Problème rogues? Résolu

Question

Bonjour,

J'ai un petit problème qui dure maintenant depuis une semaine environ.

J'ai sans arrêt trois messages différents qui s'affichent sur mon écran, me prévenant que mon ordinateur est infecté par des trojan ou autres infections...

J'y ai d'abord cru, j'ai donc fait des analyses avast! , sbybot, ou ad-aware...(je n'ai jamais cliqué sur leur lien)

Aucun des trois logiciel n'a trouvé le problème.

J'ai donc décidé d'aller voir sur des fora et je pense être infecté par des "rogues".

PC-Antispyware
PC-Cleaner

J'ai essayé de suivre tous les conseils que vous aviez donné à d'autres, mais rien ne marche chez moi.

En plus de ça, je ne suis vraiment pas un pro en informatique, ce qui me complique bien la chose.

Auriez-vous la gentillesse de m'aider s'il vous plait?

Je vous remercie d'avance pour l'attention que vous porterez à ma demande.

ps: je peux fournir des captures d'écran des différentes fenêtres qui apparaissent sur mon écran si vous le souhaitez.


StephaneS

dou-l · Answer

slt





Télécharge sur le bureau hijackthis


Fait un clic droit sur l'icone hijackthis.


/!\Renome hijackthis en skim.exe ( a le place de hijacktihs.exe) c'est important!!/!\

*Après avoir fais ca double-clic dessus.

*Clic sur Do a system scan and save the log

*A la fin de l'analyse un rapport va etre générer colle le ici.


_________


télécharge smitfraudfix: smitfraudfix

# Double clique sur l'icone de smitfraud pui choisis l'option 1 et poste le rapport.

Tient moi au courant a+.

StephaneS · Answer

Merci pour ta réponse rapide.

je vais essayer de faire ça tout de suite, je te tiens au courant.

A+

StephaneS

jacques.gache · Answer

bonjour, pour suivre

dou-l · Answer

ok ok

StephaneS · Answer

Je n'arrive pas à télécharger hijackthis. (qu'est ce que je fais?)
Par contre j'ai réussi à télécharger smitfraudfix.

Merci!

StephaneS

dou-l · Answer

Ok scan avec smitfraud !

Quel est le problème pour hijack ?

StephaneS · Answer

Pour hijack ça me met ça: http://img293.imageshack.us/img293/7052/sanstitrecg9.png

Voici le rapport fait avec smitfraudfix:

SmitFraudFix v2.320

Rapport fait à 12:06:10,65, 11/05/2008
Executé à partir de C:\Documents and Settings\Stephane\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Documents and Settings\All Users\Application Dataipidurs\dwfsvipu.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Neuf\Kit\WiFi\9wifi.exe
C:\Program Files\VisualTaskTips\VisualTaskTips.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\fyjehury.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\webshots.scr
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Stephane


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Stephane\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Stephane\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: RT2500 USB Wireless LAN Card
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{0AC7CA59-9F5F-4B5A-9594-71BBB0A1EE13}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{0AC7CA59-9F5F-4B5A-9594-71BBB0A1EE13}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin



Voilà, merci!

dou-l · Answer

ok 

pour hijack clique une ou deux fois sur enregister et apres sa sera plus gris et tu pourras le télécharger !

j'attend le rapport

StephaneS · Answer

C'est bon, ça a marché. Merci à toi.

Voilà le rapport:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:11:30, on 11/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Documents and Settings\All Users\Application Dataipidurs\dwfsvipu.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Neuf\Kit\WiFi\9wifi.exe
C:\Program Files\VisualTaskTips\VisualTaskTips.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\fyjehury.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\webshots.scr
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {10F0C2A9-8E38-43e3-204D-45524C494E20} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar	oolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Autoconfigurateur WiFi Neuf] "C:\Program Files\Neuf\Kit\WiFi\9wifi.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [VisualTaskTips] C:\Program Files\VisualTaskTips\VisualTaskTips.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [sncrkaph] C:\WINDOWS\system32\fyjehury.exe
O4 - HKCU\..\Run: [fkgtvudp] C:\WINDOWS\system32\uvkbadiz.exe
O4 - HKCU\..\Run: [obpkpeuv] C:\WINDOWS\system32mbcrurw.exe
O4 - HKCU\..\Run: [hrtfjbkg] C:\WINDOWS\system32\qfcncnoh.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRA~1\WINDOW~3\MESSEN~1\msnmsgr.exe" /background
O4 - HKCU\..\Run: [gjzgycbf] C:\WINDOWS\system32\pyfybmlg.exe
O4 - HKLM\..\Policies\Explorer\Run: [F1byNzUfaF] C:\Documents and Settings\All Users\Application Dataipidurs\dwfsvipu.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar	oolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.aldi.com/
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

StephaneS · Answer

Pas de solution au problème?

dou-l · Answer

je mange et je reviens

StephaneS · Answer

Merci beaucoup, bon appétit :p

dou-l · Answer

re

 télécharge sdfix:

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Télécharge le sur le bureau

-
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

-Redémarre ton ordinateur
-Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
-A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
-Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
-Choisis ton compte.
-Déroule la liste des instructions ci-dessous :
-Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
-Appuie sur Y pour commencer le processus de nettoyage.
-Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
-Appuie sur une touche pour redémarrer le PC.
-Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
-Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
-Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
-Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

StephaneS · Answer

Je vais faire ça, je te tiens au courant dans les minutes qui suivent. merci!


StephaneS

dou-l · Answer

ok a+

StephaneS · Answer

ça y est, voici le rapport:


[b]SDFix: Version 1.181 [/b]
Run by Stephane on 11/05/2008 at 13:25

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


[b]Checking Files [/b]: 

Trojan Files Found:

C:\WINDOWS\system32\smp\msrc.exe - Deleted
C:\WINDOWS\a.bat  - Deleted
C:\WINDOWS\base64.tmp  - Deleted
C:\WINDOWS\bdn.com  - Deleted
C:\WINDOWS\FVProtect.exe  - Deleted
C:\WINDOWS\iTunesMusic.exe  - Deleted
C:\WINDOWS\mssecu.exe  - Deleted
C:\WINDOWS\system32\akttzn.exe  - Deleted
C:\WINDOWS\system32\anticipator.dll  - Deleted
C:\WINDOWS\system32\awtoolb.dll  - Deleted
C:\WINDOWS\system32\bdn.com  - Deleted
C:\WINDOWS\system32\bsva-egihsg52.exe  - Deleted
C:\WINDOWS\system32\dpcproxy.exe  - Deleted
C:\WINDOWS\system32\hoproxy.dll  - Deleted
C:\WINDOWS\system32\hxiwlgpm.dat  - Deleted
C:\WINDOWS\system32\hxiwlgpm.exe  - Deleted
C:\WINDOWS\system32\msgp.exe  - Deleted
C:\WINDOWS\system32\msnbho.dll  - Deleted
C:\WINDOWS\system32\mssecu.exe  - Deleted
C:\WINDOWS\system32\msvchost.exe  - Deleted
C:\WINDOWS\system32\mtr2.exe  - Deleted
C:\WINDOWS\system32\mwin32.exe  - Deleted
C:\WINDOWS\system32
etode.exe  - Deleted
C:\WINDOWS\system32
ewsd32.exe  - Deleted
C:\WINDOWS\system32\ps1.exe  - Deleted
C:\WINDOWS\system32\psof1.exe  - Deleted
C:\WINDOWS\system32\psoft1.exe  - Deleted
C:\WINDOWS\system32egc64.dll  - Deleted
C:\WINDOWS\system32egm64.dll  - Deleted
C:\WINDOWS\system32\Rundl1.exe  - Deleted
C:\WINDOWS\system32\sncntr.exe  - Deleted
C:\WINDOWS\system32\ssurf022.dll  - Deleted
C:\WINDOWS\system32\ssvchost.com  - Deleted
C:\WINDOWS\system32\ssvchost.exe  - Deleted
C:\WINDOWS\system32\sysreq.exe  - Deleted
C:\WINDOWS\system32	aack.dat  - Deleted
C:\WINDOWS\system32	aack.exe  - Deleted
C:\WINDOWS\system32	emp#01.exe  - Deleted
C:\WINDOWS\system32	hun.dll  - Deleted
C:\WINDOWS\system32	hun32.dll  - Deleted
C:\WINDOWS\system32\VBIEWER.OCX  - Deleted
C:\WINDOWS\system32\vbsys2.dll  - Deleted
C:\WINDOWS\system32\vcatchpi.dll  - Deleted
C:\WINDOWS\system32\winlogonpc.exe  - Deleted
C:\WINDOWS\system32\winsystem.exe  - Deleted
C:\WINDOWS\system32\WINWGPX.EXE  - Deleted
C:\WINDOWS\userconfig9x.dll  - Deleted
C:\WINDOWS\Web\def.htm  - Deleted
C:\WINDOWS\winsystem.exe  - Deleted
C:\WINDOWS\zip1.tmp  - Deleted
C:\WINDOWS\zip2.tmp  - Deleted
C:\WINDOWS\zip3.tmp  - Deleted
C:\WINDOWS\zipped.tmp  - Deleted



Folder C:\WINDOWS\system32\smp - Removed


Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1359.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-11 13:31:29
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:0000004e
"TracesSuccessful"=dword:00000001

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:Enabled:Assistance … distance"
"%ProgramFiles%\Messenger\msmsgs.exe"="%ProgramFiles%\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"%ProgramFiles%\AOL 9.0\AOL.exe"="%ProgramFiles%\AOL 9.0\AOL.exe:*:enabled:AOL 9.0"
"%ProgramFiles%\AOL 9.0\WAOL.exe"="%ProgramFiles%\AOL 9.0\WAOL.exe:*:enabled:AOL 9.0"
"%CommonProgramFiles%\AOL\ACS\AOLACSD.exe"="%CommonProgramFiles%\AOL\ACS\AOLACSD.exe:*:enabled:AOL 9.0 (Connectivity Service)"
"%CommonProgramFiles%\AOL\ACS\AOLDIAL.exe"="%CommonProgramFiles%\AOL\ACS\AOLDIAL.exe:*:enabled:AOL 9.0 (Connectivity Service Dialer)"
"%WinDir%\system32\fxsclnt.exe"="%WinDir%\system32\fxsclnt.exe:*:enabled:Microsoft Fax Console"
"%ProgramFiles%\IVT Corporation\BlueSoleil\BlueSoleil.exe"="%ProgramFiles%\IVT Corporation\BlueSoleil\BlueSoleil.exe:*:enabled:BlueSoleil"
"C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"="C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Steam\SteamApps\stephane67850\counter-strike source\hl2.exe"="C:\Program Files\Steam\SteamApps\stephane67850\counter-strike source\hl2.exe:*:Enabled:hl2"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\Program Files\Shareaza\Shareaza.exe"="C:\Program Files\Shareaza\Shareaza.exe:*:Enabled:Shareaza Ultimate File Sharing"
"C:\Program Files\Steam\SteamApps\stephane67850\day of defeat source\hl2.exe"="C:\Program Files\Steam\SteamApps\stephane67850\day of defeat source\hl2.exe:*:Enabled:hl2"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:Enabled:Assistance … distance"
"%ProgramFiles%\Messenger\msmsgs.exe"="%ProgramFiles%\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"%ProgramFiles%\AOL 9.0\AOL.exe"="%ProgramFiles%\AOL 9.0\AOL.exe:*:enabled:AOL 9.0"
"%ProgramFiles%\AOL 9.0\WAOL.exe"="%ProgramFiles%\AOL 9.0\WAOL.exe:*:enabled:AOL 9.0"
"%CommonProgramFiles%\AOL\ACS\AOLACSD.exe"="%CommonProgramFiles%\AOL\ACS\AOLACSD.exe:*:enabled:AOL 9.0 (Connectivity Service)"
"%CommonProgramFiles%\AOL\ACS\AOLDIAL.exe"="%CommonProgramFiles%\AOL\ACS\AOLDIAL.exe:*:enabled:AOL 9.0 (Connectivity Service Dialer)"
"%WinDir%\system32\fxsclnt.exe"="%WinDir%\system32\fxsclnt.exe:*:enabled:Microsoft Fax Console"
"%ProgramFiles%\IVT Corporation\BlueSoleil\BlueSoleil.exe"="%ProgramFiles%\IVT Corporation\BlueSoleil\BlueSoleil.exe:*:enabled:BlueSoleil"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files [/b]:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Mon  4 Oct 2004        54,384 A..H. --- "C:\Program Files\AOL 9.0\aolphx.exe"
Mon  4 Oct 2004       156,784 A..H. --- "C:\Program Files\AOL 9.0\aoltray.exe"
Mon  4 Oct 2004        31,344 A..H. --- "C:\Program Files\AOL 9.0\RBM.exe"
Mon 24 Dec 2007     6,219,320 A..H. --- "C:\Program Files\Picasa2\setup.exe"
Tue 25 Jan 2005             8 ..SHR --- "C:\WINDOWS\system32\F2A38CDCBF.sys"
Mon 24 Dec 2007         6,786 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Tue  4 Mar 2008         4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Fri 13 Aug 2004     1,953,792 A..HR --- "C:\Program Files\Microsoft Works Suite 2005\Setup\launcher.exe"
Fri 13 Aug 2004        53,760 A..HR --- "C:\Program Files\Microsoft Works Suite 2005\Setup\mnyinsta.dll"
Fri 13 Aug 2004        94,208 A..HR --- "C:\Program Files\Microsoft Works Suite 2005\Setup\RmvSuite.exe"
Mon 16 Aug 2004        35,328 A..HR --- "C:\Program Files\Microsoft Works Suite 2005\Setup\setuplng.dll"
Fri 13 Aug 2004        20,480 A..HR --- "C:\Program Files\Microsoft Works Suite 2005\Setup\unregwtr.exe"
Mon 24 Dec 2007           120 A..H. --- "C:\Program Files\Common Files\X10\Common\x10prod.sys"
Thu  3 Jan 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\0a67b6c406b1d7e0f5c1e6f6d44a3f6e\BIT5.tmp"
Thu  3 Jan 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\18b19374451d28a8fbaf1939cf31ff45\BIT8.tmp"
Thu  3 Jan 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\22fb973e059470cc1b5d76c4ae605351\BITC.tmp"
Wed  7 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\24af2a69c06a4de03e35dc89d706475f\BIT1.tmp"
Thu  3 Jan 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\26924cbc8132a10b438ce6e2b49d4652\BIT4.tmp"
Thu  3 Jan 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\2769b111678c52099a3b3123b12f2325\BIT9.tmp"
Thu  3 Jan 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\30285791903730fbf957a83562db4ff4\BIT6.tmp"
Thu  3 Jan 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\9e870549834e2bceb796e44a1e3ac6f5\BITB.tmp"
Thu  3 Jan 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\cb8921d0c7830b2f33c00fa4c8a10d17\BIT7.tmp"
Thu  3 Jan 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\d77b9b5b8fed23dd91f50d167cce60d3\BITA.tmp"

[b]Finished![/b]

dou-l · Answer

ok un nouveau hijackthis stp  .

StephaneS · Answer

Je fais ça de suite ;)

edit:

le voilà: 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:59:59, on 11/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Neuf\Kit\WiFi\9wifi.exe
C:\Program Files\VisualTaskTips\VisualTaskTips.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\uvkbadiz.exe
C:\WINDOWS\webshots.scr
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Winamp\Winamp.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {10F0C2A9-8E38-43e3-204D-45524C494E20} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar	oolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Autoconfigurateur WiFi Neuf] "C:\Program Files\Neuf\Kit\WiFi\9wifi.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [VisualTaskTips] C:\Program Files\VisualTaskTips\VisualTaskTips.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [sncrkaph] C:\WINDOWS\system32\fyjehury.exe
O4 - HKCU\..\Run: [fkgtvudp] C:\WINDOWS\system32\uvkbadiz.exe
O4 - HKCU\..\Run: [obpkpeuv] C:\WINDOWS\system32mbcrurw.exe
O4 - HKCU\..\Run: [hrtfjbkg] C:\WINDOWS\system32\qfcncnoh.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRA~1\WINDOW~3\MESSEN~1\msnmsgr.exe" /background
O4 - HKCU\..\Run: [gjzgycbf] C:\WINDOWS\system32\pyfybmlg.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar	oolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.aldi.com/
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

StephaneS · Answer

Au fait, comment faites-vous pour résoudre des problèmes avec des rapports comme ceux-ci? 

Merci!

dou-l · Answer

C'est difficile il faut beaucoup apprendre ...



Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche (bien)  ces fichiers :


C:\WINDOWS\system32\fyjehury.exe
 C:\WINDOWS\system32\uvkbadiz.exe
 C:\WINDOWS\system32\rmbcrurw.exe
 C:\WINDOWS\system32\qfcncnoh.exe

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre le nom du fichier envoyé.


Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

StephaneS · Answer

Je fais ça de suite, merci.

StephaneS · Answer

Fichier fyjehury.exe reçu le 2008.05.11 14:54:16 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE 

Résultat: 17/30 (56.67%)

en train de charger les informations du serveur... 
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse. 
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier. 
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération. 
 Formaté 
Impression des résultats  
Votre fichier a expiré ou n'existe pas. 
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. 
Email:




Antivirus
Version
Dernière mise à jour
Résultat
AhnLab-V3
2008.5.10.0
2008.05.10
-
AntiVir
7.8.0.17
2008.05.09
TR/Crypt.XPACK.Gen
Authentium
4.93.8
2008.05.11
-
Avast
4.8.1169.0
2008.05.10
-
AVG
7.5.0.516
2008.05.10
Downloader.Obfuskated
BitDefender
7.2
2008.05.08
-
CAT-QuickHeal
9.50
2008.05.10
Win32.Trojan.Obfuscated.gx.3
ClamAV
0.92.1
2008.05.11
Trojan.Agent-23311
DrWeb
4.44.0.09170
2008.05.10
-
eSafe
7.0.15.0
2008.05.09
-
eTrust-Vet
31.4.5772
2008.05.09
Win32/Busky.CN
Ewido
4.0
2008.05.11
-
F-Prot
4.4.2.54
2008.05.10
-
F-Secure
6.70.13260.0
2008.05.10
Trojan.Win32.Obfuscated.gx
Fortinet
3.14.0.0
2008.05.11
W32/Obfuscated.GX!tr
Ikarus
T3.1.1.26.0
2008.05.11
Virus.Trojan.Win32.Obfuscated.gx
Kaspersky
7.0.0.125
2008.05.11
Trojan.Win32.Obfuscated.gx
McAfee
5292
2008.05.10
Puper
Microsoft
1.3408
2008.05.11
Trojan:Win32/Busky.J
NOD32v2
3090
2008.05.09
a variant of Win32/TrojanDownloader.FakeAlert.BP
Norman
5.80.02
2008.05.09
W32/DLoader.HCHQ
Panda
9.0.0.4
2008.05.11
Adware/SystemDoctor
Prevx1
V2
2008.05.11
Malware Downloader
Rising
20.43.62.00
2008.05.11
-
Sophos
4.29.0
2008.05.11
Mal/EncPk-DG
Sunbelt
3.0.1097.0
2008.05.07
-
TheHacker
6.2.92.307
2008.05.11
-
VBA32
3.12.6.5
2008.05.10
-
VirusBuster
4.3.26:9
2008.05.10
-
Webwasher-Gateway
6.6.2
2008.05.09
Trojan.Crypt.XPACK.Gen

Information additionnelle
File size: 94208 bytes
MD5...: f568c9b353b67926375d7545618a9dc7
SHA1..: ce0a9556566f6efae0b09fad87d69612990866bf
SHA256: fd155e8fa2d60bb83fac7c5f843510616bd80a4733d949a540fa917d8a4ec158
SHA512: c43cd73c9c5eb7b68b7dfcbfecdb9915a38d6f0ed69de7eaff09e08dd1b302b9
e41738983d48b0dae2f53d7c79a624b92668726caab7ed364138408c649542cc
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x41198a
timedatestamp.....: 0x481db3cb (Sun May 04 13:02:03 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x13e5a 0x14000 6.82 fc1ae38bebbbac91692bf4c6f02fcc32
.rdata 0x15000 0x70 0x1000 0.18 13e2ebaf389cf623a172c459168a5e98
.data 0x16000 0x2f20 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110

( 1 imports ) 
> KERNEL32.dll: GetProcAddress, LoadLibraryA

( 0 exports ) 
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=743E8E5A0011BA4670DE018AE2CFF1001AC9B8EF

-----------------

Fichier uvkbadiz.exe reçu le 2008.05.11 15:00:25 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE 

Résultat: 17/30 (56.67%)

en train de charger les informations du serveur... 
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 37 et 52 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse. 
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier. 
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération. 
 Formaté 
Impression des résultats  
Votre fichier a expiré ou n'existe pas. 
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. 
Email:




Antivirus
Version
Dernière mise à jour
Résultat
AhnLab-V3
2008.5.10.0
2008.05.10
-
AntiVir
7.8.0.17
2008.05.09
TR/Crypt.XPACK.Gen
Authentium
4.93.8
2008.05.11
-
Avast
4.8.1169.0
2008.05.10
-
AVG
7.5.0.516
2008.05.10
Downloader.Obfuskated
BitDefender
7.2
2008.05.08
-
CAT-QuickHeal
9.50
2008.05.10
Trojan.Obfuscated.gx
ClamAV
0.92.1
2008.05.11
Trojan.Agent-23466
DrWeb
4.44.0.09170
2008.05.10
-
eSafe
7.0.15.0
2008.05.09
Win32.Obfuscated.gx
eTrust-Vet
31.4.5772
2008.05.09
Win32/Busky.CR
Ewido
4.0
2008.05.11
-
F-Prot
4.4.2.54
2008.05.10
-
Fortinet
3.14.0.0
2008.05.11
W32/Obfuscated.GX!tr
Ikarus
T3.1.1.26.0
2008.05.11
Virus.Trojan.Win32.Obfuscated.gx
Kaspersky
7.0.0.125
2008.05.11
Trojan.Win32.Obfuscated.gx
McAfee
5292
2008.05.10
-
Microsoft
1.3408
2008.05.11
Trojan:Win32/Busky.EC
NOD32v2
3090
2008.05.09
a variant of Win32/TrojanDownloader.FakeAlert.BP
Norman
5.80.02
2008.05.09
-
Panda
9.0.0.4
2008.05.11
Adware/SystemDoctor
Prevx1
V2
2008.05.11
Malware Downloader
Rising
20.43.62.00
2008.05.11
-
Sophos
4.29.0
2008.05.11
Mal/EncPk-DG
Sunbelt
3.0.1097.0
2008.05.07
-
Symantec
10
2008.05.11
Downloader.MisleadApp
TheHacker
6.2.92.307
2008.05.11
-
VBA32
3.12.6.5
2008.05.10
Trojan.Win32.Obfuscated.gx
VirusBuster
4.3.26:9
2008.05.10
-
Webwasher-Gateway
6.6.2
2008.05.09
Trojan.Crypt.XPACK.Gen

Information additionnelle
File size: 114688 bytes
MD5...: ccded98e8d1615bc09d83e6e8837c845
SHA1..: b542cac118480fd642cc4b32370868eb3f741888
SHA256: da087041e0b1a0e5d3bfcc15827ffa0a46225a062fe6da0d9442e3e5c3b22c75
SHA512: c35cd49a4948470bf8ac0eb5685969a127d780064f8a41c1063bde28c16d6073
cdcdf1e47791891e083624467debc0f4bd4ee94f848afc226ce817c06b744ab6
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x415e05
timedatestamp.....: 0x481e86ba (Mon May 05 04:02:02 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x184e6 0x19000 6.86 2875b1936a8eb00e61b79aee58594309
.rdata 0x1a000 0x70 0x1000 0.18 8122a474f42f430b0f0b5ecc04d0974c
.data 0x1b000 0x2ed4 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110

( 1 imports ) 
> KERNEL32.dll: GetProcAddress, LoadLibraryA

( 0 exports ) 
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=D21623DD000C8AEDC0080132B98F0900DD14D4BD

-------------

Fichier rmbcrurw.exe reçu le 2008.05.11 15:04:58 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE 

Résultat: 14/31 (45.17%)

en train de charger les informations du serveur... 
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 39 et 56 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse. 
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier. 
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération. 
 Formaté 
Impression des résultats  
Votre fichier a expiré ou n'existe pas. 
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. 
Email:




Antivirus
Version
Dernière mise à jour
Résultat
AhnLab-V3
2008.5.10.0
2008.05.10
-
AntiVir
7.8.0.17
2008.05.09
TR/Crypt.XPACK.Gen
Authentium
4.93.8
2008.05.10
-
Avast
4.8.1169.0
2008.05.10
-
AVG
7.5.0.516
2008.05.10
Downloader.Obfuskated
BitDefender
7.2
2008.05.08
-
CAT-QuickHeal
9.50
2008.05.10
Trojan.Obfuscated.gx
ClamAV
0.92.1
2008.05.11
-
DrWeb
4.44.0.09170
2008.05.10
-
eSafe
7.0.15.0
2008.05.07
Win32.Obfuscated.gx
eTrust-Vet
31.4.5771
2008.05.08
-
Ewido
4.0
2008.05.11
-
F-Prot
4.4.2.54
2008.05.10
-
F-Secure
6.70.13260.0
2008.05.10
Trojan.Win32.Obfuscated.gx
Fortinet
3.14.0.0
2008.05.11
W32/Obfuscated.GX!tr
Ikarus
T3.1.1.26.0
2008.05.11
Virus.Trojan.Win32.Obfuscated.gx
Kaspersky
7.0.0.125
2008.05.11
Trojan.Win32.Obfuscated.gx
McAfee
5291
2008.05.08
-
Microsoft
1.3408
2008.05.11
Trojan:Win32/Busky.EC
NOD32v2
3090
2008.05.09
a variant of Win32/TrojanDownloader.FakeAlert.BP
Norman
5.80.02
2008.05.09
-
Panda
9.0.0.4
2008.05.11
-
Prevx1
V2
2008.05.11
Malware Downloader
Rising
20.43.62.00
2008.05.11
-
Sophos
4.29.0
2008.05.11
Mal/EncPk-DG
Sunbelt
3.0.1097.0
2008.05.07
-
Symantec
10
2008.05.11
Downloader.MisleadApp
TheHacker
6.2.92.307
2008.05.11
-
VBA32
3.12.6.5
2008.05.10
-
VirusBuster
4.3.26:9
2008.05.10
-
Webwasher-Gateway
6.6.2
2008.05.09
Trojan.Crypt.XPACK.Gen

Information additionnelle
File size: 118784 bytes
MD5...: 50ee4b39b55017aa97490d59d857d80e
SHA1..: 17bf51abf1080bbd3c89a2ed6eddc17368887329
SHA256: fd08bf81099d59a617142d4dbd5077170c741e3b649fed17a3fdae1c6f201933
SHA512: 028720e3912c5d12ba165d3d41397c900c1ecb0b4c70e399e5d46aa99e2322ee
fb15202596241f54d6bd828c1b387bd2dc56e0137b049cf0e315542bf9d35f06
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40514c
timedatestamp.....: 0x481fd83d (Tue May 06 04:02:05 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x19986 0x1a000 6.91 7dda6ea9c48466fbeb19e61c3c15c600
.rdata 0x1b000 0x70 0x1000 0.18 9baeb098942e0a5b3fc920e32b078966
.data 0x1c000 0x2f30 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110

( 1 imports ) 
> KERNEL32.dll: GetProcAddress, LoadLibraryA

( 0 exports ) 
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=949A4DF1007B2ABED04A01F7EB3955007C0EEA25

--------------
Fichier qfcncnoh.exe reçu le 2008.05.11 15:07:11 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE 

Résultat: 15/31 (48.39%)

en train de charger les informations du serveur... 
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 39 et 56 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse. 
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier. 
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération. 
 Formaté 
Impression des résultats  
Votre fichier a expiré ou n'existe pas. 
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. 
Email:




Antivirus
Version
Dernière mise à jour
Résultat
AhnLab-V3
2008.5.10.0
2008.05.10
-
AntiVir
7.8.0.17
2008.05.09
TR/Crypt.XPACK.Gen
Authentium
4.93.8
2008.05.11
-
Avast
4.8.1169.0
2008.05.10
-
AVG
7.5.0.516
2008.05.10
Downloader.Obfuskated
BitDefender
7.2
2008.05.08
-
CAT-QuickHeal
9.50
2008.05.10
Win32.Trojan.Obfuscated.gx.3
ClamAV
0.92.1
2008.05.11
Trojan.Agent-23312
DrWeb
4.44.0.09170
2008.05.10
-
eSafe
7.0.15.0
2008.05.09
Win32.Obfuscated.gx
eTrust-Vet
31.4.5772
2008.05.09
Win32/Busky.CQ
Ewido
4.0
2008.05.11
-
F-Prot
4.4.2.54
2008.05.10
-
F-Secure
6.70.13260.0
2008.05.10
Trojan.Win32.Obfuscated.gx
Fortinet
3.14.0.0
2008.05.11
W32/Obfuscated.GX!tr
Ikarus
T3.1.1.26.0
2008.05.11
Virus.Trojan.Win32.Obfuscated.gx
Kaspersky
7.0.0.125
2008.05.11
Trojan.Win32.Obfuscated.gx
McAfee
5292
2008.05.10
-
Microsoft
1.3408
2008.05.11
Trojan:Win32/Busky.I
NOD32v2
3090
2008.05.09
a variant of Win32/TrojanDownloader.FakeAlert.BP
Norman
5.80.02
2008.05.09
-
Panda
9.0.0.4
2008.05.11
-
Prevx1
V2
2008.05.11
-
Rising
20.43.62.00
2008.05.11
-
Sophos
4.29.0
2008.05.11
Mal/EncPk-DG
Sunbelt
3.0.1097.0
2008.05.07
-
Symantec
10
2008.05.11
Downloader.MisleadApp
TheHacker
6.2.92.307
2008.05.11
-
VBA32
3.12.6.5
2008.05.10
-
VirusBuster
4.3.26:9
2008.05.10
-
Webwasher-Gateway
6.6.2
2008.05.09
Trojan.Crypt.XPACK.Gen

Information additionnelle
File size: 106496 bytes
MD5...: 511dffec889586ee0bfa98a96a47de98
SHA1..: 0194534575511c92eb8b87125165863efad1e198
SHA256: 60d0e1d9a15de275edeccdf9908d03d2bee982cc97b66ee6772b1967e02fc78b
SHA512: 5e90956c0a7ff82d3f1381b88484e3f627cf0303f21868e31ec86bc4e7f6a856
2b0a5e7405819e3771e9318d130ba28a45443a6f19ebc54f5bcaea4e19151619
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40eeb4
timedatestamp.....: 0x48217e1e (Wed May 07 10:02:06 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x16652 0x17000 6.81 a4a8a87f96ac5326b43ca356f2c82137
.rdata 0x18000 0x70 0x1000 0.18 72fa5b6102597b74998acf2c9568c8c9
.data 0x19000 0x2ef0 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110

( 1 imports ) 
> KERNEL32.dll: GetProcAddress, LoadLibraryA

( 0 exports ) 


C'est bien ça?

Bonne chance!

dou-l · Answer

Oui c'est bien ca et ils sont tous infecter !




télécharge OTMoveIt OTMoveit sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,

CITATION  


C:\WINDOWS\system32\fyjehury.exe
C:\WINDOWS\system32\uvkbadiz.exe
C:\WINDOWS\system32\rmbcrurw.exe
C:\WINDOWS\system32\qfcncnoh.exe


et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

StephaneS · Answer

Tous infectés? Oulala, j'espère que c'est pas trop grave?

Je vais faire ce que tu m'as conseillé, et je te tiens au courant dès que j'ai fini.

Merci, a+

StephaneS · Answer

Je vois que le rapport est déjà présent dans C:\_OTMoveIt\MovedFiles, tout comme mes 4 dossiers infectés.
Et on ne me demande pas de redémarrer. J'ai sauté une étape?

dou-l · Answer

Oui c'est pas automatique qu'il le redemmare poste le rapport stp

StephaneS · Answer

Ah ok désolé, j'avais pas compris que je devais posté le rapport..

Le voici: 

C:\WINDOWS\system32\fyjehury.exe moved successfully.
C:\WINDOWS\system32\uvkbadiz.exe moved successfully.
C:\WINDOWS\system32\rmbcrurw.exe moved successfully.
C:\WINDOWS\system32\qfcncnoh.exe moved successfully.
 
Created on 05/11/2008 15:19:55

dou-l · Answer

Parfait ca a etait supprimer !!

Un new hijackthis stp ...

StephaneS · Answer

Le voici:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:28:30, on 11/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Neuf\Kit\WiFi\9wifi.exe
C:\Program Files\VisualTaskTips\VisualTaskTips.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\uvkbadiz.exe
C:\WINDOWS\webshots.scr
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {10F0C2A9-8E38-43e3-204D-45524C494E20} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar	oolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Autoconfigurateur WiFi Neuf] "C:\Program Files\Neuf\Kit\WiFi\9wifi.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [VisualTaskTips] C:\Program Files\VisualTaskTips\VisualTaskTips.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [sncrkaph] C:\WINDOWS\system32\fyjehury.exe
O4 - HKCU\..\Run: [fkgtvudp] C:\WINDOWS\system32\uvkbadiz.exe
O4 - HKCU\..\Run: [obpkpeuv] C:\WINDOWS\system32mbcrurw.exe
O4 - HKCU\..\Run: [hrtfjbkg] C:\WINDOWS\system32\qfcncnoh.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRA~1\WINDOW~3\MESSEN~1\msnmsgr.exe" /background
O4 - HKCU\..\Run: [gjzgycbf] C:\WINDOWS\system32\pyfybmlg.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar	oolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.aldi.com/
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

dou-l · Answer

Non j'en ai oublié un dsl

retourne sur virustotal et fais analyser celui ci:

C:\WINDOWS\system32\pyfybmlg.exe

Tout dépend si il est infecter sinon ca ne devrat plus etre tres long!

StephaneS · Answer

Oui je trouvé ça bizarre que ce soit fini, car j'ai encore un petit panneau danger avec un point d'exclamation dans la barre des taches...

Je fais ça de suite. Merci!

StephaneS · Answer

Voici le rapport:

 Fichier pyfybmlg.exe reçu le 2008.05.11 15:33:50 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 13/31 (41.94%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 39 et 56 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email: 	
	
Antivirus 	Version 	Dernière mise à jour 	Résultat
AhnLab-V3	2008.5.10.0	2008.05.10	-
AntiVir	7.8.0.17	2008.05.09	HEUR/Crypted
Authentium	4.93.8	2008.05.11	-
Avast	4.8.1169.0	2008.05.10	-
AVG	7.5.0.516	2008.05.10	Downloader.Zlob.13.A
BitDefender	7.2	2008.05.08	-
CAT-QuickHeal	9.50	2008.05.10	(Suspicious) - DNAScan
ClamAV	0.92.1	2008.05.11	-
DrWeb	4.44.0.09170	2008.05.10	-
eSafe	7.0.15.0	2008.05.09	-
eTrust-Vet	31.4.5771	2008.05.08	-
Ewido	4.0	2008.05.11	-
F-Prot	4.4.2.54	2008.05.10	-
F-Secure	6.70.13260.0	2008.05.10	Type_Win32
Fortinet	3.14.0.0	2008.05.11	-
Ikarus	T3.1.1.26.0	2008.05.11	Trojan.Win32.Busky.EC
Kaspersky	7.0.0.125	2008.05.11	Type_Win32
McAfee	5292	2008.05.10	New Win32.g2
Microsoft	1.3408	2008.05.11	Trojan:Win32/Busky.EC
NOD32v2	3090	2008.05.09	a variant of Win32/TrojanDownloader.FakeAlert.BP
Norman	5.80.02	2008.05.09	-
Panda	9.0.0.4	2008.05.11	Suspicious file
Prevx1	V2	2008.05.11	Malicious Software
Rising	20.43.62.00	2008.05.11	-
Sophos	4.29.0	2008.05.11	Mal/EncPk-DG
Sunbelt	3.0.1097.0	2008.05.07	-
Symantec	10	2008.05.11	-
TheHacker	6.2.92.307	2008.05.11	-
VBA32	3.12.6.5	2008.05.10	-
VirusBuster	4.3.26:9	2008.05.10	-
Webwasher-Gateway	6.6.2	2008.05.09	Heuristic.Crypted
Information additionnelle
File size: 118784 bytes
MD5...: 0707a7385d772abc0399b8b7a047fc6c
SHA1..: 21c76a3b0abbb786dda0ac1347bd965bef5e2886
SHA256: 6fd7ab5c1cdfc933b98fb03c1b0e3ada59352b0609a05885b61d287741b59e51
SHA512: dd694a9e9fc3d686a487cbd67cb8c25938b374419bb5a293746ccf206c9966c6
528f4eaee3f1330c9f56a6bc9104c65b8acfc1b4966196657fbb971176e1c1e8
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4144a0
timedatestamp.....: 0x48261b5d (Sat May 10 22:02:05 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xc 0x1000 0.03 012f5e00381e7f06e22d001995b7c481
.rdata 0x2000 0x70 0x1000 0.16 c604519dc7afc601ae159dd69de41dd1
.data 0x3000 0x5e98 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
_TEXT2 0x9000 0x18b23 0x19000 6.91 7e08bb64ade9dcd24785e0dfadbcb9c6

( 1 imports )
> KERNEL32.dll: GetProcAddress, LoadLibraryA

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=25E3A3CC001A1CD3D0E6012DDDE82A0051CB04B3

dou-l · Answer

ok c'est infecter 

refait otmoveit mais avec ca et poste le rapport

C:\WINDOWS\system32\pyfybmlg.exe

StephaneS · Answer

Et voilà:

C:\WINDOWS\system32\pyfybmlg.exe moved successfully.
 
Created on 05/11/2008 15:44:54

dou-l · Answer

ok tu as encore des soucis ??

StephaneS · Answer

Pour le moment ça a l'air d'aller. Mais pour être sûr de ne plus avoir de soucis il faut que j'attends :p

Mais comme dit, ça doit faire 5/10 minutes que j'ai plus rien.

En tout cas, merci à vous, pour votre gentillesse et votre rapidité de réponse. (et peut être dans 10 minutes pour votre efficacité^^)


Si j'ai encore un soucis je vous contacte ici même.

Merci à vous pour le temps que vous m'avez consacré!!

dou-l · Answer

ok a tout a l'heure

StephaneS · Answer

Je pense que j'ai plus rien. Plus rien ne s'est affiché depuis un quart d'heure alors qu'avant j'avais une fenêtre qui apparaissait toutes les 5/10 minutes.

Merci encore dou-l.

Dites, y'a t'il un moyen efficace pour se protéger de ces saletés?

Merci à vous!

(ps: j'arrive pas à mettre à jour ad-aware, on peux en discuter rapidement sur ce sujet?)

A+

dou-l · Answer

Oui mais d'abord :


Pas de pare feu ? télécharge et installe zonealarm

Pour t'aider à le configurer : regarde le tuto

___________________________________

je te conseille de remplacer avast qui n'est pas au top !

Télécharge plutôt antivir en anglais mais très efficaces !

Fais un scan avec antivir si tu le prend et dit tes soucis

Désinstaller avast proprement c'est par ici


dis moi quand tu as finit et on en reparle !!

StephaneS · Answer

J'ai un pare feu que je veux garder, je dois installer zonealarm?

Je vais installer antivir que tu me le conseille, je te recontacte quand c'est fini.

dou-l · Answer

Ton parefeu c'est quoi windows xp ?

StephaneS · Answer

ça y est, avast est désinstallé comme tu m'as conseillé, et antivir est installé.

Je suis en train de faire un scan, il a trouvé un virus que j'ai mis en quarantaine.

Tout à l'air de bien se passer. En tout cas j'ai plus de fenêtres qui s'affichent :)

Il ne me reste plus qu'a me familiariser avec antivir, (l'anglais c'est pas mon fort) et je vais voir ce que je peux régler...

Merci beaucoup!!

dou-l · Answer

Ok

Poste le rapport a la fin du scan antivir !

StephaneS · Answer

Oui c'est windows xp.

Je posterai le rapport d'antivir dès que l'analyse est terminée...

StephaneS · Answer

Voilà le rapport:

Avira AntiVir Personal
Report file date: dimanche 11 mai 2008 16:56

Scanning for 1258665 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Boot mode: Normally booted
Username: Stephane
Computer name: NOM-E84D4085E30

Version information:
BUILD.DAT : 8.1.00.295 16479 Bytes 09/04/2008 16:24:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18/03/2008 09:02:56
AVSCAN.DLL : 8.1.1.0 53505 Bytes 07/02/2008 08:43:37
LUKE.DLL : 8.1.2.9 151809 Bytes 28/02/2008 08:41:23
LUKERES.DLL : 8.1.2.1 12033 Bytes 21/02/2008 08:28:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 10:33:34
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07/03/2008 13:08:58
ANTIVIR2.VDF : 7.0.4.0 1554432 Bytes 05/05/2008 14:45:41
ANTIVIR3.VDF : 7.0.4.23 99840 Bytes 09/05/2008 14:45:42
Engineversion : 8.1.0.42
AEVDF.DLL : 8.1.0.5 102772 Bytes 25/02/2008 09:58:21
AESCRIPT.DLL : 8.1.0.31 262522 Bytes 11/05/2008 14:45:56
AESCN.DLL : 8.1.0.16 119156 Bytes 11/05/2008 14:45:55
AERDL.DLL : 8.1.0.20 418165 Bytes 11/05/2008 14:45:55
AEPACK.DLL : 8.1.1.4 364918 Bytes 11/05/2008 14:45:53
AEOFFICE.DLL : 8.1.0.18 192890 Bytes 11/05/2008 14:45:52
AEHEUR.DLL : 8.1.0.26 1237366 Bytes 11/05/2008 14:45:51
AEHELP.DLL : 8.1.0.14 115063 Bytes 11/05/2008 14:45:47
AEGEN.DLL : 8.1.0.20 299380 Bytes 11/05/2008 14:45:46
AEEMU.DLL : 8.1.0.6 430451 Bytes 11/05/2008 14:45:45
AECORE.DLL : 8.1.0.28 168310 Bytes 11/05/2008 14:45:43
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23/01/2008 17:07:53
AVPREF.DLL : 8.0.0.1 25857 Bytes 18/02/2008 10:37:50
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:26:47
AVREG.DLL : 8.0.0.0 30977 Bytes 23/01/2008 17:07:49
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:23
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28/02/2008 08:31:31
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23/01/2008 17:08:39
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:10
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10/03/2008 14:37:25
RCTEXT.DLL : 8.0.32.0 86273 Bytes 06/03/2008 12:02:11

Configuration settings for the scan:
Jobname..........................: Manual Selection
Configuration file...............: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, D:, E:, F:, G:, H:, I:, J:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: dimanche 11 mai 2008 16:56

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'wmiprvse.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'webshots.scr' - '1' Module(s) have been scanned
Scan process 'GoogleToolbarNotifier.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'VisualTaskTips.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'reader_sl.exe' - '1' Module(s) have been scanned
Scan process '9wifi.exe' - '1' Module(s) have been scanned
Scan process 'atiptaxx.exe' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'AGRSMMSG.exe' - '1' Module(s) have been scanned
Scan process 'Dit.exe' - '1' Module(s) have been scanned
Scan process 'CLSched.exe' - '1' Module(s) have been scanned
Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned
Scan process 'mdm.exe' - '1' Module(s) have been scanned
Scan process 'CLMLService.exe' - '1' Module(s) have been scanned
Scan process 'CLMLServer.exe' - '1' Module(s) have been scanned
Scan process 'CLCapSvc.exe' - '1' Module(s) have been scanned
Scan process 'BTNtService.exe' - '1' Module(s) have been scanned
Scan process 'AOLacsd.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'scardsvr.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
42 processes with 42 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!
Master boot sector HD1
[INFO] No virus was found!
[WARNING] Le périphérique n'est pas prêt.
Master boot sector HD2
[INFO] No virus was found!
[WARNING] Le périphérique n'est pas prêt.
Master boot sector HD3
[INFO] No virus was found!
[WARNING] Le périphérique n'est pas prêt.

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Boot sector 'D:\'
[INFO] No virus was found!
Boot sector 'E:\'
[INFO] No virus was found!
Boot sector 'H:\'
[INFO] In the drive 'H:\' no data medium is inserted!
Boot sector 'I:\'
[INFO] In the drive 'I:\' no data medium is inserted!
Boot sector 'J:\'
[INFO] In the drive 'J:\' no data medium is inserted!

Starting to scan the registry.
The registry was scanned ( '34' files ).

Starting the file scan:

Begin scan in 'C:\' <BOOT>
C:\hiberfil.sys
[WARNING] The file could not be opened!
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Documents and Settings\All Users\Application Data\ripidurs\dwfsvipu.exe
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[NOTE] The file was moved to '488d09b1.qua'!
C:\_OTMoveIt\MovedFiles\WINDOWS\system32\fyjehury.exe
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[NOTE] The file was moved to '48910f32.qua'!
C:\_OTMoveIt\MovedFiles\WINDOWS\system32\qfcncnoh.exe
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[NOTE] The file was moved to '488a0f24.qua'!
C:\_OTMoveIt\MovedFiles\WINDOWS\system32\rmbcrurw.exe
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[NOTE] The file was moved to '48890f30.qua'!
C:\_OTMoveIt\MovedFiles\WINDOWS\system32\uvkbadiz.exe
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[NOTE] The file was moved to '48920f3e.qua'!
Begin scan in 'D:\' <BACKUP>
Begin scan in 'E:\' <RECOVER>
Begin scan in 'F:\'
Search path F:\ could not be opened!
Le périphérique n'est pas prêt.

Begin scan in 'G:\'
Search path G:\ could not be opened!
Le périphérique n'est pas prêt.

Begin scan in 'H:\'
Search path H:\ could not be opened!
Le périphérique n'est pas prêt.

Begin scan in 'I:\'
Search path I:\ could not be opened!
Le périphérique n'est pas prêt.

Begin scan in 'J:\'
Search path J:\ could not be opened!
Le périphérique n'est pas prêt.

End of the scan: dimanche 11 mai 2008 17:21
Used time: 25:21 min

The scan has been done completely.

6198 Scanning directories
286899 Files were scanned
5 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
5 files were moved to quarantine
0 files were renamed
2 Files cannot be scanned
286894 Files not concerned
7113 Archives were scanned
5 Warnings
5 Notes

Par contre je ne sais pas comment acceder à la quarantaine pour supprimer les virus ;)

dou-l · Answer

Dans l'interface antivir l doit y avoir marquer quarantinie tu y entre et supprime tout


ensuite ,



* Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.

http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe

    * Clique sur Recherche et laisse le scan se terminer.


    * Clique, sur Suppression pour finaliser.


    * Tu peux, si tu le souhaites, te servir des Options facultatives.


    * Clique sur Quitter, pour que le rapport puisse se créer.


    * Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

dou-l · Answer

Parfait

Je t'ai fait passer ca pour supprimer les outils utilisé car s'en servi peut etre dangereux !

Encore des soucis ???


Si plus de soucis coche résolue en haut se serait gentil stp a+ et bon surf!!

jacques.gache · Answer

bonjour ce qui aurrais été bien aurrais été de remettre un nouveau rapport hijackthis car dans le dernier il y avait une trace de virus msn

dou-l · Answer

Ou quelle ligne

jacques.gache · Answer

désolé c'était surement un faut positif de zhp

StephaneS · Answer

Si vous voulez je peux remettre un rapport, y'a pas de soucis.

En tout cas, merci à toi dou-l, je n'ai plus aucun problème.

A+

je coche résolé ;)

dou-l · Answer

Non c'est bon tout est rentré dans l'ordre pour le faux positif .

Si tu n'as plus de soucis notre aide s'arrete la !

A+ et bon surf .

jacques.gache · Answer

non je pense que cette ligne est un faut positif sinon si ton pc est guéri as tu fais une désactivation et une réactivation de la restauration système pour la purger

dou-l · Answer

Tout juste jacques,

-----

¤Désactive ta restauration système (uniquement si tu es sous XP):
Clic droit sur poste de travail puis,
propriété, tu cliques sur onglet restauration système
tu coches la case « désactiver la restauration » et applique.

Puis,

¤Réactive ta restauration système (uniquement si tu es sous XP):
Clic droit sur poste de travail puis,
propriété, tu cliques sur onglet restauration système
tu décoches la case « désactiver la restauration » et applique.

a+

Problème rogues?

54 réponses

Votre réponse

Newsletters