Sujet Précédent Sujet Suivant

Virus récalcitrant

cutter4 Messages postés 181 Statut Membre -  
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour,
J'ai un virus qui se loge dans C:\System Volume Information\_restore{B357F4E8-3FF5-4CFB-AACB-A130A485D607}\RP673\A0344707.dll et pareil en remplacant le dernier chiffre par 8. Ces fichiers sont respectivement infectés par Win32:Agent-WJT [Trj] et Win32:Mutant-G [Trj]. Mon antivirus avast me demande que faire (j'ai fait un scan au démarrage), et je lui dis tantôt de mettre en quarantaine, tantôt de supprimer mais chaque fois ils reviennent. Que faire? Merci d'avance!
A voir également:

111 réponses

Précédent
Réponse 61 / 111
cutter4 Messages postés 181 Statut Membre 1
 
ce n'est pas moi qui l'ai installé mais je me pose la question tout comme toi. cela dit, j'ai une licence windows pour mon portable donc je pourrais peut-être la faire marcher pour ce pc. faut-il que je réinstalle tout windows? ca marche comment?
0
Réponse 62 / 111
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

as tu un CD Windows ?

as tu la clé de 25 caractères scotchée sur l'unité centrale ?

ta facture mentionne t elle le prix de l'OS (Windows) ?
0
Réponse 63 / 111
cutter4 Messages postés 181 Statut Membre 1
 
j'ai recu un cd ou dvd avec mon portable. il n'est meme pas encre ouvert. l'étiquette indique "Win XP Home SP2 DVD/HB multilingual" je suppose qu'il y a un code à l'intérieur...

edit: pour ce qui est du pc infecté, je ne saurais pas dire car il a déjà plusieurs années et a déjà été réinstallé au moins une fois, et pas par un professionel donc il y a de fortes chances qu'il n'y ait pas de licence windows valable. je peux utiliser celle de mon portable?
0
Réponse 64 / 111
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

non, ta licence de portable vaut pour 1 ordi, pas pour deux.

Le numéro de licence est quelque part sur le portable (probablement dessous)

sais tu avec quoi l'ordi infecté a été livré lors de l'achat ?

sais tu avec quoi Windows a été réinstallé la dernière fois ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 65 / 111
cutter4 Messages postés 181 Statut Membre 1
 
pour l'ordi infecté, je ne sais pas te répondre. ce n'est pas moi qui m'en suis pas occupé et ca date déjà de plusieurs années. on ne sait plus rien faire pour désinfecter l'ordinateur alors?
0
Réponse 66 / 111
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonsoir,

l'ordi est désinfecté.

Le problème, c'est la mise à jour du SP2.

fais ça :

Ouvre ce lien :

http://telechargement.zebulon.fr/zeb-restore.html

et exécute toutes les modalités.

réessaye d'installer le SP2.
0
Réponse 67 / 111
cutter4 Messages postés 181 Statut Membre 1
 
c'est fait mais il m'est toujours impossible d'installer le SP2. je suppose qu'il n'a pas été installé avec une clé valide. pour le virus, comment être sur que j'en sois débarassé? et comment m'assurer que ca ne m'arrivera plus? je ne suis pas sur d'avoir un parefeu par exemple. que faire? je ne pense pas non plus avoir un anti-malware/spyware. j'ai bien malwarebytes' antimalware mais si j'ai bien compris il n'y a pas de protection résidente, il ne scanne que sur demande. peux-tu me conseiller?

edit: que faire pour le virus qui se loge toujours dans les fichiers de restaurations du systeme (ou un truc du genre)?
edit 2: dans "system volume information" plus précisément
0
Réponse 68 / 111
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

pour le parefeu,

Zone Alarm Tuto et lien de téléchargement ici :
https://www.malekal.com/tutoriel-zonealarm-firewall/

___________

pour l'antispyware, je ne connais pas de protection résidente gratuite efficace.

on peut faire ça :

Tu télécharges Spybot search & destroy ici : http://www.commentcamarche.net/telecharger/telecharger 122 spybot
Tuto ici : http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm (merci balltrap34)

Tu le configures, tu le mets à jour, tu l'exécutes et tu détruis tout ce qu'il trouve.

Tu vaccines tout .

Tu le mets à jour, tu le fais passer et tu vaccines régulièrement.

Par contre, pas de tea-timer.

_____________

On va prendre un point de restauration propre.

Tu ouvres ce lien :

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

Tu le suis pour désactiver la restauration système. Tu fermes la fenêtre;

Tu le suis ensuite pour réactiver la restauration système.

_________________

Supprime la version du sdp2 que tu as.

Essayes de passer par Windows update (démarrer, Aide et support, maintenez votre ordinateur à jour avec Windows update) et suis les instructions.

Cherche ensuite le SP2.

Tiens moi au courant.

0
Réponse 69 / 111
cutter4 Messages postés 181 Statut Membre 1
 
Voilà, j'ai installé Zone Alarm.

Pour l'antispyware, est-ce mawlarebytes' anti malware ne convient pas? Il a l'air de fonctionner comme spybot search & destroy. Je confonds peut-être spyware et malware mais à vrai dire je ne connais pas la différence.

J'ai changé le point de restauration en suivant les instructions. Ca s'est bien passé.

Pour le SP2, je vais essayer maintenant.

Autre chose: j'ai un aute ordi qui est manifestement infecté par le même genre de virus. Est-ce que je peux suivre tous les conseils qui m'ont été donnés dans ce poste?

Edit: comment faire pour supprimer la version du SP2 que j'ai pour le moment. je suis passé par windows update il a téléchargé un truc mais quand il a voulu mettre à jour il a de nouveau dit qu'il y avait un problème de clé: "la clé de produit installée sur cet ordinateur est une clé de licence en volume (VLK) qui a été bloquée".
0
Réponse 70 / 111
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

un seul antivirus.

un seul antimalware (terme plus large que spyware) résident. Mais pas de problèmes à faire cohabiter Spybot et MBAM. Pour ce dernier, il y a une protection résidente mais elle est payante;

Pour la clé, j'ai compris. mais il faut faire la préhistoire de cet ordi.

La clé a été installée 'en masse' par le constructeur (c'est un pc de marque ?). Cette clé n'est pas le numéro donné avec le CD. Pas de problème tant que on ne fait rien sur l'ordi. mais dès que on réinstalle, il faut le numéro fourni avec le CD. Donc il faudrait retrouver cette info.

Pour ton autre ordi, il vaudrait mieux que, quand on a fini avec celui-ci, on continue avec l'autre.
0
Réponse 71 / 111
cutter4 Messages postés 181 Statut Membre 1
 
je viens de lancer un scan avec antivir et il a trouvé un virus dans c:\...\catchme2008-05-05_214731,35.zip

je supprime, je met en quarantaine?

edit: j'ai mis en quarantaine, je supprimerai plus tard s'il le faut

edit 2: il en a trouvé 3 autres avec plus ou moins le même nom mais aussi un certain C:\QooBox\Quarantine\C\...\WinData.cab.vir et même chose en terminant par WinNT32.dll.vir

c'est quoi Qoobox?

le virus est toujours présent?
0
Réponse 72 / 111
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

non, pas de souci, ce sont les quarantaines des outils.

Fais ça :

* Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.

http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe

* Clique sur Recherche et laisse le scan se terminer.

* Clique, sur Suppression pour finaliser.

* Tu peux, si tu le souhaites, te servir des Options facultatives.

* Clique sur Quitter, pour que le rapport puisse se créer.

* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).
0
Réponse 73 / 111
cutter4 Messages postés 181 Statut Membre 1
 
j'avais déjà toolscleaner et le rapport TCleaner.txt date du 5 mai soit quand je l'ai utilisé la dernière fois (et seule fois d'ailleurs). donc ici il n'a apparemment pas recréer de rapport. je vais aller dormir. je referai un scan antivir demain matin pour voir s'il trouve toujours les "virus" dans qoobox et autres.
0
Réponse 74 / 111
cutter4 Messages postés 181 Statut Membre 1
 
je viens d'installer spybot. dans la barre d'outil il est indiqué "résident de spybot-SD" donc c'est qu'il y a quand meme une protection résidente non?

j'ai relancé un scan avec antivir et il n'a rien trouvé. c'est parfait. faut il encore changer quelque chose ou est-ce qu'on peut passer au pc suivant?
0
Réponse 75 / 111
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

oui, Spybot a une protection résidente (le tea-timer).

Son efficacité vest en discussion.

En particulier, j'ai vu un cas ou l'internaute a refusé une modification de la base de registre (question venu de Spybot), a répondu non (visiblement il s'agissait d'uner infection) et a vu le PC planter totalement.

Conséquence : ma tendance est de faire désactiver le tea-timer :

Ouvre Spybot search and destroy.

clique sur mode, choisis advanced mode;

dans la colonne de gauche clique sur le + devant tools.

clique sur résident (colonne de gauche)

dans la fenêtre de droite décoche la case devant "resident tea-timer"

Par contre,vacciner est efficace (cela interdit une redirection vers un site infecté).

On peut voir l'autre PC.

On commence" comme ça :

Clique sur ce lien
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
pour télécharger le fichier d'installation d'HijackThis.

Enregistre HJTInstall.exe sur ton bureau.

Double-clique sur HJTInstall.exe pour lancer le programme

Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis

Accepte la license en cliquant sur le bouton "I Accept"

Ferme Hijackthis en cliquant sur la croix-rouge.

Télécharge DSS (Deckard's System Scanner de Deckard) sur ton Bureau à partir de ce lien :

http://www.techsupportforum.com/sectools/Deckard/dss.exe

Choisis "Enregistrer" et "Bureau" comme emplacement.

Ferme toutes les applications en cours (très important, sinon l'ordi peut planter).

Double-clique sur DSS.exe pour lancer l'outil.

S'il ne trouve pas HijackThis, clique sur Oui.

Clique sur OK à chaque fois que cela sera demandé.

L'analyse finie, un fichier texte s'affichera. Poste son contenu dans ta réponse.

Le rapport se trouve ici : C:\Deckard\System Scanner\main.txt.

0
Réponse 76 / 111
cutter4 Messages postés 181 Statut Membre 1
 
j'ai lancé dss.exe après avoir installé hijackthis mais au moment où j'ai lancé dss.exe (après qq secondes), avast a trouvé le virus C:/WINDOWS/system32/vtUmMdaX.dll qui s'avère être le troyen Win32: tratBHO [trj]. j'ai mis en quarantaine et dss a terminé son boulot. voilà le rapport dss:

Deckard's System Scanner v20071014.68
Run by PC on 2008-05-08 11:42:56
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- HijackThis (run as PC.exe) --------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:43:06, on 8/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\PC\Bureau\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\PC.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 168.254.156.98:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {061DFC36-9491-4BDD-9A02-6FCC50B2C532} - C:\WINDOWS\system32\vtUlkjIY.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\rqRJCrSJ.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.new2.foto.com/ImageUploader5.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-BE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/bingame/popcaploader_v10.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: rqRJCrSJ - C:\WINDOWS\SYSTEM32\rqRJCrSJ.dll
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Cycling Manager 2007 Drivers Auto Removal (pr2akt6c) (pr2akt6c) - Cyanide - C:\WINDOWS\system32\pr2akt6c.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
0
Réponse 77 / 111
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

télécharge combofix (par sUBs)ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Remets un rapport Hijackthis en plus du rapport Combofix.
0
Réponse 78 / 111
cutter4 Messages postés 181 Statut Membre 1
 
en redémarrant avast, il a découvert un virus dans C:/WINDOWS/system32/drivers/uad72.sys

je l'ai mis en qurantaine puis avast m'a dit qu'il avait découvert un virus dans le systeme et qu'il était préférable de redémarrer et planifier un scan au démarrage, ce qu'il est en train de faire. malheureusement je vais devoir m'absenter jusque demain donc je posterai les deux rapports demain et on pourra reprendre, si tu le veux bien. en tout cas merci pour ton aide!
0
Réponse 79 / 111
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

on reprend demain.
0
Réponse 80 / 111
cutter4 Messages postés 181 Statut Membre 1
 
Voici les deux rapports que tu m'avais demandé:

ComboFix 08-05-01.2 - PC 2008-05-08 12:47:26.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.485 [GMT 2:00]
Endroit: C:\Documents and Settings\PC\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\rqRJCrSJ.dll
C:\WINDOWS\system32\vpcnnpte.ini
C:\WINDOWS\system32\WinNt32.dll
C:\WINDOWS\system32\YIjklUtv.ini
C:\WINDOWS\system32\YIjklUtv.ini2
C:\WINDOWS\system32\WinData.cab . . . . Echec de suppression

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-08 to 2008-05-08 ))))))))))))))))))))))))))))))))))))
.

2008-05-04 22:21 . 2008-05-04 22:21 6,400 --a------ C:\WINDOWS\system32\drivers\tcpsr.sys
2008-05-03 11:18 . 2008-05-04 22:21 192,512 --a------ C:\WINDOWS\system32\cbOCR.dll
2008-04-30 15:06 . 2008-04-30 15:06 <REP> d-------- C:\Deckard
2008-04-29 18:45 . 2008-04-29 18:45 <REP> d-------- C:\Program Files\Trend Micro
2008-04-29 15:34 . 2008-05-02 15:35 109,738 --a------ C:\WINDOWS\BM57ddb92c.xml
2008-04-29 15:11 . 2008-04-29 15:55 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-04-28 21:12 . 2008-04-28 21:41 614 --a------ C:\WINDOWS\eReg.dat
2008-04-28 20:56 . 2008-05-04 22:21 14,976 --a------ C:\WINDOWS\system32\drivers\Uad72.sys
2008-04-28 20:56 . 2008-05-04 23:27 10,240 --a------ C:\WINDOWS\system32\WinData.cab
2008-04-25 22:23 . 2008-04-25 22:23 <REP> d-------- C:\Program Files\ING
2008-04-20 17:41 . 2008-04-20 17:40 819,596 --a------ C:\Img0028.JPG
2008-04-18 12:43 . 2008-04-18 12:43 <REP> d-------- C:\Program Files\Conquist
2008-04-18 12:43 . 1997-07-28 12:50 96,256 --a------ C:\WINDOWS\system32\Vb5fr.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-04 12:16 --------- d-----w C:\Program Files\EasyBurning
2008-04-28 19:41 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-28 19:17 --------- d-----w C:\Program Files\Google
2008-04-28 19:05 --------- d-----w C:\Program Files\EA GAMES
2008-04-05 13:30 --------- d-----w C:\Program Files\Yahoo! Games
2008-04-05 13:30 --------- d-----w C:\Documents and Settings\All Users\Application Data\Trymedia
2008-04-05 13:17 --------- d-----w C:\Documents and Settings\All Users\Application Data\PopCap
2008-03-31 21:19 --------- d-----w C:\Program Files\eMule
2008-03-28 11:54 --------- d-----w C:\Program Files\Runtime Software
2008-03-28 11:54 --------- d-----w C:\Program Files\Ontrack
2008-03-28 11:54 --------- d-----w C:\Program Files\Cyanide
2008-03-27 11:32 --------- d-----w C:\Program Files\PC Inspector File Recovery
2008-03-25 16:13 --------- d-----w C:\Program Files\Java
2008-03-11 17:48 --------- d-----w C:\Documents and Settings\PC\Application Data\Pro Cycling Manager 2007
2006-10-10 22:07 94,080 ----a-w C:\Documents and Settings\PC\Application Data\ezplay.sys
2006-10-10 22:07 81,920 ----a-w C:\Documents and Settings\PC\Application Data\ezpinst.exe
2006-10-10 22:06 47,360 ----a-w C:\Documents and Settings\PC\Application Data\pcouffin.sys
2004-11-30 16:12 31,704 ----a-w C:\Documents and Settings\PC\Application Data\GDIPFONTCACHEV1.DAT
2005-08-23 08:36 56 --sh--r C:\WINDOWS\system32\4963C66254.sys
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{061DFC36-9491-4BDD-9A02-6FCC50B2C532}]
C:\WINDOWS\system32\vtUlkjIY.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2008-04-28 21:03 171448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360]
"ALUAlert"="C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe" [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm
"VIDC.HFYU"= huffyuv.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Uad72.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Contrôleur de calendrier Ulead.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Contrôleur de calendrier Ulead.lnk
backup=C:\WINDOWS\pss\Contrôleur de calendrier Ulead.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\54ee8ab0]
C:\WINDOWS\system32\etpnncpv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\advap32]
c:\d.exe/r

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2006-06-01 13:32 94208 C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BM57ddb92c]
C:\WINDOWS\system32\qlwotjwu.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
--a------ 2006-09-28 21:21 57344 C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-20 01:09 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKey]
--a------ 2002-12-10 08:50 602112 C:\WINDOWS\Twain_32\FlatBed\HotKey.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINDOWS\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
--a------ 2006-09-29 22:58 49152 C:\Program Files\CyberLink\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2004-10-01 23:25 98304 C:\Program Files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--------- 2006-09-18 12:08 29696 C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2002-08-15 12:46 46592 C:\WINDOWS\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-02-22 05:25 144784 C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2008-04-28 21:03 171448 C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2004-11-06 11:26 180269 C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WintelUpdate]
C:\mvmeqe.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Java\\jdk1.5.0_04\\jre\\bin\\java.exe"=
"C:\\Program Files\\Internet Explorer\\iexplore.exe"=
"C:\\Counter-Strike Source LAN Edition\\hl2.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe"=
"C:\\Program Files\\Sports Interactive\\Football Manager 2008\\fm.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
"C:\\Program Files\\Cyanide\\Pro Cycling Manager 2007\\PCM.exe"=
"C:\\Program Files\\EA GAMES\\Command and Conquer Generals\\game.dat"=

R0 pe3akt6c;Cycling Manager 2007 Environment Driver (pe3akt6c);C:\WINDOWS\system32\drivers\pe3akt6c.sys [2007-09-28 12:06]
R0 pf2akt6c;Cycling Manager 2007 File System Driver (pf2akt6c);C:\WINDOWS\system32\drivers\pf2akt6c.sys [2007-09-28 12:05]
R0 ps7akt6c;Cycling Manager 2007 Synchronization Driver (ps7akt6c);C:\WINDOWS\system32\drivers\ps7akt6c.sys [2007-09-28 12:05]
R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);C:\WINDOWS\system32\drivers\sfdrv01a.sys [2006-07-05 14:46]
R0 Uad72;Uad72;C:\WINDOWS\system32\Drivers\Uad72.sys [2008-05-04 22:21]
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]
R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-07-29 14:14]
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2002-07-29 14:15]
S2 pr2akt6c;Cycling Manager 2007 Drivers Auto Removal (pr2akt6c);C:\WINDOWS\system32\pr2akt6c.exe svc []
S3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\system32\DRIVERS\camdrv21.sys []
S3 tcpsr;tcpsr;C:\WINDOWS\System32\drivers\tcpsr.sys [2008-05-04 22:21]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9e444b3e-c4b6-11da-b125-0010dc77b403}]
\Shell\AutoRun\command - M:\3o.exe
\Shell\explore\Command - M:\3o.exe
\Shell\open\Command - M:\3o.exe

.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-08 13:05:41
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 3

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-08 13:16:03 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-08 11:15:57

Pre-Run: 16,494,653,440 octets libres
Post-Run: 16,443,052,032 octets libres

170 --- E O F --- 2008-04-11 22:40:44

Et le log hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:21:14, on 10/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 168.254.156.98:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {061DFC36-9491-4BDD-9A02-6FCC50B2C532} - C:\WINDOWS\system32\vtUlkjIY.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.new2.foto.com/ImageUploader5.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-BE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/bingame/popcaploader_v10.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Cycling Manager 2007 Drivers Auto Removal (pr2akt6c) (pr2akt6c) - Cyanide - C:\WINDOWS\system32\pr2akt6c.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
virus Artemis!
mabiche37 -
Malekal_morte- -

14 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses