Virus (Trojan Horse, malware, etc) + Pubs Fermé

Question

Bonjour,

Hier vers 19h, j'ai le malheur de désactiver l'antivirus quelques instants pour transférer un fichier et depuis je me suis retrouvée avec plus de 100 virus. J'ai fais des recherches et j'ai trié tous les nouveaux fichiers d'hier et aujourd'hui et via internet, je me suis renseignée pour supprimer ceux-ci. 

Je pense que la meilleure des solutions est de m'adresser à vous. 
Comme conseillé, je n'ai utilisé aucun mdp et effacé tous les autres (du moins je crois).

Je remarque que ce n'est qu'au démarrage que mon antivirus trouve la présence de deux chevaux de Troie (à chaque démarrage). Sinon certains autres viennent mais je ne me souviens pas avoir utilisé un logiciel spécifique à ce moment. 
De plus, j'ai droit au démarrage d'une analyse en ligne avec un logiciel inconnu même quand je réponds que je ne veux pas l'effectuer, ainsi que des publicités Outerinfo, j'avais entendu parler d'un désinstalleur mais mon pc n'a pas l'air d'en vouloir parce qu'il l'a considéré comme un virus (contains detection pattern of the dropper). 

Donc je me demandais si quelqu'un pourrait m'aider à me débarrasser de tout ce petit monde. 
Que dois-je faire?

Merci d'avance pour votre aide.

Lyonnais92 · Answer

Bonjour,

Clique sur ce lien
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
pour télécharger le fichier d'installation d'HijackThis.

Enregistre HJTInstall.exe sur ton bureau.  

Double-clique sur HJTInstall.exe pour lancer le programme

Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis

Accepte la license en cliquant sur le bouton "I Accept"



Ferme Hijackthis en cliquant sur la croix-rouge.

Télécharge DSS (Deckard's System Scanner de Deckard) sur ton Bureau à partir de ce lien :

http://www.techsupportforum.com/sectools/Deckard/dss.exe

Choisis "Enregistrer" et "Bureau" comme emplacement.

Ferme toutes les applications en cours (très important, sinon l'ordi peut planter).

Double-clique sur DSS.exe pour lancer l'outil.

S'il ne trouve pas HijackThis, clique sur Oui.

Clique sur OK à chaque fois que cela sera demandé.

L'analyse finie, un fichier texte s'affichera. Poste son contenu dans ta réponse.
 
Le rapport se trouve ici : C:\Deckard\System Scanner\main.txt.

darkpoet · Answer

salut je suis pas un crack mais j ai u les meme pb que toi j ai telecharger" malwarebytes antimalware"
tu le fait en mode sans echec puis j ai installer "antivir " comme anti virus il en a retrouver un tas mais je suis tranquille

Abeille · Answer

Suppléments :

- Windows XP
- Avira Antivir Personal - Free Antivirus
- Firefox 2.0.0.14
- Internet Explorer

Le problème des pubs, n'est jusqu'ici survenu que sur Internet Explorer, Firefox à l'air de fonctionner correctement pour le moment.

Abeille · Answer

Merci. Voici le rapport.

Deckard's System Scanner v20071014.68
Run by Titia on 2008-05-30 23:46:55
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
15: 2008-05-30 21:47:10 UTC - RP312 - Deckard's System Scanner Restore Point
14: 2008-05-30 19:48:22 UTC - RP311 - Microsoft Works 6-9 Converter installé
13: 2008-05-30 18:31:47 UTC - RP310 - Point de vérification système
12: 2008-05-29 18:16:17 UTC - RP309 - Last known good configuration
11: 2008-05-29 18:14:44 UTC - RP308 - Software Distribution Service 3.0


-- First Restore Point -- 
1: 2008-05-29 18:13:54 UTC - RP298 - Point de vérification système


Backed up registry hives.
Performed disk cleanup.

[color=red]Total Physical Memory: 256 MiB (512 MiB recommended)./color
[color=red]System Drive C: has 2.47 GiB (less than 15%) free./color


-- HijackThis (run as Titia.exe) -----------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:51:22, on 30/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\?icrosoft.NET
?pdb.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Titia\Bureau\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\Titia.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {129FA2A1-408C-4824-83A4-5001581FD01E} - C:\WINDOWS\system32\byXRihGX.dll
O2 - BHO: {6a8ad337-4593-064a-58c4-caef35f7e6f2} - {2f6e7f53-feac-4c85-a460-3954733da8a6} - C:\WINDOWS\system32\yeoydcqk.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {9D8536A0-DC35-86E5-1192-A28F07517BB5} - C:\WINDOWS\system32\lnajvdag.dll
O2 - BHO: (no name) - {E04A03A4-17A3-4E83-B87A-7D669607E5F6} - C:\WINDOWS\system32\fccyaXoP.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [21601c76] rundll32.exe "C:\WINDOWS\system32\iercctpc.dll",b
O4 - HKLM\..\RunServices: [p2p networking] p2pnetworking.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Uura] "C:\WINDOWS\CROSOF~1\smss.exe" -vt yazb
O4 - HKCU\..\Run: [Hdlxq] C:\WINDOWS\system32\?icrosoft.NET
?pdb.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Outil de détection de support Picture Motion Browser.lnk = C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (EditCtrl Class) - https://img.alipay.com/download/1101/aliedit.cab
O16 - DPF: {48DD0448-9209-4F81-9F6D-D83562940134} (MySpace Uploader Control) - http://lads.myspace.com/upload/MySpaceUploader1005.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {714E667D-360C-4BFB-8C1A-E4812B608CC1} (ACUBETrustChecker Control) - http://europe.samsungportal.com/EP/web/common/cabfiles/ACUBETrustChecker.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - https://driveragent.com/files/driveragent.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100
O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} (Contrôleur de DownloadManager) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.1.6.cab
O20 - Winlogon Notify: byXRihGX - C:\WINDOWS\SYSTEM32\byXRihGX.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe

Lyonnais92 · Answer

Re,

télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le Bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Abeille · Answer

J'ai supprimé pas mal de choses dont :
- tcntokdm
- jnwnw64o

Je ne sais pas si j'aurai dû?
Souhaitez vous connaître les autres fichiers supprimés?

Lyonnais92 · Answer

Re,

fais ce que je demande, tout ce que je demande et rien que ce que je demande.

Abeille · Answer

Je sais, mais je l'ai fait bien avant de venir enfaite. Voici le rapport Combofix, désolé pour le retard mais mon PC a pas voulu redémarrer. ComboFix 08-05-29.1 - Titia 2008-05-31 0:07:07.1 - [color=red][b]FAT32[/b][/color]x86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.75 [GMT 2:00] Endroit: C:\Documents and Settings\Titia\Bureau\ComboFix.exe * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\cookies.ini C:\WINDOWS\crosof~1 C:\WINDOWS\crosof~1\s?stem\ C:\WINDOWS\system32\awuvngel.ini C:\WINDOWS\system32\cptccrei.ini C:\WINDOWS\system32\fccyaXoP.dll C:\WINDOWS\system32\icroso~1.net C:\WINDOWS\system32\icroso~1.net ?pdb.exe C:\WINDOWS\system32\iercctpc.dll C:\WINDOWS\system32\lnajvdag.dll C:\WINDOWS\system32\MSINET.oca C:\WINDOWS\system32\pac.txt C:\WINDOWS\system32\PoXayccf.ini C:\WINDOWS\system32\PoXayccf.ini2 C:\WINDOWS\system32\winlogo.exe C:\WINDOWS\system32\yeoydcqk.dll . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-28 to 2008-05-31 )))))))))))))))))))))))))))))))))))) . 2008-05-30 23:46 . 2008-05-30 23:46 d-------- C:\Deckard 2008-05-30 23:45 . 2008-05-30 23:45 d-------- C:\Program Files\Trend Micro 2008-05-29 20:07 . 2008-05-29 20:07 d-------- C:\WINDOWS\system32\zA 2008-05-29 20:07 . 2008-05-29 20:07 d-------- C:\WINDOWS\system32\vntiho07 2008-05-29 20:07 . 2008-05-29 20:07 d-------- C:\WINDOWS\system32 W 2008-05-29 20:07 . 2008-05-29 20:07 d-------- C:\WINDOWS\system32\bIP 2008-05-29 20:07 . 2008-05-29 20:07 59,392 --a------ C:\WINDOWS\system32\byXRihGX.dll 2008-05-29 20:07 . 2008-05-29 20:07 269 --a------ C:\WINDOWS\system32\2451.bat 2008-05-29 20:03 . 2008-05-29 20:03 d-------- C:\Documents and Settings\All Users\Application Data\TEMP 2008-05-29 20:02 . 2008-05-29 20:02 147,456 --a------ C:\WINDOWS\system32\vbzip10.dll 2008-05-28 21:34 . 2008-05-28 21:34 d-------- C:\Documents and Settings\Titia\Application Data\LimeWire 2008-05-28 21:28 . 2008-05-28 21:28 d-------- C:\Program Files\LimeWire 2008-05-28 19:40 . 2008-05-28 19:40 d-------- C:\Program Files\BitComet 2008-05-28 17:36 . 2008-05-28 17:36 d-------- C:\Program Files\eMule 2008-05-17 18:06 . 2008-05-17 18:06 d-------- C:\Documents and Settings\Titia\Application Data\U3 2008-04-05 20:12 . 2008-05-31 10:01 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-04-05 20:12 . 2008-04-05 20:12 1,409 --a------ C:\WINDOWS\QTFont.for 2008-04-05 20:08 . 2008-04-05 20:08 d-------- C:\Program Files\iPod 2008-04-05 20:06 . 2008-04-05 20:06 d-------- C:\Program Files\iTunes . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll 2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\dllcache\mswstr10.dll 2008-03-25 04:51 194,144 ----a-w C:\WINDOWS\system32\msjint40.dll 2008-03-25 04:51 194,144 ----a-w C:\WINDOWS\system32\dllcache\msjint40.dll 2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys 2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\dllcache\win32k.sys 2008-03-01 16:28 3,591,680 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll 2008-02-29 08:57 625,664 ----a-w C:\WINDOWS\system32\dllcache\iexplore.exe 2008-02-29 08:56 70,656 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe 2008-02-26 12:00 294,912 ----a-w C:\WINDOWS\system32\msctf.dll 2008-02-26 12:00 294,912 ----a-w C:\WINDOWS\system32\dllcache\msctf.dll 2008-02-22 10:00 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe 2008-02-21 10:19 7,308 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys 2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll 2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\dllcache\gdi32.dll 2008-02-20 05:35 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll 2008-02-20 05:35 45,568 ----a-w C:\WINDOWS\system32\dllcache\dnsrslvr.dll 2008-02-20 05:35 148,992 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll 2008-02-15 05:44 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll 2007-05-27 15:27 1,140,304 ----a-w C:\Documents and Settings\All Users\Application Data\pswi_preloaded.exe 2008-02-21 10:19 7,308 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys 2008-02-21 10:18 248 --sh--r C:\WINDOWS\system32\77B95447E9.sys 2006-05-03 08:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll 2007-02-21 09:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{129FA2A1-408C-4824-83A4-5001581FD01E}] 2008-05-29 20:07 59392 --a------ C:\WINDOWS\system32\byXRihGX.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 14:09 15360] "Uura"="C:\WINDOWS\CROSOF~1\smss.exe" [ ] "Hdlxq"="C:\WINDOWS\system32\?icrosoft.NET ?pdb.exe" [ ] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-27 18:42 262401] "NvCplDaemon"="NvQTwk" [] "nwiz"="nwiz.exe" [2007-02-23 11:25 1622016 C:\WINDOWS\system32 wiz.exe] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-02-23 11:25 81920] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 14:09 15360] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{129FA2A1-408C-4824-83A4-5001581FD01E}"= C:\WINDOWS\system32\byXRihGX.dll [2008-05-29 20:07 59392] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\byXRihGX] byXRihGX.dll 2008-05-29 20:07 59392 C:\WINDOWS\system32\byXRihGX.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\LMIinit] LMIinit.dll 2007-11-15 18:46 87352 C:\WINDOWS\system32\LMIinit.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=NVDESK32.DLL [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.I420"= i420vfw.dll "REELDRV"= IMPEG32.DLL "vidc.yv12"= yv12vfw.dll "VIDC.X264"= x264vfw.dll "VIDC.HFYU"= huffyuv.dll "vidc.i263"= i263_32.drv "msacm.l3fhg"= mp3fhg.acm "msacm.divxa32"= divxa32.acm "msacm.imc"= imc32.acm [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HPAiODevice(hp psc 700 series) - 1.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\HPAiODevice(hp psc 700 series) - 1.lnk backup=C:\WINDOWS\pss\HPAiODevice(hp psc 700 series) - 1.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Corel Photo Downloader] C:\Program Files\Fichiers communs\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ExploreUpdSched] C:\WINDOWS\system32 cntokdm.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogMeIn GUI] --a------ 2007-08-03 15:09 63048 C:\Program Files\LogMeIn\x86\LogMeInSystray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2008-03-28 23:37 413696 C:\Program Files\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TheTurtle] C:\Program Files\TheTurtle\TheTurtle.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{01-1C-CD-D9-DW}] C:\WINDOWS\system32\jnwnw64o.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\WINDOWS\System32\dxdiag.exe"= "C:\WINDOWS\System32\dpnsvr.exe"= "C:\Program Files\Messenger\msmsgs.exe"= "C:\Program Files\eMule\emule.exe"= "C:\Program Files\Internet Explorer\iexplore.exe"= "C:\Program Files\MSN Messenger\msnmgr.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= "C:\Program Files\iTunes\iTunes.exe"= "C:\Program Files\LimeWire\LimeWire.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "10273:TCP"= 10273:TCP:BitComet 10273 TCP "10273:UDP"= 10273:UDP:BitComet 10273 UDP R0 mpegport;mpegport;C:\WINDOWS\system32\DRIVERS\mpegport.sys [2002-12-18 17:55] R2 LMIInfo;LogMeIn Kernel Information Provider;C:\Program Files\LogMeIn\x86\RaInfo.sys [2007-08-03 15:09] R2 LMIRfsDriver;LogMeIn Remote File System Driver;C:\WINDOWS\system32\drivers\LMIRfsDriver.sys [2007-08-03 15:09] R2 rmdvd;RM DVD helper;C:\WINDOWS\system32\DRIVERS mdvd.sys [2002-12-18 17:55] R3 rmquasar;Hollywood Plus MiniDriver;C:\WINDOWS\system32\DRIVERS mquasar.sys [2002-12-18 17:55] S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\system32\DRIVERS\fbxusb32.sys [2004-10-20 14:23] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F] \Shell\AutoRun\command - F:\LaunchU3.exe -a . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2008-05-31 08:02:42 C:\WINDOWS\Tasks\User_Feed_Synchronization-{80165BE6-E481-4149-9EDB-09CD4000180E}.job" - C:\WINDOWS\system32\msfeedssync.exe "2008-05-28 10:14:04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-31 10:01:10 Windows 5.1.2600 Service Pack 2 FAT NTAPI Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** . --------------------- DLLs a charg‚ sous des processus courants --------------------- PROCESS: C:\WINDOWS\system32\winlogon.exe -> C:\WINDOWS\system32\byXRihGX.dll . ------------------------ Other Running Processes ------------------------ . C:\PROGRAM FILES\ANTIVIR PERSONALEDITION CLASSIC\AVGUARD.EXE C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\PROGRAM FILES\FICHIERS COMMUNS\APPLE\MOBILE DEVICE SUPPORT\BIN\APPLEMOBILEDEVICESERVICE.EXE C:\PROGRAM FILES\FICHIERS COMMUNS\MICROSOFT SHARED\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\PSIService.exe C:\WINDOWS\System32\snmp.exe C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\iPod\bin\iPodService.exe C:\WINDOWS\system32\imapi.exe . ************************************************************************** . Temps d'accomplissement: 2008-05-31 10:04:29 - machine was rebooted ComboFix-quarantined-files.txt 2008-05-31 08:04:14 Pre-Run: 2,538,143,744 octets libres Post-Run: 3,764,568,064 octets libres 197 --- E O F --- 2008-05-28 17:08:05

Lyonnais92 · Answer

Bonjour,

le 28 mai, tu installes emule, BitComet et LimeWire et le 29 tu es infecté(e).

Chercher l'erreur !

_____________________

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

 

File::
C:\WINDOWS\system32\vbzip10.dll
C:\WINDOWS\system32\byXRihGX.dll
C:\WINDOWS\system32\2451.bat
C:\WINDOWS\CROSOF~1\smss.exe
C:\WINDOWS\system32\?icrosoft.NET
?pdb.exe
C:\WINDOWS\system32	cntokdm.exe
 
 
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Uura"="- 
"Hdlxq"="-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]  
"{129FA2A1-408C-4824-83A4-5001581FD01E}"= -  
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\byXRihGX]


Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis.


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.

Lyonnais92 · Answer

Bonjour,

j'irai jusqu'au bout de cette désinfection.

par contre, ccm n'est pas une hot-line et je suis bénévole comme tous les intervenants.

Donc il y aura des moments où tu attendras.

C'est vrai pour toi aussi.

Si tu vas au cinéma, j'attendrai ta réponse.

C'est juste pour informer et faire comprendre.

J'attends ta réponse au post 11.

Abeille · Answer

Oui, un ami m'a installé les trois parce que je voulais de jeux mais Bitcomet ne marchait pas alors on l'a désinstallé (sauf fichier .dll). Voici les deux rapports. Le premier ComboFix 08-05-29.1 - Titia 2008-05-31 11:24:35.2 - [color=red][b]FAT32[/b][/color]x86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.85 [GMT 2:00] Endroit: C:\Documents and Settings\Titia\Bureau\ComboFix.exe Command switches used :: C:\Documents and Settings\Titia\Bureau\CFscript.txt * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] FILE :: C:\WINDOWS\CROSOF~1\smss.exe C:\WINDOWS\system32\2451.bat C:\WINDOWS\system32\byXRihGX.dll C:\WINDOWS\system32 cntokdm.exe C:\WINDOWS\system32\vbzip10.dll . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\2451.bat C:\WINDOWS\system32\byXRihGX.dll C:\WINDOWS\system32\crutwyaj.dll C:\WINDOWS\system32 jkaavgs.ini C:\WINDOWS\system32\opqWvyay.ini C:\WINDOWS\system32\opqWvyay.ini2 C:\WINDOWS\system32\sgvaakjn.dll C:\WINDOWS\system32\vbzip10.dll C:\WINDOWS\system32\yayvWqpo.dll . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-28 to 2008-05-31 )))))))))))))))))))))))))))))))))))) . 2008-05-31 10:04 . 2008-05-31 10:04 d-------- C:\Documents and Settings\Françoise 2008-05-31 10:04 . C:\Documents and Settings\Franþoise\Local Settings 2008-05-31 10:04 . C:\Documents and Settings\Franþoise\Local Settings 2008-05-30 23:46 . 2008-05-30 23:46 d-------- C:\Deckard 2008-05-30 23:45 . 2008-05-30 23:45 d-------- C:\Program Files\Trend Micro 2008-05-29 20:07 . 2008-05-29 20:07 d-------- C:\WINDOWS\system32\zA 2008-05-29 20:07 . 2008-05-29 20:07 d-------- C:\WINDOWS\system32\vntiho07 2008-05-29 20:07 . 2008-05-29 20:07 d-------- C:\WINDOWS\system32 W 2008-05-29 20:07 . 2008-05-29 20:07 d-------- C:\WINDOWS\system32\bIP 2008-05-29 20:03 . 2008-05-29 20:03 d-------- C:\Documents and Settings\All Users\Application Data\TEMP 2008-05-28 21:34 . 2008-05-28 21:34 d-------- C:\Documents and Settings\Titia\Application Data\LimeWire 2008-05-28 21:28 . 2008-05-28 21:28 d-------- C:\Program Files\LimeWire 2008-05-28 19:40 . 2008-05-28 19:40 d-------- C:\Program Files\BitComet 2008-05-28 17:36 . 2008-05-28 17:36 d-------- C:\Program Files\eMule 2008-05-17 18:06 . 2008-05-17 18:06 d-------- C:\Documents and Settings\Titia\Application Data\U3 2008-04-05 20:12 . 2008-05-31 10:01 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-04-05 20:12 . 2008-04-05 20:12 1,409 --a------ C:\WINDOWS\QTFont.for 2008-04-05 20:08 . 2008-04-05 20:08 d-------- C:\Program Files\iPod 2008-04-05 20:06 . 2008-04-05 20:06 d-------- C:\Program Files\iTunes . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll 2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\dllcache\mswstr10.dll 2008-03-25 04:51 194,144 ----a-w C:\WINDOWS\system32\msjint40.dll 2008-03-25 04:51 194,144 ----a-w C:\WINDOWS\system32\dllcache\msjint40.dll 2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys 2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\dllcache\win32k.sys 2008-03-01 16:28 3,591,680 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll 2008-02-29 08:57 625,664 ----a-w C:\WINDOWS\system32\dllcache\iexplore.exe 2008-02-29 08:56 70,656 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe 2008-02-26 12:00 294,912 ----a-w C:\WINDOWS\system32\msctf.dll 2008-02-26 12:00 294,912 ----a-w C:\WINDOWS\system32\dllcache\msctf.dll 2008-02-22 10:00 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe 2008-02-21 10:19 7,308 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys 2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll 2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\dllcache\gdi32.dll 2008-02-20 05:35 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll 2008-02-20 05:35 45,568 ----a-w C:\WINDOWS\system32\dllcache\dnsrslvr.dll 2008-02-20 05:35 148,992 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll 2008-02-15 05:44 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll 2007-05-27 15:27 1,140,304 ----a-w C:\Documents and Settings\All Users\Application Data\pswi_preloaded.exe 2008-02-21 10:19 7,308 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys 2008-02-21 10:18 248 --sh--r C:\WINDOWS\system32\77B95447E9.sys 2006-05-03 08:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll 2007-02-21 09:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll . ((((((((((((((((((((((((((((( snapshot@2008-05-31_10.03.26.31 ))))))))))))))))))))))))))))))))))))))))) . - 2008-05-31 07:59:52 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-05-31 09:30:50 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-05-31 09:31:28 16,384 ----a-w C:\WINDOWS\Temp\Perflib_Perfdata_6c4.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 14:09 15360] "Uura"="C:\WINDOWS\CROSOF~1\smss.exe" [ ] "Hdlxq"="C:\WINDOWS\system32\?icrosoft.NET ?pdb.exe" [ ] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-27 18:42 262401] "NvCplDaemon"="NvQTwk" [] "nwiz"="nwiz.exe" [2007-02-23 11:25 1622016 C:\WINDOWS\system32 wiz.exe] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-02-23 11:25 81920] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 14:09 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\LMIinit] LMIinit.dll 2007-11-15 18:46 87352 C:\WINDOWS\system32\LMIinit.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=NVDESK32.DLL [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.I420"= i420vfw.dll "REELDRV"= IMPEG32.DLL "vidc.yv12"= yv12vfw.dll "VIDC.X264"= x264vfw.dll "VIDC.HFYU"= huffyuv.dll "vidc.i263"= i263_32.drv "msacm.l3fhg"= mp3fhg.acm "msacm.divxa32"= divxa32.acm "msacm.imc"= imc32.acm [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HPAiODevice(hp psc 700 series) - 1.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\HPAiODevice(hp psc 700 series) - 1.lnk backup=C:\WINDOWS\pss\HPAiODevice(hp psc 700 series) - 1.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Corel Photo Downloader] C:\Program Files\Fichiers communs\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ExploreUpdSched] C:\WINDOWS\system32 cntokdm.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogMeIn GUI] --a------ 2007-08-03 15:09 63048 C:\Program Files\LogMeIn\x86\LogMeInSystray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2008-03-28 23:37 413696 C:\Program Files\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TheTurtle] C:\Program Files\TheTurtle\TheTurtle.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{01-1C-CD-D9-DW}] C:\WINDOWS\system32\jnwnw64o.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\WINDOWS\System32\dxdiag.exe"= "C:\WINDOWS\System32\dpnsvr.exe"= "C:\Program Files\Messenger\msmsgs.exe"= "C:\Program Files\eMule\emule.exe"= "C:\Program Files\Internet Explorer\iexplore.exe"= "C:\Program Files\MSN Messenger\msnmgr.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= "C:\Program Files\iTunes\iTunes.exe"= "C:\Program Files\LimeWire\LimeWire.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "10273:TCP"= 10273:TCP:BitComet 10273 TCP "10273:UDP"= 10273:UDP:BitComet 10273 UDP R0 mpegport;mpegport;C:\WINDOWS\system32\DRIVERS\mpegport.sys [2002-12-18 17:55] R2 LMIInfo;LogMeIn Kernel Information Provider;C:\Program Files\LogMeIn\x86\RaInfo.sys [2007-08-03 15:09] R2 LMIRfsDriver;LogMeIn Remote File System Driver;C:\WINDOWS\system32\drivers\LMIRfsDriver.sys [2007-08-03 15:09] R2 rmdvd;RM DVD helper;C:\WINDOWS\system32\DRIVERS mdvd.sys [2002-12-18 17:55] R3 rmquasar;Hollywood Plus MiniDriver;C:\WINDOWS\system32\DRIVERS mquasar.sys [2002-12-18 17:55] S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\system32\DRIVERS\fbxusb32.sys [2004-10-20 14:23] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F] \Shell\AutoRun\command - F:\LaunchU3.exe -a . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2008-05-31 09:19:22 C:\WINDOWS\Tasks\User_Feed_Synchronization-{80165BE6-E481-4149-9EDB-09CD4000180E}.job" - C:\WINDOWS\system32\msfeedssync.exe "2008-05-28 10:14:04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-31 11:31:44 Windows 5.1.2600 Service Pack 2 FAT NTAPI Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\PROGRAM FILES\ANTIVIR PERSONALEDITION CLASSIC\AVGUARD.EXE C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\PROGRAM FILES\FICHIERS COMMUNS\APPLE\MOBILE DEVICE SUPPORT\BIN\APPLEMOBILEDEVICESERVICE.EXE C:\PROGRAM FILES\FICHIERS COMMUNS\MICROSOFT SHARED\VS7DEBUG\MDM.EXE C:\WINDOWS\SYSTEM32\PSISERVICE.EXE C:\WINDOWS\System32\snmp.exe C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe C:\WINDOWS\system32\wscntfy.exe C:\PROGRAM FILES\IPOD\BIN\IPODSERVICE.EXE . ************************************************************************** . Temps d'accomplissement: 2008-05-31 11:34:51 - machine was rebooted ComboFix-quarantined-files.txt 2008-05-31 09:34:42 ComboFix2.txt 2008-05-31 08:04:32 Pre-Run: 3,943,890,944 octets libres Post-Run: 3,928,145,920 octets libres 193 --- E O F --- 2008-05-28 17:08:05 Le second. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:36:44, on 31/05/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\PSIService.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\Program Files\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe C:\Program Files\iPod\bin\iPodService.exe C:\WINDOWS\explorer.exe c:\program files\antivir personaledition classic\avcenter.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Uura] "C:\WINDOWS\CROSOF~1\smss.exe" -vt yazb O4 - HKCU\..\Run: [Hdlxq] C:\WINDOWS\system32\?icrosoft.NET ?pdb.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Outil de détection de support Picture Motion Browser.lnk = C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (EditCtrl Class) - https://img.alipay.com/download/1101/aliedit.cab O16 - DPF: {48DD0448-9209-4F81-9F6D-D83562940134} (MySpace Uploader Control) - http://lads.myspace.com/upload/MySpaceUploader1005.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/... O16 - DPF: {714E667D-360C-4BFB-8C1A-E4812B608CC1} (ACUBETrustChecker Control) - http://europe.samsungportal.com/EP/web/common/cabfiles/ACUBETrustChecker.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - https://driveragent.com/files/driveragent.cab O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100 O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} (Contrôleur de DownloadManager) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.1.6.cab O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32 vsvc32.exe O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe

Lyonnais92 · Answer

Re,

on va vérifier des fichiers;

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\system32\?icrosoft.NET
?pdb.exe       

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant 

tu recommences avec :

C:\WINDOWS\CROSOF~1\smss.exe

C:\WINDOWS\system32\DRIVERSmdvd.sys

C:\WINDOWS\system32\DRIVERSmquasar.sys

Abeille · Answer

PC lent. En ce qui concerne la partie Drivers, je vais faire les tests mais j'espère que le problème ne vient pas de là car mon PC date et la carte graphique n'est pas compatible, donc on a fabriqué un driver à partir de d'autres drivers (officiels), s'il s'avérait obligatoire de les supprimer, je devrais racheter un ordinateur, mais bon s'il le faut. :)


Pas de dossier Microsoft.NET, ni ?icrosoft.NET dans C:\WINDOWS\system32\
C:\WINDOWS\system32\?icrosoft.NET
?pdb.exe  inexistant.

Recherche :
Nom : nopdb.exe.vir
En quarantaine dans C:\QooBox\Quarantine\C\WINDOWS\system32\ICROSO~1.NET


Pas de dossier CROSOF~1 dans C:\WINDOWS\
C:\WINDOWS\CROSOF~1\smss.exe inexistant

Recherche :
Nom : smss.exe
C:\WINDOWS\system32

Nom : SMSS.EXE
D:\Windows XP Pro SP2\I386\SYSTEM32 (D: en partie - disque dur du logiciel d'installation que WinXP SP2)


Fichiers trouvés aux bons emplacements :
C:\WINDOWS\system32\DRIVERSmdvd.sys
C:\WINDOWS\system32\DRIVERSmquasar.sys

J'attends vos instructions pour les fichiers aux mauvais emplacements.


Rapports :
1 - Fichier rmdvd.sys reçu le 2008.05.31 17:30:58 (CET)
Situation actuelle: terminé
Résultat: 0/31 (0%)

	
Antivirus 	Version 	Dernière mise à jour 	Résultat
AhnLab-V3	2008.5.30.1	2008.05.30	-
AntiVir	7.8.0.25	2008.05.30	-
Authentium	5.1.0.4	2008.05.31	-
Avast	4.8.1195.0	2008.05.31	-
AVG	7.5.0.516	2008.05.31	-
BitDefender	7.2	2008.05.31	-
CAT-QuickHeal	9.50	2008.05.31	-
ClamAV	0.92.1	2008.05.31	-
DrWeb	4.44.0.09170	2008.05.31	-
eSafe	7.0.15.0	2008.05.29	-
eTrust-Vet	31.4.5837	2008.05.30	-
Ewido	4.0	2008.05.31	-
F-Prot	4.4.4.56	2008.05.31	-
F-Secure	6.70.13260.0	2008.05.31	-
Fortinet	3.14.0.0	2008.05.31	-
GData	2.0.7306.1023	2008.05.31	-
Ikarus	T3.1.1.26.0	2008.05.31	-
Kaspersky	7.0.0.125	2008.05.31	-
McAfee	5307	2008.05.30	-
Microsoft	1.3520	2008.05.31	-
NOD32v2	3148	2008.05.30	-
Norman	5.80.02	2008.05.30	-
Panda	9.0.0.4	2008.05.31	-
Prevx1	V2	2008.05.31	-
Rising	20.46.52.00	2008.05.31	-
Sophos	4.29.0	2008.05.31	-
Sunbelt	3.0.1139.1	2008.05.29	-
Symantec	10	2008.05.31	-
VBA32	3.12.6.6	2008.05.31	-
VirusBuster	4.3.26:9	2008.05.31	-
Webwasher-Gateway	6.6.2	2008.05.30	-
Information additionnelle
File size: 7248 bytes
MD5...: cda1fdbada2615f3f156a48e9be680ce
SHA1..: 78c30e9bfc016ca000d70ef41acb1b7ae609d690
SHA256: 2b55c9a003883266be937acdb69618f8055ba143ba3e912a7399453a4cbfd652
SHA512: 5f09eb174b4ff81f3e443f5817ca895a8b36510c14f3491d14825b60418b042e
2fba3257a77da1f13fc8ecfcda9f2ab2d5873defbedebb25c0d94ce1f100cab1
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10fe0
timedatestamp.....: 0x35eafd59 (Mon Aug 31 19:45:29 1998)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.code 0x280 0xc31 0xc40 6.11 d62a6347f8e8dfd5d4c8976112704509
.text 0xec0 0x634 0x640 5.98 d7fb3f5d0f4d3282bd1f6c999a56d0ef
.data 0x1500 0x1e0 0x1e0 0.00 90947e3479154523f3bdf3ea242538c8
INIT 0x16e0 0x1da 0x1e0 4.83 8b06e6af75e9061ebe3bf8fdf79c0c52
.reloc 0x18c0 0x26e 0x280 5.91 3076d6b50f2a1b9c60a246e20f639375

( 1 imports )
> ntoskrnl.exe: MmUnlockPages, MmMapLockedPages, MmUnmapLockedPages, MmProbeAndLockPages, IoAllocateMdl, KeSetTimerEx, KeInitializeTimer, KeInitializeDpc, KeCancelTimer, IoFreeMdl, PsGetCurrentProcessId, IoDeleteDevice, IoCreateSymbolicLink, IoCreateDevice, RtlInitUnicodeString, IofCompleteRequest, IoDeleteSymbolicLink, RtlUnwind

( 0 exports ) 


2 - Fichier rmquasar.sys reçu le 2008.05.31 17:35:04 (CET)
Situation actuelle: terminé
Résultat: 1/31 (3.23%)

	
Antivirus 	Version 	Dernière mise à jour 	Résultat
AhnLab-V3	2008.5.30.1	2008.05.30	-
AntiVir	7.8.0.25	2008.05.30	-
Authentium	5.1.0.4	2008.05.31	-
Avast	4.8.1195.0	2008.05.31	-
AVG	7.5.0.516	2008.05.31	-
BitDefender	7.2	2008.05.31	-
CAT-QuickHeal	9.50	2008.05.31	-
ClamAV	0.92.1	2008.05.31	-
DrWeb	4.44.0.09170	2008.05.31	-
eSafe	7.0.15.0	2008.05.29	-
eTrust-Vet	31.4.5837	2008.05.30	-
Ewido	4.0	2008.05.31	-
F-Prot	4.4.4.56	2008.05.31	-
F-Secure	6.70.13260.0	2008.05.31	-
Fortinet	3.14.0.0	2008.05.31	-
GData	2.0.7306.1023	2008.05.31	-
Ikarus	T3.1.1.26.0	2008.05.31	-
Kaspersky	7.0.0.125	2008.05.31	-
McAfee	5307	2008.05.30	-
Microsoft	1.3520	2008.05.31	-
NOD32v2	3148	2008.05.30	-
Norman	5.80.02	2008.05.30	-
Panda	9.0.0.4	2008.05.31	-
Prevx1	V2	2008.05.31	-
Rising	20.46.52.00	2008.05.31	-
Sophos	4.29.0	2008.05.31	-
Sunbelt	3.0.1139.1	2008.05.29	VIPRE.Suspicious
Symantec	10	2008.05.31	-
VBA32	3.12.6.6	2008.05.31	-
VirusBuster	4.3.26:9	2008.05.31	-
Webwasher-Gateway	6.6.2	2008.05.30	-
Information additionnelle
File size: 270029 bytes
MD5...: 77c56ef23ee331a064352246be0bbbcc
SHA1..: 350ced7d60320c9c41bbb8cdbcc161d50c5c0dbb
SHA256: 3db5b55f048af868294aaa51f69beff74704b20d83ad6cd9b3255b6d0161c90a
SHA512: 1960a108966834ba48918322cf273ed965b6a215f05931dba0163ecb8a33ecec
cd68080d1ae5430359df33de2b70d61d8ff6b9dfc6647f31dc65a2565b8c202b
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x102c0
timedatestamp.....: 0x3e00ca74 (Wed Dec 18 19:20:20 2002)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x2c0 0x1da0e 0x1da20 6.04 d41c454f6be0840b6bb60ef6cd98569a
.rdata 0x1dce0 0x3e8 0x400 4.22 8ad1f9bed0fcbefde1f64383e2ae5400
.data 0x1e0e0 0x20b45 0x20b60 4.44 e42b7c95399cdd17be8c6bb092e7e80a
INIT 0x3ec40 0x28c 0x2a0 4.99 f3041b4be4e02b5ab46ecb7f15b1e466
.rsrc 0x3eee0 0x3a0 0x3a0 3.31 d9ab74774544f2e1c998c64f3aa93428
.reloc 0x3f280 0xa42 0xa60 5.85 2010ef8f59f7d3d50f0c092c830e4f21

( 2 imports )
> ntoskrnl.exe: MmGetPhysicalAddress, RtlAppendUnicodeToString, _purecall, _allshl, RtlAppendUnicodeStringToString, RtlCompareMemory, _aulldiv, _except_handler3, _aullshr
> mpegport.sys: MpegPortGetPerfData, MpegGetDisplayCardID, MpegAllocHeap, MpegPortQueryTickTime, MpegRegQueryValue, MpegPortGetDmaBuffer2, MpegPortFreeDeviceBase, MpegPortInitialize, MpegPortZeroMemory, MpegPortStallExecution, MpegPortGetDeviceBase, MpegPortMoveMemory, MpegPortNotification

( 0 exports )

Lyonnais92 · Answer

Re,

Relance HijackThis.

Choisis Do a scan only

Coche la case devant les lignes suivantes

O4 - HKCU\..\Run: [Uura] "C:\WINDOWS\CROSOF~1\smss.exe" -vt yazb
O4 - HKCU\..\Run: [Hdlxq] C:\WINDOWS\system32\?icrosoft.NET
?pdb.exe

Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.

Clique sur fix checked.

Ferme Hijackthis.

Fais redémarrer l'ordi et remets un rapport Hijackthis.

Abeille · Answer

C'est fait.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:28:11, on 31/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Outil de détection de support Picture Motion Browser.lnk = C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (EditCtrl Class) - https://img.alipay.com/download/1101/aliedit.cab
O16 - DPF: {48DD0448-9209-4F81-9F6D-D83562940134} (MySpace Uploader Control) - http://lads.myspace.com/upload/MySpaceUploader1005.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {714E667D-360C-4BFB-8C1A-E4812B608CC1} (ACUBETrustChecker Control) - http://europe.samsungportal.com/EP/web/common/cabfiles/ACUBETrustChecker.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - https://driveragent.com/files/driveragent.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100
O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} (Contrôleur de DownloadManager) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.1.6.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe

Lyonnais92 · Answer

Re,

OK, on a avancé.

Lis bien et exécute cette manip dans l’ordre.

#Télécharge et installe ces logiciels (si tu ne les as pas) pour les 3 premiers
mets les à jour, comme indiqué dans les démos ou tutos.

Ne les utilise pas tout de suite.


Antispywares et autres :
 
Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton bureau à partir de ce lien :

https://www.malwarebytes.com/

A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue.


Nettoyeurs (de fichiers inutiles) et autres :

*Ccleaner (gratuit)
Téléchargement :
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
Tuto :
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

Lors de l’installation, [décoche] l’option qui t’installerait la barre Yahoo !

========================================
->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]
.

=======================================

->Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec
puis tape « entrée ».
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).

========================================
->Lance CCleaner.

Suppression des fichiers temporaires

Va dans la section "Options" situé dans la marge gauche.
Décoche "Avancé"
Retourne ensuite dans la section "Nettoyeur"
Fais bien attention de cocher toutes ces cases dans la marge gauche (Internet Explorer/Windows Explorer/Système)
• Clique sur [Analyse]
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur [Lancer le Nettoyage]



========================================
Lance Malwarebytes AntiMalware

Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

MBAM analyse ton ordinateur. L'analyse peut prendre un certain teps. Il suffit de vérifier de temps en temps son avancement.

A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Ferme le bloc-note. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

Ferme MBAM en cliquant sur Quitter. 
========================================

->Relance CCleaner.
Suppression des incohérences du registre

• Clique sur l'icône [Erreurs] situés dans la marge à gauche
• Puis clique sur [Analyser les erreurs]
• Patiente pendant que CCleaner scan ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur [Corriger les erreurs].

Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrées cochées pour les restaurer ultérieurement.
========================================
->Vide ta Corbeille.
========================================
->Redémarre en mode normal,


- > Ouvre ce lien pour scanner ton PC avec un BitDefender en ligne (uniquement sous Internet Explorer) :

https://www.bitdefender.com/toolbox/

Utilisation :
Cliquer sur "J'accepte" puis accepter également l'ActiveX bloqué par la barre anti-popup du SP2 qui clignotera en haut et l'installer.
Ensuite, cliquer sur "Cliquez ici pour scanner".
Patienter jusqu'à la fin du scan qui peut durer assez longtemps...

Copier/coller le rapport entier sur le forum avec celui de MBAM.

Tutoriel en images ici : http://pageperso.aol.fr/rginformatique/mapage/defender.htm (merci à Balltrap34 pour cette réalisation)
[Recoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

Relance Hijackthis et copie/colle un nouveau rapport sur le forum.

Et dis moi ou en sont tes problèmes s’il t’en reste.

Abeille · Answer

Ok, je posterais quand j'aurais  tout terminé.

Petit souci actuel remarqué.
Configuration actuelle IE :
Cookies tous acceptés.
Exceptions de sites : PopupMgr

Alors que je monte le bloqueur au maximum et que j'avais effacé toutes les exceptions.

Abeille · Answer

J'ai essayé une dizaine de fois avec F8 et F5, pas moyen de démarrer en mode sans échec.
Que fais-je du coup?

Lyonnais92 · Answer

Re,

que se passe-t-il ?

tu n'accèdes pas à la page où on te propose de démarrer en mode normal, en mode sans échec, en dernière bonne configuration connue ?

Si c'est le cas, la documentation de ton ordi doit te dire la manip à faire pour y arriver.

Tu as peut être aussi une indication lors du démarrage (dans un bandeau en bas de l'écran).

Abeille · Answer

Dans le bandeau, j'ai la possibilité entre  ESC, F2 et F8 donc j'ai tout testé ainsi que F5.

Non, je n'accède pas à la page du choix de démarrage. Je le faisais il y a quelques semaines de ça mais là, quand je le fais, mon PC sonne et m'envoie un message d'erreur m'indiquant que mon clavier n'est pas connecté alors que si, alors qu'ensuite j'utilise <F1> pour continuer le lancement de Windows.

L'unité comprend un système audio pour me faire savoir si un virus est présent, un composant est manquant, etc. Donc sur ce point c'est -à moitié- normal qu'il sonne.

L'ordinateur date de 1999, a connu Windows NT, Windows 98/2000 et maintenant WinXP.
A l'origine c'est un ordinateur professionnel (d'un informaticien d'ailleurs).
Je l'ai eu l'année dernière où j'ai changé l'OS. La documentation est entre les mains de ce fameux informaticien (Oncle à Paris - un peu loin). Donc pour le coup, je peux pas m'y référer.

Aucuns autres moyens?

Lyonnais92 · Answer

Re,

fais passer les outils en mode normal.

Abeille · Answer

Outils en mode normal, comment ça?
Je dois m'absenter, je reviendrai plus tard.
Bonne soirée.

Lyonnais92 · Answer

Re,

fais comme si je n'avais pas demandé d'aller en mode sans échec.

Abeille · Answer

Ok, je vais le faire en mode normal mais pourriez-vous m'expliquer la différence de résultats de ses manipulations entre mode sans échec et normal?
Je vous poste les rapports d'ici peu.

Lyonnais92 · Answer

Bonjour,

pas de réponse générale.

En mode sans échec, seuls les données vitales sont lancées.

Il est plus facile de supprimer les autres (celles qui ne sont pas lancées en mode sans échec mais le sont en mode normal).

Mais il y a des moyens de supprimer dans ce cas (dont le "delete on reboot" : on stocke les informations à supprimer au prochain redémarage et on fait redémarrer l'ordi dans la foulée).

Ca ne fonctionne pas avec toutes les infections.

Abeille · Answer

Après plusieurs heures de Scan me voilà. Jack a mis beaucoup plus de temps que d'habitude à analyser.
Certains virus ou fichiers infectés n'ont pas été supprimés. Avec CCleaner, les erreurs pour la plupart n'ont pas été réparable. Je vais redémarrer mon PC pour voir si tout ce passe bien et je regarderais mon IE. Sinon, il reste des intrus dans C:\System Volume Information\ je crois car à chaque fois que antivir passe dans ses dossiers, il détecte quelque chose, il s emutiplie faut croire. Je vous laisse voir.

Rapport MBAM
Malwarebytes' Anti-Malware 1.14
Version de la base de données: 808

11:27:46 01/06/2008
mbam-log-6-1-2008 (11-27-36).txt

Type de recherche: Examen complet (A:\|C:\|D:\|E:\|X:\|Y:\|Z:\|)
Eléments examinés: 100333
Temps écoulé: 44 minute(s), 59 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 7
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 11

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\Interface\{1e404d48-670a-4085-a6a0-d195793ddd33} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{9f593aac-ca4c-4a41-a7ff-a00812192d61} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{749ec66f-a838-4b38-b8e5-e65d905fff74} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{1e404d48-670a-4085-a6a0-d195793ddd33} (Adware.BHO) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Mozilla\Firefox\Extensions\{59a40ac9-e67d-4155-b31d-4b7330fcd2d6} (Adware.PurityScan) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowNetPlaces (StartMenu.Hijack) -> Bad: (0) Good: (1) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\bIP\zoolckr.exe (Adware.Agent) -> No action taken.
C:\System Volume Information\_restore{C15A4591-22B7-4B76-8219-8488CB27786D}\RP309\A0040909.exe (Adware.BHO) -> No action taken.
C:\System Volume Information\_restore{C15A4591-22B7-4B76-8219-8488CB27786D}\RP309\A0040921.dll (Adware.ZenoSearch) -> No action taken.
C:\System Volume Information\_restore{C15A4591-22B7-4B76-8219-8488CB27786D}\RP310\A0040991.exe (Adware.Agent) -> No action taken.
C:\System Volume Information\_restore{C15A4591-22B7-4B76-8219-8488CB27786D}\RP313\A0041105.exe (Adware.ClickSpring) -> No action taken.
C:\System Volume Information\_restore{C15A4591-22B7-4B76-8219-8488CB27786D}\RP313\A0041108.dll (Adware.ClickSpring) -> No action taken.
C:\System Volume Information\_restore{C15A4591-22B7-4B76-8219-8488CB27786D}\RP315\A0041176.dll (Trojan.Vundo) -> No action taken.
C:\Deckard\System Scanner\backup\DOCUME~1\Titia\LOCALS~1\Temp\cmdinst.exe (Trojan.Proxy) -> No action taken.
C:\Deckard\System Scanner\backup\DOCUME~1\Titia\LOCALS~1\Temp\outerinfo.ico (Malware.Trace) -> No action taken.
C:\QooBox\Quarantine\C\WINDOWS\system32\lnajvdag.dll.vir (Adware.ClickSpring) -> No action taken.
C:\QooBox\Quarantine\C\WINDOWS\system32\yayvWqpo.dll.vir (Trojan.Vundo) -> No action taken.


Rapport BitDefender
BitDefender Online Scanner
Scan report generated at: Sun, Jun 01, 2008 - 13:53:46
Scan path: A:\;C:\;D:\;E:\;X:\;Y:\;Z:\;
 

Statistics

Time
02:07:24

Files
366813

Folders
6984

Boot Sectors
6

Archives
9083

Packed Files
29980

 

Results

Identified Viruses
6

Infected Files
11

Suspect Files
0

Warnings
0

Disinfected
0

Deleted Files
11


 

Engines Info

Virus Definitions
1255491

Engine build
AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Scan plugins
16

Archive plugins
42

Unpack plugins
7

E-mail plugins
6

System plugins
5
	
 

Scan Settings

First Action
Disinfect

Second Action
Delete

Heuristics
Yes

Enable Warnings
Yes

Scanned Extensions
*;

Exclude Extensions

 

Scan Emails
Yes

Scan Archives
Yes

Scan Packed
Yes

Scan Files
Yes

Scan Boot
Yes
	

 
 

Scanned File
	

 Status

C:\System Volume Information\_restore{C15A4591-22B7-4B76-8219-8488CB27786D}\RP309\A0040910.dll
Detected with: Adware.BHO.WRG

C:\System Volume Information\_restore{C15A4591-22B7-4B76-8219-8488CB27786D}\RP309\A0040910.dll
Deleted

C:\System Volume Information\_restore{C15A4591-22B7-4B76-8219-8488CB27786D}\RP309\A0040914.exe=>(NSIS o)=>zlib_nsis0002
Detected with: Adware.Purityscan.JA

C:\System Volume Information\_restore{C15A4591-22B7-4B76-8219-8488CB27786D}\RP309\A0040914.exe=>(NSIS o)=>zlib_nsis0002
Deleted

C:\System Volume Information\_restore{C15A4591-22B7-4B76-8219-8488CB27786D}\RP309\A0040914.exe=>(NSIS o)
Update failed

C:\System Volume Information\_restore{C15A4591-22B7-4B76-8219-8488CB27786D}\RP309\A0040915.exe=>(NSIS o)=>zlib_nsis0004
Infected with: Trojan.Downloader.VB.VPG

C:\System Volume Information\_restore{C15A4591-22B7-4B76-8219-8488CB27786D}\RP309\A0040915.exe=>(NSIS o)=>zlib_nsis0004
Deleted

C:\System Volume Information\_restore{C15A4591-22B7-4B76-8219-8488CB27786D}\RP309\A0040915.exe=>(NSIS o)
Update failed

C:\System Volume Information\_restore{C15A4591-22B7-4B76-8219-8488CB27786D}\RP309\A0040915.exe=>(NSIS o)=>zlib_nsis0005
Infected with: Trojan.Generic.274527

C:\System Volume Information\_restore{C15A4591-22B7-4B76-8219-8488CB27786D}\RP309\A0040915.exe=>(NSIS o)=>zlib_nsis0005
Deleted

C:\System Volume Information\_restore{C15A4591-22B7-4B76-8219-8488CB27786D}\RP309\A0040915.exe=>(NSIS o)
Update failed

C:\System Volume Information\_restore{C15A4591-22B7-4B76-8219-8488CB27786D}\RP309\A0040982.EXE
Infected with: Backdoor.Bot.15118

C:\System Volume Information\_restore{C15A4591-22B7-4B76-8219-8488CB27786D}\RP309\A0040982.EXE
Deleted

C:\System Volume Information\_restore{C15A4591-22B7-4B76-8219-8488CB27786D}\RP309\A0040984.exe=>(NSIS o)=>bzip2_solid_nsis0002
Detected with: Adware.BHO.WRG

C:\System Volume Information\_restore{C15A4591-22B7-4B76-8219-8488CB27786D}\RP309\A0040984.exe=>(NSIS o)=>bzip2_solid_nsis0002
Deleted

C:\System Volume Information\_restore{C15A4591-22B7-4B76-8219-8488CB27786D}\RP309\A0040984.exe=>(NSIS o)
Update failed

C:\System Volume Information\_restore{C15A4591-22B7-4B76-8219-8488CB27786D}\RP313\A0041111.dll
Infected with: Trojan.Vundo.EPV

C:\System Volume Information\_restore{C15A4591-22B7-4B76-8219-8488CB27786D}\RP313\A0041111.dll
Deleted

C:\System Volume Information\_restore{C15A4591-22B7-4B76-8219-8488CB27786D}\RP315\A0041174.dll
Infected with: Trojan.Vundo.EPV

C:\System Volume Information\_restore{C15A4591-22B7-4B76-8219-8488CB27786D}\RP315\A0041174.dll
Deleted

C:\QooBox\Quarantine\C\WINDOWS\system32\pac.txt.vir
Infected with: Trojan.Downloader.VB.VPG

C:\QooBox\Quarantine\C\WINDOWS\system32\pac.txt.vir
Deleted

C:\QooBox\Quarantine\C\WINDOWS\system32\yeoydcqk.dll.vir
Infected with: Trojan.Vundo.EPV

C:\QooBox\Quarantine\C\WINDOWS\system32\yeoydcqk.dll.vir
Deleted

C:\QooBox\Quarantine\C\WINDOWS\system32\crutwyaj.dll.vir
Infected with: Trojan.Vundo.EPV

C:\QooBox\Quarantine\C\WINDOWS\system32\crutwyaj.dll.vir
Deleted


Rapport HiJackThis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:01:15, on 01/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\NOTEPAD.EXE
c:\program files\antivir personaledition classic\avcenter.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Outil de détection de support Picture Motion Browser.lnk = C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (EditCtrl Class) - https://img.alipay.com/download/1101/aliedit.cab
O16 - DPF: {48DD0448-9209-4F81-9F6D-D83562940134} - http://lads.myspace.com/upload/MySpaceUploader1005.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {714E667D-360C-4BFB-8C1A-E4812B608CC1} - http://europe.samsungportal.com/EP/web/common/cabfiles/ACUBETrustChecker.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} - https://driveragent.com/files/driveragent.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} - https://secure.logmein.com/activex/ractrl.cab?lmi=100
O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.1.6.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe

Lyonnais92 · Answer

Re,

le rapport de MBAM dit "no action taken".

As tu mis en quarantaine ou supprimé tout ce que MBAM a trouvé ?

Abeille · Answer

Zut, je ne m'en souviens plus.
Quand le scan a été terminé, je crois avoir cliqué sur le bouton supprimer les fichiers en dessous à gauche. Mais je ne suis pas sûre à 100%.

Lyonnais92 · Answer

re,

relance le scan en mode normal.

Comme ça on sera sûr.

Abeille · Answer

Enfaite, j'ai trouvé pourquoi il y avait marqué no action taken, c'est parce que j'ai sauvergardé le rapport avant de cliquer sur supprimer. Il en a quand même trouvé trois autres. Je ne sais pas si cela était utile mais j'ai refais un HJT.
Prochaines instructions? :)


Malwarebytes' Anti-Malware 1.14
Version de la base de données: 812

17:36:00 01/06/2008
mbam-log-6-1-2008 (17-36-00).txt

Type de recherche: Examen complet (A:\|C:\|D:\|E:\|X:\|Y:\|Z:\|)
Eléments examinés: 101059
Temps écoulé: 36 minute(s), 50 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{C15A4591-22B7-4B76-8219-8488CB27786D}\RP315\A0041175.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C15A4591-22B7-4B76-8219-8488CB27786D}\RP315\A0041313.ico (Malware.Trace) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\sgvaakjn.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:37:00, on 01/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\PSIService.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Outil de détection de support Picture Motion Browser.lnk = C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (EditCtrl Class) - https://img.alipay.com/download/1101/aliedit.cab
O16 - DPF: {48DD0448-9209-4F81-9F6D-D83562940134} - http://lads.myspace.com/upload/MySpaceUploader1005.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {714E667D-360C-4BFB-8C1A-E4812B608CC1} - http://europe.samsungportal.com/EP/web/common/cabfiles/ACUBETrustChecker.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} - https://driveragent.com/files/driveragent.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} - https://secure.logmein.com/activex/ractrl.cab?lmi=100
O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.1.6.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe

Lyonnais92 · Answer

Re,

je pense que tout est désinfecté.

On va nettoyer les scories :

Ouvre ce lien :

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

dans un premier temps tu le suis pour désactiver la restauration système.

Tu fermes la fenêtre.

Dans un deuxième temps, tu le suis pour réactiver la restauration.
_________

Vide toutes les quarantaines

et la Corbeille.

_________

* Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.

http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
 
* Clique sur Recherche et laisse le scan se terminer.

* Clique, sur Suppression pour finaliser.

* Tu peux, si tu le souhaites, te servir des Options facultatives.

* Clique sur Quitter, pour que le rapport puisse se créer.

* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

Abeille · Answer

J'ai vidé les deux là.
- Avira Antivir
- MBAM

Il reste celle de ComboFix seulement ou d'autres encore?
Comment je fais pour effacer celle de combofix?

Lyonnais92 · Answer

Re,

tu as supprimé ton antivirus ? ou seulement la quarantainre ?

 
Pour Combofix, on verra après ToolsCleaner

édité (erreur d'interprétation)

Abeille · Answer

Hein? Non, j'ai toujours mon antivirus, je ne suis pas suicidaire, je disais que j'avais supprimé les virus de la quarantaine de mon antivirus Antivir et du logiciel MBAM mais qu'il me restait celle de combofix, seulement, je ne vois pas où accéder pour la vider. De plus, je me demandais si j'avais d'autres quarantaines d'autres logiciels à virer?

Désolé, je me suis mal exprimé.

Lyonnais92 · Answer

Re,

j'ai lu un peu vite aussi.

Abeille · Answer

Voici le rapport :

-->- Recherche: 

C:\Qoobox: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Titia\Bureau\Dss.exe: trouvé !
C:\Documents and Settings\Titia\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Titia\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\Titia\Bureau\VIR\HJTInstall.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Titia\Bureau\Dss.exe: supprimé !
C:\Documents and Settings\Titia\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Titia\Bureau\ComboFix.exe: supprimé !
C:\Documents and Settings\Titia\Bureau\VIR\HJTInstall.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Corbeille vidée!
Fichiers temporaires nettoyés !

Lyonnais92 · Answer

Re,

supprime C:\QooBox\ (la quarantaine de Combofix), Toolscleaner sur ton bureau et C:\Tcleaner.

Tu sembles ne pas avoir de parefeu contrôlant les connexions sortantes, ce qui est un risque de sécurité.

Si c'est le cas tu as le choix entre ces deux possibilités :

Zone Alarm Tuto et lien de téléchargement ici :
https://www.malekal.com/tutoriel-zonealarm-firewall/

Kerio Tuto et lien de téléchargement ici :
http://www.malekal.com/kerio_firewall.php

Il y en a d'autres que tu peux trouver en ouvrant ce lien :
http://www.malekal.com/menu_tutorials_logiciels.php

Il faut que tu désactives le parefeu de Windows (panneau de configuration, parefeu de Windows) après le téléchargement et avant l'installation (déconnecte toi du Net à ce moment là).

Je mets en résolu, mais tu réouvres si tu as un souci.

Bon surf.

Abeille · Answer

C:\QooBox\ (la quarantaine de Combofix) a été effacé avec ToolsCleaner si je ne me trompe?
Toolscleaner sur ton bureau - je viens de la supprimer.
C:\Tcleaner - n'existe pas (sauf le rapport)

Par contre, il me reste Deckard, j'en fais quoi?
Je garde MBAM, HJT, CC et tous les autres logiciels ou pas?
Combofix a été éradiqué avec TC j'ai l'impression.

Lequel des deux pare-feu me conseillez-vous?

Lyonnais92 · Answer

Re,

tu as raison pour C:\QooBox

Le fichier à supprimer est bien C:\Tcleaner.txt

Supprime Deckard.

Hijackthis a été supprimé ?

Conserve MBAM et Ccleaner et utilise les de temps en temps.

Préférence pour Kerio, sauf si tu constates un problème d'écran bleu (auquel cas tu prendras ZA).

Lyonnais92 · Answer

Re,

tu te connecteras avec plus de sureté avec un parefeu contrôlant les connexions sortantes que sans.

Qu'avais tu comme antivirus "avant" ?

Abeille · Answer

Ok.
Et bien, depuis qu'il est sous XP, il a toujours été sous Avira AntiVir. 
Avant ça, je ne sais pas.

Lyonnais92 · Answer

Re,

l'existence du parefeu ne change pas le travail de l'antivirus.

La garde de" l'antivirus doit être activée en permanence.

Il faut vérifier que les mises à jour se font.

Il faut scanner de temps en temps le poste de travail avec l'antivirus à jour (pour vérifier l'absence d'une infection intervenue entre 2 mises à jour).

Abeille · Answer

Ok, j'appliquerai ses conseils.
Comme tous les jours, à 20h, mon AV fait sa MAJ.
Quoi que là, sa n'a pas l'air de marcher. Possible que le pare-feu bloque?

Kerio est installé, j'ai suivi les instructions.
J'espère que pour le moment, je suis débarrassée de cette encombrante population.
Et donc, c'est plus prudent de scanner mes périphériques ou pas?

Lyonnais92 · Answer

Re,

scanne tes périphériques.

ca doit être rapide.

Lyonnais92 · Answer

Re,

désinstalle Kerio si tu le trouves trop lourd et essaye avec Zone alarm.

Abeille · Answer

Le problème venait d'un programme qui utilise beaucoup de mémoire donc les autres en parallèle buguaient.

Périphériques tous scannés. Rien de détectés.

Un souci... Un message d'erreur que j'avais auparavant 1/2 fois, voire 0 fois dans une journée, je l'ai eu en trois minutes environ 7 fois. De quoi s'agit-il? (Voir lien)
http://img153.imageshack.us/img153/3144/debzt2.png

Et pour Kerio, j'ai accepté ça bien sûr mais je ne vois pas en quoi il a besoin de faire "entrer" quelque chose?
http://img137.imageshack.us/img137/8578/sun1gt8.jpg

Bonne soirée.

Lyonnais92 · Answer

Bonjour,

tu as Visual Studio ?

Pour Kerio, tu peux le bloquer, tu verras ce qui se passe.

Abeille · Answer

Visual Studio...
Eh bien peut-être mais alors je ne vois pas à quoi sa sert et je ne savais pas.
Je n'ai pas eu de messages de ce genre aujourd'hui.
Par contre en allumant mon PC, j'ai envoyé 10 rapports d'erreurs Windows CardSpace qui sont en rapport avec IE je crois.

Lyonnais92 · Answer

Re,

https://fr.wikipedia.org/wiki/Microsoft_Visual_Studio

https://en.wikipedia.org/wiki/Windows_CardSpace

tu as ceci sur ton ordi ?

Abeille · Answer

Ah oui, je m'en souviens.
Oui, je les ai.

Lyonnais92 · Answer

Bonjour,

réinstalle les

Virus (Trojan Horse, malware, etc) + Pubs

51 réponses

Discussions similaires