Win32:DNSChanger-VT [Trj] Fermé

Question

Bonjour,

depuis quelques temps avast me trouve ces virus : Win32:DNSChanger-VT [Trj] dont je n'arrive pas a me debarasser. N'etant pas tres doué en informatique j'apprécierais que quelqu'un de plus éclairé m'explique comment faire pour me debarasser de cette saletée. je vous joint une copie du rapport hijack this :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:43:26, on 11/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\Program Files\Brother\ControlCenter2\brctrcen.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Program Files\Brother\Brmfcmon\BrMfcmon.exe
C:\WINDOWS\system32\afinding.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\Nobicyt.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\perfs.exe
C:\WINDOWS\system32outing.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wserving.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Freeplayer\vlc\vlc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Contrôleur d’état.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AFinding Service (AFinding) - Unknown owner - C:\WINDOWS\system32\afinding.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: NOBICYT Service (NOBICYT) - Unknown owner - C:\WINDOWS\system32\Nobicyt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: perfmons Service (perfmons) - Unknown owner - C:\WINDOWS\system32\perfs.exe
O23 - Service: Routing Service (Routing) - Unknown owner - C:\WINDOWS\system32outing.exe
O23 - Service: WServing Service (WServing) - Unknown owner - C:\WINDOWS\system32\wserving.exe

sKe69 · Answer

Salut,
Télécharges SDFix sur ton bureau :
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe. 

--->Double clique sur SDFix.exe et choisis "Install" .

Puis une fois l'instale faite ,redémarre en mode sans échec . 
Comment aller en Mode sans échec :
1) Redémarre ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... ) 

Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script. 
--->Tape Y pour lancer le script. 
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire , donc :
presses une touche pour redémarrer quand il te le sera demandé . 

Le PC va mettre du temps avant de démarrer ( c'est normale ), après le chargement du Bureau presses une touche lorsque "Finished" s'affiche .

Le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier C:\SDFix sous le nom "Report.txt".
Postes ce dernier dans ta prochaine réponse accompagné d'un nouveau rapport Hijakcthis pour analyse ...

ep44 · Answer

Bonsoir 

Tu as plusieurs fichiers infectés 

Télécharge Combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et sauvegarde le sur ton bureau et pas ailleurs!

=> /!\déconnecte toi d'internet et ferme toutes tes applications./!\

=>/!\ désactive tes protections (antivirus, parefeu,antispyware) provisoirement et seulement le temps de l'utilisation de ComboFix,/!\

=> Double-clic sur combofix,

=> /!\Ne touche à rien tant que le scan n'est pas terminé.Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi./!\

=> Attends que combofix ait terminé, un rapport sera créé. 

=> réactive ton parefeu, ton antivirus, la garde de ton antispyware

=> copie/colle le rapport C:\ComboFix.txt 

=> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

@+

sKe69 · Answer

bien ...

Télécharges DSS (Deckard's System Scanner de Deckard) sur ton Bureau : 

http://www.techsupportforum.com/sectools/Deckard/dss.exe 
 
!! Fermes toutes les applications en cours (très important, sinon l'ordi peut planter) !! 

Double-clique sur DSS.exe pour lancer l'outil. 
(S'il ne trouve pas HijackThis, clique sur Oui ) 

Clique sur OK à chaque fois que cela sera demandé. 

L'analyse finie, un fichier texte s'affichera --->Postes ce rapport dans ta prochaine 
réponse pour analyse ... 

(Le rapport se trouve en outre ici : C:\Deckard\System Scanner\main.txt.) 

Important : Si tu obtiens deux rapports ("main.txt" + "extra.txt") alors poste les deux stp. 
Attention --> les rapports peuvent être long donc envoie chacun d'eux dans un poste différent (sinon il risque de manquer la fin).

sKe69 · Answer

laisse tomber DSS pour le moment ainsi que Avast ...

1- Télécharges : - CCleaner 
https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corrigé ton registre .Lors de l'installation, avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 première.
Une fois le prg instalé et lancé, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures"( Par la suite, laisse-le avec ses réglages par défaut. C'est tout ). 

Un tuto ( aide ): 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 

---> Utilisation:
vas dans "nettoyeur" : fait analyse puis nettoyage 
et vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) . 

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

2- Télécharge DiagHelp.zip sur ton bureau :

http://www.malekal.com/download/DiagHelp.zip

!! déconnectes toi et fermes toutes tes applications en cours !!  

Fais un clic droit sur le fichier et extraire tout .

--> Un nouveau dossier va être créé : "DiagHelp"  
Ouvres le et double-clic sur go.cmd et pas sur autre chose ! (le .cmd peut ne pas apparaître )
 
--> Une fenêtre va s'ouvrir, choisis l'option 1 
L'analyse va commencer, ce-ci peut durer quelques minutes, laisses faire et appuies sur une touche quand on te le demandera : 
une page IE va s'ouvrir , fermes la . 
Re-appuis sur une touche, le bloc-note s'ouvre : 
Sauvegardes ce rapport de façon à le retrouver et postes tout son contenu dans ta prochaine réponse ...

sKe69 · Answer

Ok ...
Si tu possèdes des unité externes ( clé usb , lect. mp3, disk dur externe ... ) , débranches les proprements mais gardes les à porté de main ...

1- Télécharges Flash_Disinfector de sUBs ici :

https://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe

Enregistres le sur ton bureau.

Double cliques sur Flash_Disinfector.exe pour le lancer ...
 
Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra : 
->connectes toutes tes clés USB et périphériques USB externes susceptibles d'avoir été infectés .

Puis clique sur Ok .

Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: " Done!! " 

Appuye sur "Ok", pour faire réapparaitre le bureau ...

2- supprimes DSS.exe ainsi que le dossier C:\Deckard ... Puis reprends la manipe :
Télécharges DSS (Deckard's System Scanner de Deckard) sur ton Bureau : 

http://www.techsupportforum.com/sectools/Deckard/dss.exe 
 
!! Fermes toutes les applications en cours (très important, sinon l'ordi peut planter) !! 

Double-clique sur DSS.exe pour lancer l'outil. 
(S'il ne trouve pas HijackThis, clique sur Oui ) 

Clique sur OK à chaque fois que cela sera demandé. 

L'analyse finie, un fichier texte s'affichera --->Postes ce rapport dans ta prochaine 
réponse pour analyse ... 

(Le rapport se trouve en outre ici : C:\Deckard\System Scanner\main.txt.) 

Important : Si tu obtiens deux rapports ("main.txt" + "extra.txt") alors poste les deux stp. 
Attention --> les rapports peuvent être long donc envoie chacun d'eux dans un poste différent (sinon il risque de manquer la fin).

sKe69 · Answer

Bon ...

1-Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Copies ce qui suit et colles le dans l'espace pour la recherche : 
C:\WINDOWS\System32\brss01a.ini 

Cliques sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copies le dans ta prochaine réponse ... 

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )


Fais de même pour :
C:\WINDOWS\System32\brsvc01a.bsi 
C:\WINDOWS\System32\bridf05a.dat 

---> postes moi donc ces 3 rapports ( en précisant bien au début de chacuns à quel fichier ils correspondent ) .

Une fois tout cela posté , fais ce qui suit :

2 - Télécharges MalwareByte's : 
ici ftp://ftp.commentcamarche.com/download/mbam-setup.exe
ou ici : http://www.malwarebytes.org/mbam.php
 
Installes le ( choisis bien "francais" ; ne modifies pas les paramètres d'installe ) et mets le à jour . 

Potasses le tuto pour te familiariser avec le prg : https://forum.pcastuces.com/sujet.asp?f=31&s=3 
( cela dis, il est très simple d'utilisation ).

Impératif : redémarres en mode sans échec : 
Comment aller en Mode sans échec 
1) Redémarres ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... ) 
(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...)
 
Lances Malwarebyte's .

Fais un scan dit "complet" ( sélectionnes bien tout tes disks avant le scan )  et supprimes tout ce qu'il peut trouver :
--->une fois le scan terminé , click sur "résultat" : puis vérifies que tous les objets infectés soient validés, puis click sur " suppression " .

Redémarres ton PC ( mode normal ). 

Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes) accompagné d'un nouvel hijackthis ( fait en mode normal ) ...

sKe69 · Answer

L'as tu fait en mode sans échec ?

Sinon refais malwarebytes en mode sans échec svp et postes moi le nouveau rapport obtenu ...

sKe69 · Answer

de retour pour un bref instant ^^

( merci à lyonnais92 et à ep44 pour la manipe suivante )

1-Crées un doc texte sur ton bureau : 
pointes ta souris sur ton bureau , cliques droit : vas dans "nouveau" et choisis "document texte" . 

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer : 

Driver::
NOBICYT

File::
C:\WINDOWS\system32\Nobicyt.exe
C:\WINDOWS\system32\comsa32.sys 

Puis vas dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : 
CFScript puis valides ...
 

2-Nettoyage :

!! Déconnectes toi, fermes toutes tes applications et désactives TOUTES TES DEFENCES ( tu les réactiveras après )  !! 

--->Sur ton bureau, fais un glissé avec ta souris le fichier CFScript sur l'icône de ComboFix.exe . 

(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tapes 1 puis valide. 

Puis patientes le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!) 

!! Ne touches à rien tant que le scan n'est pas terminé !! 

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisses-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Postes le accompagné d' un nouveau rapport HijackThis pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

sKe69 · Answer

Bon ... 

Pour demain :

refais un scan hijackthis et postes moi le nouveau rapport obtenu pour analyse ...

PS : conseil -->ne touches pas au PC à part pour venir ici finir la désinfection ... 

bonne nuit et à demain ( je serais moins dispo parcontre  ;)  ) ...

sKe69 · Answer

Salut,

1- Télécharges : - CCleaner 
https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corrigé ton registre .Lors de l'installation, avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 première.
Une fois le prg instalé et lancé, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures"( Par la suite, laisse-le avec ses réglages par défaut. C'est tout ). 

Un tuto ( aide ): 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 

---> Utilisation:
vas dans "nettoyeur" : fait analyse puis nettoyage 
et vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) . 

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

2- -Fais un scan antivirus en ligne, avec Internet Explorer et accepter l'ActiveX :
https://www.bitdefender.fr/ 
(pour le rapport ,qui est un doc IE , clik sur l'onglet "plus de détailles" : et à la fin du scan tu demandes à le sauvegarder sur ton bureau) 

--->fais un copier/coller et postes le rapport dans ta prochaine réponse ... 

Aide : En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE 
Dans la nouvelle fenêtre, clique sur j’accepte .
La fenêtre change encore, clique sur scanner .
Les signatures se chargent, etc.
(aide en image : http://www.commentcamarche.net/faq/sujet 8872 scanner en ligne avec bitdefender)

sKe69 · Answer

Impeccable ^^

A- Télécharges ToolsCleaner (de A.Rothstein) sur ton Bureau. 
http://pc-system.fr/

Déconnectes toi et fermes bien toutes tes applications en cours .

Lances le . 
*Cliques sur Recherche et laisses le scan se terminer (cela peut être long). 
*Cliques sur Suppression pour finaliser. 
*Tu peux, si tu le souhaites, te servir des Options facultatives 
*Click sur "quitter" pour générer un rapport :
---> Postes le (TCleaner.txt), il se trouve à la racine de ton disque dur (C:\). 

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection ( tu n'en as plus besion ! ) . 
Supprimes tout les outils , dossiers ou rapports consernant la désinfection que Toolsclaener2 n'a pas supprimé . 

Puis enfin supprimes Toolscleaner2 ... ( Gardes CCleaner et Malwarebytes : très utiles )

B - Refais un coup de CCleaner ( registre compris ) .

C- Un checkup s'impose maitenant :

( étape 1 à faire de suite ! et le reste dès que tu peux mais ne tardes pas trop ;) ) 

1-Restauration système 
*Désactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK 
--->Redémarres ton PC 
*Réactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK 
--->Redémarres ton PC 


2-Nettoyage et Défragmentation de tes Disques 
*Nettoyage : 
Clic droit sur "poste de travail" ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général" 
Cliques sur le bouton "nettoyage de disque", OK 
tu le fais pour chacun de tes disques 

*Vérifications des erreurs : 
Clic droit sur "poste de travail" ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil" 
"Vérifier maintenant", une boîte s'ouvre, cocher les cases : 
-réparer automatiquement les erreurs... 
-rechercher et tenter une récupération... 
--->Démarrer, ok 
Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal 
tu le fais pour chacun de tes disques 

ensuite toujours dans le même onglet tu choisis : 
*Défragmentation : 
"défragmenter maintenant", OK 
une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK 
tu le fais pour chacun de tes disques 

Une fois tout cela fais , dis moi coment cela c'est passé et dis moi coment va le PC ...

sKe69 · Answer

Fais ce-ci alors :

1- Avoir accès aux fichiers cachés :
 
Vas dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage 
* "Afficher les fichiers et dossiers cachés" ---> coché 
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché 
* "masquer les fichiers du système" ---> décoché 
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... ) 

2- on va tacher de savoir quelle est cette bestiole :

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Copies ce qui suit et colles le dans l'espace pour la recherche : 
C:\WINDOWS\system32\cerwxfst.sys 

Cliques sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copies le dans ta prochaine réponse ... 

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant ) .

sKe69 · Answer

bien ... Si tu peux me dire ce que tu à fait avec ton PC entre le moment ou on a passer le scan en ligne Bitdefender et le jour ou Avast t'a redetecté cette bestiole , ce serait pas mal  ;)

Ensuite on vas reprendre avec ce-ci :

Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleur !): 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clik droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix et valide . 

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENCES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe : 
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après  !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-cliques C-Fix.exe ( = combofix.exe ) . 

Appuyes sur la touche Y (Yes) pour démarrer le scan . 

Attention : n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi. 
---> si un message d'erreur windows apparait à un momment  : clik sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... ) 

Le rapport sera crée dans: C:\Combofix.txt 
 
Postes le rapport Combofix pour analyse ...

sKe69 · Answer

Fais ce qui suit :

Télécharges OTMoveIt (de Old_Timer) sur ton Bureau. 
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
ou http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

* Impératif : Redémarrer l'ordinateur en mode sans échec . 
Comment aller en Mode sans échec 
1) Redémarre ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... ) 
( ps : n'oublies pas , en mode sans échec , pas de connexion ! Donc copies ou imprimes bien les info ci-dessous ...)
 
clic double sur OTMoveIt.exe pour le lancer. 
copie ce qui se trouve en citation ci-dessous : 

C:\WINDOWS\system32\cerwxfst.sys

et colles-la dans le cadre de gauche de OTMoveIt2 : 
Paste standard List of Files/Folders to be moved.
 
cliques sur MoveIt! pour lancer la suppression. 
le résultat apparaîtra dans le cadre Results.
 
cliques sur Exit pour fermer. 
Puis refai un coup de CCleaner ( registres compris )
--->postes le rapport situé dans " C:\OTMoveIt\MovedFiles." 

il te sera peut-être demandé de redémarrer le pc pour achever la suppression. 
si c'est le cas acceptes par "Yes". Sinon fais le manuelllement pour retourner en mode normale ...

Aergal · Answer

Salut, 

Bon alors ccleaner effectué et avast en mode sans echec aussi, jusqu'au bout cette fois ci... et la c'est consternant, c'est plus une infection c'est une invasion... j'ai noté tout les virus détectés :


1
nom du fichier :C:\upload_moi_PC-CHAMBRE.tar.gz\upload_moi.tar\qoobox\Quarantine\C\WINDOWS\system32\afinding.exe.vir

nom du logiciel malveillant : Win32:Trojan-gen {Other}

2
nom du fichier :C:\upload_moi_PC-CHAMBRE.tar.gz\upload_moi.tar\qoobox\Quarantine\C\WINDOWS\system32\andt.sys.vir

nom du logiciel malveillant : Win32:DNSChanger-VT [Trj]

3
nom du fichier : C:\upload_moi_PC-CHAMBRE.tar.gz\upload_moi.tar\qoobox\Quarantine\C\WINDOWS\system32\Indt2.sys.vir

nom du logiciel malveillant : Win32:Trojan-gen {Other}

4
nom du fichier : C:\upload_moi_PC-CHAMBRE.tar.gz\upload_moi.tar\qoobox\Quarantine\C\WINDOWS\system32outing.exe.vir

nom du logiciel malveillant : Win32:Trojan-gen {Other}

5
nom du fichier : C:\upload_moi_PC-CHAMBRE.tar.gz\upload_moi.tar\qoobox\Quarantine\C\WINDOWS\system32	mp0_549835618164.bk.vir

nom du logiciel malveillant : Win32:DNSChanger-VT [Trj]

6
nom du fichier : C:\upload_moi_PC-CHAMBRE.tar.gz\upload_moi.tar\qoobox\Quarantine\C\WINDOWS\system32	mp0_621287139065.bk.vir

nom du logiciel malveillant : Win32:DNSChanger-VT [Trj]

7
nom du fichier : C:\upload_moi_PC-CHAMBRE.tar.gz\upload_moi.tar\qoobox\Quarantine\C\WINDOWS\system32	mp1_78640586871.bk.vir

nom du logiciel malveillant : Win32:DNSChanger-VT [Trj]

8
nom du fichier : C:\upload_moi_PC-CHAMBRE.tar.gz\upload_moi.tar\qoobox\Quarantine\C\WINDOWS\system32\wserving.exe.vir

nom du logiciel malveillant : Win32:Trojan-gen {Other}

9
nom du fichier : C:\upload_moi_PC-CHAMBRE.tar.gz\upload_moi.tar

nom du logiciel malveillant : Win32:DNSChanger-VT [Trj]

10
nom du fichier : C:\WINDOWS\system32\yaxcnxd.sys

nom du logiciel malveillant : Win32:DNSChanger-VT [Trj]

11
nom du fichier : C:\_OTMoveIt\MovedFiles\07182008_074320\WINDOWS\system32\cerwxfst.sys

nom du logiciel malveillant : Win32:Trojan-gen {Other}

voila... heureusement demain je decolle pour 3 semaines au Quebec, ça va me faire du bien de plus voir cet ordi un moment :)

sKe69 · Answer

bien voilà ce que tu vas faire :

Supprimes tout ce qu'il peutavoir dans la quarantaine d'Avast ( via celle-ci bien évidement )

A ) * Impératif : Redémarrer l'ordinateur en mode sans échec .
Comment aller en Mode sans échec
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )
( ps : n'oublies pas , en mode sans échec , pas de connexion ! Donc copies ou imprimes bien les info ci-dessous ...)

clic double sur OTMoveIt.exe pour le lancer.
copie ce qui se trouve en citation ci-dessous :

C:\WINDOWS\system32\yaxcnxd.sys
C:\upload_moi_PC-CHAMBRE.tar.gz

et colles-la dans le cadre de gauche de OTMoveIt2 :
"Paste standard List of Files/Folders to be moved".

cliques sur MoveIt! pour lancer la suppression.
le résultat apparaîtra dans le cadre Results.

cliques sur Exit pour fermer.
Puis refai un coup de CCleaner ( registres compris )
--->postes le rapport situé dans " C:\OTMoveIt\MovedFiles. "

il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas acceptes par "Yes". Sinon fais le manuelllement pour retourner en mode normale ... 

B ) Télécharges DSS (Deckard's System Scanner de Deckard) sur ton Bureau : 

http://www.techsupportforum.com/sectools/Deckard/dss.exe 
 
!! Fermes toutes les applications en cours (très important, sinon l'ordi peut planter) !! 

Double-clique sur DSS.exe pour lancer l'outil. 
(S'il ne trouve pas HijackThis, clique sur Oui ) 

Clique sur OK à chaque fois que cela sera demandé. 

L'analyse finie, un fichier texte s'affichera --->Postes ce rapport dans ta prochaine 
réponse pour analyse ... 

(Le rapport se trouve en outre ici : C:\Deckard\System Scanner\main.txt.) 

Important : Si tu obtiens deux rapports ("main.txt" + "extra.txt") alors poste les deux stp. 
Attention --> les rapports peuvent être long donc envoie chacun d'eux dans un poste différent (sinon il risque de manquer la fin).

Aergal · Answer

alors, le rapport de OTmoveit :

File/Folder C:\WINDOWS\system32\yaxcnxd.sys not found.
File/Folder C:\upload_moi_PC-CHAMBRE.tar.gz not found.
 
OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 07202008_230516

sans etre calé en informatique ça me semble pas de bon augure...

ensuite pour dss, ca plante toujours... c'est pas gagné :)

sKe69 · Answer

File/Folder C:\WINDOWS\system32\yaxcnxd.sys not found.
File/Folder C:\upload_moi_PC-CHAMBRE.tar.gz not found. 

Ce n'est pas si mauvais que cela ... Avast à peu-être bien fait son boulot ^^

( pour les autre qu'Avast a débusqué , ils étaient en fait bien au chaud dans la quarantaine de Combofix ... )

1- Avoir accès aux fichiers cachés :
 
Vas dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage 
* "Afficher les fichiers et dossiers cachés" ---> coché 
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché 
* "masquer les fichiers du système" ---> décoché 
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... ) 

2- Refais un coup de Combofix et poste moi le nouveau rapport obtenu stp ...

Aergal · Answer

ComboFix 08-07-15.4 - Nico 2 2008-07-21 0:15:41.7 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1651 [GMT 2:00] Endroit: C:\Documents and Settings\Nico 2\Bureau\ComboFix.exe [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . ((((((((((((((((((((((((((((( Fichiers créés 2008-06-20 to 2008-07-20 )))))))))))))))))))))))))))))))))))) . 2008-07-21 00:12 . 2008-07-21 00:12 d-------- C:\WINDOWS\LastGood 2008-07-20 23:10 . 2008-07-20 23:10 d-------- C:\Deckard 2008-07-18 07:43 . 2008-07-18 07:43 d-------- C:\_OTMoveIt 2008-07-15 16:29 . 2008-07-15 16:29 52,401,304 --a------ C:\Sauv.reg 2008-07-14 16:22 . 2008-07-14 16:28 d-------- C:\Documents and Settings\Nico 2\Application Data\dvdcss 2008-07-14 13:52 . 2008-07-14 14:04 d-------- C:\WINDOWS\BDOSCAN8 2008-07-12 18:03 . 2008-07-12 18:09 d-------- C:\Backups 2008-07-12 17:56 . 2008-07-12 17:56 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-07-12 17:56 . 2008-07-12 17:56 d-------- C:\Documents and Settings\Nico 2\Application Data\Malwarebytes 2008-07-12 17:56 . 2008-07-12 17:56 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-07-12 17:56 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-07-12 17:56 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-07-12 13:54 . 2008-07-15 16:29 d-------- C:\WINDOWS\ERUNT 2008-07-12 13:53 . 2008-04-22 15:38 d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau 2008-07-12 13:53 . 2008-04-22 15:38 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression 2008-07-12 13:53 . 2008-04-22 13:45 d--h----- C:\Documents and Settings\Administrateur\Modèles 2008-07-12 13:53 . 2008-04-22 15:38 d-------- C:\Documents and Settings\Administrateur\Mes documents 2008-07-12 13:53 . 2008-04-22 15:38 dr------- C:\Documents and Settings\Administrateur\Menu Démarrer 2008-07-12 13:53 . 2008-04-22 15:38 d-------- C:\Documents and Settings\Administrateur\Favoris 2008-07-12 13:53 . 2008-07-12 21:34 d-------- C:\Documents and Settings\Administrateur\Bureau 2008-07-12 13:53 . 2008-07-12 13:53 d-------- C:\Documents and Settings\Administrateur 2008-07-11 21:27 . 2008-07-11 21:29 d-------- C:\Documents and Settings\Nico 2\Application Data\vlc 2008-07-11 21:21 . 2008-07-15 21:49 d-------- C:\Documents and Settings\All Users\utilitaires 2008-07-11 21:20 . 2008-07-20 23:24 d-------- C:\Documents and Settings\All Users\film 2008-07-11 21:17 . 2008-07-11 21:17 d-------- C:\Program Files\Freeplayer 2008-07-11 18:10 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys 2008-07-11 18:10 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys 2008-07-11 18:10 . 2008-07-11 18:10 434 --a------ C:\WINDOWS\BRWMARK.INI 2008-07-11 18:10 . 2008-07-11 18:10 184 --a------ C:\WINDOWS\system32\brsvc01a.bsi 2008-07-11 18:10 . 2008-07-11 18:10 30 --a------ C:\WINDOWS\system32\brss01a.ini 2008-07-11 18:10 . 2008-07-11 18:10 27 --a------ C:\WINDOWS\BRPP2KA.INI 2008-07-11 18:09 . 2001-02-05 11:16 258,048 --a------ C:\WINDOWS\system32\bsplmf01.dll 2008-07-11 18:09 . 2003-12-24 00:00 131,072 --a------ C:\WINDOWS\system32\bsplmf01.exe 2008-07-11 18:09 . 2005-03-02 11:35 121,856 --a------ C:\WINDOWS\system32\BrWia05a.dll 2008-07-11 18:09 . 2002-04-12 00:00 57,344 --a------ C:\WINDOWS\system32\brsvc01a.exe 2008-07-11 18:09 . 2005-05-09 10:34 55,296 --------- C:\WINDOWS\system32\brinsstr.dll 2008-07-11 18:09 . 2001-12-13 00:01 45,056 --a------ C:\WINDOWS\system32\brss01a.exe 2008-07-11 18:09 . 2005-03-02 13:14 37,888 --a------ C:\WINDOWS\system32\BrUSi05a.dll 2008-07-11 18:09 . 2004-10-15 12:50 15,295 --a------ C:\WINDOWS\system32\drivers\BrScnUsb.sys 2008-07-11 18:09 . 2008-07-11 18:09 50 --a------ C:\WINDOWS\system32\bridf05a.dat 2008-07-11 18:08 . 2008-07-11 18:08 d-------- C:\Program Files\Common Files 2008-07-11 18:08 . 2008-07-11 18:09 d-------- C:\Program Files\Brother 2008-07-11 18:08 . 2008-07-11 18:08 d-------- C:\Brother 2008-07-11 18:08 . 2004-12-03 01:26 188,416 --------- C:\WINDOWS\system32\PDRVINST.DLL 2008-07-11 18:08 . 2004-12-10 16:35 147,456 --------- C:\WINDOWS\brunin03.dll 2008-07-11 18:08 . 2002-10-31 01:09 81,920 --------- C:\WINDOWS\system32\BrWebIns.dll 2008-07-11 18:08 . 2003-07-03 01:08 65,536 --------- C:\WINDOWS\system32\BRWEBUP.EXE 2008-07-11 18:08 . 2001-11-15 01:00 6,224 --------- C:\WINDOWS\CVRPAGE.bmp 2008-07-11 18:07 . 2008-07-11 18:07 d-------- C:\Program Files\ScanSoft 2008-07-11 18:07 . 2008-07-11 18:07 d-------- C:\Program Files\Fichiers communs\ScanSoft Shared 2008-07-11 18:07 . 2008-07-11 18:07 d-------- C:\Documents and Settings\All Users\Application Data\ScanSoft 2008-07-11 18:07 . 2008-07-11 18:07 d-------- C:\Documents and Settings\All Users\Application Data\InstallShield 2008-07-11 18:07 . 2003-09-24 11:37 27,279 --a------ C:\WINDOWS\maxlink.ini 2008-07-11 18:06 . 2008-07-11 18:06 d-------- C:\Documents and Settings\All Users\Application Data\Brother 2008-07-05 17:24 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\drivers\bthport.sys 2008-07-05 17:24 . 2008-06-14 19:59 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys 2008-07-05 17:19 . 2008-07-05 17:19 d-------- C:\Program Files\Creative 2008-07-05 17:19 . 2005-08-16 12:23 38,422 --a------ C:\WINDOWS\system32\drivers\StMp3Rec.sys . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-15 19:49 --------- d-----w C:\Program Files\Trend Micro 2008-07-11 16:08 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-07-11 16:08 --------- d-----w C:\Program Files\Fichiers communs\InstallShield 2008-05-23 18:47 --------- d-----w C:\Documents and Settings\Nico 2\Application Data\LG Electronics 2008-05-23 18:45 --------- d-----w C:\Program Files\LG PC Suite 2008-05-23 18:45 --------- d-----w C:\Program Files\LG Electronics 2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll 2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll . ((((((((((((((((((((((((((((( snapshot@2008-07-17_23.12.47.43 ))))))))))))))))))))))))))))))))))))))))) . + 2004-08-03 21:10:12 48,128 -c--a-w C:\WINDOWS\system32\dllcache\61883.sys + 2004-08-03 21:10:12 38,912 -c--a-w C:\WINDOWS\system32\dllcache\avc.sys + 2004-08-03 21:10:18 17,024 -c--a-w C:\WINDOWS\system32\dllcache\ccdecode.sys + 2004-08-03 21:10:00 51,328 -c--a-w C:\WINDOWS\system32\dllcache\msdv.sys + 2004-08-03 20:58:40 5,504 -c--a-w C:\WINDOWS\system32\dllcache\mstee.sys + 2004-08-03 21:10:30 85,376 -c--a-w C:\WINDOWS\system32\dllcache abtsfec.sys + 2004-08-03 21:10:14 10,880 -c--a-w C:\WINDOWS\system32\dllcache disip.sys + 2004-08-03 21:10:18 11,136 -c--a-w C:\WINDOWS\system32\dllcache\slip.sys + 2004-08-03 21:10:14 15,360 -c--a-w C:\WINDOWS\system32\dllcache\streamip.sys + 2004-08-19 14:09:48 54,784 -c--a-w C:\WINDOWS\system32\dllcache\vfwwdm32.dll + 2004-08-03 21:10:22 19,328 -c--a-w C:\WINDOWS\system32\dllcache\wstcodec.sys + 2004-08-03 21:10:12 48,128 ----a-w C:\WINDOWS\system32\drivers\61883.sys + 2004-08-03 21:10:12 38,912 ----a-w C:\WINDOWS\system32\drivers\avc.sys + 2004-08-03 21:10:18 17,024 ----a-w C:\WINDOWS\system32\drivers\CCDECODE.sys + 2004-08-03 21:10:00 51,328 ----a-w C:\WINDOWS\system32\drivers\msdv.sys + 2004-08-03 20:58:40 5,504 ----a-w C:\WINDOWS\system32\drivers\MSTEE.sys + 2004-08-03 21:10:30 85,376 ----a-w C:\WINDOWS\system32\drivers\NABTSFEC.sys + 2004-08-03 21:10:14 10,880 ----a-w C:\WINDOWS\system32\drivers\NdisIP.sys + 2004-08-03 21:10:18 11,136 ----a-w C:\WINDOWS\system32\drivers\SLIP.sys + 2004-08-03 21:10:14 15,360 ----a-w C:\WINDOWS\system32\drivers\StreamIP.sys + 2004-08-03 21:10:22 19,328 ----a-w C:\WINDOWS\system32\drivers\WSTCODEC.SYS - 2008-07-12 15:24:50 74,649 ----a-w C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe + 2008-07-20 22:12:55 74,649 ----a-w C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe + 2004-08-19 14:09:48 54,784 ----a-w C:\WINDOWS\system32\vfwwdm32.dll + 2008-07-20 21:07:57 16,384 ----atw C:\WINDOWS\TEMP\Perflib_Perfdata_650.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 17:09 15360] "IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" [2007-12-13 19:10 1688872] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920] "NeroFilterCheck"="C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2007-03-01 14:57 153136] "NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-12-03 14:21 2213160] "SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 10:22 155648] "PaperPort PTD"="C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 19:17 57393] "IndexSearch"="C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 19:30 40960] "SetDefPrt"="C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 18:02 49152] "ControlCenter2.0"="C:\Program Files\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 17:42 933888] "nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32 wiz.exe] "SoundMan"="SOUNDMAN.EXE" [2004-11-15 18:20 77824 C:\WINDOWS\SOUNDMAN.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 17:09 15360] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\Freeplayer\vlc\vlc.exe"= R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3dca4d42-1071-11dd-9b35-806d6172696f}] \Shell\AutoRun\command - D:\SETUP.EXE /AUTORUN \Shell\configure\command - D:\SETUP.EXE \Shell\install\command - D:\SETUP.EXE [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9195d1c6-1073-11dd-bda8-0011d89573df}] \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe WillPolo.vbs . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' "2008-05-05 17:48:45 C:\WINDOWS\Tasks\ErrorSmart Scheduled Scan.job" - C:\Program Files\ErrorSmart\ErrorSmart.ex - C:\Program Files\ErrorSmart.Nico 2+Runs ErrorSmart to optimize your registry. . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-21 00:16:31 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-07-21 0:17:21 ComboFix-quarantined-files.txt 2008-07-20 22:17:14 ComboFix2.txt 2008-07-17 21:12:58 Pre-Run: 66,752,495,616 octets libres Post-Run: 66,747,781,120 octets libres 160 --- E O F --- 2008-07-05 15:30:10

sKe69 · Answer

Bien ...

A )  Impératif : Redémarrer l'ordinateur en mode sans échec . 
Comment aller en Mode sans échec 
1) Redémarre ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... ) 
( ps : n'oublies pas , en mode sans échec , pas de connexion ! Donc copies ou imprimes bien les info ci-dessous ...)
 
clic double sur OTMoveIt.exe pour le lancer. 
Copies ce qui trouve en citation ci-dessous : 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion­\explorer\mountpoints2\{9195d1c6-1073-11dd-bda8-0011d89573df­}]

C:\WINDOWS\Tasks\ErrorSmart Scheduled Scan.job
C:\Program Files\ErrorSmart
C:\Program Files\ErrorSmart.Nico 2+Runs ErrorSmart to optimize your registry


et colles-la dans le cadre de gauche de OTMoveIt2 : 
Paste standard List of Files/Folders to be moved.
 
cliques sur MoveIt! pour lancer la suppression. 
le résultat apparaîtra dans le cadre Results.
 
cliques sur Exit pour fermer. 

il te sera peut-être demandé de redémarrer le pc pour achever la suppression. 
si c'est le cas acceptes par "Yes". Sinon , redémarres manuellement pour retourner 
en mode normal ...

--->postes le rapport situé dans " C:\OTMoveIt\MovedFiles." 

B ) Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Copies ce qui suit et colles le dans l'espace pour la recherche : 
D:\SETUP.EXE 

Cliques sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copies le dans ta prochaine réponse ... 

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )


Fais de même pour :
D:\SETUP.EXE /AUTORUN 
C:\WINDOWS\TEMP\Perflib_Perfdata_650­.dat 

---> postes moi donc ces 3 rapports ( en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...

Aergal · Answer

bon, décollage... on verra la suite dans 3 semaines :)

Merci et à bientot.

Aergal · Answer

SAlut, de retour de vacance (hélas)... je te poste le premier rapport celui de otmoveit :

< [HKEY_CURRENT_USER\software\microsoft\windows\currentversion­\explorer\mountpoints2\{9195d1c6-1073-11dd-bda8-0011d89573df­}]  >
File/Folder [HKEY_CURRENT_USER\software\microsoft\windows\currentversion­\explorer\mountpoints2\{9195d1c6-1073-11dd-bda8-0011d89573df­}] not found.
File/Folder  not found.
C:\WINDOWS\Tasks\ErrorSmart Scheduled Scan.job moved successfully.
File/Folder C:\Program Files\ErrorSmart not found.
File/Folder C:\Program Files\ErrorSmart.Nico 2+Runs ErrorSmart to optimize your registry not found.
 
OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08182008_190355

pour scan file je doit surement le faire mal car a chaque fois que je copie ue ligne et que je clique sur envoyer, il me pond un page blanche avec ecrit 0 bytes envoyés, un truc comme ça...

Aergal · Answer

plus precisement il me repond :

0 bytes size received / Se ha recibido un archivo vacio

sKe69 · Answer

Salut,

Pour voir un peu où on en est depuis ..

1- On va supprimer Combofix ( version obselette maintenant ) :

-->Cliques sur " Démarrer ( ou combine la touche Windows + R ) -> " Executer " -> copie/colle cette ligne : 

ComboFix /u 

( laisses l'espace entre Combofix et /u ) 

-->Valides .


2- Refais un coup de CCleaner ( registre compris )


3- Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleur !): 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clik droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix et valide . 

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENSES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe : 
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après  !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-cliques C-Fix.exe ( = combofix.exe ) . 

Appuyes sur la touche Y (Yes) pour démarrer le scan . 

Attention : 
--> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
--> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisses le faire . 
--> si un message d'erreur windows apparait à un momment  : clik sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... ) 

Le rapport sera crée dans: C:\Combofix.txt 
 
Postes le rapport Combofix accompagné d'un nouveau rapport hijackthis pour analyse ...

Aergal · Answer

Ok merci :) alors 1er rapport, combo fix : ComboFix 08-08-17.05 - Nico 2 2008-08-18 19:37:46.8 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1644 [GMT 2:00] Endroit: C:\Documents and Settings\Nico 2\Bureau\C-Fix.exe * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . ((((((((((((((((((((((((((((( Fichiers créés 2008-07-18 to 2008-08-18 )))))))))))))))))))))))))))))))))))) . 2008-08-18 19:30 . 2008-08-18 19:30 d-------- C:\ComboFix 2008-08-18 18:54 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll 2008-08-18 18:54 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll 2008-08-18 18:54 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui 2008-08-18 03:16 . 2008-08-18 03:16 268 --ah----- C:\sqmdata00.sqm 2008-08-18 03:16 . 2008-08-18 03:16 244 --ah----- C:\sqmnoopt00.sqm 2008-08-18 00:18 . 2008-08-18 00:18 d-------- C:\Program Files\Windows Live Toolbar 2008-08-18 00:18 . 2008-08-18 00:18 d-------- C:\Program Files\Windows Live Favorites 2008-08-18 00:14 . 2008-08-18 00:14 d-------- C:\Program Files\Microsoft SQL Server Compact Edition 2008-08-18 00:12 . 2008-08-18 00:12 d-------- C:\Documents and Settings\Nico 2\Contacts 2008-08-18 00:11 . 2008-08-18 00:11 d----c--- C:\WINDOWS\system32\DRVSTORE 2008-08-18 00:05 . 2008-08-18 00:17 d-------- C:\Program Files\Windows Live 2008-08-18 00:05 . 2008-08-18 00:10 d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller 2008-08-18 00:05 . 2008-08-18 00:05 d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-15 19:49 --------- d-----w C:\Program Files\Trend Micro 2008-07-15 14:29 52,401,304 ----a-w C:\Sauv.reg 2008-07-14 14:28 --------- d-----w C:\Documents and Settings\Nico 2\Application Data\dvdcss 2008-07-12 15:56 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware 2008-07-12 15:56 --------- d-----w C:\Documents and Settings\Nico 2\Application Data\Malwarebytes 2008-07-12 15:56 --------- d-----w C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-07-11 19:29 --------- d-----w C:\Documents and Settings\Nico 2\Application Data\vlc 2008-07-11 19:17 --------- d-----w C:\Program Files\Freeplayer 2008-07-11 16:09 --------- d-----w C:\Program Files\Brother 2008-07-11 16:08 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-07-11 16:08 --------- d-----w C:\Program Files\Fichiers communs\InstallShield 2008-07-11 16:08 --------- d-----w C:\Program Files\Common Files 2008-07-11 16:07 --------- d-----w C:\Program Files\ScanSoft 2008-07-11 16:07 --------- d-----w C:\Program Files\Fichiers communs\ScanSoft Shared 2008-07-11 16:07 --------- d-----w C:\Documents and Settings\All Users\Application Data\ScanSoft 2008-07-11 16:07 --------- d-----w C:\Documents and Settings\All Users\Application Data\InstallShield 2008-07-11 16:06 --------- d-----w C:\Documents and Settings\All Users\Application Data\Brother 2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll 2008-07-07 15:35 34,296 ----a-w C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-07-07 15:35 17,144 ----a-w C:\WINDOWS\system32\drivers\mbam.sys 2008-07-05 15:19 --------- d-----w C:\Program Files\Creative 2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll 2008-06-23 16:28 826,368 ----a-w C:\WINDOWS\system32\wininet.dll 2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll 2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers cpip.sys 2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys 2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers cpip6.sys . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 17:09 15360] "IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" [2007-12-13 19:10 1688872] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920] "NeroFilterCheck"="C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2007-03-01 14:57 153136] "NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-12-03 14:21 2213160] "SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 10:22 155648] "PaperPort PTD"="C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 19:17 57393] "IndexSearch"="C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 19:30 40960] "SetDefPrt"="C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 18:02 49152] "ControlCenter2.0"="C:\Program Files\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 17:42 933888] "nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32 wiz.exe] "SoundMan"="SOUNDMAN.EXE" [2004-11-15 18:20 77824 C:\WINDOWS\SOUNDMAN.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 17:09 15360] C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\ Contr“leur d'‚tat.lnk - C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe [2008-07-11 18:09:11 802816] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\Freeplayer\vlc\vlc.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3dca4d42-1071-11dd-9b35-806d6172696f}] \Shell\AutoRun\command - D:\SETUP.EXE /AUTORUN \Shell\configure\command - D:\SETUP.EXE \Shell\install\command - D:\SETUP.EXE [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9195d1c6-1073-11dd-bda8-0011d89573df}] \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe WillPolo.vbs . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' 2008-08-17 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job - C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20] . . ------- Supplementary Scan ------- . O8 -: &Windows Live Search - C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm O8 -: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab C:\WINDOWS\Downloaded Program Files\oscan8.inf C:\WINDOWS\bdoscandellang.ini C:\WINDOWS\bdoscandel.exe C:\WINDOWS\Downloaded Program Files\live.ini C:\WINDOWS\Downloaded Program Files\scanoptions.tsi C:\WINDOWS\Downloaded Program Files\lang.ini C:\WINDOWS\Downloaded Program Files\ipsupd.dll C:\WINDOWS\Downloaded Program Files\bdupd.dll C:\WINDOWS\Downloaded Program Files\libfn.dll C:\WINDOWS\Downloaded Program Files\bdcore.dll C:\WINDOWS\Downloaded Program Files\oscan8.ocx . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-18 19:38:45 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-08-18 19:39:40 ComboFix-quarantined-files.txt 2008-08-18 17:39:34 ComboFix2.txt 2008-07-20 22:17:22 Pre-Run: 65,920,745,472 octets libres Post-Run: 65,912,758,272 octets libres 132 --- E O F --- 2008-08-18 01:50:42 2nd rapport, hijackthis : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:41:06, on 18/08/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe C:\WINDOWS\system32 vsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32 otepad.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Contrôleur d’état.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/ O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32 vsvc32.exe

sKe69 · Answer

Ok ...

1-Fermes toutes tes applications et déconnectes toi .

Relances Hijackthis mais click sur " Do a scan only " 
Tu vois donc apparaitre le résultat du scan : une multitudes de lignes ,chacunes précédées d'un carré vide . 
Tu vas cliquer sur les carrés des lignes suivantes : 

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) 

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe 
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" 
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot 
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe 
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe 
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020 
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') 
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') 
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') 
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

Tu cliques en bas sur le bouton FIX CHECKED et valides .


2- Télécharges RavAntivirus d'Evosla sur ton bureau : 
http://ww25.evosla.com/compteur.php?soft=rav_antivirus
 
! Déconnectes toi et fermes toutes tes applications en cours !

!!IMPORTANT : Si tu as une clé USB, disque dur externe, etc, branches-les à ton PC (sans les ouvrir) avant de lancer ce FIX !!
 
--->Fais un clic droit sur le fichier .ZIP : "Extraire tout" --> sur le Bureau
 
Puis doucle-cliques sur  RAV.exe  afin de lancer l'outil.
 
Une fois RAV ANTIVIRUS lancé, laisses le faire : il scanne automatiquement tout les lecteurs (disques dur et amovibles)
 
* Si il détecte une infection : un rapport s'établira --> sauvegardes le ...
* Sinon le soft affichera (rapidement) ce-ci "Votre Ordinateur est sain" --> dans ce cas , tu peux fermé le prg ...
 
Enfin ,tu retires tes disques amovibles et redémarres PC .
 
Puis postes le rapport si il y a infection ...

Aergal · Answer

Bon c'est fait... l'icone est restée sur "votre ordinateur est sain" ce qui j'espere est plutot satisfaisant :)

sKe69 · Answer

Ok ....

Comment va le PC ? Encore des soucis ?


puis fais ce-ci pour contrôler :

Si tu ne l'as plus sur ton PC ,
Télécharge DiagHelp.zip sur ton bureau :
( note : si ton anti-virus s'affolle lors du téléchargement ou de l'installe, c'est normal , ignore l'alerte ).

-> http://www.malekal.com/download/DiagHelp.zip

!! déconnectes toi et fermes toutes tes applications en cours !!  

Fais un clic droit sur le fichier et extraire tout .

--> Un nouveau dossier va être créé : "DiagHelp"  
Ouvres le et double-clic sur go.cmd et pas sur autre chose ! (le .cmd peut ne pas apparaître )
 
--> Une fenêtre va s'ouvrir, choisis l'option 1 
L'analyse va commencer, ce-ci peut durer quelques minutes, laisses faire et appuies sur une touche quand on te le demandera : 
une page IE va s'ouvrir , fermes la . 
Re-appuis sur une touche, le bloc-note s'ouvre : 
Sauvegardes ce rapport de façon à le retrouver et postes tout son contenu dans ta prochaine réponse ...

Aergal · Answer

ok merci, pour l'ordi il a l'air d'aller bien, je lancerais un scan d'avast cette nuit voir s'il trouve autre chose... je te met le rapport : DiagHelp version v1.4 - http://www.malekal.com excute le 18/08/2008 à 23:59:33,28 Liste des derniers fichies modifies/crees dans windir\system32 et prefetch C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->18/08/2008 23:59:30 C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->18/08/2008 23:59:30 C:\WINDOWS\prefetch\WINRAR.EXE-39C6DAD9.pf -->18/08/2008 23:59:05 C:\WINDOWS\prefetch\MSN_SL.EXE-18A18BC5.pf -->18/08/2008 23:58:02 C:\WINDOWS\prefetch\WUAUCLT.EXE-399A8E72.pf -->18/08/2008 23:52:10 C:\WINDOWS\prefetch\MSNTBUP.EXE-0D913FB9.pf -->18/08/2008 23:52:00 C:\WINDOWS\prefetch\WLLOGINPROXY.EXE-2D4B6027.pf -->18/08/2008 21:49:27 C:\WINDOWS\prefetch\IEXPLORE.EXE-27122324.pf -->18/08/2008 21:49:17 C:\WINDOWS\prefetch\WMIPRVSE.EXE-28F301A9.pf -->18/08/2008 21:42:36 C:\WINDOWS\prefetch\VERCLSID.EXE-3667BD89.pf -->18/08/2008 21:42:16 C:\WINDOWS\System32\drivers\mbamcatchme.sys -->07/07/2008 17:35:36 C:\WINDOWS\System32\drivers\mbam.sys -->07/07/2008 17:35:30 C:\WINDOWS\System32\drivers cpip.sys -->20/06/2008 12:45:13 C:\WINDOWS\System32\drivers\afd.sys -->20/06/2008 12:44:38 C:\WINDOWS\System32\drivers cpip6.sys -->20/06/2008 11:52:06 C:\WINDOWS\System32\drivers\bthport.sys -->14/06/2008 19:59:52 C:\WINDOWS\System32\drivers\aswSP.sys -->16/05/2008 01:20:32 C:\WINDOWS\System32\wpa.dbl -->18/08/2008 21:39:09 C:\WINDOWS\System32\TZLog.log -->18/08/2008 03:01:29 C:\WINDOWS\System32\PerfStringBackup.INI -->18/08/2008 00:17:29 C:\WINDOWS\System32\perfh00C.dat -->18/08/2008 00:17:29 C:\WINDOWS\System32\perfh009.dat -->18/08/2008 00:17:29 C:\WINDOWS\System32\perfc00C.dat -->18/08/2008 00:17:29 C:\WINDOWS\System32\perfc009.dat -->18/08/2008 00:17:29 C:\WINDOWS\System32\MRT.exe -->05/08/2008 11:11:02 C:\WINDOWS\System32 zchange.exe -->14/07/2008 13:09:18 C:\WINDOWS\System32\CONFIG.NT -->11/07/2008 21:46:20 C:\WINDOWS\System32\brss01a.ini -->11/07/2008 18:10:49 C:\WINDOWS\System32\brsvc01a.bsi -->11/07/2008 18:10:48 C:\WINDOWS\System32\bridf05a.dat -->11/07/2008 18:09:24 C:\WINDOWS\System32\es.dll -->07/07/2008 22:31:48 C:\WINDOWS\System32\mscms.dll -->24/06/2008 18:23:56 C:\WINDOWS\System32\mshtml.dll -->24/06/2008 10:28:24 C:\WINDOWS\System32\wininet.dll -->23/06/2008 18:28:23 C:\WINDOWS\System32\webcheck.dll -->23/06/2008 18:28:23 C:\WINDOWS\System32\urlmon.dll -->23/06/2008 18:28:23 C:\WINDOWS\System32\url.dll -->23/06/2008 18:28:22 C:\WINDOWS\System32\pngfilt.dll -->23/06/2008 18:28:22 C:\WINDOWS\System32\occache.dll -->23/06/2008 18:28:22 C:\WINDOWS\System32\mstime.dll -->23/06/2008 18:28:22 C:\WINDOWS\System32\msrating.dll -->23/06/2008 18:28:22 C:\WINDOWS\System32\mshtmled.dll -->23/06/2008 18:28:22 C:\WINDOWS\setupapi.log -->18/08/2008 23:58:32 C:\WINDOWS\WindowsUpdate.log -->18/08/2008 23:00:01 C:\WINDOWS\wiadebug.log -->18/08/2008 21:38:55 C:\WINDOWS\0.log -->18/08/2008 21:38:55 C:\WINDOWS\wiaservc.log -->18/08/2008 21:38:53 C:\WINDOWS\bootstat.dat -->18/08/2008 21:38:37 C:\WINDOWS\SchedLgU.Txt -->18/08/2008 21:37:35 C:\WINDOWS\system.ini -->18/08/2008 19:38:44 C:\WINDOWS\NeroDigital.ini -->18/08/2008 01:26:22 C:\WINDOWS\Sti_Trace.log -->20/07/2008 23:07:55 C:\WINDOWS\BRWMARK.INI -->11/07/2008 18:10:50 C:\WINDOWS\BRPP2KA.INI -->11/07/2008 18:10:50 C:\WINDOWS\ODBC.INI -->22/04/2008 16:04:26 C:\WINDOWS\win.ini -->22/04/2008 16:04:09 C:\WINDOWS\WMSysPr9.prx -->22/04/2008 14:57:14 winlogon.exe Verified: Signed svchost.exe Verified: Signed ws2_32.dll Verified: Signed user32.dll Verified: Signed tcpip.sys Verified: Signed ndis.sys Verified: Signed null.sys Verified: Signed ListDLLs v2.25 - DLL lister for Win9x/NT Copyright (C) 1997-2004 Mark Russinovich Sysinternals - www.sysinternals.com ------------------------------------------------------------------------------ explorer.exe pid: 1624 Command line: C:\WINDOWS\Explorer.EXE Base Size Version Path 0x44080000 0xd0000 7.00.6000.16705 C:\WINDOWS\system32\WININET.dll 0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll 0x43e00000 0x45000 7.00.6000.16705 C:\WINDOWS\system32\iertutil.dll 0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll 0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL 0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll 0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll 0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL 0x44360000 0x5cd000 7.00.6000.16705 C:\WINDOWS\system32\ieframe.dll 0x44160000 0x127000 7.00.6000.16705 C:\WINDOWS\system32\urlmon.dll 0x442b0000 0x3c000 7.00.6000.16705 C:\WINDOWS\system32\webcheck.dll 0x10000000 0x8000 1.00.0000.0000 C:\Program Files\Malwarebytes' Anti-Malware\mbamext.dll 0x01470000 0x2c000 C:\Program Files\WinRAR arext.dll 0x01fb0000 0x202000 3.02.0003.0000 C:\Program Files\Nero\Nero8\Nero CoverDesigner\CoverEdExtension.dll 0x781d0000 0x10f000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_3bf8fa05\MFC80.DLL 0x78130000 0x9b000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCR80.dll 0x7c420000 0x87000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCP80.dll 0x5d360000 0xf000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_91481303\MFC80FRA.DLL 0x74da0000 0x6c000 5.30.0023.1228 C:\WINDOWS\system32\RICHED20.dll 0x01d40000 0x3e000 3.02.0003.0000 C:\Program Files\Nero\Nero8\Nero BackItUp\NBShell.dll 0x782e0000 0x10f000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_3bf8fa05\MFC80U.DLL 0x64f00000 0x12000 4.08.1201.0000 C:\Program Files\Alwil Software\Avast4\ashShell.dll 0x325c0000 0x12000 11.00.5510.0000 C:\Program Files\Microsoft Office\OFFICE11\msohev.dll 0x03330000 0x1b8000 3.01.0000.0008 C:\Program Files\Fichiers communs\Nero\Lib\NeroDigitalExt.dll 0x60980000 0x7000 3.01.4000.1823 C:\WINDOWS\system32\MSISIP.DLL 0x74e10000 0x10000 5.06.0000.8820 C:\WINDOWS\system32\wshext.dll 0x73d20000 0xfe000 6.02.4131.0000 C:\WINDOWS\system32\MFC42.DLL 0x61d70000 0xe000 6.00.8665.0000 C:\WINDOWS\system32\MFC42LOC.DLL 0x59000000 0xe000 5.06.0000.6626 C:\WINDOWS\system32\wshFR.DLL 0x36d30000 0x19000 11.00.5510.0000 C:\PROGRA~1\MICROS~2\OFFICE11\MCPS.DLL ListDLLs v2.25 - DLL lister for Win9x/NT Copyright (C) 1997-2004 Mark Russinovich Sysinternals - www.sysinternals.com ------------------------------------------------------------------------------ winlogon.exe pid: 692 Command line: winlogon.exe Base Size Version Path 0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe 0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll 0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll 0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll 0x01220000 0x3b000 1.07.0018.0007 C:\WINDOWS\system32\WgaLogon.dll 0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL 0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll 0x76010000 0x65000 6.02.3104.0000 C:\WINDOWS\system32\MSVCP60.dll Le volume dans le lecteur C s'appelle System Le numéro de série du volume est 502A-6592 Répertoire de C:\WINDOWS\system32 19/08/2004 17:09 6 144 csrss.exe 1 fichier(s) 6 144 octets 0 Rép(s) 65 861 996 544 octets libres Contenu de Downloaded Program Files Le volume dans le lecteur C s'appelle System Le numéro de série du volume est 502A-6592 Répertoire de C:\WINDOWS\Downloaded Program Files 21/07/2008 00:12 . 21/07/2008 00:12 .. 22/04/2008 13:49 65 desktop.ini 25/07/2002 17:13 24 576 dwusplay.dll 25/07/2002 17:13 196 608 dwusplay.exe 24/03/2008 19:33 1 527 056 FP_AX_CAB_INSTALLER.exe 16/10/2003 13:55 299 008 isusweb.dll 16/03/2005 12:34 7 407 lang.ini 13/02/2008 17:55 130 live.ini 11/02/2008 09:39 1 864 OnlineScanner.inf 29/10/2007 16:45 1 244 oscan8.inf 14/03/2005 14:58 7 073 scanoptions.tsi 24/03/2008 19:18 247 swflash.inf 11 fichier(s) 2 065 278 octets Total des fichiers listés : 11 fichier(s) 2 065 278 octets 2 Rép(s) 65 861 992 448 octets libres Recherche de rootkit! (Merci S!Ri) Recherche d'infections connues Export des clefs sensibles.. Liste des fichiers en exception sur le pare-feu XP SP2 "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Program Files\Freeplayer\vlc\vlc.exe"="C:\Program Files\Freeplayer\vlc\vlc.exe:*:Enabled:VLC media player" "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" "C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)" "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" "C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)" Export de la clef SharedTaskScheduler [SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant" exports des policies REGEDIT4 [system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 "HideLegacyLogonScripts"=dword:00000000 "HideLogoffScripts"=dword:00000000 "RunLogonScriptSync"=dword:00000001 "RunStartupScriptSync"=dword:00000000 "HideStartupScripts"=dword:00000000 "DisableRegistryTools"=dword:00000000 Export des clefs sensibles.. Rechercher adresses sensibles dans le fichier HOSTS... catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-18 23:59:43 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden services & system hive ... scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden services: 0 hidden files: 0 KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg) Process list by traversal of KiWaitListHead 4 - System 420 - ctfmon.exe 664 - MDM.EXE 668 - csrss.exe 692 - winlogon.exe 736 - services.exe 748 - lsass.exe 904 - svchost.exe 964 - svchost.exe 1060 - svchost.exe 1088 - nvsvc32.exe 1124 - svchost.exe 1176 - svchost.exe 1236 - svchost.exe 1616 - ashServ.exe 1624 - explorer.exe 1952 - spoolsv.exe 1968 - brss01a.exe 2056 - ashMaiSv.exe 2092 - ashWebSv.exe 2556 - alg.exe 2916 - cmd.exe Total number of processes = 22 NOTE: Under WinXP, this will not show all processes. KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg) Driver/Module list by traversal of PsLoadedModuleList 804D7000 - \WINDOWS\system32 tkrnlpa.exe 806CE000 - \WINDOWS\system32\hal.dll BADA8000 - \WINDOWS\system32\KDCOM.DLL BACB8000 - \WINDOWS\system32\BOOTVID.dll BA778000 - ACPI.sys BADAA000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS BA767000 - pci.sys BA8A8000 - isapnp.sys BA8B8000 - ohci1394.sys BA8C8000 - \WINDOWS\system32\DRIVERS\1394BUS.SYS BAE70000 - pciide.sys BAB28000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS BA8D8000 - MountMgr.sys BA748000 - ftdisk.sys BADAC000 - dmload.sys BA722000 - dmio.sys BAB30000 - PartMgr.sys BA8E8000 - VolSnap.sys BA70A000 - atapi.sys BA6F3000 - nvata.sys BA8F8000 - disk.sys BA908000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS BA6D3000 - fltMgr.sys BA6C1000 - sr.sys BA6AA000 - KSecDD.sys BA61D000 - Ntfs.sys BA5F0000 - NDIS.sys BA5D5000 - Mup.sys BAAA8000 - \SystemRoot\system32\DRIVERS ic1394.sys BAAB8000 - \SystemRoot\system32\DRIVERS\processr.sys BAB70000 - \SystemRoot\system32\DRIVERS\usbohci.sys B97A6000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS BAB78000 - \SystemRoot\system32\DRIVERS\usbehci.sys B9575000 - \SystemRoot\system32\drivers\ALCXWDM.SYS B9551000 - \SystemRoot\system32\drivers\portcls.sys BAAC8000 - \SystemRoot\system32\drivers\drmk.sys B952E000 - \SystemRoot\system32\drivers\ks.sys BAAD8000 - \SystemRoot\system32\DRIVERS\cdrom.sys BAAE8000 - \SystemRoot\system32\DRIVERS edbook.sys BAAF8000 - \SystemRoot\system32\DRIVERS\imapi.sys BAD90000 - \SystemRoot\system32\DRIVERS vnetbus.sys B94EE000 - \SystemRoot\system32\DRIVERS\NVNRM.SYS B94BB000 - \SystemRoot\system32\DRIVERS\NVSNPU.SYS B8DA3000 - \SystemRoot\system32\DRIVERS v4_mini.sys B8D8F000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS BAB88000 - \SystemRoot\system32\DRIVERS\fdc.sys B8D7E000 - \SystemRoot\system32\DRIVERS\serial.sys BAD94000 - \SystemRoot\system32\DRIVERS\serenum.sys B8D6A000 - \SystemRoot\system32\DRIVERS\parport.sys BAEA6000 - \SystemRoot\system32\drivers\msmpu401.sys BAD98000 - \SystemRoot\system32\DRIVERS\gameenum.sys BAEA7000 - \SystemRoot\system32\DRIVERS\audstub.sys BA938000 - \SystemRoot\system32\DRIVERS asl2tp.sys BAD9C000 - \SystemRoot\system32\DRIVERS distapi.sys B8D53000 - \SystemRoot\system32\DRIVERS diswan.sys BA948000 - \SystemRoot\system32\DRIVERS aspppoe.sys B9AC5000 - \SystemRoot\system32\DRIVERS aspptp.sys BAB90000 - \SystemRoot\system32\DRIVERS\TDI.SYS B8D42000 - \SystemRoot\system32\DRIVERS\psched.sys B9AB5000 - \SystemRoot\system32\DRIVERS\msgpc.sys BAB98000 - \SystemRoot\system32\DRIVERS\ptilink.sys BABA0000 - \SystemRoot\system32\DRIVERS aspti.sys B8D11000 - \SystemRoot\system32\DRIVERS dpdr.sys B9AA5000 - \SystemRoot\system32\DRIVERS ermdd.sys BABA8000 - \SystemRoot\system32\DRIVERS\kbdclass.sys BABB0000 - \SystemRoot\system32\DRIVERS\mouclass.sys BADC8000 - \SystemRoot\system32\DRIVERS\swenum.sys B8CDD000 - \SystemRoot\system32\DRIVERS\update.sys BA5A1000 - \SystemRoot\system32\DRIVERS\mssmbios.sys B9809000 - \SystemRoot\system32\DRIVERS\usbhub.sys BADD2000 - \SystemRoot\system32\DRIVERS\USBD.SYS B1AD1000 - \SystemRoot\System32\Drivers\NDProxy.SYS B3798000 - \SystemRoot\system32\DRIVERS\flpydisk.sys BAE6A000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS B3B77000 - \SystemRoot\System32\Drivers\Null.SYS BAE6C000 - \SystemRoot\System32\Drivers\Beep.SYS B228D000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS B2285000 - \SystemRoot\System32\drivers\vga.sys BAE6E000 - \SystemRoot\System32\Drivers\mnmdd.SYS BADAE000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys B227D000 - \SystemRoot\System32\Drivers\Msfs.SYS B2275000 - \SystemRoot\System32\Drivers\Npfs.SYS B13D7000 - \SystemRoot\system32\DRIVERS asacd.sys AD73B000 - \SystemRoot\system32\DRIVERS\ipsec.sys AD6E3000 - \SystemRoot\system32\DRIVERS cpip.sys B1A91000 - \SystemRoot\System32\Drivers\aswTdi.SYS AD6BB000 - \SystemRoot\system32\DRIVERS etbt.sys AD699000 - \SystemRoot\System32\drivers\afd.sys B1A81000 - \SystemRoot\system32\DRIVERS etbios.sys AD66E000 - \SystemRoot\system32\DRIVERS dbss.sys AD5FF000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys B0F19000 - \SystemRoot\System32\Drivers\Fips.SYS AD5DE000 - \SystemRoot\system32\DRIVERS\ipnat.sys B0F09000 - \SystemRoot\system32\DRIVERS\wanarp.sys B0EF9000 - \SystemRoot\system32\DRIVERS\arp1394.sys B226D000 - \SystemRoot\system32\DRIVERS\usbccgp.sys B2265000 - \SystemRoot\system32\DRIVERS\USBSTOR.SYS AF998000 - \SystemRoot\system32\DRIVERS\hidusb.sys B0EE9000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS AF990000 - \SystemRoot\system32\DRIVERS\kbdhid.sys AF98C000 - \SystemRoot\system32\DRIVERS\mouhid.sys A8CC3000 - \SystemRoot\System32\Drivers\aswSP.SYS A9D35000 - \SystemRoot\System32\Drivers\Aavmker4.SYS A9828000 - \SystemRoot\System32\Drivers\Cdfs.SYS A8CAC000 - \SystemRoot\System32\Drivers\dump_nvata.sys BAE02000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS BF800000 - \SystemRoot\System32\win32k.sys AA273000 - \SystemRoot\System32\drivers\Dxapi.sys A9D0D000 - \SystemRoot\System32\watchdog.sys BF9C3000 - \SystemRoot\System32\drivers\dxg.sys B1CE0000 - \SystemRoot\System32\drivers\dxgthk.sys BF9D5000 - \SystemRoot\System32 v4_disp.dll B225D000 - \SystemRoot\system32\DRIVERS\aswFsBlk.sys B86DF000 - \SystemRoot\system32\DRIVERS disuio.sys A8250000 * --[Hidden]-- A814B000 - \SystemRoot\system32\drivers\wdmaud.sys B7F13000 - \SystemRoot\system32\drivers\sysaudio.sys A7F8F000 - \SystemRoot\system32\DRIVERS\mrxdav.sys B223D000 - \SystemRoot\System32\Drivers\ParVdm.SYS A7EED000 - \SystemRoot\system32\DRIVERS\srv.sys A7D09000 - \SystemRoot\System32\Drivers\aswRdr.SYS A7BB4000 - \SystemRoot\System32\Drivers\HTTP.sys A6F8B000 - \SystemRoot\system32\drivers\kmixer.sys A9868000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys Total number of drivers = 124 Liste des programmes installes Adobe Flash Player ActiveX Archiveur WinRAR Assistant de connexion Windows Live avast! Antivirus Brother MFL-Pro Suite CCleaner (remove only) Correctif pour Windows Internet Explorer 7 (KB947864) Correctif pour Windows XP (KB952287) Correctif Windows XP - KB873339 Correctif Windows XP - KB885835 Correctif Windows XP - KB885836 Correctif Windows XP - KB886185 Correctif Windows XP - KB887472 Correctif Windows XP - KB888302 Correctif Windows XP - KB890859 Correctif Windows XP - KB891781 Creative WebCam Instant Driver (1.01.02.0729) ESET Online Scanner Extension de Windows Live Toolbar (Windows Live Toolbar) Freeplayer HijackThis 2.0.2 Hotfix for Windows XP (KB915865) LG Internetkit LG PhoneManager LG SyncManager LG USB Modem driver Malwarebytes' Anti-Malware Menus intelligents (Windows Live Toolbar) Microsoft .NET Framework 2.0 Microsoft .NET Framework 2.0 Microsoft Internationalized Domain Names Mitigation APIs Microsoft National Language Support Downlevel APIs Microsoft Office Professional Edition 2003 Microsoft SQL Server 2005 Compact Edition [ENU] Microsoft XML Parser Mise à jour de sécurité pour Lecteur Windows Media (KB911564) Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398) Mise à jour de sécurité pour Lecteur Windows Media 9 (KB936782) Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127) Mise à jour de sécurité pour Windows Internet Explorer 7 (KB950759) Mise à jour de sécurité pour Windows Internet Explorer 7 (KB953838) Mise à jour de sécurité pour Windows XP (KB890046) Mise à jour de sécurité pour Windows XP (KB893756) Mise à jour de sécurité pour Windows XP (KB896358) Mise à jour de sécurité pour Windows XP (KB896423) Mise à jour de sécurité pour Windows XP (KB896428) Mise à jour de sécurité pour Windows XP (KB899587) Mise à jour de sécurité pour Windows XP (KB899591) Mise à jour de sécurité pour Windows XP (KB900725) Mise à jour de sécurité pour Windows XP (KB901017) Mise à jour de sécurité pour Windows XP (KB901214) Mise à jour de sécurité pour Windows XP (KB902400) Mise à jour de sécurité pour Windows XP (KB905414) Mise à jour de sécurité pour Windows XP (KB905749) Mise à jour de sécurité pour Windows XP (KB908519) Mise à jour de sécurité pour Windows XP (KB911562) Mise à jour de sécurité pour Windows XP (KB911927) Mise à jour de sécurité pour Windows XP (KB913580) Mise à jour de sécurité pour Windows XP (KB914388) Mise à jour de sécurité pour Windows XP (KB914389) Mise à jour de sécurité pour Windows XP (KB918118) Mise à jour de sécurité pour Windows XP (KB918439) Mise à jour de sécurité pour Windows XP (KB919007) Mise à jour de sécurité pour Windows XP (KB920213) Mise à jour de sécurité pour Windows XP (KB920670) Mise à jour de sécurité pour Windows XP (KB920683) Mise à jour de sécurité pour Windows XP (KB920685) Mise à jour de sécurité pour Windows XP (KB922819) Mise à jour de sécurité pour Windows XP (KB923191) Mise à jour de sécurité pour Windows XP (KB923414) Mise à jour de sécurité pour Windows XP (KB923689) Mise à jour de sécurité pour Windows XP (KB923789) Mise à jour de sécurité pour Windows XP (KB923980) Mise à jour de sécurité pour Windows XP (KB924270) Mise à jour de sécurité pour Windows XP (KB924496) Mise à jour de sécurité pour Windows XP (KB924667) Mise à jour de sécurité pour Windows XP (KB925902) Mise à jour de sécurité pour Windows XP (KB926255) Mise à jour de sécurité pour Windows XP (KB926436) Mise à jour de sécurité pour Windows XP (KB927779) Mise à jour de sécurité pour Windows XP (KB927802) Mise à jour de sécurité pour Windows XP (KB928255) Mise à jour de sécurité pour Windows XP (KB928843) Mise à jour de sécurité pour Windows XP (KB929123) Mise à jour de sécurité pour Windows XP (KB930178) Mise à jour de sécurité pour Windows XP (KB931261) Mise à jour de sécurité pour Windows XP (KB931784) Mise à jour de sécurité pour Windows XP (KB932168) Mise à jour de sécurité pour Windows XP (KB933729) Mise à jour de sécurité pour Windows XP (KB935839) Mise à jour de sécurité pour Windows XP (KB935840) Mise à jour de sécurité pour Windows XP (KB936021) Mise à jour de sécurité pour Windows XP (KB937894) Mise à jour de sécurité pour Windows XP (KB941202) Mise à jour de sécurité pour Windows XP (KB941568) Mise à jour de sécurité pour Windows XP (KB941569) Mise à jour de sécurité pour Windows XP (KB941644) Mise à jour de sécurité pour Windows XP (KB941693) Mise à jour de sécurité pour Windows XP (KB943055) Mise à jour de sécurité pour Windows XP (KB943460) Mise à jour de sécurité pour Windows XP (KB943485) Mise à jour de sécurité pour Windows XP (KB944653) Mise à jour de sécurité pour Windows XP (KB945553) Mise à jour de sécurité pour Windows XP (KB946026) Mise à jour de sécurité pour Windows XP (KB946648) Mise à jour de sécurité pour Windows XP (KB947864) Mise à jour de sécurité pour Windows XP (KB948590) Mise à jour de sécurité pour Windows XP (KB948881) Mise à jour de sécurité pour Windows XP (KB950749) Mise à jour de sécurité pour Windows XP (KB950760) Mise à jour de sécurité pour Windows XP (KB950762) Mise à jour de sécurité pour Windows XP (KB950974) Mise à jour de sécurité pour Windows XP (KB951066) Mise à jour de sécurité pour Windows XP (KB951376-v2) Mise à jour de sécurité pour Windows XP (KB951698) Mise à jour de sécurité pour Windows XP (KB951748) Mise à jour de sécurité pour Windows XP (KB952954) Mise à jour de sécurité pour Windows XP (KB953839) Mise à jour pour Windows XP (KB898461) Mise à jour pour Windows XP (KB900485) Mise à jour pour Windows XP (KB908531) Mise à jour pour Windows XP (KB910437) Mise à jour pour Windows XP (KB911280) Mise à jour pour Windows XP (KB916595) Mise à jour pour Windows XP (KB920872) Mise à jour pour Windows XP (KB922582) Mise à jour pour Windows XP (KB927891) Mise à jour pour Windows XP (KB930916) Mise à jour pour Windows XP (KB932823-v3) Mise à jour pour Windows XP (KB938828) Mise à jour pour Windows XP (KB942763) Mise à jour pour Windows XP (KB951072-v2) MP3 Player Recovery Tool MSXML 4.0 SP2 (KB936181) Nero 8 neroxml NVIDIA Drivers PaperPort Realtek AC'97 Audio Surligneur (Windows Live Toolbar) VCRedistSetup WebFldrs XP Windows Genuine Advantage Notifications (KB905474) Windows Installer 3.1 (KB893803) Windows Internet Explorer 7 Windows Live Favorites pour Windows Live Toolbar Windows Live installer Windows Live Mail Windows Live Messenger Windows Live Toolbar Windows Live Toolbar Windows Live Writer Windows Media Format Runtime Le volume dans le lecteur C s'appelle System Le numéro de série du volume est 502A-6592 Répertoire de C:\Program Files 18/08/2008 00:18 . 18/08/2008 00:18 .. 22/04/2008 14:44 Alwil Software 22/04/2008 17:45 AvRack 11/07/2008 18:09 Brother 05/05/2008 20:00 CCleaner 11/07/2008 18:08 Common Files 22/04/2008 13:45 ComPlus Applications 05/07/2008 17:19 Creative 05/05/2008 19:55 EsetOnlineScanner 18/08/2008 19:38 Fichiers communs 25/04/2008 22:04 Free 11/07/2008 21:17 Freeplayer 18/08/2008 03:01 Internet Explorer 23/05/2008 20:45 LG Electronics 23/05/2008 20:45 LG PC Suite 12/07/2008 17:56 Malwarebytes' Anti-Malware 18/08/2008 03:01 Messenger 22/04/2008 13:50 microsoft frontpage 22/04/2008 16:03 Microsoft Office 18/08/2008 00:14 Microsoft SQL Server Compact Edition 22/04/2008 16:03 Microsoft Visual Studio 22/04/2008 13:46 Movie Maker 22/04/2008 13:44 MSN 22/04/2008 13:45 MSN Gaming Zone 24/04/2008 18:21 MSXML 4.0 22/04/2008 14:58 Nero 22/04/2008 13:47 NetMeeting 22/04/2008 13:45 Online Services 22/04/2008 15:45 Outlook Express 22/04/2008 17:45 Realtek Sound Manager 11/07/2008 18:07 ScanSoft 22/04/2008 13:49 Services en ligne 15/07/2008 21:49 Trend Micro 18/08/2008 00:17 Windows Live 18/08/2008 00:18 Windows Live Favorites 18/08/2008 00:18 Windows Live Toolbar 22/04/2008 15:45 Windows Media Player 22/04/2008 13:45 Windows NT 28/04/2008 20:36 WinRAR 22/04/2008 13:50 xerox 0 fichier(s) 0 octets 41 Rép(s) 65 849 532 416 octets libres Le volume dans le lecteur C s'appelle System Le numéro de série du volume est 502A-6592 Répertoire de C:\Program Files\fichiers communs 18/08/2008 19:38 . 18/08/2008 19:38 .. 22/04/2008 16:03 DESIGNER 11/07/2008 18:08 InstallShield 18/08/2008 00:10 Microsoft Shared 22/04/2008 13:47 MSSoap 22/04/2008 14:59 Nero 22/04/2008 15:38 ODBC 11/07/2008 18:07 ScanSoft Shared 22/04/2008 13:47 Services 22/04/2008 15:38 SpeechEngines 22/04/2008 16:03 System 0 fichier(s) 0 octets 12 Rép(s) 65 849 532 416 octets libres Le volume dans le lecteur C s'appelle System Le numéro de série du volume est 502A-6592 Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders 22/04/2008 16:03 . 22/04/2008 16:03 .. 22/04/2008 16:03 1033 22/04/2008 16:03 1036 11/07/2003 10:15 1 292 872 MSONSEXT.DLL 15/07/2003 06:52 35 896 MSOSV.DLL 03/06/1999 12:09 122 937 MSOWS409.DLL 07/03/2001 07:00 127 033 MSOWS40c.DLL 11/07/2003 02:25 80 448 PKMWS.DLL 5 fichier(s) 1 659 186 octets 4 Rép(s) 65 849 532 416 octets libres Le volume dans le lecteur C s'appelle System Le numéro de série du volume est 502A-6592 Répertoire de C:\Program Files\common files 11/07/2008 18:08 . 11/07/2008 18:08 .. 11/07/2008 18:08 InstallShield 0 fichier(s) 0 octets 3 Rép(s) 65 849 528 320 octets libres Attention : C:\autorun.inf existe c:\Documents and Settings\Nico 2\Bureau\C-Fix.exe c:\Documents and Settings\Nico 2\Bureau\dss.exe c:\Documents and Settings\Nico 2\Bureau\OTMoveIt2.exe c:\Documents and Settings\Nico 2\Bureau\DiagHelp\catchme.exe c:\Documents and Settings\Nico 2\Bureau\DiagHelp\diff.exe c:\Documents and Settings\Nico 2\Bureau\DiagHelp\dumphive.exe c:\Documents and Settings\Nico 2\Bureau\DiagHelp\FilesInfoCmd.exe c:\Documents and Settings\Nico 2\Bureau\DiagHelp\find2.exe c:\Documents and Settings\Nico 2\Bureau\DiagHelp\Fport.exe c:\Documents and Settings\Nico 2\Bureau\DiagHelp\grep.exe c:\Documents and Settings\Nico 2\Bureau\DiagHelp\gzip.exe c:\Documents and Settings\Nico 2\Bureau\DiagHelp\KProcCheck.exe c:\Documents and Settings\Nico 2\Bureau\DiagHelp\LFiles.exe c:\Documents and Settings\Nico 2\Bureau\DiagHelp\LISTDLLS.exe c:\Documents and Settings\Nico 2\Bureau\DiagHelp\md5sums.exe c:\Documents and Settings\Nico 2\Bureau\DiagHelp\pslist.exe c:\Documents and Settings\Nico 2\Bureau\DiagHelp\sigcheck.exe c:\Documents and Settings\Nico 2\Bureau\DiagHelp\streams.exe c:\Documents and Settings\Nico 2\Bureau\DiagHelp\swreg.exe c:\Documents and Settings\Nico 2\Bureau\DiagHelp ar.exe c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\ALCCHKID.EXE c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\ALCRMV.EXE c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\ALCRMV9X.EXE c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\ALCUPD.EXE c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\ALCXDEV.EXE c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\ChCfg.exe c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\GETDXVER.EXE c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\SetCDfmt.exe c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\Setup.exe c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\Ap\AvRack2.exe c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\Ap\MPIE4STD.EXE c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\Ap\Mpstd.exe c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\Ap\RtlRack.exe c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\WDM\RTLCPL.EXE c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\WDM\SoundMan.exe c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\WinNT4\SoundMan.exe c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\A8N-SLI.exe c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\setup.exe c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\Ethernet vunrm.exe c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\Ethernet\NAM\NAMSetup.exe c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\IDE\WinXP\pataraid vuide.exe c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\IDE\WinXP aidtool\NvRaidMan.exe c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\IDE\WinXP aidtool vraidservice.exe c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\IDE\WinXP aidtool\NvSataConnection.exe c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\IDE\WinXP\sataraid vuide.exe c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\IDE\WinXP\sata_ide vuide.exe c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\SATA\SATA.exe c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\SMBus vusmb.exe c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll c:\Documents and Settings\All Users\Application Data\Nero\DrWeb\Drweb32.dll c:\Documents and Settings\Nico 2\Application Data\Microsoft\IdentityCRL\Production\ppcrlconfig.dll ****** Fin du rapport DiagHelp Veuillez svp envoyer le fichier C:\upload_moi_PC-CHAMBRE.tar.gz a l'adresse http://upload.malekal.com

Aergal · Answer

cool je lance le scan... merci pour tout :)

Aergal · Answer

Bon résultat :  

1er virus :

Nom du fichier : C:\Documents and Settings\Nico 2\Bureau\DiagHelp\FilesInfoCmd.exe
Nom du logiciel malveillant : Win32:Trojan-gen {Other}
Type de logiciel malveillant : Virus/Ver
Version VPS : 080818-0, 18/08/2008

2ieme virus :

Nom du fichier : C:\Documents and Settings\Nico 2\Bureau\DiagHelp.zip\DiagHelp\FilesInfoCmd.exe
Nom du logiciel malveillant : Win32:Trojan-gen {Other}
Type de logiciel malveillant : Virus/Ver
Version VPS : 080818-0, 18/08/2008

3ieme virus :

Nom du fichier : C:\System Volume Information\_restore{E2D603F1-C1FD-46CF-BAC0-0BC71240F631}\RP12\A0004572.exe
Nom du logiciel malveillant : Win32:Trojan-gen {Other}
Type de logiciel malveillant : Virus/Ver
Version VPS : 080818-0, 18/08/2008

4ieme virus :

Nom du fichier : C:\WINDOWS\system32\cexwxfst.sys
Nom du logiciel malveillant : Win32:Trojan-gen {Other}
Type de logiciel malveillant : Virus/Ver
Version VPS : 080818-0, 18/08/2008

5ieme virus :

Nom du fichier : C:\WINDOWS\system32\mtsycod.sys
Nom du logiciel malveillant : Win32:Rootkit-gen [Rtk]
Type de logiciel malveillant : Rootkit
Version VPS : 080818-0, 18/08/2008

Voila, plus que 5 virus :)   j'ai coché à chaque fois mettre en quarantaine.

sKe69 · Answer

Salut,

Supprimes tout ce qu'il peut avoir dans la quarantaine d'Avast ( via celle-ci )


Puis fais ce-ci :

Télécharge OAD ( par !aur3n7) : http://sosvirus.changelog.fr/OAD.exe 
----> Enregistre le sur ton bureau .

( Si ton AntiVirus s'affolle , ignore l'alerte )

Double clique sur l'icone OAD pour le lancer 

- nom du fichier à rechercher --->tape ou fais un copier coller de : cexwxfst
- Type de recherche : sélectionne l'option 6 puis valide ["entrée"] 

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ait terminé. 
Le rapport de recherche s'affichera automatiquement à l’écran dès qu'il aura terminé. 

Note : suivant la taille des disques durs cette recherche peut prendre plusieurs minutes. Sois patient ...

- Sauvegardes ce rapport sur ton Bureau et fais un copier / coller de celui-c dans ton prochain post.
 
Puis recommences avec :
mtsycod


j'attends donc ces deux rapports ....

Aergal · Answer

bon alors j'ai vidé la quarantaine, par contre pour oad, tout ce que j'obtient quand je le double click c'est :

"C:\Documents and Settings\Nico 2\Bureau\OAD.exe

windows ne parvient pas à acceder au périphérique, au chemin d'accès ou au fichier spécifié. Vous ne disposez peut 
être pas des autorisations appropriées pour avoir accès à l'élément."

et si je réessaye de double cliquer aprés dessus ça ne fait rien.

sKe69 · Answer

Ok ... Es tu dans une session " administrateur " ou dans une session " invité " ?

Aergal · Answer

session "nico 2" qui est normalement administrateur... mais quand je me connecte en mode sans echec j'ai une session administrateur en plus de la session "nico2"... j'ai donc essayé avec cette session et bingo ça marche... pour bien faire faudrais que j'utilise tout le temps cette session, sauf que je n'y ai acces qu'en mode sans echec... bon les rapports :

cexwxfst :

 19/08/2008 ---- 19:23:15,43  

----------------------------------
§§§§§§ [cexwxfst ] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

mtsycod :

 19/08/2008 ---- 19:35:21,64  

----------------------------------
§§§§§§ [mtsycod] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

sKe69 · Answer

peux - tu réessayer en mode sans échec mais dans ta session habituelle stp ...

Aergal · Answer

bon ben ca marche aussi... du coup ça devais pas etre une histoire de session, mais bien de le faire en mode sans echec... je te met les resultats :

cexwxfst :

19/08/2008 ---- 20:20:00,28  

----------------------------------
§§§§§§ [cexwxfst] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

mtsycod :


 19/08/2008 ---- 20:18:48,82  

----------------------------------
§§§§§§ [mtsycod] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

sKe69 · Answer

bien ... les rapports sont vierges  ^^

Voilà la suite pour vérifier :

mets à jour Malwarebytes . 

Potasses le tuto pour te familiariser avec le prg : https://forum.pcastuces.com/sujet.asp?f=31&s=3 
( cela dis, il est très simple d'utilisation ).

Impératif : redémarres en mode sans échec : 
Comment aller en Mode sans échec 
1) Redémarres ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... ) 
(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...)
 
Lances Malwarebyte's .

Fais un scan dit "complet" ( sélectionnes bien tout tes disks avant le scan )  et supprimes tout ce qu'il peut trouver :
--->une fois le scan terminé , click sur "résultat" : puis vérifies que tous les objets infectés soient validés, puis click sur " suppression " .

Redémarres ton PC ( mode normal ). 

Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes) accompagné d'un nouvel hijackthis ( fait en mode normal ) ...

Aergal · Answer

malaware... 4 objets trouvé et supprimés :

Malwarebytes' Anti-Malware 1.25
Version de la base de données: 1062
Windows 5.1.2600 Service Pack 2

21:00:53 19/08/2008
mbam-log-08-19-2008 (21-00-53).txt

Type de recherche: Examen complet (C:\|E:\|G:\|)
Eléments examinés: 88878
Temps écoulé: 13 minute(s), 36 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\poof (Rootkit.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Nico 2\Bureau\OAD.exe (Adware.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Nico 2\Mes documents\OAD.exe (Adware.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E2D603F1-C1FD-46CF-BAC0-0BC71240F631}\RP13\A0004917.exe (Adware.Agent) -> Quarantined and deleted successfully.

Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:04:14, on 19/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Brother\ControlCenter2\brctrcen.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Contrôleur d’état.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

sKe69 · Answer

très bien ... rien d'alarmant ...

fais ce qui suit dans l'ordre :

A-Télécharges ToolsCleaner (de A.Rothstein) sur ton Bureau. 
http://pc-system.fr/

Déconnectes toi et fermes bien toutes tes applications en cours .

Lances le . 
*Cliques sur Recherche et laisses le scan se terminer (cela peut être long). 
*Cliques sur Suppression pour finaliser. 
*Tu peux, si tu le souhaites, te servir des Options facultatives 
*Click sur "quitter" pour générer un rapport :
---> Postes le (TCleaner.txt), il se trouve à la racine de ton disque dur (C:\). 

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection ( tu n'en as plus besion ! ) . 
Supprimes tout les outils , dossiers ou rapports consernant la désinfection que Toolsclaener2 n'a pas supprimé . 

Puis enfin supprimes Toolscleaner2 ... 

B- Refais un coup de CCleaner ( registre compris )


C- un check up : 
( étape 1 à faire de suite ! et le reste dès que tu peux mais ne tardes pas trop ;) ) 

1-Restauration système 
*Désactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK 
--->Redémarres ton PC 
*Réactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK 
--->Redémarres ton PC 


2-Nettoyage et Défragmentation de tes Disques 
*Nettoyage : 
Clic droit sur "poste de travail" ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général" 
Cliques sur le bouton "nettoyage de disque", OK 
tu le fais pour chacun de tes disques 

*Vérifications des erreurs : 
Clic droit sur "poste de travail" ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil" 
"Vérifier maintenant", une boîte s'ouvre, cocher les cases : 
-réparer automatiquement les erreurs... 
-rechercher et tenter une récupération... 
--->Démarrer, ok 
Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal 
tu le fais pour chacun de tes disques 

ensuite toujours dans le même onglet tu choisis : 
*Défragmentation : 
"défragmenter maintenant", OK 
une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK 
tu le fais pour chacun de tes disques 


une fois terminé , dis moi ce que cela a donné ...

Aergal · Answer

ok, je suis en train de faire les verifications des disques... en attendant je te met le rapport :

-->- Recherche: 

C:\Combofix.txt: trouvé !
C:\Combofix: trouvé !
C:\Qoobox: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\All Users\utilitaires\HijackThis.lnk: trouvé !
C:\Documents and Settings\Nico 2\Bureau\Dss.exe: trouvé !
C:\Documents and Settings\Nico 2\Bureau\DiagHelp.zip: trouvé !
C:\Documents and Settings\Nico 2\Bureau\OtMoveIt2.exe: trouvé !
C:\Documents and Settings\Nico 2\Bureau\DiagHelp: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\All Users\utilitaires\HijackThis.lnk: supprimé !
C:\Documents and Settings\Nico 2\Bureau\Dss.exe: supprimé !
C:\Documents and Settings\Nico 2\Bureau\DiagHelp.zip: supprimé !
C:\Documents and Settings\Nico 2\Bureau\OtMoveIt2.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Combofix: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\Nico 2\Bureau\DiagHelp: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Corbeille vidée!

Aergal · Answer

bon j'ai finis les verifications, et j'ai repassé un scan minutieux d'avast sur tout les disques... résultat, plus de virus... j'ose enfin esperer etre tiré d'affaire :) en tout cas merci pour tout tes conseils.

sKe69 · Answer

re,

Content d'avoir pu te rendre service ...  =)


potasses ce-ci :

Des informations intéressantes pour toi et ton PC :

=> Comportement à adopter avec son PC : http://assiste.com.free.fr/p/abc/a/safe_cex.html 
et pourquoi ( exemple ) : http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html

=> Surveillance : 
Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus puis avec ton anti-spyware (après les avoir mis à jour bien sur !) et supprime ce qu'ils peuvent trouver (où mets en quarantaine, en pensant à la vider ultérieurement). 

Pourquoi ? Pour éviter de se retrouver dans ce genre de situation par exemple ( peu commune mais ...) :
-> http://secubox.aldria.com/topic-2373.html

=============================================================

=> Il faut mettre a jour la console Java régulièrement aussi : 

Rends toi sur https://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour) ou ici https://filehippo.com/download_jre_32/?ex=CORE-116.0 
Après avoir installé la dernière version, désinstalle les anciennes versions (de Java) afin d’éliminer les failles de sécurité présentes dans ces anciennes versions. 
via Démarrer / Paramètres / Panneau de config / et dans Ajout/Suppression de programmes navigue jusqu'aux anciennes versions de la console Java qui s'y trouvent, puis clique sur « Supprimer », suis les invites de commandes dans la boite de dialogue qui va s'ouvrir afin d'amener la désinstallation à son terme. 
Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé . 
Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre. 

============================================================= 

=> Afin d’éviter les autres failles de sécurité des différents programmes présents sur ton PC : 

Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l’est pas. https://www.flexera.com/products/operations/software-vulnerability-management.html 
-Tuto https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/ 
-Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page. 

===========================================================
* le pare- feu de Xp vaut rien , je te conseille fortement dans installer un :
Armor ou Comodo sont très bien ( en anglais mais gratuit ) , tu trouveras tout ce qu'il faut ici :
http://www.commentcamarche.net/telecharger/logiciel 38 firewall

tutos :
https://www.malekal.com/tutorial-online-armor-free/]
https://www.malekal.com/tutorial-comodo-firewall/]



* tests firewall: http://www.matousec.com/index.html 

=> Un complément au pare-feu pour fermer les ports risqués (dangereux, s’ils restent ouverts) : 

ZebProtect (application ne nécessitant pas d’installation à lancer et paramétrer une unique fois) http://telechargement.zebulon.fr/123.html 

-Tuto https://www.zebulon.fr/dossiers/autres/40-zebprotect.html 

================================================================ 

--> Tutorial pour sécuriser Firefox ( si tu utilises ce navigateur ) :
 https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/ 

=================================================================
=> Rappel sur les principales causes d'infection : 

* L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci : 

Les dangers des cracks : http://forum.malekal.com/ftopic893.php 

->Le crack dans toute sa splendeur, journal d'une infection attendue : 
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/ 

->autre exemple en image , où comment s'infiltre une infection par un pseudo crack :
http://secuboxlabs.fr/archives/computertoday.html

* Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent): 

Les conséquences du P2P : https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/ 

Pourquoi éviter le P2P : http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793 
https://lexpansion.lexpress.fr/actualite-economique/ 

* Prévention sur deux autres types d'infection d'actualité : 

MSN prévention : 
->https://forum.zebulon.fr/topic/130590-infection-par-msn-ou-wlm/
->autre danger grandissant , le " phishing " (= hameçonnage ) :
http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte
 

Infection par supports amovibles (clefs usb, flash, DD externes ..) :
https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/ 
https://forum.malekal.com/viewtopic.php?f=45&t=5544 

==================================================================
( merci le sioux )


Voili, voilou ...


Bonne continuation à toi ...  ^^


A+

Aergal · Answer

Ok, merci pour tout tes conseils rapides et efficaces... A la prochaine.

Aergal · Answer

Euh... c'est ou pour mettre le statut "résolu" ?

Aergal · Answer

Bon bah tant pis il restera comme ça alors... merci pour tout et a la prochaine :)

Win32:DNSChanger-VT [Trj]

46 réponses

Discussions similaires