat  - Deleted
C:\WINDOWS\system32\WLCtrl32.dll  - Deleted
C:\SDFIX\BACKUP~2\CBOCR.DLL - Deleted
C:\WINDOWS\system32\drivers\PVB83.sys - Deleted





Removing Temp Files

[b]ADS Check /b:
 


                                 [b]Final Check /b:

catchme 0.3.1353.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-02 16:35:40
Windows 5.1.2600  NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...


scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 4


[b]Remaining Services /b:




Authorized Application Key Export:

[b]Remaining Files /b:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes /b:

Mon 10 Mar 2008        40,448 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL0001.tmp"
Tue 11 Mar 2008     4,137,984 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL0042.tmp"
Tue 11 Mar 2008        75,264 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL0142.tmp"
Tue 11 Mar 2008     4,013,568 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL0161.tmp"
Tue 11 Mar 2008     3,971,584 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL0559.tmp"
Tue 11 Mar 2008        82,432 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL0568.tmp"
Tue 11 Mar 2008        45,056 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL0688.tmp"
Tue 11 Mar 2008     4,170,752 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL0736.tmp"
Tue 11 Mar 2008       370,176 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL1004.tmp"
Tue 11 Mar 2008        74,240 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL1013.tmp"
Tue 11 Mar 2008     3,982,848 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL1028.tmp"
Tue 11 Mar 2008     4,120,576 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL1033.tmp"
Tue 11 Mar 2008       966,144 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL1110.tmp"
Tue 11 Mar 2008     4,029,952 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL1152.tmp"
Tue 11 Mar 2008     4,143,616 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL1208.tmp"
Tue 11 Mar 2008       965,632 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL1283.tmp"
Tue 11 Mar 2008     4,143,616 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL1523.tmp"
Tue 11 Mar 2008     4,089,856 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL1557.tmp"
Tue 11 Mar 2008       966,656 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL1592.tmp"
Tue 11 Mar 2008       367,104 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL1593.tmp"
Tue 11 Mar 2008     3,954,688 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL1618.tmp"
Tue 11 Mar 2008       520,192 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL1737.tmp"
Tue 11 Mar 2008     4,044,288 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL1771.tmp"
Tue 11 Mar 2008     4,028,928 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL1832.tmp"
Tue 11 Mar 2008     4,048,896 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL1836.tmp"
Tue 11 Mar 2008       520,192 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL1898.tmp"
Tue 11 Mar 2008     3,982,848 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL1920.tmp"
Tue 11 Mar 2008     4,028,928 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL1971.tmp"
Tue 11 Mar 2008     4,011,008 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL2054.tmp"
Tue 11 Mar 2008     4,006,912 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL2372.tmp"
Tue 11 Mar 2008     4,091,904 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL2722.tmp"
Tue 11 Mar 2008       530,432 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL2976.tmp"
Tue 11 Mar 2008     3,676,160 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL3000.tmp"
Tue 11 Mar 2008     3,973,632 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL3006.tmp"
Tue 11 Mar 2008     4,093,952 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL3188.tmp"
Tue 11 Mar 2008     3,665,920 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL3350.tmp"
Tue 11 Mar 2008     3,984,896 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL3459.tmp"
Tue 11 Mar 2008     4,139,008 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL3516.tmp"
Tue 11 Mar 2008     3,668,480 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL3709.tmp"
Tue 11 Mar 2008     4,136,448 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL3809.tmp"
Tue 11 Mar 2008       533,504 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL3829.tmp"
Tue 11 Mar 2008       369,664 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL3846.tmp"
Tue 11 Mar 2008     3,982,848 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL3975.tmp"
Sat 13 Nov 2004        37,376 A..H. --- "C:\Program Files\Fichiers communs\Adobe\ESD\DLMCleanup.exe"
Sat 26 Jan 2008       241,664 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\Offres emploi\RH\Franklin Templeton\~WRL0005.tmp"
Sat 26 Jan 2008       242,688 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\Offres emploi\RH\Franklin Templeton\~WRL1955.tmp"
Sat 26 Jan 2008       242,176 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\Offres emploi\RH\Franklin Templeton\~WRL3569.tmp"
Fri  3 Nov 2006        37,376 A..H. --- "C:\Documents and Settings\fred\Bureau\Site hugues simon\siteCompil\vanreepinghen\vanreepinghen\~WRL0125.tmp"
Fri  3 Nov 2006        37,376 A..H. --- "C:\Documents and Settings\fred\Bureau\Site hugues simon\siteCompil\vanreepinghen\vanreepinghen\~WRL0950.tmp"
Fri  3 Nov 2006        30,720 A..H. --- "C:\Documents and Settings\fred\Bureau\Site hugues simon\siteCompil\vanreepinghen\vanreepinghen\~WRL1056.tmp"
Fri  3 Nov 2006        31,744 A..H. --- "C:\Documents and Settings\fred\Bureau\Site hugues simon\siteCompil\vanreepinghen\vanreepinghen\~WRL1827.tmp"
Fri  3 Nov 2006        34,816 A..H. --- "C:\Documents and Settings\fred\Bureau\Site hugues simon\siteCompil\vanreepinghen\vanreepinghen\~WRL2318.tmp"
Fri  3 Nov 2006        37,376 A..H. --- "C:\Documents and Settings\fred\Bureau\Site hugues simon\siteCompil\vanreepinghen\vanreepinghen\~WRL4043.tmp"

[b]Finished!/b

ludsfa · Answer

Très bien on à fait du ménage,

refais moi un hijackthis maintenant.

cutter4 · Answer

Voilà, chef:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:53:43, on 02/05/2008
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lesoir.be/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe

cutter4 · Answer

C'est mieux?

ludsfa · Answer

bien on vérifie quelque chose.

Télécharge VundoFix :
http://www.atribune.org/ccount/click.php?id=4

Double-clique VundoFix.exe pour le lancer
lorsque il se lance à nouveau , clique sur [Scan for Vundo]
à la fin du scan , clique sur [Remove Vundo]
il te demandera si tu veux supprimer les fichiers , clique sur [YES]
ton Bureau va disparaitre lors de la suppression des fichiers
ensuite , il va t'annoncer que ton PC va s'éteindre , clique [OK]
Redémarre ton PC
 
Copie/colle le rapport ( C:\vundofix.txt )
et un nouveau rapport HijackThis
 
Il est possible que VundoFix ne puisse pas supprimer un fichier ,
dans ce cas, il se relancera au prochain redémarrage ,  
il suffit de recommencer à partir de clique sur [Scan for Vundo]

cutter4 · Answer

Il n'a pas trouvé de fichiers infectés. Quand j'ai cliqué sur [Fix Vundo] (je suppose que c'est ça que tu voulais dire par [Remove Vundo]), il m'a dit qu'il n'y avait aucun fichier à supprimer, ce qui est normal puisqu'il n'en a pas trouvé. Je refais un rapport Hijackthis? Normalement rien n'a changé puisque Vundo n'a rien trouvé...

ludsfa · Answer

bien on continue,


Télécharge Combofix (par sUBs) sur ton Bureau: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Double clique combofix.exe.
Tape sur la touche 1 (Yes) pour démarrer le scan.  
Lorsque le scan sera complété, un rapport apparaîtra. Poste ce rapport dans ta prochaine réponse.  
 
Le rapport se trouve ici : C:\Combofix.txt 


à partir de maintenant tu renome hijackthis et tu le nome:

SCANNER.EXE

après combofix tu me refais un scanner.exe (hijackthis)

cutter4 · Answer

Voici le rapport Combofix: ComboFix 08-05-01.2 - fred 2008-05-02 18:09:23.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.299 [GMT 2:00] Endroit: C:\Documents and Settings\fred\Bureau\ComboFix.exe * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\WinNt32.dll C:\WINDOWS\system32\WinData.cab . . . . Echec de suppression . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_CCEVTSVC ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-02 to 2008-05-02 )))))))))))))))))))))))))))))))))))) . 2008-05-02 17:44 . 2008-05-02 17:44 d-------- C:\VundoFix Backups 2008-05-02 16:02 . 2008-05-02 16:02 d-------- C:\WINDOWS\ERUNT 2008-05-02 16:01 . 2005-11-15 00:16 d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau 2008-05-02 16:01 . 2005-11-15 00:16 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression 2008-05-02 16:01 . 2005-11-15 00:21 d--h----- C:\Documents and Settings\Administrateur\ModŠles 2008-05-02 16:01 . 2005-11-15 00:16 d-------- C:\Documents and Settings\Administrateur\Mes documents 2008-05-02 16:01 . 2005-11-15 00:16 dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer 2008-05-02 16:01 . 2005-11-15 00:16 d-------- C:\Documents and Settings\Administrateur\Favoris 2008-05-02 16:01 . 2008-05-02 16:04 d-------- C:\Documents and Settings\Administrateur\Bureau 2008-05-02 16:01 . 2008-05-02 16:01 d-------- C:\Documents and Settings\Administrateur 2008-05-02 16:01 . 2008-05-02 18:09 1,024 --ah----- C:\Documents and Settings\Administrateur tuser.dat.LOG 2008-05-02 15:58 . 2008-05-02 16:38 d-------- C:\SDFix 2008-05-02 15:28 . 2008-05-02 15:28 d-------- C:\Program Files\Trend Micro 2008-05-01 16:48 . 2008-05-01 16:48 d-------- C:\_OTMoveIt 2008-05-01 16:10 . 2008-05-01 21:27 d-------- C:\WINDOWS\BDOSCAN8 2008-05-01 16:09 . 2008-05-01 18:25 14,976 --a------ C:\WINDOWS\system32\drivers\Xdi40.sys 2008-05-01 16:09 . 2008-05-01 18:25 10,240 --a------ C:\WINDOWS\system32\WinData.cab . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-03-05 21:15 --------- d-----w C:\Program Files\Guitar Pro 5 2006-08-18 09:42 165,600 ----a-w C:\Documents and Settings\fred\DynGateQS.exe . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ToUcamVProperty"="C:\PROGRA~1\PHILIP~1\VProperty.exe" [ ] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 15:00 79224] "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-11-04 19:03 7307264] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Pvb83.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Xdi40.sys] @="Driver" [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Photo Express Calendar Checker SE.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Photo Express Calendar Checker SE.lnk backup=C:\WINDOWS\pss\Photo Express Calendar Checker SE.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Reality Fusion GameCam SE.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Reality Fusion GameCam SE.lnk backup=C:\WINDOWS\pss\Reality Fusion GameCam SE.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader] C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] --a------ 2006-09-12 01:58 229952 C:\Program Files\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --a------ 2001-08-02 08:14 1077277 C:\Program Files\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg Force Tray Options] -ra------ 2002-11-13 09:34 73728 C:\WINDOWS\system32\sstray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] --a------ 2005-11-04 19:03 7307264 C:\WINDOWS\System32\NvCpl.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] --a------ 2005-11-04 19:03 86016 C:\WINDOWS\System32\NvMcTray.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg wiz] --a------ 2005-11-04 19:03 1519616 C:\WINDOWS\system32 wiz.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PE2CKFNT SE] --a------ 1998-07-03 12:51 25088 C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2006-09-01 15:57 282624 C:\Program Files\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray] --a------ 2006-03-31 23:35 20480 C:\Program Files\Real\RealPlayer\RealPlay.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2007-09-25 01:11 132496 C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TCASUTIEXE] --a------ 2002-07-03 01:46 1323008 C:\WINDOWS\system32\TCAUDIAG.EXE [HKEY_LOCAL_MACHINE\software\microsoft\security center] "FirewallOverride"=dword:00000001 "AntiVirusOverride"=dword:00000001 R0 Xdi40;Xdi40;C:\WINDOWS\System32\Drivers\Xdi40.sys [2008-05-01 18:25] R2 tcaicchg;tcaicchg;C:\WINDOWS\System32 caicchg.sys [2000-06-06 05:08] R2 TCAITDI;TCAITDI Protocol;C:\WINDOWS\System32\DRIVERS\TCAITDI.sys [2001-09-03 22:22] S3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\System32\DRIVERS\camdrv21.sys [] . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2007-09-23 04:43:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-02 18:12:15 Windows 5.1.2600 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 3 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32 vsvc32.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe . ************************************************************************** . Temps d'accomplissement: 2008-05-02 18:17:56 - machine was rebooted [fred] ComboFix-quarantined-files.txt 2008-05-02 16:17:51 Pre-Run: 7,448,231,936 octets libres Post-Run: 7,405,559,808 octets libres 124 Et voici le rapport Hijackthis (enfin SCANNER) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:18:58, on 02/05/2008 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32 vsvc32.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\explorer.exe C:\Program Files\Trend Micro\HijackThis\SCANNER.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lesoir.be/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web elated.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web elated.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32 vsvc32.exe

ludsfa · Answer

repasse combofix encore une fois.
mais cette fois déconnecte toi avant d'internet.

envois ensuite le rapport.

cutter4 · Answer

Voilà c'est fait, mais je n'étais déjà pas connecté avant. J'utilise un pc non infecté pour transmettre les rapports ou télécharger les programmes via ma clé usb (qui a été vérifiée par rav et avast et n'est pas non plus infectée). Voilà le rapport Combofix: ComboFix 08-05-01.2 - fred 2008-05-02 18:38:30.2 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.308 [GMT 2:00] Endroit: C:\Documents and Settings\fred\Bureau\ComboFix.exe [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\WinData.cab . . . . Echec de suppression . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-02 to 2008-05-02 )))))))))))))))))))))))))))))))))))) . 2008-05-02 18:39 . 2008-05-02 18:39 10,240 --a------ C:\WINDOWS\system32\WinNt32.dll 2008-05-02 17:44 . 2008-05-02 17:44 d-------- C:\VundoFix Backups 2008-05-02 16:02 . 2008-05-02 16:02 d-------- C:\WINDOWS\ERUNT 2008-05-02 16:01 . 2005-11-15 00:16 d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau 2008-05-02 16:01 . 2005-11-15 00:16 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression 2008-05-02 16:01 . 2005-11-15 00:21 d--h----- C:\Documents and Settings\Administrateur\ModŠles 2008-05-02 16:01 . 2005-11-15 00:16 d-------- C:\Documents and Settings\Administrateur\Mes documents 2008-05-02 16:01 . 2005-11-15 00:16 dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer 2008-05-02 16:01 . 2005-11-15 00:16 d-------- C:\Documents and Settings\Administrateur\Favoris 2008-05-02 16:01 . 2008-05-02 16:04 d-------- C:\Documents and Settings\Administrateur\Bureau 2008-05-02 16:01 . 2008-05-02 16:01 d-------- C:\Documents and Settings\Administrateur 2008-05-02 16:01 . 2008-05-02 18:09 1,024 --ah----- C:\Documents and Settings\Administrateur tuser.dat.LOG 2008-05-02 15:58 . 2008-05-02 16:38 d-------- C:\SDFix 2008-05-02 15:28 . 2008-05-02 15:28 d-------- C:\Program Files\Trend Micro 2008-05-01 16:48 . 2008-05-01 16:48 d-------- C:\_OTMoveIt 2008-05-01 16:10 . 2008-05-01 21:27 d-------- C:\WINDOWS\BDOSCAN8 2008-05-01 16:09 . 2008-05-01 18:25 14,976 --a------ C:\WINDOWS\system32\drivers\Xdi40.sys 2008-05-01 16:09 . 2008-05-01 18:25 10,240 --a------ C:\WINDOWS\system32\WinData.cab . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-03-05 21:15 --------- d-----w C:\Program Files\Guitar Pro 5 2006-08-18 09:42 165,600 ----a-w C:\Documents and Settings\fred\DynGateQS.exe . ((((((((((((((((((((((((((((( snapshot@2008-05-02_18.17.36.76 ))))))))))))))))))))))))))))))))))))))))) . - 2008-05-02 16:11:53 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-05-02 16:39:54 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-05-02 16:40:01 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_554.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ToUcamVProperty"="C:\PROGRA~1\PHILIP~1\VProperty.exe" [ ] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 15:00 79224] "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-11-04 19:03 7307264] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Pvb83.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Xdi40.sys] @="Driver" [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Photo Express Calendar Checker SE.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Photo Express Calendar Checker SE.lnk backup=C:\WINDOWS\pss\Photo Express Calendar Checker SE.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Reality Fusion GameCam SE.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Reality Fusion GameCam SE.lnk backup=C:\WINDOWS\pss\Reality Fusion GameCam SE.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader] C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] --a------ 2006-09-12 01:58 229952 C:\Program Files\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --a------ 2001-08-02 08:14 1077277 C:\Program Files\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg Force Tray Options] -ra------ 2002-11-13 09:34 73728 C:\WINDOWS\system32\sstray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] --a------ 2005-11-04 19:03 7307264 C:\WINDOWS\System32\NvCpl.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] --a------ 2005-11-04 19:03 86016 C:\WINDOWS\System32\NvMcTray.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg wiz] --a------ 2005-11-04 19:03 1519616 C:\WINDOWS\system32 wiz.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PE2CKFNT SE] --a------ 1998-07-03 12:51 25088 C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2006-09-01 15:57 282624 C:\Program Files\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray] --a------ 2006-03-31 23:35 20480 C:\Program Files\Real\RealPlayer\RealPlay.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2007-09-25 01:11 132496 C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TCASUTIEXE] --a------ 2002-07-03 01:46 1323008 C:\WINDOWS\system32\TCAUDIAG.EXE [HKEY_LOCAL_MACHINE\software\microsoft\security center] "FirewallOverride"=dword:00000001 "AntiVirusOverride"=dword:00000001 R0 Xdi40;Xdi40;C:\WINDOWS\System32\Drivers\Xdi40.sys [2008-05-01 18:25] R2 tcaicchg;tcaicchg;C:\WINDOWS\System32 caicchg.sys [2000-06-06 05:08] R2 TCAITDI;TCAITDI Protocol;C:\WINDOWS\System32\DRIVERS\TCAITDI.sys [2001-09-03 22:22] S3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\System32\DRIVERS\camdrv21.sys [] . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2007-09-23 04:43:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-02 18:40:14 Windows 5.1.2600 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 3 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32 vsvc32.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe . ************************************************************************** . Temps d'accomplissement: 2008-05-02 18:45:53 - machine was rebooted ComboFix-quarantined-files.txt 2008-05-02 16:45:47 ComboFix2.txt 2008-05-02 16:17:57 Pre-Run: 7,517,392,896 octets libres Post-Run: 7,508,123,648 octets libres 127

ludsfa · Answer

bien

télécharge OTMoveIt (d'OldTimer). Sauvegarde-le sur ton Bureau:http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
Sélectionne le fichier en gras ci-dessous :

C:\WINDOWS\system32\WinData.cab

---> Clique-droit puis Copier (ou Ctrl+C)
 
Double-clique sur OTMoveIt.exe afin de le lancer.
Fais un Clique-droit sur le cadre de gauche puis choisis Coller (ou Ctrl+V).
Clique maintenant sur MoveIt!
 
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.  
Accepte en cliquant sur YES.
 
Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
 


ensuite désinstalle correctement avast:
https://www.avast.com/fr-fr/uninstall-utility


installe AntiVir à la place.

tuto antivir lis bien les instrctions:
https://www.malekal.com/avira-free-security-antivirus-gratuit/

ta première analyse en mode sans échec et à chaque fois qu'il trouve un virus tu coche la case DELETE ce qui veux dire supprimé en français.
A la fin du scan il va te proposer un rapport envois lae moi.


Pourquoi changer avast contre antivir:
http://forum.malekal.com/ftopic3528.php

cutter4 · Answer

Apparemment, il n'arrive pas à le supprimer. Je continue quand même la procédure? Voici le rapport:

File move failed. C:\WINDOWS\system32\WinData.cab scheduled to be moved on reboot.
 
OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 05022008_193342

Files moved on Reboot...
File move failed. C:\WINDOWS\system32\WinData.cab scheduled to be moved on reboot.

ludsfa · Answer

Oui continue la procédure.

on verra tout à l'heure.

cutter4 · Answer

Voilà, j'ai installé antivir mais quand je tente une mise à jour, il me met "No valid license file available".
Edit: c'est peut-être parce que je n'étais pas connecté à internet pendant l'installation? Je ne me suis connecté que quand il m'a proposé de faire une mise à jour à la fin de l'installation.
Edit 2: je ne sais pas non plus lancer d'analyse, donc je suppose que rien ne peut empcher les virus. Je ferais peut-être mieux de déconnecter le pc?

ludsfa · Answer

non je ne pense pas 

désinstalle le et prends le de ce lien:

https://www.01net.com/outils/telecharger/windows/Securite/antivirus-antitrojan/fiches/tele13198.html


tu as du prendre la version payante.

cutter4 · Answer

Je viens de lancer une analyse mais j'ai oublié de me mettre en mode sans échec. C'est grave, docteur? De plus, le "Antivir Guard" n'est pas activé et quand je clique dessus ca ne s'active quand meme pas.

ludsfa · Answer

Tu as installé par rapport au lien du dessus.

C'est pas très grave pour le mode sans échec.

réactive le après antivir.

tiens moi au courant je m'absente un peu.

cutter4 · Answer

J'ai installé comme il est dit. Mais la mise à jour ne marche toujours pas. Quand je clique sur "start update", il me dit "scheduler not loaded". De même, l'AntiVir Guard est en rouge (le service ne fonctionne pas) et quand je clique sur "start", il cherche un peu mais ne démarre pas et je ne peux plus que cliquer sur "help" (ca ne marche pas non plus). Pour couroner le tout, AntiVir ne se lance pas en bas à droite dans la barre des tâches. Je vais essayer de réinstaller encore une fois mais je n'y crois pas trop.

Edit: je ne sais même pas le désinstaller correctement il n'est pas dans "ajout/suppression de programmes". Je me souviens qu'à la fin de l'installation il a redémarré sans raison apparente. Peut-être qu'il a été mal installé, mais d'un autre coté j'avais aussi un problème de mise à jour lors de la première installation. Par contre je pouvais le désinstaller via "ajout/suppression de programmes". Comment faire maintenant pour le désinstaller comme il faut?

ludsfa · Answer

Bien ce que tu fais tu le réinstalle sans désinstaller l'autre .
Tu vois ce que je veux dire.

installe le de ce lien:

https://www.01net.com/outils/telecharger/windows/Securite/antivirus-antitrojan/fiches/tele13198.html



Normalement il va s'installer tout seul et supprimer l'autre.

tiens moi au courant.

Pour tes mises à jour on va voir ça après règle déjà ce soucis avec antivir.

cutter4 · Answer

J'ai réglé le problème antivirus. apparemment il devait être connecté à internet pendant l'installation. J'ai fait une mise à jour puis j'ai relancé en mode sans échec pour faire une analyse complète. J'ai redémarré en mode "normal" et il a relancé une analyse je sais pas pourquoi. Voici le résultat de la première analyse en mode sans échec: Avira AntiVir Personal Report file date: samedi 3 mai 2008 14:44 Scanning for 1248213 virus strains and unwanted programs. Licensed to: Avira AntiVir PersonalEdition Classic Serial number: 0000149996-ADJIE-0001 Platform: Windows XP Windows version: (plain) [5.1.2600] Boot mode: Save mode Username: fred Computer name: FRED-5XJ29KC6EL Version information: BUILD.DAT : 8.1.00.295 16479 Bytes 09/04/2008 16:24:00 AVSCAN.EXE : 8.1.2.12 311553 Bytes 18/03/2008 09:02:56 AVSCAN.DLL : 8.1.1.0 53505 Bytes 07/02/2008 08:43:37 LUKE.DLL : 8.1.2.9 151809 Bytes 28/02/2008 08:41:23 LUKERES.DLL : 8.1.2.1 12033 Bytes 21/02/2008 08:28:40 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 10:33:34 ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07/03/2008 13:08:58 ANTIVIR2.VDF : 7.0.3.197 1260032 Bytes 22/04/2008 12:26:29 ANTIVIR3.VDF : 7.0.3.243 276992 Bytes 02/05/2008 12:26:30 Engineversion : 8.1.0.37 AEVDF.DLL : 8.1.0.5 102772 Bytes 25/02/2008 09:58:21 AESCRIPT.DLL : 8.1.0.28 233851 Bytes 03/05/2008 12:26:38 AESCN.DLL : 8.1.0.15 119157 Bytes 03/05/2008 12:26:37 AERDL.DLL : 8.1.0.20 418165 Bytes 03/05/2008 12:26:36 AEPACK.DLL : 8.1.1.4 364918 Bytes 03/05/2008 12:26:35 AEOFFICE.DLL : 8.1.0.18 192890 Bytes 03/05/2008 12:26:34 AEHEUR.DLL : 8.1.0.21 1196407 Bytes 03/05/2008 12:26:33 AEHELP.DLL : 8.1.0.14 115063 Bytes 03/05/2008 12:26:32 AEGEN.DLL : 8.1.0.18 299381 Bytes 03/05/2008 12:26:31 AEEMU.DLL : 8.1.0.5 430450 Bytes 07/04/2008 15:34:43 AECORE.DLL : 8.1.0.27 168310 Bytes 03/05/2008 12:26:31 AVWINLL.DLL : 1.0.0.7 14593 Bytes 23/01/2008 17:07:53 AVPREF.DLL : 8.0.0.1 25857 Bytes 18/02/2008 10:37:50 AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:26:47 AVREG.DLL : 8.0.0.0 30977 Bytes 23/01/2008 17:07:49 AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:23 AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28/02/2008 08:31:31 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02 SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23/01/2008 17:08:39 NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:10 RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10/03/2008 14:37:25 RCTEXT.DLL : 8.0.32.0 86273 Bytes 06/03/2008 12:02:11 Configuration settings for the scan: Jobname..........................: Complete system scan Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp Logging..........................: low Primary action...................: interactive Secondary action.................: ignore Scan master boot sector..........: on Scan boot sector.................: on Boot sectors.....................: C:, D:, E:, Scan memory......................: on Process scan.....................: on Scan registry....................: on Search for rootkits..............: off Scan all files...................: Intelligent file selection Scan archives....................: on Recursion depth..................: 20 Smart extensions.................: on Macro heuristic..................: on File heuristic...................: medium Start of the scan: samedi 3 mai 2008 14:44 The scan of running processes will be started Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'avcenter.exe' - '1' Module(s) have been scanned Scan process 'explorer.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'lsass.exe' - '1' Module(s) have been scanned Scan process 'services.exe' - '1' Module(s) have been scanned Scan process 'winlogon.exe' - '1' Module(s) have been scanned Scan process 'csrss.exe' - '1' Module(s) have been scanned Scan process 'smss.exe' - '1' Module(s) have been scanned 10 processes with 10 modules were scanned Starting master boot sector scan: Master boot sector HD0 [INFO] No virus was found! Master boot sector HD1 [INFO] No virus was found! Start scanning boot sectors: Boot sector 'C:\' [INFO] No virus was found! Boot sector 'D:\' [INFO] No virus was found! Boot sector 'E:\' [INFO] No virus was found! Starting to scan the registry. C:\WINDOWS\system32\WinNt32.dll [DETECTION] Is the Trojan horse TR/Drop.Softomat.AN [NOTE] The file was deleted! The registry was scanned ( '24' files ). Starting the file scan: Begin scan in 'C:\' C:\pagefile.sys [WARNING] The file could not be opened! C:\WINDOWS\system32\drivers\Xdi40.sys [WARNING] The file could not be opened! Begin scan in 'D:\' Begin scan in 'E:\' End of the scan: samedi 3 mai 2008 16:19 Used time: 1:35:11 min The scan has been done completely. 6489 Scanning directories 319161 Files were scanned 1 viruses and/or unwanted programs were found 0 Files were classified as suspicious: 1 files were deleted 0 files were repaired 0 files were moved to quarantine 0 files were renamed 2 Files cannot be scanned 319160 Files not concerned 2591 Archives were scanned 2 Warnings 1 Notes Voilà le résultat de la deuxième analyse en mode "normal" après redémarrage (le pc est connecté à internet, je devrais peut-être le déconnecter): Avira AntiVir Personal Report file date: samedi 3 mai 2008 16:24 Scanning for 1248213 virus strains and unwanted programs. Licensed to: Avira AntiVir PersonalEdition Classic Serial number: 0000149996-ADJIE-0001 Platform: Windows XP Windows version: (plain) [5.1.2600] Boot mode: Normally booted Username: SYSTEM Computer name: FRED-5XJ29KC6EL Version information: BUILD.DAT : 8.1.00.295 16479 Bytes 09/04/2008 16:24:00 AVSCAN.EXE : 8.1.2.12 311553 Bytes 18/03/2008 09:02:56 AVSCAN.DLL : 8.1.1.0 53505 Bytes 07/02/2008 08:43:37 LUKE.DLL : 8.1.2.9 151809 Bytes 28/02/2008 08:41:23 LUKERES.DLL : 8.1.2.1 12033 Bytes 21/02/2008 08:28:40 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 10:33:34 ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07/03/2008 13:08:58 ANTIVIR2.VDF : 7.0.3.197 1260032 Bytes 22/04/2008 12:26:29 ANTIVIR3.VDF : 7.0.3.243 276992 Bytes 02/05/2008 12:26:30 Engineversion : 8.1.0.37 AEVDF.DLL : 8.1.0.5 102772 Bytes 25/02/2008 09:58:21 AESCRIPT.DLL : 8.1.0.28 233851 Bytes 03/05/2008 12:26:38 AESCN.DLL : 8.1.0.15 119157 Bytes 03/05/2008 12:26:37 AERDL.DLL : 8.1.0.20 418165 Bytes 03/05/2008 12:26:36 AEPACK.DLL : 8.1.1.4 364918 Bytes 03/05/2008 12:26:35 AEOFFICE.DLL : 8.1.0.18 192890 Bytes 03/05/2008 12:26:34 AEHEUR.DLL : 8.1.0.21 1196407 Bytes 03/05/2008 12:26:33 AEHELP.DLL : 8.1.0.14 115063 Bytes 03/05/2008 12:26:32 AEGEN.DLL : 8.1.0.18 299381 Bytes 03/05/2008 12:26:31 AEEMU.DLL : 8.1.0.5 430450 Bytes 07/04/2008 15:34:43 AECORE.DLL : 8.1.0.27 168310 Bytes 03/05/2008 12:26:31 AVWINLL.DLL : 1.0.0.7 14593 Bytes 23/01/2008 17:07:53 AVPREF.DLL : 8.0.0.1 25857 Bytes 18/02/2008 10:37:50 AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:26:47 AVREG.DLL : 8.0.0.0 30977 Bytes 23/01/2008 17:07:49 AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:23 AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28/02/2008 08:31:31 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02 SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23/01/2008 17:08:39 NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:10 RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10/03/2008 14:37:25 RCTEXT.DLL : 8.0.32.0 86273 Bytes 06/03/2008 12:02:11 Configuration settings for the scan: Jobname..........................: Complete system scan Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp Logging..........................: low Primary action...................: interactive Secondary action.................: ignore Scan master boot sector..........: on Scan boot sector.................: on Boot sectors.....................: C:, D:, E:, Scan memory......................: on Process scan.....................: on Scan registry....................: on Search for rootkits..............: off Scan all files...................: Intelligent file selection Scan archives....................: on Recursion depth..................: 20 Smart extensions.................: on Macro heuristic..................: on File heuristic...................: medium Start of the scan: samedi 3 mai 2008 16:24 The scan of running processes will be started Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'wuauclt.exe' - '1' Module(s) have been scanned Scan process 'wmiprvse.exe' - '1' Module(s) have been scanned Scan process 'wuauclt.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned Scan process 'avguard.exe' - '1' Module(s) have been scanned Scan process 'avgnt.exe' - '1' Module(s) have been scanned Scan process 'explorer.exe' - '1' Module(s) have been scanned Scan process 'sched.exe' - '1' Module(s) have been scanned Scan process 'spoolsv.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'lsass.exe' - '1' Module(s) have been scanned Scan process 'services.exe' - '1' Module(s) have been scanned Scan process 'winlogon.exe' - '1' Module(s) have been scanned Scan process 'csrss.exe' - '1' Module(s) have been scanned Scan process 'smss.exe' - '1' Module(s) have been scanned 20 processes with 20 modules were scanned Starting master boot sector scan: Master boot sector HD0 [INFO] No virus was found! Start scanning boot sectors: Boot sector 'C:\' [INFO] No virus was found! Boot sector 'D:\' [INFO] No virus was found! Boot sector 'E:\' [INFO] No virus was found! Starting to scan the registry. C:\WINDOWS\system32\WinNt32.dll [DETECTION] Is the Trojan horse TR/Drop.Softomat.AN [NOTE] The file was deleted! The registry was scanned ( '20' files ). Starting the file scan: Begin scan in 'C:\' C:\pagefile.sys [WARNING] The file could not be opened! C:\System Volume Information\_restore{B357F4E8-3FF5-4CFB-AACB-A130A485D607}\RP673\A0344719.dll [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen [NOTE] The file was deleted! C:\System Volume Information\_restore{B357F4E8-3FF5-4CFB-AACB-A130A485D607}\RP673\A0344720.dll [DETECTION] Is the Trojan horse TR/Spy.Gen [NOTE] The file was deleted! C:\System Volume Information\_restore{B357F4E8-3FF5-4CFB-AACB-A130A485D607}\RP673\A0345719.dll [DETECTION] Is the Trojan horse TR/Spy.Gen [NOTE] The file was deleted! C:\System Volume Information\_restore{B357F4E8-3FF5-4CFB-AACB-A130A485D607}\RP673\A0345725.dll [DETECTION] Is the Trojan horse TR/Spy.Gen [NOTE] The file was deleted! C:\System Volume Information\_restore{B357F4E8-3FF5-4CFB-AACB-A130A485D607}\RP673\A0345759.dll [DETECTION] Is the Trojan horse TR/Spy.Gen [NOTE] The file was deleted! C:\System Volume Information\_restore{B357F4E8-3FF5-4CFB-AACB-A130A485D607}\RP674\A0345835.dll [DETECTION] Is the Trojan horse TR/Spy.Gen [NOTE] The file was deleted! C:\System Volume Information\_restore{B357F4E8-3FF5-4CFB-AACB-A130A485D607}\RP674\A0345852.dll [DETECTION] Is the Trojan horse TR/Spy.Gen [NOTE] The file was deleted! C:\System Volume Information\_restore{B357F4E8-3FF5-4CFB-AACB-A130A485D607}\RP674\A0345942.dll [DETECTION] Is the Trojan horse TR/Drop.Softomat.AN [NOTE] The file was deleted! C:\System Volume Information\_restore{B357F4E8-3FF5-4CFB-AACB-A130A485D607}\RP674\A0345949.dll [DETECTION] Is the Trojan horse TR/Drop.Softomat.AN [NOTE] The file was deleted! C:\System Volume Information\_restore{B357F4E8-3FF5-4CFB-AACB-A130A485D607}\RP674\A0346057.dll [DETECTION] Is the Trojan horse TR/Drop.Softomat.AN [NOTE] The file was deleted! C:\System Volume Information\_restore{B357F4E8-3FF5-4CFB-AACB-A130A485D607}\RP675\A0346077.dll [DETECTION] Is the Trojan horse TR/Drop.Softomat.AN [NOTE] The file was deleted! C:\System Volume Information\_restore{B357F4E8-3FF5-4CFB-AACB-A130A485D607}\RP675\A0346080.dll [DETECTION] Is the Trojan horse TR/Drop.Softomat.AN [NOTE] The file was deleted! C:\System Volume Information\_restore{B357F4E8-3FF5-4CFB-AACB-A130A485D607}\RP676\A0346168.dll [DETECTION] Is the Trojan horse TR/Drop.Softomat.AN [NOTE] The file was deleted! C:\System Volume Information\_restore{B357F4E8-3FF5-4CFB-AACB-A130A485D607}\RP677\A0347166.dll [DETECTION] Is the Trojan horse TR/Spy.Gen [NOTE] The file was deleted! C:\System Volume Information\_restore{B357F4E8-3FF5-4CFB-AACB-A130A485D607}\RP677\A0347167.dll [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen [NOTE] The file was deleted! C:\System Volume Information\_restore{B357F4E8-3FF5-4CFB-AACB-A130A485D607}\RP680\A0347267.dll [DETECTION] Is the Trojan horse TR/Drop.Softomat.AN [NOTE] The file was deleted! C:\System Volume Information\_restore{B357F4E8-3FF5-4CFB-AACB-A130A485D607}\RP681\A0348262.dll [DETECTION] Is the Trojan horse TR/Drop.Softomat.AN [NOTE] The file was deleted! C:\System Volume Information\_restore{B357F4E8-3FF5-4CFB-AACB-A130A485D607}\RP682\A0348383.dll [DETECTION] Is the Trojan horse TR/Drop.Softomat.AN [NOTE] The file was deleted! C:\System Volume Information\_restore{B357F4E8-3FF5-4CFB-AACB-A130A485D607}\RP682\A0348408.dll [DETECTION] Is the Trojan horse TR/Drop.Softomat.AN [NOTE] The file was deleted! C:\WINDOWS\system32\drivers\Xdi40.sys [WARNING] The file could not be opened! Begin scan in 'D:\' Begin scan in 'E:\' End of the scan: samedi 3 mai 2008 17:02 Used time: 38:51 min The scan has been done completely. 6632 Scanning directories 323673 Files were scanned 20 viruses and/or unwanted programs were found 0 Files were classified as suspicious: 20 files were deleted 0 files were repaired 0 files were moved to quarantine 0 files were renamed 2 Files cannot be scanned 323653 Files not concerned 2601 Archives were scanned 2 Warnings 20 Notes Et voici le log Hijackthis (enfin SCANNER): Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:16:25, on 03/05/2008 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32 vsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\Trend Micro\HijackThis\SCANNER.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lesoir.be/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web elated.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web elated.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\ O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32 vsvc32.exe

ludsfa · Answer

bien maintenant refais un combofix.

pas besoin de te déco d'internet.

Pour antivir c'est normal t'inquiète pas il t'a fait du ménage.

cutter4 · Answer

Voilà, j'ai refait un combofix puis un hijackthis. Voici les résultats: ComboFix 08-05-01.2 - fred 2008-05-04 14:09:38.3 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.334 [GMT 2:00] Endroit: C:\Documents and Settings\fred\Bureau\ComboFix.exe [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\WinNt32.dll C:\WINDOWS\system32\WinData.cab . . . . Echec de suppression . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-04 to 2008-05-04 )))))))))))))))))))))))))))))))))))) . 2008-05-02 20:20 . 2008-05-02 20:20 d-------- C:\Program Files\Avira 2008-05-02 20:20 . 2008-05-02 20:20 d-------- C:\Documents and Settings\All Users\Application Data\Avira 2008-05-02 19:48 . 2008-05-02 19:48 1,024 --ah----- C:\WINDOWS\system32\config\systemprofile\NtUser.dat.LOG 2008-05-02 17:44 . 2008-05-02 17:44 d-------- C:\VundoFix Backups 2008-05-02 16:02 . 2008-05-02 16:02 d-------- C:\WINDOWS\ERUNT 2008-05-02 16:01 . 2005-11-15 00:16 d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau 2008-05-02 16:01 . 2005-11-15 00:16 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression 2008-05-02 16:01 . 2005-11-15 00:21 d--h----- C:\Documents and Settings\Administrateur\ModŠles 2008-05-02 16:01 . 2005-11-15 00:16 d-------- C:\Documents and Settings\Administrateur\Mes documents 2008-05-02 16:01 . 2005-11-15 00:16 dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer 2008-05-02 16:01 . 2005-11-15 00:16 d-------- C:\Documents and Settings\Administrateur\Favoris 2008-05-02 16:01 . 2008-05-02 20:24 d-------- C:\Documents and Settings\Administrateur\Bureau 2008-05-02 16:01 . 2008-05-02 16:01 d-------- C:\Documents and Settings\Administrateur 2008-05-02 16:01 . 2008-05-02 18:09 1,024 --ah----- C:\Documents and Settings\Administrateur tuser.dat.LOG 2008-05-02 15:58 . 2008-05-02 16:38 d-------- C:\SDFix 2008-05-02 15:28 . 2008-05-02 15:28 d-------- C:\Program Files\Trend Micro 2008-05-01 16:48 . 2008-05-01 16:48 d-------- C:\_OTMoveIt 2008-05-01 16:10 . 2008-05-01 21:27 d-------- C:\WINDOWS\BDOSCAN8 2008-05-01 16:09 . 2008-05-01 18:25 14,976 --a------ C:\WINDOWS\system32\drivers\Xdi40.sys 2008-05-01 16:09 . 2008-05-01 18:25 10,240 --a------ C:\WINDOWS\system32\WinData.cab . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-02 17:48 --------- d-----w C:\Program Files\Alwil Software 2008-03-05 21:15 --------- d-----w C:\Program Files\Guitar Pro 5 2006-08-18 09:42 165,600 ----a-w C:\Documents and Settings\fred\DynGateQS.exe . ((((((((((((((((((((((((((((( snapshot@2008-05-02_18.17.36.76 ))))))))))))))))))))))))))))))))))))))))) . - 2008-05-02 16:11:53 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-05-04 12:12:30 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-05-02 17:48:36 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat + 2008-01-21 16:12:56 41,792 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys + 2008-01-21 16:11:28 22,336 ----a-w C:\WINDOWS\system32\drivers\avgntmgr.sys + 2008-03-04 11:28:53 79,424 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys + 2007-03-01 08:34:22 28,352 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ToUcamVProperty"="C:\PROGRA~1\PHILIP~1\VProperty.exe" [ ] "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-11-04 19:03 7307264] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Pvb83.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Xdi40.sys] @="Driver" [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Photo Express Calendar Checker SE.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Photo Express Calendar Checker SE.lnk backup=C:\WINDOWS\pss\Photo Express Calendar Checker SE.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Reality Fusion GameCam SE.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Reality Fusion GameCam SE.lnk backup=C:\WINDOWS\pss\Reality Fusion GameCam SE.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader] C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] --a------ 2006-09-12 01:58 229952 C:\Program Files\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --a------ 2001-08-02 08:14 1077277 C:\Program Files\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg Force Tray Options] -ra------ 2002-11-13 09:34 73728 C:\WINDOWS\system32\sstray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] --a------ 2005-11-04 19:03 7307264 C:\WINDOWS\System32\NvCpl.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] --a------ 2005-11-04 19:03 86016 C:\WINDOWS\System32\NvMcTray.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg wiz] --a------ 2005-11-04 19:03 1519616 C:\WINDOWS\system32 wiz.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PE2CKFNT SE] --a------ 1998-07-03 12:51 25088 C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2006-09-01 15:57 282624 C:\Program Files\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray] --a------ 2006-03-31 23:35 20480 C:\Program Files\Real\RealPlayer\RealPlay.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2007-09-25 01:11 132496 C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TCASUTIEXE] --a------ 2002-07-03 01:46 1323008 C:\WINDOWS\system32\TCAUDIAG.EXE [HKEY_LOCAL_MACHINE\software\microsoft\security center] "FirewallOverride"=dword:00000001 "AntiVirusOverride"=dword:00000001 R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2008-01-21 18:11] R0 Xdi40;Xdi40;C:\WINDOWS\System32\Drivers\Xdi40.sys [2008-05-01 18:25] R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-01-21 18:12] R2 tcaicchg;tcaicchg;C:\WINDOWS\System32 caicchg.sys [2000-06-06 05:08] R2 TCAITDI;TCAITDI Protocol;C:\WINDOWS\System32\DRIVERS\TCAITDI.sys [2001-09-03 22:22] S3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\System32\DRIVERS\camdrv21.sys [] . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2007-09-23 04:43:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-04 14:12:56 Windows 5.1.2600 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 3 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32 vsvc32.exe . ************************************************************************** . Temps d'accomplissement: 2008-05-04 14:19:17 - machine was rebooted ComboFix-quarantined-files.txt 2008-05-04 12:19:08 ComboFix2.txt 2008-05-02 16:45:54 ComboFix3.txt 2008-05-02 16:17:57 Pre-Run: 6,697,304,064 octets libres Post-Run: 6,759,628,800 octets libres 136 Le log hijackthis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:40:45, on 04/05/2008 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32 vsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\explorer.exe C:\Program Files\Trend Micro\HijackThis\SCANNER.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lesoir.be/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web elated.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web elated.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32 vsvc32.exe

ludsfa · Answer

bien on continue,

Télécharge MalwareByte's Anti-Malware sur ton Bureau:https://www.majorgeeks.com/files/details/malwarebytes_anti_malware.html
Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
 
Une fois l'installation et la mise à jour effectuées, redémarre en mode sans échec.
AIDE : Redémarrer en mode sans échec :http://www.infos-du-net.com/forum/272325-11-tuto-demarrer-mode-echec

    *  Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
    * Afin de lancer la recherche, clic sur"Rechercher".
    * Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi : 

-- si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
-- si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau afin de le poster dans ta prochaine réponse.
REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.
 
AIDE : Tuto en images sur MBAM:http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

cutter4 · Answer

Voilà, c'est fait:


Malwarebytes' Anti-Malware 1.11
Version de la base de données: 715

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|)
Eléments examinés: 91439
Temps écoulé: 1 hour(s), 23 minute(s), 22 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winnt32 (Trojan.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\LastGood\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\WinData.cab (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\WinNt32.dll (Trojan.Agent) -> Quarantined and deleted successfully.


Et le log hijackthis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:08:59, on 04/05/2008
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\SCANNER.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lesoir.be/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe

ludsfa · Answer

bien,

on à réussit à le supprimé ce trojan.


bien,


comment va le pc?

Télécharge sur ton bureau Clean (zip) :http://www.malekal.com/download/clean.zip


= Clic droit sur Clean.zip et Extraire ici ( ou extraire sans confirmation ou tout ou unzip)
=double-clic Dossier Clean
= double-clic Clean. ( avec comme symbole une roue dentée)
= Option 1 = taper 1
= Clean va générer un rapport sur le C: (rapport.txt)
envois moi le rapport.

cutter4 · Answer

Le pc va mieux, mais antivir guard a découvert un virus pendant que Clean commencait à scanner. Il se trouve dans C:\qoobox\Quarantine\C...\WinNt32.dll.vir. J'ai mis "supprimer". Vu que le premier rapport clean n'était pas très long, je me suis dit qu'il avait peut-être stoppé à cause d'antivir donc j'ai relancé Clean et là antivir a découvert un virus dans C:\WINDOWS\System32\WinNT32.dll, preuve que le virus n'est toujours pas éliminé. Les deux rapports Clean ont donné la même chose: 

 05/05/2008 a  8:06:58,31 
 
*** Recherche des fichiers dans C: 
 
*** Recherche des fichiers dans C:\WINDOWS\ 
 
*** Recherche des fichiers dans C:\WINDOWS\system32 
C:\WINDOWS\system32\P0620Pin.dll FOUND 
 
*** Recherche des fichiers dans C:\Program Files

ludsfa · Answer

salut,


on verra après 


redémarre en mode sans échec.
désactive antivir
Lancez Clean en option 2
= Clean va générer un rapport sur le C
poste le rapport ensuite .

cutter4 · Answer

j'ai redémarré en mode sans échec. le parapluie d'antivir n'est pas en bas à droite donc je suppose que l'anitvirus est désactivé mais je ne sais pas comment le vérifier. j'ai lancé clean en option 2, il a supprimé le fichier P0620Pin.dll puis il met "suppression des clefs du registre...." et l'outil "nettoyage de disque" se lance mais reste bloqué à "compression des fichiers non utilisés".

ludsfa · Answer

c'est pas grave envois quand même le rapport.

cutter4 · Answer

Voilà le rapport:

Script execute en mode sans echec 
Rapport clean par Malekal_morte - http://www.malekal.com 
Script execute en mode sans echec 05/05/2008 a 14:21:54,68 

Microsoft Windows XP [version 5.1.2600]
 
*** Suppression des fichiers dans C: 
 
*** Suppression des fichiers dans C:\WINDOWS\ 
 
*** Suppression des fichiers dans C:\WINDOWS\system32 
tentative de suppression de C:\WINDOWS\system32\P0620Pin.dll 
 
*** Suppression des fichiers dans C:\Program Files 
 
*** Suppression des clefs du registre effectuee..

ludsfa · Answer

essai de supprimé ce fichier avec otmoveit:

C:\WINDOWS\system32\P0620Pin.dll

pour ce faire copie/colle le dans le cadre de gauche de otmoveit et tu fais moveit.

tu te souvient.

envois moi le rapport ensuite.



2)

tu te déco d'internet tu affiche les dossiers cachés de ton système:

tu va dans mes images.
tu va dans outil.
tu clic sur option des dossiers.
tu clic sur affichage.
ensuite sur afficher les fichiers et dossiers cachés.
tu fais appliquer et ok.

ensuite tu te met en mode sans échec et tu repasse combofix .

tu m'enverra le rapport après.

cutter4 · Answer

Il ne l'a pas trouvé. Voici le rapport: File/Folder C:\WINDOWS\system32\P0620Pin.dll not found. OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 05052008_151849 Sinon c'est normal qu'il y ait un fichier cleanup.txt sur le disque C et qu'il fasse plus de 200 Mo? Voilà le log combofix: ComboFix 08-05-01.2 - fred 2008-05-05 15:27:30.4 - NTFSx86 MINIMAL Endroit: C:\Documents and Settings\fred\Bureau\ComboFix.exe [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\WinNt32.dll C:\WINDOWS\system32\WinData.cab . . . . Echec de suppression . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-05 to 2008-05-05 )))))))))))))))))))))))))))))))))))) . 2008-05-05 08:18 . 2008-05-05 08:18 2,348,073 --a------ C:\upload_moi_FRED-5XJ29KC6EL.tar.gz 2008-05-04 17:55 . 2008-05-04 17:55 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-05-04 17:55 . 2008-05-04 17:55 d-------- C:\Documents and Settings\fred\Application Data\Malwarebytes 2008-05-04 17:55 . 2008-05-04 17:55 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-05-02 20:20 . 2008-05-02 20:20 d-------- C:\Program Files\Avira 2008-05-02 20:20 . 2008-05-02 20:20 d-------- C:\Documents and Settings\All Users\Application Data\Avira 2008-05-02 19:48 . 2008-05-02 19:48 1,024 --ah----- C:\WINDOWS\system32\config\systemprofile\NtUser.dat.LOG 2008-05-02 17:44 . 2008-05-02 17:44 d-------- C:\VundoFix Backups 2008-05-02 16:02 . 2008-05-02 16:02 d-------- C:\WINDOWS\ERUNT 2008-05-02 16:01 . 2005-11-15 00:16 d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau 2008-05-02 16:01 . 2005-11-15 00:16 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression 2008-05-02 16:01 . 2005-11-15 00:21 d--h----- C:\Documents and Settings\Administrateur\ModŠles 2008-05-02 16:01 . 2005-11-15 00:16 d-------- C:\Documents and Settings\Administrateur\Mes documents 2008-05-02 16:01 . 2005-11-15 00:16 dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer 2008-05-02 16:01 . 2005-11-15 00:16 d-------- C:\Documents and Settings\Administrateur\Favoris 2008-05-02 16:01 . 2008-05-02 20:24 d-------- C:\Documents and Settings\Administrateur\Bureau 2008-05-02 16:01 . 2008-05-02 16:01 d-------- C:\Documents and Settings\Administrateur 2008-05-02 16:01 . 2008-05-02 18:09 1,024 --ah----- C:\Documents and Settings\Administrateur tuser.dat.LOG 2008-05-02 15:58 . 2008-05-02 16:38 d-------- C:\SDFix 2008-05-02 15:28 . 2008-05-02 15:28 d-------- C:\Program Files\Trend Micro 2008-05-01 16:48 . 2008-05-01 16:48 d-------- C:\_OTMoveIt 2008-05-01 16:10 . 2008-05-01 21:27 d-------- C:\WINDOWS\BDOSCAN8 2008-05-01 16:09 . 2008-05-01 18:25 14,976 --a------ C:\WINDOWS\system32\drivers\Xdi40.sys 2008-05-01 16:09 . 2008-05-01 18:25 10,240 --a------ C:\WINDOWS\system32\WinData.cab . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-02 17:48 --------- d-----w C:\Program Files\Alwil Software 2008-03-05 21:15 --------- d-----w C:\Program Files\Guitar Pro 5 2006-08-18 09:42 165,600 ----a-w C:\Documents and Settings\fred\DynGateQS.exe . ((((((((((((((((((((((((((((( snapshot@2008-05-02_18.17.36.76 ))))))))))))))))))))))))))))))))))))))))) . - 2008-05-02 16:11:53 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-05-05 13:30:49 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-05-02 17:48:36 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat + 2008-01-21 16:12:56 41,792 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys + 2008-01-21 16:11:28 22,336 ----a-w C:\WINDOWS\system32\drivers\avgntmgr.sys + 2008-03-04 11:28:53 79,424 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys + 2007-03-01 08:34:22 28,352 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ToUcamVProperty"="C:\PROGRA~1\PHILIP~1\VProperty.exe" [ ] "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-11-04 19:03 7307264] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Pvb83.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Xdi40.sys] @="Driver" [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Photo Express Calendar Checker SE.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Photo Express Calendar Checker SE.lnk backup=C:\WINDOWS\pss\Photo Express Calendar Checker SE.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Reality Fusion GameCam SE.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Reality Fusion GameCam SE.lnk backup=C:\WINDOWS\pss\Reality Fusion GameCam SE.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader] C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] --a------ 2006-09-12 01:58 229952 C:\Program Files\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --a------ 2001-08-02 08:14 1077277 C:\Program Files\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg Force Tray Options] -ra------ 2002-11-13 09:34 73728 C:\WINDOWS\system32\sstray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] --a------ 2005-11-04 19:03 7307264 C:\WINDOWS\System32\NvCpl.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] --a------ 2005-11-04 19:03 86016 C:\WINDOWS\System32\NvMcTray.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg wiz] --a------ 2005-11-04 19:03 1519616 C:\WINDOWS\system32 wiz.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PE2CKFNT SE] --a------ 1998-07-03 12:51 25088 C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2006-09-01 15:57 282624 C:\Program Files\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray] --a------ 2006-03-31 23:35 20480 C:\Program Files\Real\RealPlayer\RealPlay.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2007-09-25 01:11 132496 C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TCASUTIEXE] --a------ 2002-07-03 01:46 1323008 C:\WINDOWS\system32\TCAUDIAG.EXE [HKEY_LOCAL_MACHINE\software\microsoft\security center] "FirewallOverride"=dword:00000001 "AntiVirusOverride"=dword:00000001 R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2008-01-21 18:11] R0 Xdi40;Xdi40;C:\WINDOWS\System32\Drivers\Xdi40.sys [2008-05-01 18:25] R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-01-21 18:12] R2 tcaicchg;tcaicchg;C:\WINDOWS\System32 caicchg.sys [2000-06-06 05:08] R2 TCAITDI;TCAITDI Protocol;C:\WINDOWS\System32\DRIVERS\TCAITDI.sys [2001-09-03 22:22] S3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\System32\DRIVERS\camdrv21.sys [] S3 MBAMCatchMe;MBAMCatchMe;C:\Program Files\Malwarebytes' Anti-Malware\catchme.sys [2008-04-07 20:17] . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2007-09-23 04:43:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-05 15:31:05 Windows 5.1.2600 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 3 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32 vsvc32.exe . ************************************************************************** . Temps d'accomplissement: 2008-05-05 15:37:23 - machine was rebooted ComboFix-quarantined-files.txt 2008-05-05 13:37:15 ComboFix2.txt 2008-05-04 12:19:18 ComboFix3.txt 2008-05-02 16:45:54 ComboFix4.txt 2008-05-02 16:17:57 Pre-Run: 6,746,800,128 octets libres Post-Run: 6,749,360,128 octets libres 141

ludsfa · Answer

bien voilà ce qu'on va faire,

télécharge ToolsCleaner sur ton pc .une fois installé tu fais rechercher et ensuite tu fais suppression.

un rapport va être générer envois le moi.


ensuite tu retourne au poste 3 et tu recommence l'opération SDFix.
envois le rapport ensuite.

cutter4 · Answer

Voilà le rapport Toolscleaner:


-->- Recherche: 

C:\SDFIX: trouvé !
C:\Vundofix backups: trouvé !
C:\Qoobox: trouvé !
C:\_OtMoveIt: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\fred\Bureau\SdFix.exe: trouvé !
C:\Documents and Settings\fred\Bureau\Clean.zip: trouvé !
C:\Documents and Settings\fred\Bureau\OtMoveIt2.exe: trouvé !
C:\Documents and Settings\fred\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\fred\Bureau\vundoFix.exe: trouvé !
C:\Documents and Settings\fred\Bureau\HJTInstall.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\fred\Bureau\SdFix.exe: supprimé !
C:\Documents and Settings\fred\Bureau\Clean.zip: supprimé !
C:\Documents and Settings\fred\Bureau\OtMoveIt2.exe: supprimé !
C:\Documents and Settings\fred\Bureau\ComboFix.exe: supprimé !
C:\Documents and Settings\fred\Bureau\vundoFix.exe: supprimé !
C:\Documents and Settings\fred\Bureau\HJTInstall.exe: supprimé !
C:\SDFIX: supprimé !
C:\Vundofix backups: supprimé !
C:\Qoobox: supprimé !
C:\_OtMoveIt: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !



Voilà le rapport SDFix:


[b]SDFix: Version 1.177 /b
Run by fred on 05/05/2008 at 16:26

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services /b:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


[b]Checking Files /b: 

No Trojan Files Found






Removing Temp Files

[b]ADS Check /b:
 


                                 [b]Final Check /b:

catchme 0.3.1353.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-05 16:34:12
Windows 5.1.2600  NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...


scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 4


[b]Remaining Services /b:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[b]Remaining Files /b:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes /b:

Mon 10 Mar 2008        40,448 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL0001.tmp"
Tue 11 Mar 2008     4,137,984 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL0042.tmp"
Tue 11 Mar 2008        75,264 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL0142.tmp"
Tue 11 Mar 2008     4,013,568 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL0161.tmp"
Tue 11 Mar 2008     3,971,584 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL0559.tmp"
Tue 11 Mar 2008        82,432 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL0568.tmp"
Tue 11 Mar 2008        45,056 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL0688.tmp"
Tue 11 Mar 2008     4,170,752 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL0736.tmp"
Tue 11 Mar 2008       370,176 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL1004.tmp"
Tue 11 Mar 2008        74,240 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL1013.tmp"
Tue 11 Mar 2008     3,982,848 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL1028.tmp"
Tue 11 Mar 2008     4,120,576 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL1033.tmp"
Tue 11 Mar 2008       966,144 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL1110.tmp"
Tue 11 Mar 2008     4,029,952 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL1152.tmp"
Tue 11 Mar 2008     4,143,616 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL1208.tmp"
Tue 11 Mar 2008       965,632 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL1283.tmp"
Tue 11 Mar 2008     4,143,616 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL1523.tmp"
Tue 11 Mar 2008     4,089,856 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL1557.tmp"
Tue 11 Mar 2008       966,656 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL1592.tmp"
Tue 11 Mar 2008       367,104 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL1593.tmp"
Tue 11 Mar 2008     3,954,688 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL1618.tmp"
Tue 11 Mar 2008       520,192 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL1737.tmp"
Tue 11 Mar 2008     4,044,288 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL1771.tmp"
Tue 11 Mar 2008     4,028,928 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL1832.tmp"
Tue 11 Mar 2008     4,048,896 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL1836.tmp"
Tue 11 Mar 2008       520,192 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL1898.tmp"
Tue 11 Mar 2008     3,982,848 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL1920.tmp"
Tue 11 Mar 2008     4,028,928 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL1971.tmp"
Tue 11 Mar 2008     4,011,008 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL2054.tmp"
Tue 11 Mar 2008     4,006,912 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL2372.tmp"
Tue 11 Mar 2008     4,091,904 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL2722.tmp"
Tue 11 Mar 2008       530,432 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL2976.tmp"
Tue 11 Mar 2008     3,676,160 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL3000.tmp"
Tue 11 Mar 2008     3,973,632 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL3006.tmp"
Tue 11 Mar 2008     4,093,952 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL3188.tmp"
Tue 11 Mar 2008     3,665,920 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL3350.tmp"
Tue 11 Mar 2008     3,984,896 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL3459.tmp"
Tue 11 Mar 2008     4,139,008 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL3516.tmp"
Tue 11 Mar 2008     3,668,480 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL3709.tmp"
Tue 11 Mar 2008     4,136,448 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL3809.tmp"
Tue 11 Mar 2008       533,504 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL3829.tmp"
Tue 11 Mar 2008       369,664 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL3846.tmp"
Tue 11 Mar 2008     3,982,848 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\~WRL3975.tmp"
Sat 13 Nov 2004        37,376 A..H. --- "C:\Program Files\Fichiers communs\Adobe\ESD\DLMCleanup.exe"
Sat 26 Jan 2008       241,664 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\Offres emploi\RH\Franklin Templeton\~WRL0005.tmp"
Sat 26 Jan 2008       242,688 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\Offres emploi\RH\Franklin Templeton\~WRL1955.tmp"
Sat 26 Jan 2008       242,176 ...H. --- "C:\Documents and Settings\fred\Bureau\Chris\Offres emploi\RH\Franklin Templeton\~WRL3569.tmp"
Fri  3 Nov 2006        37,376 A..H. --- "C:\Documents and Settings\fred\Bureau\Site hugues simon\siteCompil\vanreepinghen\vanreepinghen\~WRL0125.tmp"
Fri  3 Nov 2006        37,376 A..H. --- "C:\Documents and Settings\fred\Bureau\Site hugues simon\siteCompil\vanreepinghen\vanreepinghen\~WRL0950.tmp"
Fri  3 Nov 2006        30,720 A..H. --- "C:\Documents and Settings\fred\Bureau\Site hugues simon\siteCompil\vanreepinghen\vanreepinghen\~WRL1056.tmp"
Fri  3 Nov 2006        31,744 A..H. --- "C:\Documents and Settings\fred\Bureau\Site hugues simon\siteCompil\vanreepinghen\vanreepinghen\~WRL1827.tmp"
Fri  3 Nov 2006        34,816 A..H. --- "C:\Documents and Settings\fred\Bureau\Site hugues simon\siteCompil\vanreepinghen\vanreepinghen\~WRL2318.tmp"
Fri  3 Nov 2006        37,376 A..H. --- "C:\Documents and Settings\fred\Bureau\Site hugues simon\siteCompil\vanreepinghen\vanreepinghen\~WRL4043.tmp"

[b]Finished!/b

ludsfa · Answer

bien télécharge à nouveau combofix et envois le rapport:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe


après tu pourra lancer une analyse avec antivir.

et tu m'enverra également le rapport.

ludsfa · Answer

je dois voir plusieurs sujet donc je te laisses les consignes suivantes:

/!\ Si tu as Spybot désactive le tea-timer le à chaque manip' que je vais te faire faire /!\ 

Télécharge MsnFix (de !aur3n7)  sur ton Bureau:http://sosvirus.changelog.fr/MSNFix.zip
Dézippe-le sur ton bureau. 


Ouvre le dossier MSNFix puis double-clique sur MSNFix.bat. (L’extension bat peut ne pas apparaître)  
- Exécute l'option R.  
- Si l'infection est détectée, presse une touche pour lancer le nettoyage. (N)  
 
Si tu dois redémarrer l’ordinateur fais le manuellement.
 
Poste le rapport situé dans le dossier MSNFix.  
Le nom du rapport correspond au moment de sa création : date_heure.log 

Note : Si tu obtiens un fichier zip d’upload sur ton bureau, fais ceci :http://www.infos-du-net.com/forum/272805-11-upload-fichiers-supects-msnfix

cutter4 · Answer

Merci tu temps que tu investis! Voici déjà les logs combofix et antivir:

ComboFix 08-05-01.2 - fred 2008-05-05 17:04:52.5 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.307 [GMT 2:00]
Endroit: C:\Documents and Settings\fred\Bureau\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\WinNt32.dll
C:\WINDOWS\system32\WinData.cab . . . . Echec de suppression

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-05 to 2008-05-05 ))))))))))))))))))))))))))))))))))))
.

2008-05-05 16:22 . 2008-05-05 16:44 <REP> d-------- C:\SDFix
2008-05-05 08:18 . 2008-05-05 08:18 2,348,073 --a------ C:\upload_moi_FRED-5XJ29KC6EL.tar.gz
2008-05-04 17:55 . 2008-05-04 17:55 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-05-04 17:55 . 2008-05-04 17:55 <REP> d-------- C:\Documents and Settings\fred\Application Data\Malwarebytes
2008-05-04 17:55 . 2008-05-04 17:55 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-02 20:20 . 2008-05-02 20:20 <REP> d-------- C:\Program Files\Avira
2008-05-02 20:20 . 2008-05-02 20:20 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-05-02 19:48 . 2008-05-05 17:04 1,024 --ah----- C:\WINDOWS\system32\config\systemprofile\NtUser.dat.LOG
2008-05-02 16:24 . 2008-05-02 16:38 <REP> d-------- C:\Backups
2008-05-02 16:02 . 2008-05-05 16:17 <REP> d-------- C:\WINDOWS\ERUNT
2008-05-02 16:01 . 2005-11-15 00:16 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2008-05-02 16:01 . 2005-11-15 00:16 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-05-02 16:01 . 2005-11-15 00:21 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2008-05-02 16:01 . 2005-11-15 00:16 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-05-02 16:01 . 2005-11-15 00:16 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2008-05-02 16:01 . 2005-11-15 00:16 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-05-02 16:01 . 2008-05-02 20:24 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-05-02 16:01 . 2008-05-02 16:01 <REP> d-------- C:\Documents and Settings\Administrateur
2008-05-02 16:01 . 2008-05-05 17:04 1,024 --ah----- C:\Documents and Settings\Administrateur\ntuser.dat.LOG
2008-05-02 15:28 . 2008-05-05 16:17 <REP> d-------- C:\Program Files\Trend Micro
2008-05-01 16:10 . 2008-05-01 21:27 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-05-01 16:09 . 2008-05-01 18:25 14,976 --a------ C:\WINDOWS\system32\drivers\Xdi40.sys
2008-05-01 16:09 . 2008-05-01 18:25 10,240 --a------ C:\WINDOWS\system32\WinData.cab

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-02 17:48 --------- d-----w C:\Program Files\Alwil Software
2008-03-05 21:15 --------- d-----w C:\Program Files\Guitar Pro 5
2006-08-18 09:42 165,600 ----a-w C:\Documents and Settings\fred\DynGateQS.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ToUcamVProperty"="C:\PROGRA~1\PHILIP~1\VProperty.exe" [ ]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-11-04 19:03 7307264]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Pvb83.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Xdi40.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Photo Express Calendar Checker SE.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Photo Express Calendar Checker SE.lnk
backup=C:\WINDOWS\pss\Photo Express Calendar Checker SE.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Reality Fusion GameCam SE.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Reality Fusion GameCam SE.lnk
backup=C:\WINDOWS\pss\Reality Fusion GameCam SE.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2006-09-12 01:58 229952 C:\Program Files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2001-08-02 08:14 1077277 C:\Program Files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nForce Tray Options]
-ra------ 2002-11-13 09:34 73728 C:\WINDOWS\system32\sstray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2005-11-04 19:03 7307264 C:\WINDOWS\System32\NvCpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2005-11-04 19:03 86016 C:\WINDOWS\System32\NvMcTray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2005-11-04 19:03 1519616 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PE2CKFNT SE]
--a------ 1998-07-03 12:51 25088 C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-09-01 15:57 282624 C:\Program Files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray]
--a------ 2006-03-31 23:35 20480 C:\Program Files\Real\RealPlayer\RealPlay.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 01:11 132496 C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TCASUTIEXE]
--a------ 2002-07-03 01:46 1323008 C:\WINDOWS\system32\TCAUDIAG.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
"AntiVirusOverride"=dword:00000001

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2008-01-21 18:11]
R0 Xdi40;Xdi40;C:\WINDOWS\System32\Drivers\Xdi40.sys [2008-05-01 18:25]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-01-21 18:12]
R2 tcaicchg;tcaicchg;C:\WINDOWS\System32\tcaicchg.sys [2000-06-06 05:08]
R2 TCAITDI;TCAITDI Protocol;C:\WINDOWS\System32\DRIVERS\TCAITDI.sys [2001-09-03 22:22]
S3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\System32\DRIVERS\camdrv21.sys []
S3 MBAMCatchMe;MBAMCatchMe;C:\Program Files\Malwarebytes' Anti-Malware\catchme.sys [2008-04-07 20:17]

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-09-23 04:43:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-05 17:06:51
Windows 5.1.2600 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 3

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-05 17:12:36 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-05 15:12:33
ComboFix2.txt 2008-05-05 13:37:24

Pre-Run: 6,749,278,208 octets libres
Post-Run: 6,739,759,104 octets libres

129

Avira AntiVir Personal
Report file date: lundi 5 mai 2008 17:51

Scanning for 1250600 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (plain) [5.1.2600]
Boot mode: Normally booted
Username: SYSTEM
Computer name: FRED-5XJ29KC6EL

Version information:
BUILD.DAT : 8.1.00.295 16479 Bytes 09/04/2008 16:24:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18/03/2008 09:02:56
AVSCAN.DLL : 8.1.1.0 53505 Bytes 07/02/2008 08:43:37
LUKE.DLL : 8.1.2.9 151809 Bytes 28/02/2008 08:41:23
LUKERES.DLL : 8.1.2.1 12033 Bytes 21/02/2008 08:28:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 10:33:34
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07/03/2008 13:08:58
ANTIVIR2.VDF : 7.0.3.197 1260032 Bytes 22/04/2008 12:26:29
ANTIVIR3.VDF : 7.0.3.247 305664 Bytes 05/05/2008 13:18:00
Engineversion : 8.1.0.37
AEVDF.DLL : 8.1.0.5 102772 Bytes 25/02/2008 09:58:21
AESCRIPT.DLL : 8.1.0.28 233851 Bytes 03/05/2008 12:26:38
AESCN.DLL : 8.1.0.15 119157 Bytes 03/05/2008 12:26:37
AERDL.DLL : 8.1.0.20 418165 Bytes 03/05/2008 12:26:36
AEPACK.DLL : 8.1.1.4 364918 Bytes 03/05/2008 12:26:35
AEOFFICE.DLL : 8.1.0.18 192890 Bytes 03/05/2008 12:26:34
AEHEUR.DLL : 8.1.0.21 1196407 Bytes 03/05/2008 12:26:33
AEHELP.DLL : 8.1.0.14 115063 Bytes 03/05/2008 12:26:32
AEGEN.DLL : 8.1.0.18 299381 Bytes 03/05/2008 12:26:31
AEEMU.DLL : 8.1.0.5 430450 Bytes 07/04/2008 15:34:43
AECORE.DLL : 8.1.0.27 168310 Bytes 03/05/2008 12:26:31
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23/01/2008 17:07:53
AVPREF.DLL : 8.0.0.1 25857 Bytes 18/02/2008 10:37:50
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:26:47
AVREG.DLL : 8.0.0.0 30977 Bytes 23/01/2008 17:07:49
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:23
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28/02/2008 08:31:31
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23/01/2008 17:08:39
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:10
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10/03/2008 14:37:25
RCTEXT.DLL : 8.0.32.0 86273 Bytes 06/03/2008 12:02:11

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, D:, E:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: lundi 5 mai 2008 17:51

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
19 processes with 19 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!
Master boot sector HD1
[INFO] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Boot sector 'D:\'
[INFO] No virus was found!
Boot sector 'E:\'
[INFO] No virus was found!

Starting to scan the registry.
The registry was scanned ( '17' files ).

Starting the file scan:

Begin scan in 'C:\' <Win xp>
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\upload_moi_FRED-5XJ29KC6EL.tar.gz
[0] Archive type: GZ
--> upload_moi.tar
[1] Archive type: TAR (tape archiver)
--> qoobox/Quarantine/catchme2008-05-04_141138,98.zip
[2] Archive type: ZIP
--> WinData.cab
[DETECTION] Is the Trojan horse TR/Trash.Gen
--> WINDOWS/System32/WinNt32.dll
[DETECTION] Is the Trojan horse TR/Drop.Softomat.AN
[NOTE] The file was deleted!
C:\QooBox\Quarantine\catchme2008-05-05_170532,89.zip
[0] Archive type: ZIP
--> WinData.cab
[DETECTION] Is the Trojan horse TR/Trash.Gen
[NOTE] The file was deleted!
C:\QooBox\Quarantine\C\WINDOWS\system32\WinNt32.dll.vir
[DETECTION] Is the Trojan horse TR/Trash.Gen
[NOTE] The file was deleted!
C:\System Volume Information\_restore{B357F4E8-3FF5-4CFB-AACB-A130A485D607}\RP683\A0348503.dll
[DETECTION] Is the Trojan horse TR/Drop.Softomat.AN
[NOTE] The file was deleted!
C:\System Volume Information\_restore{B357F4E8-3FF5-4CFB-AACB-A130A485D607}\RP683\A0348510.dll
[DETECTION] Is the Trojan horse TR/Drop.Softomat.AN
[NOTE] The file was deleted!
C:\System Volume Information\_restore{B357F4E8-3FF5-4CFB-AACB-A130A485D607}\RP683\A0348537.dll
[DETECTION] Is the Trojan horse TR/Drop.Softomat.AN
[NOTE] The file was deleted!
C:\System Volume Information\_restore{B357F4E8-3FF5-4CFB-AACB-A130A485D607}\RP683\A0348666.dll
[DETECTION] Is the Trojan horse TR/Drop.Softomat.AN
[NOTE] The file was deleted!
C:\WINDOWS\system32\drivers\Xdi40.sys
[WARNING] The file could not be opened!
Begin scan in 'D:\' <NOUVEAU NOM>
Begin scan in 'E:\' <NOUVEAU NOM>

End of the scan: lundi 5 mai 2008 18:29
Used time: 38:30 min

The scan has been done completely.

6607 Scanning directories
323479 Files were scanned
8 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
7 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
2 Files cannot be scanned
323471 Files not concerned
2609 Archives were scanned
2 Warnings
7 Notes

ludsfa · Answer

bien,


/!\ Si tu as Spybot désactive le tea-timer le à chaque manip' que je vais te faire faire /!\

Télécharge MsnFix (de !aur3n7)  sur ton Bureau:http://sosvirus.changelog.fr/MSNFix.zip
Dézippe-le sur ton bureau. 
 

Ouvre le dossier MSNFix puis double-clique sur MSNFix.bat. (L’extension bat peut ne pas apparaître)  
- Exécute l'option R.  
- Si l'infection est détectée, presse une touche pour lancer le nettoyage. (N)  
 
Si tu dois redémarrer l’ordinateur fais le manuellement.
 
Poste le rapport situé dans le dossier MSNFix.  
Le nom du rapport correspond au moment de sa création : date_heure.log
 
Note : Si tu obtiens un fichier zip d’upload sur ton bureau, fais ceci : http://www.infos-du-net.com/forum/272805-11-upload-fichiers-supects-msnfix

cutter4 · Answer

Et voilà le log msnfix:

MSNFix 1.715  
 
C:\Documents and Settings\fred\Bureau\MSNFix\MSNFix 
Fix exécuté le 05/05/2008 - 19:48:43,12 By fred 
mode normal    
    
************************ Recherche les fichiers présents      
    
... C:\Documents and Settings\fred\????????.exe 
 
************************ Recherche les dossiers présents       
 
Aucun dossier trouvé 
 
 
 
 
************************ Suppression des fichiers       
    
.. OK ... C:\DOCUME~1\fred\LOCALS~1\Temp\winlogon.exe 
.. OK ... C:\DOCUME~1\fred\LOCALS~1\Temp\services.exe 
.. OK ... C:\Documents and Settings\fred\????????.exe  
 
 
 
************************ Nettoyage du registre 
 
 
 
Les fichiers encore présents seront supprimés au prochain redémarrage 
 
 
Aucun Fichier trouvé 
 
 
 
************************ Fichiers suspects 
 
/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention 
 
[C:\WINDOWS\system32\Wint351.exe] 81E6A16BBD2F41A44F8794CA269AC66A 

[color=#FF0000][b]==>/b/color SVP merci d'envoyer le fichier  [b] C:\DOCUME~1\fred\Bureau\Upload_Me.zip /b sur http://upload.changelog.fr

 
  
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 05052008_19494013.zip
 
************************ HKLM\...\Winlogon\Userinit 
 
Userinit = C:\WINDOWS\system32\userinit.exe, 


------------------------------------------------------------------------  
Auteur : !aur3n7                     Contact: https://www.ionos.fr/     
------------------------------------------------------------------------   
 
---------------------------------------------   END   ---------------------------------------------

ludsfa · Answer

tu peux envoyer le fichier stp.
comme je te l'est indiqué ci-dessus.

ludsfa · Answer

ensuite:


Désactive toute protection résidente ( antivirus…) ! 


Copie le texte en gras ci-dessous:



file::
C:\WINDOWS\system32\WinData.cab 

folder::
C:\Backups 

registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"ToUcamVProperty"=




Ouvre le Bloc-Notes puis colle le texte copié.  
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)  
Sauvegarde ce fichier sous le nom de CFScript.txt.  
 
Glisse maintenant le fichier ComboFix-Do.txt dans Combofix.exe comme ci-dessous : clic dessus pour voir. 
 
http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif
 
Cela va relancer Combofix, tape sur 1 puis valide. Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un nouveau rapport Hijackthis.  
S'il n'y a pas de redémarrage, poste quand même les rapports.

cutter4 · Answer

c'est pas le fichier CFScript que je dois glisser? tu dis ComboFix-Do...

ludsfa · Answer

non glisse le CFScript.txt

je me suis mal exprimé.

cutter4 · Answer

voilà, je l'ai fait deux fois donc je poste deux rapports car la première fois j'avais oublié de désactivé antivir guard (je suppose que ca désactive tout l'antivirus). et je ne sais pas s'il y a d'autres choses à désactiver. enfin voilà les deux rapports:

ComboFix 08-05-01.2 - fred 2008-05-05 21:45:45.6 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.320 [GMT 2:00]
Endroit: C:\Documents and Settings\fred\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\fred\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE ::
C:\WINDOWS\system32\WinData.cab
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Backups
C:\Backups\backupreg.zip
C:\Backups\backups.zip
C:\Backups\HOSTS
C:\WINDOWS\system32\WinNt32.dll
C:\WINDOWS\system32\WinData.cab . . . . Echec de suppression

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-05 to 2008-05-05 ))))))))))))))))))))))))))))))))))))
.

2008-05-05 16:22 . 2008-05-05 16:44 <REP> d-------- C:\SDFix
2008-05-04 17:55 . 2008-05-04 17:55 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-05-04 17:55 . 2008-05-04 17:55 <REP> d-------- C:\Documents and Settings\fred\Application Data\Malwarebytes
2008-05-04 17:55 . 2008-05-04 17:55 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-02 20:20 . 2008-05-02 20:20 <REP> d-------- C:\Program Files\Avira
2008-05-02 20:20 . 2008-05-02 20:20 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-05-02 19:48 . 2008-05-05 17:04 1,024 --ah----- C:\WINDOWS\system32\config\systemprofile\NtUser.dat.LOG
2008-05-02 16:02 . 2008-05-05 16:17 <REP> d-------- C:\WINDOWS\ERUNT
2008-05-02 16:01 . 2005-11-15 00:16 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2008-05-02 16:01 . 2005-11-15 00:16 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-05-02 16:01 . 2005-11-15 00:21 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2008-05-02 16:01 . 2005-11-15 00:16 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-05-02 16:01 . 2005-11-15 00:16 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2008-05-02 16:01 . 2005-11-15 00:16 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-05-02 16:01 . 2008-05-02 20:24 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-05-02 16:01 . 2008-05-02 16:01 <REP> d-------- C:\Documents and Settings\Administrateur
2008-05-02 16:01 . 2008-05-05 17:04 1,024 --ah----- C:\Documents and Settings\Administrateur\ntuser.dat.LOG
2008-05-02 15:28 . 2008-05-05 16:17 <REP> d-------- C:\Program Files\Trend Micro
2008-05-01 16:10 . 2008-05-01 21:27 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-05-01 16:09 . 2008-05-01 18:25 14,976 --a------ C:\WINDOWS\system32\drivers\Xdi40.sys
2008-05-01 16:09 . 2008-05-01 18:25 10,240 --a------ C:\WINDOWS\system32\WinData.cab

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-02 17:48 --------- d-----w C:\Program Files\Alwil Software
2008-03-05 21:15 --------- d-----w C:\Program Files\Guitar Pro 5
.

((((((((((((((((((((((((((((( snapshot@2008-05-05_17.12.17.13 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-05 15:06:36 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-05 19:47:40 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ToUcamVProperty"="C:\PROGRA~1\PHILIP~1\VProperty.exe" [ ]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-11-04 19:03 7307264]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Pvb83.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Xdi40.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Photo Express Calendar Checker SE.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Photo Express Calendar Checker SE.lnk
backup=C:\WINDOWS\pss\Photo Express Calendar Checker SE.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Reality Fusion GameCam SE.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Reality Fusion GameCam SE.lnk
backup=C:\WINDOWS\pss\Reality Fusion GameCam SE.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2006-09-12 01:58 229952 C:\Program Files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2001-08-02 08:14 1077277 C:\Program Files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nForce Tray Options]
-ra------ 2002-11-13 09:34 73728 C:\WINDOWS\system32\sstray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2005-11-04 19:03 7307264 C:\WINDOWS\System32\NvCpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2005-11-04 19:03 86016 C:\WINDOWS\System32\NvMcTray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2005-11-04 19:03 1519616 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PE2CKFNT SE]
--a------ 1998-07-03 12:51 25088 C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-09-01 15:57 282624 C:\Program Files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray]
--a------ 2006-03-31 23:35 20480 C:\Program Files\Real\RealPlayer\RealPlay.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 01:11 132496 C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TCASUTIEXE]
--a------ 2002-07-03 01:46 1323008 C:\WINDOWS\system32\TCAUDIAG.EXE

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2008-01-21 18:11]
R0 Xdi40;Xdi40;C:\WINDOWS\System32\Drivers\Xdi40.sys [2008-05-01 18:25]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-01-21 18:12]
R2 tcaicchg;tcaicchg;C:\WINDOWS\System32\tcaicchg.sys [2000-06-06 05:08]
R2 TCAITDI;TCAITDI Protocol;C:\WINDOWS\System32\DRIVERS\TCAITDI.sys [2001-09-03 22:22]
S3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\System32\DRIVERS\camdrv21.sys []
S3 MBAMCatchMe;MBAMCatchMe;C:\Program Files\Malwarebytes' Anti-Malware\catchme.sys [2008-04-07 20:17]

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-09-23 04:43:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-05 21:47:55
Windows 5.1.2600 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 3

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-05 21:54:12 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-05 19:53:58
ComboFix2.txt 2008-05-05 15:12:37
ComboFix3.txt 2008-05-05 13:37:24

Pre-Run: 6,687,842,304 octets libres
Post-Run: 6,678,843,392 octets libres

137

Et le deuxième après désactivation d'antivir guard:

ComboFix 08-05-01.2 - fred 2008-05-05 22:46:38.7 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.308 [GMT 2:00]
Endroit: C:\Documents and Settings\fred\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\fred\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE ::
C:\WINDOWS\system32\WinData.cab
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\WinData.cab . . . . Echec de suppression

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-05 to 2008-05-05 ))))))))))))))))))))))))))))))))))))
.

2008-05-05 22:48 . 2008-05-05 22:48 10,240 --a------ C:\WINDOWS\system32\WinNt32.dll
2008-05-05 16:22 . 2008-05-05 16:44 <REP> d-------- C:\SDFix
2008-05-04 17:55 . 2008-05-04 17:55 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-05-04 17:55 . 2008-05-04 17:55 <REP> d-------- C:\Documents and Settings\fred\Application Data\Malwarebytes
2008-05-04 17:55 . 2008-05-04 17:55 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-02 20:20 . 2008-05-02 20:20 <REP> d-------- C:\Program Files\Avira
2008-05-02 20:20 . 2008-05-02 20:20 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-05-02 19:48 . 2008-05-05 17:04 1,024 --ah----- C:\WINDOWS\system32\config\systemprofile\NtUser.dat.LOG
2008-05-02 16:02 . 2008-05-05 16:17 <REP> d-------- C:\WINDOWS\ERUNT
2008-05-02 16:01 . 2005-11-15 00:16 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2008-05-02 16:01 . 2005-11-15 00:16 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-05-02 16:01 . 2005-11-15 00:21 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2008-05-02 16:01 . 2005-11-15 00:16 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-05-02 16:01 . 2005-11-15 00:16 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2008-05-02 16:01 . 2005-11-15 00:16 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-05-02 16:01 . 2008-05-02 20:24 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-05-02 16:01 . 2008-05-02 16:01 <REP> d-------- C:\Documents and Settings\Administrateur
2008-05-02 16:01 . 2008-05-05 17:04 1,024 --ah----- C:\Documents and Settings\Administrateur\ntuser.dat.LOG
2008-05-02 15:28 . 2008-05-05 16:17 <REP> d-------- C:\Program Files\Trend Micro
2008-05-01 16:10 . 2008-05-01 21:27 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-05-01 16:09 . 2008-05-01 18:25 14,976 --a------ C:\WINDOWS\system32\drivers\Xdi40.sys
2008-05-01 16:09 . 2008-05-01 18:25 10,240 --a------ C:\WINDOWS\system32\WinData.cab

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-02 17:48 --------- d-----w C:\Program Files\Alwil Software
2008-03-05 21:15 --------- d-----w C:\Program Files\Guitar Pro 5
.

((((((((((((((((((((((((((((( snapshot@2008-05-05_17.12.17.13 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-05 15:06:36 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-05 20:48:21 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ToUcamVProperty"="C:\PROGRA~1\PHILIP~1\VProperty.exe" [ ]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-11-04 19:03 7307264]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Pvb83.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Xdi40.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Photo Express Calendar Checker SE.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Photo Express Calendar Checker SE.lnk
backup=C:\WINDOWS\pss\Photo Express Calendar Checker SE.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Reality Fusion GameCam SE.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Reality Fusion GameCam SE.lnk
backup=C:\WINDOWS\pss\Reality Fusion GameCam SE.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2006-09-12 01:58 229952 C:\Program Files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2001-08-02 08:14 1077277 C:\Program Files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nForce Tray Options]
-ra------ 2002-11-13 09:34 73728 C:\WINDOWS\system32\sstray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2005-11-04 19:03 7307264 C:\WINDOWS\System32\NvCpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2005-11-04 19:03 86016 C:\WINDOWS\System32\NvMcTray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2005-11-04 19:03 1519616 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PE2CKFNT SE]
--a------ 1998-07-03 12:51 25088 C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-09-01 15:57 282624 C:\Program Files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray]
--a------ 2006-03-31 23:35 20480 C:\Program Files\Real\RealPlayer\RealPlay.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 01:11 132496 C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TCASUTIEXE]
--a------ 2002-07-03 01:46 1323008 C:\WINDOWS\system32\TCAUDIAG.EXE

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2008-01-21 18:11]
R0 Xdi40;Xdi40;C:\WINDOWS\System32\Drivers\Xdi40.sys [2008-05-01 18:25]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-01-21 18:12]
R2 tcaicchg;tcaicchg;C:\WINDOWS\System32\tcaicchg.sys [2000-06-06 05:08]
R2 TCAITDI;TCAITDI Protocol;C:\WINDOWS\System32\DRIVERS\TCAITDI.sys [2001-09-03 22:22]
S3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\System32\DRIVERS\camdrv21.sys []
S3 MBAMCatchMe;MBAMCatchMe;C:\Program Files\Malwarebytes' Anti-Malware\catchme.sys [2008-04-07 20:17]

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-09-23 04:43:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-05 22:48:36
Windows 5.1.2600 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 3

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-05 22:54:51 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-05 20:54:35
ComboFix2.txt 2008-05-05 19:54:13
ComboFix3.txt 2008-05-05 15:12:37
ComboFix4.txt 2008-05-05 13:37:24

Pre-Run: 6,690,291,712 octets libres
Post-Run: 6,680,752,128 octets libres

134

Maintenant je vais faire un log hijackthis, je reviens dès que je peux.

cutter4 · Answer

et voilà le log hijackthis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:14:13, on 05/05/2008
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\SCANNER.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lesoir.be/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe

Lyonnais92 · Answer

Bonjour,

pour faire avancer :

Copie ou imprime les instructions avant de les exécuter car tu n'y auras pas accès) ) 

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


Crée un nouveau document texte comme ceci : clic droit de ta souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes  en gras :


File::
C:\WINDOWS\system32\WinData.cab
C:\WINDOWS\System32\Drivers\Xdi40.sys  

Driver::
Xdi40



Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe comme ceci :

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher (Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt).

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Poste le contenu du rapport avec un nouveau rapport Hijackthis.


Attention : cette manip a été fait pour cet ordi. Tout utilisation sur un autre ordi peut endommager sévèrement le système d'exploitation.


ludfsa, ToUcamVProperty est légitime et doit êtrte lancé au démarrage :

http://www.castlecops.com/s7455-VProperty_exe.html

Bonne suite.

cutter4 · Answer

je ne pense pas avoir d'antispyware ni de pare feu. je pensais que le pare feu windows était par défaut sur tous les pc avec windows mais je ne le trouve pas dans le panneau de configuration. j'ai donc uniquement désactivé antivir guard (après m'être déconnecté d'internet) et j'ai suivi tes conseils. au redémarrage de windows, antivir s'est réactivé tout seul, je suppose que c'est normal. voilà les rapports combofix et hijackthis (que j'ai renommé SCANNER):

ComboFix 08-05-01.2 - fred 2008-05-06 11:36:49.8 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.331 [GMT 2:00]
Endroit: C:\Documents and Settings\fred\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\fred\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE ::
C:\WINDOWS\System32\Drivers\Xdi40.sys
C:\WINDOWS\system32\WinData.cab
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\System32\Drivers\Xdi40.sys
C:\WINDOWS\system32\WinData.cab
C:\WINDOWS\system32\WinNt32.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_XDI40
-------\Service_Xdi40

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-06 to 2008-05-06 ))))))))))))))))))))))))))))))))))))
.

2008-05-06 11:20 . 2008-05-06 11:20 <REP> d-------- C:\Program Files\MSXML 4.0
2008-05-06 11:20 . 2002-11-14 21:43 221,184 --a------ C:\WINDOWS\system32\srrstr.dll
2008-05-06 11:20 . 2002-11-14 21:43 221,184 --a--c--- C:\WINDOWS\system32\dllcache\srrstr.dll
2008-05-06 11:19 . 2008-05-06 11:22 <REP> d--h-c--- C:\WINDOWS\$xpsp1hfm$
2008-05-06 11:19 . 2003-08-02 06:14 25,600 --a------ C:\WINDOWS\system32\xpsp1hfm.exe
2008-05-05 16:22 . 2008-05-05 16:44 <REP> d-------- C:\SDFix
2008-05-04 17:55 . 2008-05-04 17:55 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-05-04 17:55 . 2008-05-04 17:55 <REP> d-------- C:\Documents and Settings\fred\Application Data\Malwarebytes
2008-05-04 17:55 . 2008-05-04 17:55 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-02 20:20 . 2008-05-02 20:20 <REP> d-------- C:\Program Files\Avira
2008-05-02 20:20 . 2008-05-02 20:20 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-05-02 19:48 . 2008-05-05 17:04 1,024 --ah----- C:\WINDOWS\system32\config\systemprofile\NtUser.dat.LOG
2008-05-02 16:02 . 2008-05-05 16:17 <REP> d-------- C:\WINDOWS\ERUNT
2008-05-02 16:01 . 2005-11-15 00:16 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2008-05-02 16:01 . 2005-11-15 00:16 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-05-02 16:01 . 2005-11-15 00:21 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2008-05-02 16:01 . 2005-11-15 00:16 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-05-02 16:01 . 2005-11-15 00:16 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2008-05-02 16:01 . 2005-11-15 00:16 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-05-02 16:01 . 2008-05-02 20:24 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-05-02 16:01 . 2008-05-02 16:01 <REP> d-------- C:\Documents and Settings\Administrateur
2008-05-02 16:01 . 2008-05-05 17:04 1,024 --ah----- C:\Documents and Settings\Administrateur\ntuser.dat.LOG
2008-05-02 15:28 . 2008-05-05 23:12 <REP> d-------- C:\Program Files\Trend Micro
2008-05-01 16:10 . 2008-05-01 21:27 <REP> d-------- C:\WINDOWS\BDOSCAN8

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-02 17:48 --------- d-----w C:\Program Files\Alwil Software
.

((((((((((((((((((((((((((((( snapshot@2008-05-05_17.12.17.13 )))))))))))))))))))))))))))))))))))))))))
.
+ 2002-09-06 13:54:04 5,632 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q329048\spmsg.dll
+ 2002-09-21 10:44:08 47,104 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q329048\spuninst.exe
+ 2002-09-21 10:44:08 10,752 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q329048\update\spcustom.dll
+ 2002-09-21 10:44:10 282,624 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q329048\update\update.exe
+ 2002-09-25 13:19:10 319,488 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q329048\zipfldr.dll
+ 2002-11-14 08:01:18 5,632 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q329170\spmsg.dll
+ 2002-12-17 11:32:18 88,064 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q329170\spuninst.exe
+ 2002-12-20 10:36:00 322,048 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q329170\srv.sys
+ 2002-12-17 11:32:16 18,432 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q329170\update\spcustom.dll
+ 2002-11-14 08:01:18 418,816 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q329170\update\update.exe
+ 2002-09-30 08:58:30 126,464 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q329390\shmedia.dll
+ 2002-09-06 13:54:04 5,632 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q329390\spmsg.dll
+ 2002-09-21 10:44:08 47,104 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q329390\spuninst.exe
+ 2002-09-21 10:44:08 10,752 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q329390\update\spcustom.dll
+ 2002-09-21 10:44:10 282,624 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q329390\update\update.exe
+ 2003-07-15 00:41:14 7,680 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q329441\spmsg.dll
+ 2003-08-02 04:15:00 101,888 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q329441\spuninst.exe
+ 2002-11-18 22:14:00 229,376 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q329441\srrstr.dll
+ 2003-08-02 04:14:58 22,016 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q329441\update\spcustom.dll
+ 2003-07-15 00:41:14 441,856 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q329441\update\update.exe
+ 2002-10-01 15:52:30 46,208 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q329834\raspptp.sys
+ 2002-09-06 13:54:04 5,632 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q329834\spmsg.dll
+ 2002-09-21 10:44:08 47,104 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q329834\spuninst.exe
+ 2002-09-21 10:44:08 10,752 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q329834\update\spcustom.dll
+ 2002-09-21 10:44:10 282,624 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q329834\update\update.exe
+ 2002-11-18 09:27:40 392,576 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q810577\mrxsmb.sys
+ 2002-11-14 08:01:18 5,632 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q810577\spmsg.dll
+ 2002-11-14 08:04:56 88,064 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q810577\spuninst.exe
+ 2002-11-14 08:04:54 18,432 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q810577\update\spcustom.dll
+ 2002-11-14 08:01:18 418,816 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q810577\update\update.exe
+ 2002-12-03 16:50:10 68,608 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q810833\locator.exe
+ 2002-11-14 08:01:18 5,632 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q810833\spmsg.dll
+ 2002-11-14 08:04:56 88,064 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q810833\spuninst.exe
+ 2002-11-14 08:04:54 18,432 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q810833\update\spcustom.dll
+ 2002-11-14 08:01:18 418,816 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q810833\update\update.exe
+ 2002-12-17 15:43:00 10,752 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q811630\hh.exe
+ 2003-01-10 12:44:32 37,888 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q811630\hhsetup.dll
+ 2003-01-10 12:44:34 143,872 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q811630\itircl.dll
+ 2003-01-10 12:44:34 122,368 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q811630\itss.dll
+ 2002-11-14 08:01:18 5,632 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q811630\spmsg.dll
+ 2002-12-17 11:32:18 88,064 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q811630\spuninst.exe
+ 2002-12-17 11:32:16 18,432 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q811630\update\spcustom.dll
+ 2002-11-14 08:01:18 418,816 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q811630\update\update.exe
+ 2003-05-01 14:57:24 679,424 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q815021\ntdll.dll
+ 2003-03-21 14:55:08 7,680 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q815021\spmsg.dll
+ 2003-03-21 14:56:54 90,112 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q815021\spuninst.exe
+ 2003-03-21 14:56:54 18,944 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q815021\update\spcustom.dll
+ 2003-03-21 14:55:08 420,864 -c--a-w C:\WINDOWS\$xpsp1hfm$\Q815021\update\update.exe
- 2008-05-05 15:06:36 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-06 09:39:50 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2002-11-18 09:17:00 391,936 ------w C:\WINDOWS\Driver Cache\i386\mrxsmb.sys
- 2001-08-28 12:00:00 26,647 ----a-w C:\WINDOWS\hh.exe
+ 2002-09-21 18:13:26 10,752 ----a-w C:\WINDOWS\hh.exe
+ 2001-08-28 12:00:00 26,647 ----a-w C:\WINDOWS\LastGood\hh.exe
+ 2001-08-28 12:00:00 561,664 ----a-w C:\WINDOWS\LastGood\System32\crypt32.dll
+ 2001-08-28 12:00:00 561,664 ----a-w C:\WINDOWS\LastGood\System32\DllCache\crypt32.dll
+ 2001-08-28 12:00:00 26,647 ----a-w C:\WINDOWS\LastGood\System32\DllCache\hh.exe
+ 2001-08-28 12:00:00 67,612 ----a-w C:\WINDOWS\LastGood\System32\DllCache\hhsetup.dll
+ 2001-08-28 12:00:00 155,552 ----a-w C:\WINDOWS\LastGood\System32\DllCache\itircl.dll
+ 2001-08-28 12:00:00 138,048 ----a-w C:\WINDOWS\LastGood\System32\DllCache\itss.dll
+ 2001-08-28 12:00:00 593,948 ----a-w C:\WINDOWS\LastGood\System32\DllCache\jscript.dll
+ 2001-08-28 12:00:00 68,096 ----a-w C:\WINDOWS\LastGood\System32\DllCache\locator.exe
+ 2001-08-28 12:00:00 407,680 ----a-w C:\WINDOWS\LastGood\System32\DllCache\mrxsmb.sys
+ 2001-08-28 12:00:00 699,392 ----a-w C:\WINDOWS\LastGood\System32\DllCache\ntdll.dll
+ 2001-08-28 12:00:00 46,464 ----a-w C:\WINDOWS\LastGood\System32\DllCache\raspptp.sys
+ 2001-08-28 12:00:00 127,488 ----a-w C:\WINDOWS\LastGood\System32\DllCache\shmedia.dll
+ 2001-08-28 12:00:00 220,672 ----a-w C:\WINDOWS\LastGood\System32\DllCache\srrstr.dll
+ 2001-08-28 12:00:00 330,368 ----a-w C:\WINDOWS\LastGood\System32\DllCache\srv.sys
+ 2001-08-28 12:00:00 320,512 ----a-w C:\WINDOWS\LastGood\System32\DllCache\zipfldr.dll
+ 2001-08-28 12:00:00 407,680 ----a-w C:\WINDOWS\LastGood\System32\drivers\mrxsmb.sys
+ 2001-08-28 12:00:00 46,464 ----a-w C:\WINDOWS\LastGood\System32\drivers\raspptp.sys
+ 2001-08-28 12:00:00 330,368 ----a-w C:\WINDOWS\LastGood\System32\drivers\srv.sys
+ 2001-08-28 12:00:00 67,612 ----a-w C:\WINDOWS\LastGood\System32\hhsetup.dll
+ 2001-08-28 12:00:00 155,552 ----a-w C:\WINDOWS\LastGood\System32\itircl.dll
+ 2001-08-28 12:00:00 138,048 ----a-w C:\WINDOWS\LastGood\System32\itss.dll
+ 2001-08-28 12:00:00 593,948 ----a-w C:\WINDOWS\LastGood\System32\jscript.dll
+ 2001-08-28 12:00:00 68,096 ----a-w C:\WINDOWS\LastGood\System32\locator.exe
+ 2001-08-28 12:00:00 699,392 ----a-w C:\WINDOWS\LastGood\System32\ntdll.dll
+ 2001-08-28 12:00:00 127,488 ----a-w C:\WINDOWS\LastGood\System32\shmedia.dll
+ 2001-08-28 12:00:00 220,672 ----a-w C:\WINDOWS\LastGood\System32\srrstr.dll
+ 2001-08-28 12:00:00 320,512 ----a-w C:\WINDOWS\LastGood\System32\zipfldr.dll
+ 2008-05-06 09:20:05 32,768 ----a-r C:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\Installer\{3E908702-AF35-4611-9518-955DA24B7E07}\icon.exe
- 2008-05-01 16:26:30 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-05-06 09:20:00 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-05-01 16:26:30 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2008-05-06 09:20:00 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2008-05-01 16:26:30 81,920 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2008-05-06 09:20:00 81,920 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
- 2001-08-28 12:00:00 561,664 ----a-w C:\WINDOWS\system32\crypt32.dll
+ 2002-09-23 13:10:48 551,424 ----a-w C:\WINDOWS\system32\crypt32.dll
- 2001-08-28 12:00:00 561,664 -c--a-w C:\WINDOWS\system32\dllcache\crypt32.dll
+ 2002-09-23 13:10:48 551,424 -c--a-w C:\WINDOWS\system32\dllcache\crypt32.dll
- 2001-08-28 12:00:00 26,647 -c--a-w C:\WINDOWS\system32\dllcache\hh.exe
+ 2002-09-21 18:13:26 10,752 -c--a-w C:\WINDOWS\system32\dllcache\hh.exe
- 2001-08-28 12:00:00 67,612 -c--a-w C:\WINDOWS\system32\dllcache\hhsetup.dll
+ 2003-01-13 08:28:28 37,888 -c--a-w C:\WINDOWS\system32\dllcache\hhsetup.dll
- 2001-08-28 12:00:00 155,552 -c--a-w C:\WINDOWS\system32\dllcache\itircl.dll
+ 2003-01-13 08:28:28 143,872 -c--a-w C:\WINDOWS\system32\dllcache\itircl.dll
- 2001-08-28 12:00:00 138,048 -c--a-w C:\WINDOWS\system32\dllcache\itss.dll
+ 2003-01-13 08:28:30 122,368 -c--a-w C:\WINDOWS\system32\dllcache\itss.dll
- 2001-08-28 12:00:00 593,948 -c--a-w C:\WINDOWS\system32\dllcache\jscript.dll
+ 2003-01-13 12:57:58 589,881 -c--a-w C:\WINDOWS\system32\dllcache\jscript.dll
- 2001-08-28 12:00:00 68,096 -c--a-w C:\WINDOWS\system32\dllcache\locator.exe
+ 2002-12-03 16:55:20 68,608 -c--a-w C:\WINDOWS\system32\dllcache\locator.exe
- 2001-08-28 12:00:00 407,680 -c--a-w C:\WINDOWS\system32\dllcache\mrxsmb.sys
+ 2002-11-18 09:17:00 391,936 -c--a-w C:\WINDOWS\system32\dllcache\mrxsmb.sys
- 2001-08-28 12:00:00 699,392 -c--a-w C:\WINDOWS\system32\dllcache\ntdll.dll
+ 2003-05-02 09:04:40 676,352 -c--a-w C:\WINDOWS\system32\dllcache\ntdll.dll
- 2001-08-28 12:00:00 46,464 -c--a-w C:\WINDOWS\system32\dllcache\raspptp.sys
+ 2002-10-01 16:43:52 46,208 -c--a-w C:\WINDOWS\system32\dllcache\raspptp.sys
- 2001-08-28 12:00:00 127,488 -c--a-w C:\WINDOWS\system32\dllcache\shmedia.dll
+ 2002-09-19 09:28:54 127,488 -c--a-w C:\WINDOWS\system32\dllcache\shmedia.dll
- 2001-08-28 12:00:00 330,368 -c--a-w C:\WINDOWS\system32\dllcache\srv.sys
+ 2002-10-31 12:45:16 322,304 -c--a-w C:\WINDOWS\system32\dllcache\srv.sys
- 2001-08-28 12:00:00 320,512 -c--a-w C:\WINDOWS\system32\dllcache\zipfldr.dll
+ 2002-09-25 10:23:16 319,488 -c--a-w C:\WINDOWS\system32\dllcache\zipfldr.dll
- 2001-08-28 12:00:00 407,680 ----a-w C:\WINDOWS\system32\drivers\mrxsmb.sys
+ 2002-11-18 09:17:00 391,936 ----a-w C:\WINDOWS\system32\drivers\mrxsmb.sys
- 2001-08-28 12:00:00 46,464 ----a-w C:\WINDOWS\system32\drivers\raspptp.sys
+ 2002-10-01 16:43:52 46,208 ----a-w C:\WINDOWS\system32\drivers\raspptp.sys
- 2001-08-28 12:00:00 330,368 ----a-w C:\WINDOWS\system32\drivers\srv.sys
+ 2002-10-31 12:45:16 322,304 ----a-w C:\WINDOWS\system32\drivers\srv.sys
- 2001-08-28 12:00:00 67,612 ----a-w C:\WINDOWS\system32\hhsetup.dll
+ 2003-01-13 08:28:28 37,888 ----a-w C:\WINDOWS\system32\hhsetup.dll
- 2001-08-28 12:00:00 155,552 ----a-w C:\WINDOWS\system32\itircl.dll
+ 2003-01-13 08:28:28 143,872 ----a-w C:\WINDOWS\system32\itircl.dll
- 2001-08-28 12:00:00 138,048 ----a-w C:\WINDOWS\system32\itss.dll
+ 2003-01-13 08:28:30 122,368 ----a-w C:\WINDOWS\system32\itss.dll
- 2001-08-28 12:00:00 593,948 ----a-w C:\WINDOWS\system32\jscript.dll
+ 2003-01-13 12:57:58 589,881 ----a-w C:\WINDOWS\system32\jscript.dll
- 2001-08-28 12:00:00 68,096 ----a-w C:\WINDOWS\system32\locator.exe
+ 2002-12-03 16:55:20 68,608 ----a-w C:\WINDOWS\system32\locator.exe
- 2001-08-28 12:00:00 699,392 ----a-w C:\WINDOWS\system32\ntdll.dll
+ 2003-05-02 09:04:40 676,352 ----a-w C:\WINDOWS\system32\ntdll.dll
- 2001-08-28 12:00:00 127,488 ----a-w C:\WINDOWS\system32\shmedia.dll
+ 2002-09-19 09:28:54 127,488 ----a-w C:\WINDOWS\system32\shmedia.dll
+ 2001-09-07 09:41:56 290,816 ----a-w C:\WINDOWS\system32\WINHTTP5.DLL
- 2001-08-28 12:00:00 320,512 ----a-w C:\WINDOWS\system32\zipfldr.dll
+ 2002-09-25 10:23:16 319,488 ----a-w C:\WINDOWS\system32\zipfldr.dll
+ 2008-05-06 09:20:04 1,229,312 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.MSXML2_6bd6b9abf345378f_4.0.2.0_x-ww_702998db\msxml4.dll
+ 2008-05-06 09:20:04 96,256 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.MSXML2R_6bd6b9abf345378f_4.0.2.0_x-ww_e6d36d6b\msxml4r.dll
.
-- Snapshot reset to current date --
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ToUcamVProperty"="C:\PROGRA~1\PHILIP~1\VProperty.exe" [ ]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-11-04 19:03 7307264]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Pvb83.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Xdi40.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Photo Express Calendar Checker SE.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Photo Express Calendar Checker SE.lnk
backup=C:\WINDOWS\pss\Photo Express Calendar Checker SE.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Reality Fusion GameCam SE.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Reality Fusion GameCam SE.lnk
backup=C:\WINDOWS\pss\Reality Fusion GameCam SE.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2006-09-12 01:58 229952 C:\Program Files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2001-08-02 08:14 1077277 C:\Program Files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nForce Tray Options]
-ra------ 2002-11-13 09:34 73728 C:\WINDOWS\system32\sstray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2005-11-04 19:03 7307264 C:\WINDOWS\System32\NvCpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2005-11-04 19:03 86016 C:\WINDOWS\System32\NvMcTray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2005-11-04 19:03 1519616 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PE2CKFNT SE]
--a------ 1998-07-03 12:51 25088 C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-09-01 15:57 282624 C:\Program Files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray]
--a------ 2006-03-31 23:35 20480 C:\Program Files\Real\RealPlayer\RealPlay.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 01:11 132496 C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TCASUTIEXE]
--a------ 2002-07-03 01:46 1323008 C:\WINDOWS\system32\TCAUDIAG.EXE

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2008-01-21 18:11]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-01-21 18:12]
R2 tcaicchg;tcaicchg;C:\WINDOWS\System32\tcaicchg.sys [2000-06-06 05:08]
R2 TCAITDI;TCAITDI Protocol;C:\WINDOWS\System32\DRIVERS\TCAITDI.sys [2001-09-03 22:22]
S3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\System32\DRIVERS\camdrv21.sys []
S3 MBAMCatchMe;MBAMCatchMe;C:\Program Files\Malwarebytes' Anti-Malware\catchme.sys [2008-04-07 20:17]

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-09-23 04:43:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-06 11:40:06
Windows 5.1.2600 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 3

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-06 11:46:20 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-06 09:46:09
ComboFix2.txt 2008-05-05 20:54:52
ComboFix3.txt 2008-05-05 19:54:13
ComboFix4.txt 2008-05-05 15:12:37
ComboFix5.txt 2008-05-05 13:37:24

Pre-Run: 6,309,003,264 octets libres
Post-Run: 6,300,450,816 octets libres

283 --- E O F --- 2008-05-06 09:23:05

Et le log hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:47:32, on 06/05/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\SCANNER.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lesoir.be/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

ludsfa · Answer

salut lyonnais poste pour suivre .
Suis absent ces prochains jour.

cutter4 · Answer

antivir vient de détecter le troyen TR/Drop.Softomat.AN dans le fichier C:\System Volume Information\...\A0348889.dll sans que je ne lance quoi que ce soit...

Lyonnais92 · Answer

Re,

pas grave, c'est la restauration système.

Ne fais pas de restauration tant que ceci n'a ps été réglé.

cutter4 · Answer

ok, je fais quoi alors maintenant?

ludsfa · Answer

salut ,

il faut absolument que tu passe en xpsp2

voici le lien de xpsp2:
http://www.commentcamarche.net/telecharger/telechargement 34055094 windows xp sp2


une fois tout mis à jour refais moi un hijackthis.

cutter4 · Answer

j'ai essayé d'installer le sp2 mais il me met que la clé utilisée pour installer windows n'est peut-être pas bonne ou je sais pas quoi.

ludsfa · Answer

salut.

je crois qu'il va falloir formater si tu n'arrive pas à passer au SP2.

Lyonnais92 · Answer

Bonjour,

tite question : ton windows est légitime ?

cutter4 · Answer

ce n'est pas moi qui l'ai installé mais je me pose la question tout comme toi. cela dit, j'ai une licence windows pour mon portable donc je pourrais peut-être la faire marcher pour ce pc. faut-il que je réinstalle tout windows? ca marche comment?

Lyonnais92 · Answer

Re,

as tu un CD Windows ?

as tu la clé de 25 caractères scotchée sur l'unité centrale ?

ta facture mentionne t elle le prix de l'OS (Windows) ?

cutter4 · Answer

j'ai recu un cd ou dvd avec mon portable. il n'est meme pas encre ouvert. l'étiquette indique "Win XP Home SP2 DVD/HB multilingual" je suppose qu'il y a un code à l'intérieur...

edit: pour ce qui est du pc infecté, je ne saurais pas dire car il a déjà plusieurs années et a déjà été réinstallé au moins une fois, et pas par un professionel donc il y a de fortes chances qu'il n'y ait pas de licence windows valable. je peux utiliser celle de mon portable?

Lyonnais92 · Answer

Re,

non, ta licence de portable vaut pour 1 ordi, pas pour deux.

Le numéro de licence est quelque part sur le portable (probablement dessous)

sais tu avec quoi l'ordi infecté a été livré lors de l'achat ?

sais tu avec quoi Windows a été réinstallé la dernière fois ?

cutter4 · Answer

pour l'ordi infecté, je ne sais pas te répondre. ce n'est pas moi qui m'en suis pas occupé et ca date déjà de plusieurs années. on ne sait plus rien faire pour désinfecter l'ordinateur alors?

Lyonnais92 · Answer

Bonsoir,

l'ordi est désinfecté.

Le problème, c'est la mise à jour du SP2.

fais ça :

Ouvre ce lien :

http://telechargement.zebulon.fr/zeb-restore.html

et exécute toutes les modalités.

réessaye d'installer le SP2.

cutter4 · Answer

c'est fait mais il m'est toujours impossible d'installer le SP2. je suppose qu'il n'a pas été installé avec une clé valide. pour le virus, comment être sur que j'en sois débarassé? et comment m'assurer que ca ne m'arrivera plus? je ne suis pas sur d'avoir un parefeu par exemple. que faire? je ne pense pas non plus avoir un anti-malware/spyware. j'ai bien malwarebytes' antimalware mais si j'ai bien compris il n'y a pas de protection résidente, il ne scanne que sur demande. peux-tu me conseiller?

edit: que faire pour le virus qui se loge toujours dans les fichiers de restaurations du systeme (ou un truc du genre)?
edit 2: dans "system volume information" plus précisément

Lyonnais92 · Answer

Re,

pour le parefeu,


Zone Alarm Tuto et lien de téléchargement ici :
https://www.malekal.com/tutoriel-zonealarm-firewall/

___________

pour l'antispyware, je ne connais pas de protection résidente gratuite efficace.

on peut faire ça :

Tu télécharges Spybot search & destroy ici : http://www.commentcamarche.net/telecharger/telecharger 122 spybot
Tuto ici : http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm  (merci balltrap34)

Tu le configures, tu le mets à jour, tu l'exécutes et tu détruis tout ce qu'il trouve.

Tu vaccines tout .

Tu le mets à jour, tu le fais passer et tu vaccines régulièrement.

Par contre, pas de tea-timer.

_____________

On va prendre un point de restauration propre.

Tu ouvres ce lien :

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

Tu le suis pour désactiver la restauration système. Tu fermes la fenêtre;

Tu le suis ensuite pour réactiver la restauration système.

_________________

Supprime la version du sdp2 que tu as.

Essayes de passer par Windows update (démarrer, Aide et support, maintenez votre ordinateur à jour avec Windows update) et suis les instructions.

Cherche ensuite le SP2.

Tiens moi au courant.

cutter4 · Answer

Voilà, j'ai installé Zone Alarm. 

Pour l'antispyware, est-ce mawlarebytes' anti malware ne convient pas? Il a l'air de fonctionner comme spybot search & destroy. Je confonds peut-être spyware et malware mais à vrai dire je ne connais pas la différence.

J'ai changé le point de restauration en suivant les instructions. Ca s'est bien passé.

Pour le SP2, je vais essayer maintenant.

Autre chose: j'ai un aute ordi qui est manifestement infecté par le même genre de virus. Est-ce que je peux suivre tous les conseils qui m'ont été donnés dans ce poste?

Edit: comment faire pour supprimer la version du SP2 que j'ai pour le moment. je suis passé par windows update il a téléchargé un truc mais quand il a voulu mettre à jour il a de nouveau dit qu'il y avait un problème de clé: "la clé de produit installée sur cet ordinateur est une clé de licence en volume (VLK) qui a été bloquée".

Lyonnais92 · Answer

Re,

un seul antivirus.

un seul antimalware (terme plus large que spyware) résident. Mais pas de problèmes à faire cohabiter Spybot et MBAM. Pour ce dernier, il y a une protection résidente mais elle est payante;

Pour la clé, j'ai compris. mais il faut faire la préhistoire de cet ordi.

La clé a été installée 'en masse' par le constructeur (c'est un pc de marque ?). Cette clé n'est pas le numéro donné avec le CD. Pas de problème tant que on ne fait rien sur l'ordi. mais dès que on réinstalle, il faut le numéro fourni avec le CD. Donc il faudrait retrouver cette info.


Pour ton autre ordi, il  vaudrait mieux que, quand on a fini avec celui-ci, on continue avec l'autre.

cutter4 · Answer

je viens de lancer un scan avec antivir et il a trouvé un virus dans c:\...\catchme2008-05-05_214731,35.zip

je supprime, je met en quarantaine?

edit: j'ai mis en quarantaine, je supprimerai plus tard s'il le faut

edit 2: il en a trouvé 3 autres avec plus ou moins le même nom mais aussi un certain C:\QooBox\Quarantine\C\...\WinData.cab.vir et même chose en terminant par WinNT32.dll.vir

c'est quoi Qoobox? 

le virus est toujours présent?

Lyonnais92 · Answer

Re,

non, pas de souci, ce sont les quarantaines des outils.

Fais ça :

* Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.

http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe

* Clique sur Recherche et laisse le scan se terminer.

* Clique, sur Suppression pour finaliser.

* Tu peux, si tu le souhaites, te servir des Options facultatives.

* Clique sur Quitter, pour que le rapport puisse se créer.

* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

cutter4 · Answer

j'avais déjà toolscleaner et le rapport TCleaner.txt date du 5 mai soit quand je l'ai utilisé la dernière fois (et seule fois d'ailleurs). donc ici il n'a apparemment pas recréer de rapport. je vais aller dormir. je referai un scan antivir demain matin pour voir s'il trouve toujours les "virus" dans qoobox et autres.

cutter4 · Answer

je viens d'installer spybot. dans la barre d'outil il est indiqué "résident de spybot-SD" donc c'est qu'il y a quand meme une protection résidente non?

j'ai relancé un scan avec antivir et il n'a rien trouvé. c'est parfait. faut il encore changer quelque chose ou est-ce qu'on peut passer au pc suivant?

Lyonnais92 · Answer

Bonjour,

oui, Spybot a une protection résidente (le tea-timer).

Son efficacité vest en discussion.

En particulier, j'ai vu un cas ou l'internaute a refusé une modification de la base de registre (question venu de Spybot), a répondu non (visiblement il s'agissait d'uner infection) et a vu le PC planter totalement.

Conséquence : ma tendance est de faire désactiver le tea-timer :

Ouvre Spybot search and destroy.

clique sur mode, choisis advanced mode;

dans la colonne de gauche clique sur le + devant tools.

clique sur résident (colonne de gauche)

dans la fenêtre de droite décoche la case devant "resident tea-timer"

Par contre,vacciner est efficace (cela interdit une redirection vers un site infecté).


On peut voir l'autre PC.

On commence" comme ça :

Clique sur ce lien
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
pour télécharger le fichier d'installation d'HijackThis.

Enregistre HJTInstall.exe sur ton bureau.  

Double-clique sur HJTInstall.exe pour lancer le programme

Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis

Accepte la license en cliquant sur le bouton "I Accept"



Ferme Hijackthis en cliquant sur la croix-rouge.

Télécharge DSS (Deckard's System Scanner de Deckard) sur ton Bureau à partir de ce lien :

http://www.techsupportforum.com/sectools/Deckard/dss.exe

Choisis "Enregistrer" et "Bureau" comme emplacement.

Ferme toutes les applications en cours (très important, sinon l'ordi peut planter).

Double-clique sur DSS.exe pour lancer l'outil.

S'il ne trouve pas HijackThis, clique sur Oui.

Clique sur OK à chaque fois que cela sera demandé.

L'analyse finie, un fichier texte s'affichera. Poste son contenu dans ta réponse.
 
Le rapport se trouve ici : C:\Deckard\System Scanner\main.txt.

cutter4 · Answer

j'ai lancé dss.exe après avoir installé hijackthis mais au moment où j'ai lancé dss.exe (après qq secondes), avast a trouvé le virus C:/WINDOWS/system32/vtUmMdaX.dll qui s'avère être le troyen Win32: tratBHO [trj]. j'ai mis en quarantaine et dss a terminé son boulot. voilà le rapport dss:

Deckard's System Scanner v20071014.68
Run by PC on 2008-05-08 11:42:56
Computer is in Normal Mode.
--------------------------------------------------------------------------------



-- HijackThis (run as PC.exe) --------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:43:06, on 8/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\PC\Bureau\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\PC.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 168.254.156.98:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {061DFC36-9491-4BDD-9A02-6FCC50B2C532} - C:\WINDOWS\system32\vtUlkjIY.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\rqRJCrSJ.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.new2.foto.com/ImageUploader5.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-BE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/bingame/popcaploader_v10.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: rqRJCrSJ - C:\WINDOWS\SYSTEM32\rqRJCrSJ.dll
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Cycling Manager 2007 Drivers Auto Removal (pr2akt6c) (pr2akt6c) - Cyanide - C:\WINDOWS\system32\pr2akt6c.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

Lyonnais92 · Answer

Re,

télécharge combofix (par sUBs)ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Remets un rapport Hijackthis en plus du rapport Combofix.

cutter4 · Answer

en redémarrant avast, il a découvert un virus dans C:/WINDOWS/system32/drivers/uad72.sys

je l'ai mis en qurantaine puis avast m'a dit qu'il avait découvert un virus dans le systeme et qu'il était préférable de redémarrer et planifier un scan au démarrage, ce qu'il est en train de faire. malheureusement je vais devoir m'absenter jusque demain donc je posterai les deux rapports demain et on pourra reprendre, si tu le veux bien. en tout cas merci pour ton aide!

Lyonnais92 · Answer

Re,

on reprend demain.

cutter4 · Answer

Voici les deux rapports que tu m'avais demandé: ComboFix 08-05-01.2 - PC 2008-05-08 12:47:26.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.485 [GMT 2:00] Endroit: C:\Documents and Settings\PC\Bureau\ComboFix.exe * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\pskt.ini C:\WINDOWS\system32\mcrh.tmp C:\WINDOWS\system32 qRJCrSJ.dll C:\WINDOWS\system32\vpcnnpte.ini C:\WINDOWS\system32\WinNt32.dll C:\WINDOWS\system32\YIjklUtv.ini C:\WINDOWS\system32\YIjklUtv.ini2 C:\WINDOWS\system32\WinData.cab . . . . Echec de suppression . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-08 to 2008-05-08 )))))))))))))))))))))))))))))))))))) . 2008-05-04 22:21 . 2008-05-04 22:21 6,400 --a------ C:\WINDOWS\system32\drivers cpsr.sys 2008-05-03 11:18 . 2008-05-04 22:21 192,512 --a------ C:\WINDOWS\system32\cbOCR.dll 2008-04-30 15:06 . 2008-04-30 15:06 d-------- C:\Deckard 2008-04-29 18:45 . 2008-04-29 18:45 d-------- C:\Program Files\Trend Micro 2008-04-29 15:34 . 2008-05-02 15:35 109,738 --a------ C:\WINDOWS\BM57ddb92c.xml 2008-04-29 15:11 . 2008-04-29 15:55 d-------- C:\WINDOWS\BDOSCAN8 2008-04-28 21:12 . 2008-04-28 21:41 614 --a------ C:\WINDOWS\eReg.dat 2008-04-28 20:56 . 2008-05-04 22:21 14,976 --a------ C:\WINDOWS\system32\drivers\Uad72.sys 2008-04-28 20:56 . 2008-05-04 23:27 10,240 --a------ C:\WINDOWS\system32\WinData.cab 2008-04-25 22:23 . 2008-04-25 22:23 d-------- C:\Program Files\ING 2008-04-20 17:41 . 2008-04-20 17:40 819,596 --a------ C:\Img0028.JPG 2008-04-18 12:43 . 2008-04-18 12:43 d-------- C:\Program Files\Conquist 2008-04-18 12:43 . 1997-07-28 12:50 96,256 --a------ C:\WINDOWS\system32\Vb5fr.dll . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-04 12:16 --------- d-----w C:\Program Files\EasyBurning 2008-04-28 19:41 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-04-28 19:17 --------- d-----w C:\Program Files\Google 2008-04-28 19:05 --------- d-----w C:\Program Files\EA GAMES 2008-04-05 13:30 --------- d-----w C:\Program Files\Yahoo! Games 2008-04-05 13:30 --------- d-----w C:\Documents and Settings\All Users\Application Data\Trymedia 2008-04-05 13:17 --------- d-----w C:\Documents and Settings\All Users\Application Data\PopCap 2008-03-31 21:19 --------- d-----w C:\Program Files\eMule 2008-03-28 11:54 --------- d-----w C:\Program Files\Runtime Software 2008-03-28 11:54 --------- d-----w C:\Program Files\Ontrack 2008-03-28 11:54 --------- d-----w C:\Program Files\Cyanide 2008-03-27 11:32 --------- d-----w C:\Program Files\PC Inspector File Recovery 2008-03-25 16:13 --------- d-----w C:\Program Files\Java 2008-03-11 17:48 --------- d-----w C:\Documents and Settings\PC\Application Data\Pro Cycling Manager 2007 2006-10-10 22:07 94,080 ----a-w C:\Documents and Settings\PC\Application Data\ezplay.sys 2006-10-10 22:07 81,920 ----a-w C:\Documents and Settings\PC\Application Data\ezpinst.exe 2006-10-10 22:06 47,360 ----a-w C:\Documents and Settings\PC\Application Data\pcouffin.sys 2004-11-30 16:12 31,704 ----a-w C:\Documents and Settings\PC\Application Data\GDIPFONTCACHEV1.DAT 2005-08-23 08:36 56 --sh--r C:\WINDOWS\system32\4963C66254.sys . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{061DFC36-9491-4BDD-9A02-6FCC50B2C532}] C:\WINDOWS\system32\vtUlkjIY.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2008-04-28 21:03 171448] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360] "ALUAlert"="C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe" [ ] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.l3acm"= l3codecp.acm "VIDC.HFYU"= huffyuv.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Uad72.sys] @="Driver" [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Contrôleur de calendrier Ulead.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Contrôleur de calendrier Ulead.lnk backup=C:\WINDOWS\pss\Contrôleur de calendrier Ulead.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\54ee8ab0] C:\WINDOWS\system32\etpnncpv.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\advap32] c:\d.exe/r [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] --a------ 2006-06-01 13:32 94208 C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BM57ddb92c] C:\WINDOWS\system32\qlwotjwu.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray] --a------ 2006-09-28 21:21 57344 C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] --a------ 2004-08-20 01:09 15360 C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKey] --a------ 2002-12-10 08:50 602112 C:\WINDOWS\Twain_32\FlatBed\HotKey.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] C:\WINDOWS\system32\dumprep 0 -k [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut] --a------ 2006-09-29 22:58 49152 C:\Program Files\CyberLink\PowerDVD\Language\Language.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2004-10-01 23:25 98304 C:\Program Files\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] --------- 2006-09-18 12:08 29696 C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan] --a------ 2002-08-15 12:46 46592 C:\WINDOWS\SOUNDMAN.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2008-02-22 05:25 144784 C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg] --a------ 2008-04-28 21:03 171448 C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] --a------ 2004-11-06 11:26 180269 C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WintelUpdate] C:\mvmeqe.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\eMule\emule.exe"= "C:\Program Files\Java\jdk1.5.0_04\jre\bin\java.exe"= "C:\Program Files\Internet Explorer\iexplore.exe"= "C:\Counter-Strike Source LAN Edition\hl2.exe"= "C:\Program Files\MSN Messenger\msnmsgr.exe"= "C:\Program Files\MSN Messenger\livecall.exe"= "C:\Program Files\Firaxis Games\Sid Meier's Civilization 4\Civilization4.exe"= "C:\Program Files\Sports Interactive\Football Manager 2008\fm.exe"= "C:\Program Files\Skype\Phone\Skype.exe"= "C:\Program Files\Cyanide\Pro Cycling Manager 2007\PCM.exe"= "C:\Program Files\EA GAMES\Command and Conquer Generals\game.dat"= R0 pe3akt6c;Cycling Manager 2007 Environment Driver (pe3akt6c);C:\WINDOWS\system32\drivers\pe3akt6c.sys [2007-09-28 12:06] R0 pf2akt6c;Cycling Manager 2007 File System Driver (pf2akt6c);C:\WINDOWS\system32\drivers\pf2akt6c.sys [2007-09-28 12:05] R0 ps7akt6c;Cycling Manager 2007 Synchronization Driver (ps7akt6c);C:\WINDOWS\system32\drivers\ps7akt6c.sys [2007-09-28 12:05] R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);C:\WINDOWS\system32\drivers\sfdrv01a.sys [2006-07-05 14:46] R0 Uad72;Uad72;C:\WINDOWS\system32\Drivers\Uad72.sys [2008-05-04 22:21] R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35] R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-07-29 14:14] R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2002-07-29 14:15] S2 pr2akt6c;Cycling Manager 2007 Drivers Auto Removal (pr2akt6c);C:\WINDOWS\system32\pr2akt6c.exe svc [] S3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\system32\DRIVERS\camdrv21.sys [] S3 tcpsr;tcpsr;C:\WINDOWS\System32\drivers cpsr.sys [2008-05-04 22:21] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9e444b3e-c4b6-11da-b125-0010dc77b403}] \Shell\AutoRun\command - M:\3o.exe \Shell\explore\Command - M:\3o.exe \Shell\open\Command - M:\3o.exe . ************************************************************************** catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-08 13:05:41 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 3 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe C:\Program Files\CyberLink\Shared Files\RichVideo.exe C:\Program Files\Canon\CAL\CALMAIN.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe . ************************************************************************** . Temps d'accomplissement: 2008-05-08 13:16:03 - machine was rebooted ComboFix-quarantined-files.txt 2008-05-08 11:15:57 Pre-Run: 16,494,653,440 octets libres Post-Run: 16,443,052,032 octets libres 170 --- E O F --- 2008-04-11 22:40:44 Et le log hijackthis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:21:14, on 10/05/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe C:\Program Files\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Canon\CAL\CALMAIN.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\userinit.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 168.254.156.98:80 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: (no name) - {061DFC36-9491-4BDD-9A02-6FCC50B2C532} - C:\WINDOWS\system32\vtUlkjIY.dll (file missing) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing) O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.new2.foto.com/ImageUploader5.cab O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-BE/a-UNO1/GAME_UNO1.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/bingame/popcaploader_v10.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: Cycling Manager 2007 Drivers Auto Removal (pr2akt6c) (pr2akt6c) - Cyanide - C:\WINDOWS\system32\pr2akt6c.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

Lyonnais92 · Answer

Bonjour,

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

Driver::
Uad72

File::
C:\WINDOWS\system32\drivers\Uad72.sys
C:\WINDOWS\system32\WinData.cab
 



Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.

cutter4 · Answer

Voilà c'est fait. Peux-tu m'expliquer en deux mots ce qu'on vient de faire et pourquoi? Voici les résultats: ComboFix 08-05-01.2 - PC 2008-05-10 20:00:57.2 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.508 [GMT 2:00] Endroit: C:\Documents and Settings\PC\Bureau\ComboFix.exe Command switches used :: C:\Documents and Settings\PC\Bureau\CFScript.txt * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] FILE :: C:\WINDOWS\system32\drivers\Uad72.sys C:\WINDOWS\system32\WinData.cab . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\WinData.cab . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_UAD72 -------\Service_Uad72 ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-10 to 2008-05-10 )))))))))))))))))))))))))))))))))))) . 2008-05-04 22:21 . 2008-05-04 22:21 6,400 --a------ C:\WINDOWS\system32\drivers cpsr.sys 2008-05-03 11:18 . 2008-05-04 22:21 192,512 --a------ C:\WINDOWS\system32\cbOCR.dll 2008-04-30 15:06 . 2008-04-30 15:06 d-------- C:\Deckard 2008-04-29 18:45 . 2008-04-29 18:45 d-------- C:\Program Files\Trend Micro 2008-04-29 15:34 . 2008-05-02 15:35 109,738 --a------ C:\WINDOWS\BM57ddb92c.xml 2008-04-29 15:11 . 2008-04-29 15:55 d-------- C:\WINDOWS\BDOSCAN8 2008-04-28 21:12 . 2008-04-28 21:41 614 --a------ C:\WINDOWS\eReg.dat 2008-04-25 22:23 . 2008-04-25 22:23 d-------- C:\Program Files\ING 2008-04-20 17:41 . 2008-04-20 17:40 819,596 --a------ C:\Img0028.JPG 2008-04-18 12:43 . 2008-04-18 12:43 d-------- C:\Program Files\Conquist 2008-04-18 12:43 . 1997-07-28 12:50 96,256 --a------ C:\WINDOWS\system32\Vb5fr.dll . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-04 12:16 --------- d-----w C:\Program Files\EasyBurning 2008-04-28 19:41 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-04-28 19:17 --------- d-----w C:\Program Files\Google 2008-04-28 19:05 --------- d-----w C:\Program Files\EA GAMES 2008-04-05 13:30 --------- d-----w C:\Program Files\Yahoo! Games 2008-04-05 13:30 --------- d-----w C:\Documents and Settings\All Users\Application Data\Trymedia 2008-04-05 13:17 --------- d-----w C:\Documents and Settings\All Users\Application Data\PopCap 2008-03-31 21:19 --------- d-----w C:\Program Files\eMule 2008-03-28 11:54 --------- d-----w C:\Program Files\Runtime Software 2008-03-28 11:54 --------- d-----w C:\Program Files\Ontrack 2008-03-28 11:54 --------- d-----w C:\Program Files\Cyanide 2008-03-27 11:32 --------- d-----w C:\Program Files\PC Inspector File Recovery 2008-03-25 16:13 --------- d-----w C:\Program Files\Java 2008-03-11 17:48 --------- d-----w C:\Documents and Settings\PC\Application Data\Pro Cycling Manager 2007 2006-10-10 22:07 94,080 ----a-w C:\Documents and Settings\PC\Application Data\ezplay.sys 2006-10-10 22:07 81,920 ----a-w C:\Documents and Settings\PC\Application Data\ezpinst.exe 2006-10-10 22:06 47,360 ----a-w C:\Documents and Settings\PC\Application Data\pcouffin.sys 2004-11-30 16:12 31,704 ----a-w C:\Documents and Settings\PC\Application Data\GDIPFONTCACHEV1.DAT 2005-08-23 08:36 56 --sh--r C:\WINDOWS\system32\4963C66254.sys . ((((((((((((((((((((((((((((( snapshot@2008-05-08_13.15.43.57 ))))))))))))))))))))))))))))))))))))))))) . - 2008-05-08 10:54:51 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-05-10 18:06:49 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-05-10 12:32:03 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_4e8.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{061DFC36-9491-4BDD-9A02-6FCC50B2C532}] C:\WINDOWS\system32\vtUlkjIY.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2008-04-28 21:03 171448] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360] "ALUAlert"="C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe" [ ] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.l3acm"= l3codecp.acm "VIDC.HFYU"= huffyuv.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Uad72.sys] @="Driver" [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Contrôleur de calendrier Ulead.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Contrôleur de calendrier Ulead.lnk backup=C:\WINDOWS\pss\Contrôleur de calendrier Ulead.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\54ee8ab0] C:\WINDOWS\system32\etpnncpv.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\advap32] c:\d.exe/r [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] --a------ 2006-06-01 13:32 94208 C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BM57ddb92c] C:\WINDOWS\system32\qlwotjwu.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray] --a------ 2006-09-28 21:21 57344 C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] --a------ 2004-08-20 01:09 15360 C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKey] --a------ 2002-12-10 08:50 602112 C:\WINDOWS\Twain_32\FlatBed\HotKey.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] C:\WINDOWS\system32\dumprep 0 -k [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut] --a------ 2006-09-29 22:58 49152 C:\Program Files\CyberLink\PowerDVD\Language\Language.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2004-10-01 23:25 98304 C:\Program Files\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] --------- 2006-09-18 12:08 29696 C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan] --a------ 2002-08-15 12:46 46592 C:\WINDOWS\SOUNDMAN.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2008-02-22 05:25 144784 C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg] --a------ 2008-04-28 21:03 171448 C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] --a------ 2004-11-06 11:26 180269 C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WintelUpdate] C:\mvmeqe.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\eMule\emule.exe"= "C:\Program Files\Java\jdk1.5.0_04\jre\bin\java.exe"= "C:\Program Files\Internet Explorer\iexplore.exe"= "C:\Counter-Strike Source LAN Edition\hl2.exe"= "C:\Program Files\MSN Messenger\msnmsgr.exe"= "C:\Program Files\MSN Messenger\livecall.exe"= "C:\Program Files\Firaxis Games\Sid Meier's Civilization 4\Civilization4.exe"= "C:\Program Files\Sports Interactive\Football Manager 2008\fm.exe"= "C:\Program Files\Skype\Phone\Skype.exe"= "C:\Program Files\Cyanide\Pro Cycling Manager 2007\PCM.exe"= "C:\Program Files\EA GAMES\Command and Conquer Generals\game.dat"= R0 pe3akt6c;Cycling Manager 2007 Environment Driver (pe3akt6c);C:\WINDOWS\system32\drivers\pe3akt6c.sys [2007-09-28 12:06] R0 pf2akt6c;Cycling Manager 2007 File System Driver (pf2akt6c);C:\WINDOWS\system32\drivers\pf2akt6c.sys [2007-09-28 12:05] R0 ps7akt6c;Cycling Manager 2007 Synchronization Driver (ps7akt6c);C:\WINDOWS\system32\drivers\ps7akt6c.sys [2007-09-28 12:05] R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);C:\WINDOWS\system32\drivers\sfdrv01a.sys [2006-07-05 14:46] R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35] R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-07-29 14:14] R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2002-07-29 14:15] S2 pr2akt6c;Cycling Manager 2007 Drivers Auto Removal (pr2akt6c);C:\WINDOWS\system32\pr2akt6c.exe svc [] S3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\system32\DRIVERS\camdrv21.sys [] S3 tcpsr;tcpsr;C:\WINDOWS\System32\drivers cpsr.sys [2008-05-04 22:21] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9e444b3e-c4b6-11da-b125-0010dc77b403}] \Shell\AutoRun\command - M:\3o.exe \Shell\explore\Command - M:\3o.exe \Shell\open\Command - M:\3o.exe . ************************************************************************** catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-10 20:12:19 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 3 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe C:\Program Files\CyberLink\Shared Files\RichVideo.exe C:\Program Files\Canon\CAL\CALMAIN.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe . ************************************************************************** . Temps d'accomplissement: 2008-05-10 20:22:49 - machine was rebooted ComboFix-quarantined-files.txt 2008-05-10 18:22:44 ComboFix2.txt 2008-05-08 11:16:04 Pre-Run: 18,326,597,632 octets libres Post-Run: 18,313,486,336 octets libres 175 --- E O F --- 2008-04-11 22:40:44 Et le log Hijackthis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:43:20, on 10/05/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe C:\Program Files\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Canon\CAL\CALMAIN.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\explorer.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 168.254.156.98:80 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: (no name) - {061DFC36-9491-4BDD-9A02-6FCC50B2C532} - C:\WINDOWS\system32\vtUlkjIY.dll (file missing) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing) O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.new2.foto.com/ImageUploader5.cab O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-BE/a-UNO1/GAME_UNO1.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/bingame/popcaploader_v10.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: Cycling Manager 2007 Drivers Auto Removal (pr2akt6c) (pr2akt6c) - Cyanide - C:\WINDOWS\system32\pr2akt6c.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

Lyonnais92 · Answer

Bonsoir,

le fichier infecté (C:\WINDOWS\system32\WinData.cab) était protégé par un "pseudo-pilote" (C:\WINDOWS\system32\drivers\Uad72.sys ). Il a fallu supprimer le pilote pour supprimer le fichier.

On continue.

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

https://www.malwarebytes.com/

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter un examen complet"  est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

cutter4 · Answer

Ok, et comment as-tu su que c'était ce pilote qui protégeait le fichier?

Voici le rapport MBAM:


Malwarebytes' Anti-Malware 1.12
Version de la base de données: 738

Type de recherche: Examen complet (A:\|C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|L:\|M:\|)
Eléments examinés: 227233
Temps écoulé: 1 hour(s), 10 minute(s), 10 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 13
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\Interface\{e4e3e0f8-cd30-4380-8ce9-b96904bdefca} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{fe8a736f-4124-4d9c-b4b1-3b12381efabe} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{c9c5deaf-0a1f-4660-8279-9edfad6fefe1} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall	rueterm pc (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services	cpsr (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services	cpsr (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services	cpsr (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\TrueTerm PC\Uninstall.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32qRJCrSJ.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{3B42B1CB-B596-4C4C-A55A-680063AA5B26}\RP1229\A0550341.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\cbOCR.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers	cpsr.sys (Trojan.Agent) -> Quarantined and deleted successfully.

Lyonnais92 · Answer

Bonjour,

C'est un problème que l'on a déjà rencontré (WinData.cab qui ne se supprimme pas) et on a trouvé la solution.

L'examen des rapports montre que ce pilote est un fichier totalement inconnu, donc suspect. En plus il est créé en même temps.

Remets un rapport hijackthis.

cutter4 · Answer

A quoi on voit qu'il est inconnu? Désolé de poser des bêtes questions mais j'essaye d'apprendre en même temps pour pouvoir me débrouiller par après si ca se reproduit...


Voilà un nouveau log Hijackthis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:44:45, on 11/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 168.254.156.98:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {061DFC36-9491-4BDD-9A02-6FCC50B2C532} - C:\WINDOWS\system32\vtUlkjIY.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.new2.foto.com/ImageUploader5.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-BE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Cycling Manager 2007 Drivers Auto Removal (pr2akt6c) (pr2akt6c) - Cyanide - C:\WINDOWS\system32\pr2akt6c.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

Lyonnais92 · Answer

Re,

tu connais : Hillsborough County Public Schools  à Tampa ?

Le fichier est inconnu si tu cherches sur Google.

Mets à jour ton antivirus et fais un scan minutieux de ton poste de travail.

As tu encore des problèmes ?

cutter4 · Answer

Euh... pourquoi tu me parles d'Hillsborough County Public Schools à Tampa? Non je ne connais pas lol! Je viens de lancer un scan minutieux, on verra ce que ca donne. Après 19%, il a trouvé un cheval de troie dans le fichier rax.exe, qui est en fait un programme que j'avais téléchargé pour supprimer les virus de mes clés usb. Je l'ai mis en qurantaine. En attendant, est-ce que je peux t'envoyer le rapport dss de mon pc portable pour m'assurer qu'il n'est pas infecté comme les autres? A priori il n'y a rien d'anormal si ce n'est qu'il est un peu lent au démarrage. Voici les dexu rapports dss (lancé après avoir installé hijackthis et fermé tous les programmes):


Le "main":


Deckard's System Scanner v20071014.68
Run by Thomas on 2008-05-12 11:54:01
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
61: 2008-05-12 09:54:07 UTC - RP212 - Deckard's System Scanner Restore Point
60: 2008-05-10 21:26:20 UTC - RP211 - Point de vérification système
59: 2008-05-09 20:24:35 UTC - RP210 - Point de vérification système
58: 2008-05-07 17:34:43 UTC - RP209 - Point de vérification système
57: 2008-05-06 16:40:40 UTC - RP208 - Point de vérification système


-- First Restore Point -- 
1: 2008-02-12 22:18:07 UTC - RP152 - Software Distribution Service 3.0


Backed up registry hives.
Performed disk cleanup.



-- HijackThis (run as Thomas.exe) ----------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:55:38, on 12/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\sm56hlpr.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Documents and Settings\Thomas\Bureau\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\Thomas.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lesoir.be/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [InstantOn] "C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe" /c
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab56649.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/bingame/popcaploader_v10.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Cycling Manager 2007 Drivers Auto Removal (pr2akt6c) (pr2akt6c) - Cyanide - C:\WINDOWS\system32\pr2akt6c.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe

cutter4 · Answer

Il a trouvé aussi des virus dans Qoobox et System Volume Information. Pour Qoobox j'ai mis 'supprimer' et pour SVI j'ai mis en quarantaine comme je ne sais pas bien ce que c'est. L'analyse continue...

Lyonnais92 · Answer

Re,

Qoobox, c'est l quarantaine de Combofix. On le supprimera à la fin.

Systeme Volume Information, c'est la restauration système. On la nettoyera à la fin.

'Hillsborough County Public Schools à Tampa est le nom associé à l'Ip de :

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 168.254.156.98:80  dans le post 86.

On attend la fin du scan.

cutter4 · Answer

Voilà, Avast n'a rien trouvé d'autre comme virus. Par contre, je viens de remarquer qu'il ne se lançait pas automatiquement au démarrage. Il est possible que j'ai chipoté avec msconfig avant qu'on entame la désinfection mais je n'en suis pas sur.

Lyonnais92 · Answer

Re,

le post 88 c'est un autre ordi que celui que l'on traite ? Il y a une infection.

Pour l'ordi dont tu parles au post 91, remets un rapport Hijackthis.

cutter4 · Answer

Oui, pour le post 88 il s'agit de mon portable. Voilà un nouveau rapport hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:11:33, on 13/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\sm56hlpr.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lesoir.be/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [InstantOn] "C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe" /c
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab56649.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/bingame/popcaploader_v10.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Cycling Manager 2007 Drivers Auto Removal (pr2akt6c) (pr2akt6c) - Cyanide - C:\WINDOWS\system32\pr2akt6c.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe

cutter4 · Answer

Pardon je me suis trompé, ça c'était pour mon portable. Pour l'ordi que l'on traite depuis déjà plusieurs posts, voici un nouveau rapport hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:23:34, on 13/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 168.254.156.98:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {061DFC36-9491-4BDD-9A02-6FCC50B2C532} - C:\WINDOWS\system32\vtUlkjIY.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.new2.foto.com/ImageUploader5.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-BE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Cycling Manager 2007 Drivers Auto Removal (pr2akt6c) (pr2akt6c) - Cyanide - C:\WINDOWS\system32\pr2akt6c.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

Lyonnais92 · Answer

Re,

pour l'ordi du post 94 :

a) pas de parefeu

Tu sembles ne pas avoir de parefeu contrôlant les connexions sortantes, ce qui est un risque de sécurité.

Si c'est le cas tu as le choix entre ces deux possibilités :

Zone Alarm Tuto et lien de téléchargement ici :
https://www.malekal.com/tutoriel-zonealarm-firewall/

Kerio Tuto et lien de téléchargement ici :
http://www.malekal.com/kerio_firewall.php

Il y en a d'autres que tu peux trouver en ouvrant ce lien :
http://www.malekal.com/menu_tutorials_logiciels.php 

Il faut que tu désactives le parefeu de Windows (panneau de configuration, parefeu de Windows) après le téléchargement et avant l'installation (déconnecte toi du Net à ce moment là). 


b) Relance HijackThis.

Choisis Do a scan only

Coche la case devant les lignes suivantes 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 168.254.156.98:80
O2 - BHO: (no name) - {061DFC36-9491-4BDD-9A02-6FCC50B2C532} - C:\WINDOWS\system32\vtUlkjIY.dll (file missing)


Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.

Clique sur fix checked.

Ferme Hijackthis.

c) nettoyage des outils

Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.

http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe


Clique sur Recherche et laisse le scan se terminer.



Clique, sur Suppression pour finaliser.



Tu peux, si tu le souhaites, te servir des Options facultatives.



Clique sur Quitter, pour que le rapport puisse se créer.



Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

cutter4 · Answer

Voilà, c'est fait:

-->- Recherche: 

C:\Qoobox: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\PC\Bureau\Dss.exe: trouvé !
C:\Documents and Settings\PC\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\PC\Bureau\ComboFix.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\PC\Bureau\Dss.exe: supprimé !
C:\Documents and Settings\PC\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\PC\Bureau\ComboFix.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Lyonnais92 · Answer

Re,

bon, pour celui-ci on a terminé.

Supprime Toolscleaner sur ton bureau et C:\Tcleaner.txt.


Remets un rapport Hijackthis  de l'ordi pour lequel tu as des doutes.

cutter4 · Answer

Super, merci! Voilà celui pour lequel j'ai quelques doutes:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:55:30, on 13/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\sm56hlpr.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lesoir.be/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [InstantOn] "C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe" /c
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab56649.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/bingame/popcaploader_v10.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Cycling Manager 2007 Drivers Auto Removal (pr2akt6c) (pr2akt6c) - Cyanide - C:\WINDOWS\system32\pr2akt6c.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe

Lyonnais92 · Answer

Re,

post97, j'ai oublié de te faire mettre à jour Internet Explorer.

Je regarde l'autre.

cutter4 · Answer

je viens de le mettre à jour. c'était une mise à jour windows qui n'avait pas été faite apparemment.

Lyonnais92 · Answer

Re,

pour le post 98.

Relance HijackThis.

Choisis Do a scan only

Coche la case devant les lignes suivantes

 	O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/bingame/popcaploader_v10.cab

Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.

Clique sur fix checked.

Ferme Hijackthis.

Tu n'as pas de parefeu non plus sur celui-ci.

Et il faut mettre à jour Internet Explorer.

Est ce qui on a fait tourner MBAM sur cet ordi ?

Sinon, fais le.

cutter4 · Answer

ok je vais le faire, par contre pour l'autre pc avec lequel on a terminé, j'ai encore un léger problème: j'avais décoché presque tous les programmes au démarrage via msconfig, et il existe toujours mvmeqe.exe par exemple, qui est un virus que nous avons éradiqué. il est décoché bien entendu, mais bon il se trouve toujours dans la liste. on peut y faire quelque chose?

Lyonnais92 · Answer

Re,

est ce que le fichier existe encore ?

cutter4 · Answer

non, il n'existe plus.

cutter4 · Answer

j'ai fait comme tu as dit pour hijackthis. je vais faire tourner MBAM. comment fait-on pour mettre à jour internet explorer?

Lyonnais92 · Answer

Re,

pour la maj de IE :

https://support.microsoft.com/fr-fr/allproducts

Pouyr le fichier de msconfig, il est mentionné sur quel onglet ?

cutter4 · Answer

Pour MSConfig, c'est dans l'onglet démarrage...

Voilà le rapport MBAM:

Malwarebytes' Anti-Malware 1.12
Version de la base de données: 745

Type de recherche: Examen complet (C:\|)
Eléments examinés: 154227
Temps écoulé: 47 minute(s), 15 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\Interface\{e4e3e0f8-cd30-4380-8ce9-b96904bdefca} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{fe8a736f-4124-4d9c-b4b1-3b12381efabe} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{c9c5deaf-0a1f-4660-8279-9edfad6fefe1} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Lyonnais92 · Answer

Re, 

pour l'ordi du rapport MBAM, tu fais un emise à jour de l'antivirus, tu fais un scan minutieux.

Tu psotes le rapport.

S'il n'ya rien, ToolsCleaner et rapport.


Pour l'autre, je vois ce soir sur mon ordi ce qu'il faut faire.

Lyonnais92 · Answer

Re,

l'ordi a redémarré depuis que tu as décoché la case ?

Si oui, je ne sais pas bien quoi faire.

Tant que le fichier est inexistant (et je ne vois pas comment il reviendrait), rien ne peut se passer.

A part ça, on en est où ?

help · Answer

me pardonner cutter4. DÃ©solÃ©s pour le mauvais FranÃ§ais, mais moi suis rÃ©ellement les anglais et les AM using un traducteur. J'ai le virus vtUmMdax.dll. Vous avez dit que vous l'avez dÃ©placÃ© Ã  la section de quarantaine de votre ordinateur. Je ne peux pas contrÃ´ler ceci. Chaque fois que j'essaye Ã , je reÃ§ois toujours un message d'erreur. Pouvez-vous svp me donner des instructions Ã©tape-par-Ã©tape sur la faÃ§on dont enlever le virus de vtUmMdax.dll ? J'espÃ¨re que toi ou quelqu'un d'autre a vu ceci et peut m'aider avec mon problÃ¨me. Merci.

Lyonnais92 · Answer

Hello help,

I think we finished with cutter4, so we can start here.

Do that :

Download Hijackthis here :

http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
 
and put it on yoir Desk
  

Double-click  HJTInstall.exe and launch it

It will be installed here :

C:\Program Files\Trend Micro\HijackThis

Accepte the license("I Accept")

Choose  "Do a system scan and save a log file"

Click "Save log" and register the report with notepad.exe

Click "Edition -> Sélectionner tout", puis sur "Edition -> Copier" and copy the whole report

Past it in your answer.
 
Don't fix any line, it could damage your OS.
 


Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)
              http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm

Virus récalcitrant

111 réponses

Votre réponse

Discussions similaires

Newsletters