antivirus bloquéRésolu/Fermé

Question

Bonjour,

Lorsque j'effectue un scan avec panda ou antivir, cela bloque toujours au niveau de c:\system volume information	racking.log ou c:\system volume information\MountPointManagerRemoteDatabase
J'ai réussi à y accéder tracking.log est contrôlé par svchost.exe et et mountpointmanager par explorer.exe
J'ai aussi tenté de désactiver la restauration du système afin de créer un nouveau point de sauvegarde rien n'a marché...
Voici mon rapport avec Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 23:49:16, on 23/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\DRIVERS\WtSrv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Wallpaper\Wallpaper.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\Belkin\Logiciel Bluetooth\BTTray.exe
C:\PROGRA~1\Belkin\LOGICI~1\BTSTAC~1.EXE
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\hijackthis\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/webhp?nord=1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Wallpaper] "C:\Program Files\Wallpaper\Wallpaper.exe" Starter
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8867B7C6-35E2-4B85-93A6-5E077064B50B}: NameServer = 192.168.1.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: SonicStage Back-End Service - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SsBeSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WinTab Service (WinTabService) - Tablet Driver - C:\WINDOWS\system32\DRIVERS\WtSrv.exe


Merci beaucoup !!!

Ploumkat

jlpjlp · Answer

slt,

désactive ta restauration systeme

https://www.informatruc.com

puis redemarre l'ordi

puis réactive la 

et retente un scan antivir pour voir et colles le rapport

ploumkat · Answer

Salut, 

J'ai déjà tenté une désactivation du système mais cela n'a pas marché, le scan bloque toujours et ainsi m'empêche d'avoir un rapport, c'est pour cela que j'ai posté celui d'Hijackthis.
Si vous avez d'autres lumières, je suis preneuse.
Merci beaucoup !!
Ploumkat

ploumkat · Answer

Bonjour, 

J'ai réécris un message en changeant le titre en "Rapport Hijackthis" aujourd'hui à 14h45 !
Merci et désolée pour la petite distraction !

PLoumkat

jlpjlp · Answer

colle un rapport avec malwarebyte antimalware après suppression de ce qui a été trouvé:
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/


_________________
redemarre en mode sans echec et lance antivir et colle le rapport (demarrer l'ordi en appuyant plusieurs fois sur F8 ou F5 ou F2 en général)

si cela perssite:


colle le rapport d'un scan en ligne
avec un des suivants:


bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html


kaspersky en ligne:
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

ploumkat · Answer

Salut, 

Bon je viens au rapport !!
J'ai bien fait tourné Malware en mode sans échec mais il ne détecte rien ce qui me parait bizarre...
Voici le rapport, pas très productif me diras-tu !

Malwarebytes' Anti-Malware 1.25
Version de la base de données: 1087
Windows 5.1.2600 Service Pack 2

08:18:52 26/08/2008
mbam-log-08-26-2008 (08-18-52).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 98579
Temps écoulé: 8 hour(s), 24 minute(s), 47 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


Dans l'attente d'une solution miracle, merci beaucoup !!

Ploumkat

jlpjlp · Answer

redemarre en mode sans echec et lance antivir et colle le rapport (demarrer l'ordi en appuyant plusieurs fois sur F8 ou F5 ou F2 en général)

si cela perssite:


colle le rapport d'un scan en ligne
avec un des suivants:


bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html


kaspersky en ligne:
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

ploumkat · Answer

Bonjour, 

Je ne te colle pas le rapport antivir car il n'a rien trouvé de suspect...
Je ne vais donc pas te faire perdre ton temps (surtout qu'il est très long...)
Je ne pense pas avoir de virus...mais cela ne me donne pas pour autant de solutions !
Je vais continuer à me creuser les méninges, si tu as d'autres infos...
Merci beaucoup, 

Ploumkat

jlpjlp · Answer

Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !

Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport. 




si cela persiste reparer windows:
https://www.pcastuces.com/pratique/windows/xp/default.htm

ploumkat · Answer

Bonsoir, Même combofix n'a l'air de rien trouver... ComboFix 08-08-26.03 - Aurélie 2008-08-27 18:29:19.1 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.620 [GMT 2:00] Endroit: C:\Documents and Settings\Aurélie\Bureau\Combo-Fix.exe * Création d'un nouveau point de restauration . ((((((((((((((((((((((((((((( Fichiers créés 2008-07-27 to 2008-08-27 )))))))))))))))))))))))))))))))))))) . 2008-08-27 18:00 . 2001-08-17 21:28 765,884 --a--c--- C:\WINDOWS\system32\dllcache\usrti.sys 2008-08-27 17:59 . 2001-08-17 21:28 794,654 --a--c--- C:\WINDOWS\system32\dllcache\usr1801.sys 2008-08-27 17:58 . 2004-08-05 14:00 571,392 --a--c--- C:\WINDOWS\system32\dllcache\OLD91A.tmp 2008-08-27 17:57 . 2001-08-23 17:46 172,768 --a--c--- C:\WINDOWS\system32\dllcache 2r4disp.dll 2008-08-27 17:56 . 2004-08-05 14:00 466,944 --a--c--- C:\WINDOWS\system32\dllcache\OLD89D.tmp 2008-08-27 17:55 . 2004-08-03 22:41 404,990 --a--c--- C:\WINDOWS\system32\dllcache\slntamr.sys 2008-08-27 17:54 . 2001-08-23 17:47 495,616 --a--c--- C:\WINDOWS\system32\dllcache\sblfx.dll 2008-08-27 17:53 . 2004-08-04 00:54 397,056 --a--c--- C:\WINDOWS\system32\dllcache\s3gnb.dll 2008-08-27 17:52 . 2001-08-23 17:18 899,914 --a--c--- C:\WINDOWS\system32\dllcache 2mdkxga.sys 2008-08-27 17:51 . 2004-08-04 00:53 259,328 --a--c--- C:\WINDOWS\system32\dllcache\perm3dd.dll 2008-08-27 17:50 . 2004-08-04 00:54 4,274,816 --a--c--- C:\WINDOWS\system32\dllcache v4_disp.dll 2008-08-27 17:49 . 2004-08-04 00:54 1,737,856 --a--c--- C:\WINDOWS\system32\dllcache\mtxparhd.dll 2008-08-27 17:48 . 2004-08-05 14:00 1,875,968 --a--c--- C:\WINDOWS\system32\dllcache\OLD686.tmp 2008-08-27 17:47 . 2004-08-05 14:00 1,158,818 --a--c--- C:\WINDOWS\system32\dllcache\OLD616.tmp 2008-08-27 17:46 . 2004-08-05 14:00 811,064 --a--c--- C:\WINDOWS\system32\dllcache\OLD53C.tmp 2008-08-27 17:45 . 2004-08-05 14:00 13,463,552 --a--c--- C:\WINDOWS\system32\dllcache\OLD4F6.tmp 2008-08-27 17:44 . 2001-08-23 17:46 1,733,120 --a--c--- C:\WINDOWS\system32\dllcache\g400d.dll 2008-08-27 17:43 . 2001-08-23 17:16 596,319 --a--c--- C:\WINDOWS\system32\dllcache\es56cvmp.sys 2008-08-27 17:42 . 2001-08-17 20:14 952,007 --a--c--- C:\WINDOWS\system32\dllcache\diwan.sys 2008-08-27 17:41 . 2001-08-23 17:47 422,429 --a--c--- C:\WINDOWS\system32\dllcache\dgconfig.dll 2008-08-27 17:40 . 2004-08-05 14:00 1,677,824 --a--c--- C:\WINDOWS\system32\dllcache\OLD2BE.tmp 2008-08-27 17:39 . 2004-08-04 00:54 870,784 --a--c--- C:\WINDOWS\system32\dllcache\ati3d1ag.dll 2008-08-27 17:38 . 2008-08-27 18:01 d-------- C:\WINDOWS\LastGood 2008-08-26 19:44 . 2008-08-26 19:55 d-------- C:\Program Files\EClea2_0 2008-08-26 19:11 . 2008-08-26 19:11 d-------- C:\Documents and Settings\All Users\Application Data\TEMP 2008-08-26 19:10 . 2008-08-26 19:11 d-------- C:\Program Files\Trojan Remover 2008-08-26 19:10 . 2008-08-26 19:10 d-------- C:\Documents and Settings\Aurélie\Application Data\Simply Super Software 2008-08-26 19:10 . 2008-08-26 19:10 d-------- C:\Documents and Settings\Aurélie\Application Data\Simply Super Software 2008-08-26 19:10 . 2008-08-26 19:10 d-------- C:\Documents and Settings\Aurélie\Application Data\Simply Super Software 2008-08-26 19:10 . 2008-08-26 19:10 d-------- C:\Documents and Settings\All Users\Application Data\Simply Super Software 2008-08-26 19:10 . 2006-05-25 15:52 162,304 --a------ C:\WINDOWS\system32\ztvunrar36.dll 2008-08-26 19:10 . 2003-02-02 20:06 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll 2008-08-26 19:10 . 2005-08-26 01:50 77,312 --a------ C:\WINDOWS\system32\ztvunace26.dll 2008-08-26 19:10 . 2002-03-06 01:00 75,264 --a------ C:\WINDOWS\system32\unacev2.dll 2008-08-26 19:10 . 2006-06-19 13:01 69,632 --a------ C:\WINDOWS\system32\ztvcabinet.dll 2008-08-26 02:47 . 2008-08-26 02:47 552 --a------ C:\WINDOWS\system32\d3d8caps.dat 2008-08-25 20:56 . 2008-08-25 20:56 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-08-25 20:56 . 2008-08-25 20:56 d-------- C:\Documents and Settings\Aurélie\Application Data\Malwarebytes 2008-08-25 20:56 . 2008-08-25 20:56 d-------- C:\Documents and Settings\Aurélie\Application Data\Malwarebytes 2008-08-25 20:56 . 2008-08-25 20:56 d-------- C:\Documents and Settings\Aurélie\Application Data\Malwarebytes 2008-08-25 20:56 . 2008-08-25 20:56 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-08-25 20:56 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-08-25 20:56 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-08-23 23:40 . 2008-08-27 17:17 d-------- C:\Program Files\Windows Defender 2008-08-23 22:35 . 2008-08-23 23:22 d-------- C:\Program Files\Unlocker 2008-08-23 21:42 . 2008-08-23 21:42 d-------- C:\WINDOWS\system32\Kaspersky Lab 2008-08-23 21:14 . 2008-08-23 21:14 7,168 --ahs---- C:\WINDOWS\system32\Thumbs.db 2008-08-23 19:48 . 2008-08-23 20:03 d-------- C:\Program Files\RegCleaner 2008-08-23 19:47 . 2008-08-23 19:47 d-------- C:\Program Files\CCleaner 2008-08-23 19:25 . 2008-08-23 19:25 d-------- C:\Program Files\SIW 2008-08-21 22:01 . 2008-08-21 22:02 42,609,040 --a------ C:\Program Files\zlsSetup_70_462_000_fr.exe 2008-08-15 16:11 . 2004-08-04 00:54 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll 2008-08-15 16:11 . 2001-08-23 17:47 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll 2008-08-14 19:16 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys 2008-08-13 22:01 . 2008-08-13 22:01 d-------- C:\WINDOWS\system32\Adobe 2008-08-13 22:00 . 2008-08-13 22:00 4,584,376 --a------ C:\Program Files\Shockwave_Installer_Slim.exe 2008-08-13 21:59 . 2008-08-13 21:59 1,495,112 --a------ C:\Program Files\install_flash_player.exe 2008-08-06 19:11 . 2005-08-24 13:44 44,163 --a------ C:\WINDOWS\system32\drivers\btwhid.sys 2008-08-06 19:11 . 2005-08-24 13:48 17,516 --a------ C:\WINDOWS\system32\drivers\frmupgr.sys 2008-07-29 00:36 . 2008-07-29 01:30 d-------- C:\Program Files\StarCraft 2008-07-29 00:36 . 2008-07-29 00:50 d-------- C:\Program Files\Fichiers communs\Blizzard Entertainment . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-27 16:30 1,058,848 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2008-08-27 15:34 --------- d-----w C:\Program Files\RocketDock 2008-08-27 06:51 12,176 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2008-08-23 21:41 --------- d-----w C:\Program Files\Windows Live 2008-08-23 21:41 --------- d-----w C:\Program Files Lite 2008-08-23 21:41 --------- d-----w C:\Program Files\eMule 2008-08-23 17:59 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-08-21 20:04 --------- d-----w C:\Program Files\Zone Labs 2008-08-18 20:04 --------- d-----w C:\Program Files\QuickTime 2008-08-06 21:26 --------- d-----w C:\Program Files\Canon 2008-08-06 18:02 --------- d-----w C:\Program Files\Audacity 2008-08-06 17:50 --------- d-----w C:\Program Files\Spybot - Search & Destroy 2008-07-18 22:21 --------- d-----w C:\Program Files\Apple Software Update 2008-07-18 18:39 587,264 ----a-w C:\WINDOWS\WLXPGSS.SCR 2008-07-15 22:56 --------- d-----w C:\Documents and Settings\Aurélie\Application Data\La Bataille pour la Terre du Milieu ™ II 2008-07-15 22:56 --------- d-----w C:\Documents and Settings\Aurélie\Application Data\La Bataille pour la Terre du Milieu ™ II 2008-07-15 22:56 --------- d-----w C:\Documents and Settings\Aurélie\Application Data\La Bataille pour la Terre du Milieu ™ II 2008-07-15 22:09 --------- d-----w C:\Program Files\Electronic Arts 2008-07-14 22:24 --------- d-----w C:\Program Files\Java 2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll 2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll 2008-06-23 16:28 826,368 ----a-w C:\WINDOWS\system32\wininet.dll 2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll 2008-03-25 20:36 23,510,720 ----a-w C:\Program Files\dotnetfx.exe 2008-03-18 18:44 4,602,838 ----a-w C:\Program Files\maxicompte.exe 2008-03-16 18:59 18,644,011 ----a-w C:\Program Files\mediacoder_mediacoder_0.6.0.3898_anglais_19581.exe 2008-02-17 15:33 1,589,036 ------w C:\Program Files\arach.exe . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360] "Wallpaper"="C:\Program Files\Wallpaper\Wallpaper.exe" [2007-08-21 01:27 233472] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 20:25 266497] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648] "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe" [2008-03-17 14:19 185896] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-05-27 10:50 413696] "ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 19:27 919016] "MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-05 14:00 160768] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ BTTray.lnk - C:\Program Files\Belkin\Logiciel Bluetooth\BTTray.exe [2005-08-24 14:06:54 577597] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --------- 2008-01-11 23:16 39792 C:\Program Files\Adobe\Reader 8.0\Reader eader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA] --a------ 2005-06-28 22:05 344064 C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iKeyWorks] --a------ 2003-12-02 18:40 53248 C:\PROGRA~1\Keyboard\Ikeymain.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] --a------ 2008-02-19 14:10 267048 C:\Program Files\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OpwareSE2] --a------ 2003-05-08 12:00 49152 C:\Program Files\ScanSoft\OmniPageSE2.0\opwareSE2.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2008-05-27 10:50 413696 C:\Program Files\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2008-06-10 04:27 144784 C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] --a------ 2008-03-17 14:19 185896 C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrojanScanner] --a------ 2008-08-19 20:08 914512 C:\Program Files\Trojan Remover\Trjscan.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan] --a------ 2004-11-16 03:20 77824 C:\WINDOWS\SOUNDMAN.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WService] --a------ 2005-08-16 01:48 28672 C:\WINDOWS\system32\WService.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "iPod Service"=3 (0x3) "WinDefend"=2 (0x2) [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\uTorrent\uTorrent.exe"= "C:\Program Files\Messenger\msmsgs.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= "C:\Program Files\iTunes\iTunes.exe"= "C:\Program Files\Electronic Arts\La Bataille pour la Terre du Milieu II\game.dat"= "C:\Program Files\eMule\emule.exe"= "C:\Program Files\Neuf\Media Center\httpd\httpd.exe"= C:\Program Files\Neuf\Media Center\httpd\httpd.exe:172.16.255.0/255.255.255.0,192.168.1.2/255.255.255.255:Enabled:Serveur de partage Media Center (Player Neuf Cegetel) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "4662:TCP"= 4662:TCP:ouverture emule "4672:TCP"= 4672:TCP:fermeture emule R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 17:24] R0 SI3112r;ATI-437A Serial ATA Controller;C:\WINDOWS\system32\DRIVERS\SI3112r.sys [2007-08-29 04:04] R3 PALLADIA;Palladia 300/400 Usb Adsl Modem;C:\WINDOWS\system32\DRIVERS\usbiad.sys [2004-07-14 03:52] *Newly Created Service* - CATCHME *Newly Created Service* - PROCEXP90 . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' 2008-07-18 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57] . - - - - ORPHANS REMOVED - - - - HKCU-Run-RocketDock - C:\Program Files\RocketDock\RocketDock.exe . ------- Supplementary Scan ------- . FireFox -: Profile - C:\Documents and Settings\Aurélie\Application Data\Mozilla\Firefox\Profiles\w8bgrdci.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.fr/ FF -: plugin - C:\Program Files\iTunes\Mozilla Plugins pitunes.dll FF -: plugin - C:\Program Files\Panda Security\TotalScan pwrapper.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-27 18:30:50 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-08-27 18:31:27 ComboFix-quarantined-files.txt 2008-08-27 16:31:25 Pre-Run: 18,792,423,424 octets libres Post-Run: 19,236,065,280 octets libres 194 --- E O F --- 2008-08-15 14:41:56 MERCI !

jlpjlp · Answer

rien


désactive completement ta restauration systeme puis fais le scan panda ou antivir, il ne devrait plus bloquer si pas de restauration active


sinon repare windows

ploumkat · Answer

Bon, j'ai tout essayé... desactiver la restauration puis faire un scan : toujours pareil...
désactiver, redémarrer, créer un nouveau point de sauvegarde, redémarrer, nouveau scan, cela bloque toujours et encore au niveau du system volume information avec le fichier trackin.log pour Antivir et le remote database pour PAnda (chacun son originalité...)
Je suis en contact avec les gars de PANDA, il me conseille de supprimer carrément les 2 fichiers mais windows "refuse"...
Puis j'ai tenté la réparation Windows comme tu me l'as conseilllé, pas d'erreur non plus...
Le mystère reste entier !!

jlpjlp · Answer

essaye de reparer windows



sinon essaye un autre scan en ligne


bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html

Kaspersky en ligne
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr 

secuser 
http://www.secuser.com/telechargement/index.htm

norton en ligne
http://www.norton-online.com/fr/store/?gclid=CIWD--ipsJUCFQxRtAodlmMEYA

ploumkat · Answer

Pffff... :(

  J'ai réparé Windows avec la ligne de commande E:\i386\WINNT32 /unattend

J'ai supprimé les 2 fichiers : c:\system volume information	racking.log et c:\system volume information\MountPointManagerRemoteDatabase avec le logiciel unlocker

Résultat : Tous les scans (je les ai tous essayé !!!) bloquent toujours TOUS au même endroit, je ne sais vraiment plus que faire...

jlpjlp · Answer

c:\system volume information	racking.log et c:\system volume information\MountPointManagerRemoteDatabase avec le logiciel unlocker

c'est ta restauration systeme; donc tu ne peux pas supprimer il faut juste désactiver ta restauration : tu peux le faire???

ploumkat · Answer

Je sais que c'est la restauration système mais

Je l'ai déjà désactivée au moins 50 fois depuis la semaine dernière : 
Scan quand elle est désactivéé...
Scan quand elle est réactivée...
Scan après avoir créé un nouveau point de restauration etc. etc. redémarrer...

Et rien....

S.O.S

jlpjlp · Answer

pour antivir mets dans les exception comme indiqué dans le lien suivant les fichiers qui bloquent le scan:

https://forum.malekal.com/viewtopic.php?f=59&t=5770





sinon



pour voir




Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

ploumkat · Answer

bonjour, 

Je tente les exceptions antivir, en attendant voici le rapport SDFIX : 


[b]SDFix: Version 1.220 [/b]
Run by Aur‚lie on 30/08/2008 at 12:51

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]: 

No Trojan Files Found






Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-30 12:56:57
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Messenger\msmsgs.exe"="C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\Program Files\iTunes\iTunes.exe"="C:\Program Files\iTunes\iTunes.exe:*:Enabled:iTunes"
"C:\Program Files\Electronic Arts\La Bataille pour la Terre du Milieu II\game.dat"="C:\Program Files\Electronic Arts\La Bataille pour la Terre du Milieu II\game.dat:*:Enabled:La Bataille pour la Terre du Milieu T II"
"C:\Program Files\Neuf\Media Center\httpd\httpd.exe"="C:\Program Files\Neuf\Media Center\httpd\httpd.exe:172.16.255.0/255.255.255.0,192.168.1.2/255.255.255.255:Enabled:Serveur de partage Media Center (Player Neuf Cegetel)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files [/b]:



[b]Files with Hidden Attributes [/b]:

Mon 28 Jan 2008     1,404,240 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008     2,097,488 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Fri  4 Apr 2008         4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Mon 14 Mar 2005       299,008 A..H. --- "C:\Program Files\Canon\MP Navigator 2.0\Maint.exe"
Mon 25 Apr 2005        61,440 A..H. --- "C:\Program Files\Canon\MP Navigator 2.0\uinstrsc.dll"
Thu  7 Aug 2008         1,024 A..H. --- "C:\System Volume Information\_restore{E8B3319A-79C5-450D-BD9D-EEB153E8E8F5}\RP2\A0000481.sys"
Fri 15 Feb 2008             0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Wed 16 Jul 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\405ae8e48aa46e265982686e1678047b\BIT1.tmp"
Tue 15 Jul 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\585dc2612ebcefc90e7dee4c276ee95e\BIT3.tmp"
Sat 30 Aug 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\f7db876e78b88fd8276fd7d29cb7e4eb\BIT1.tmp"

[b]Finished![/b]



MERCI !

jlpjlp · Answer

non rien dans sdfix

essaye donc les exceptions

ploumkat · Answer

Ouf le coup des exceptions a marché, le mystère reste entier mais le scan a tourné. Merci !!
Le rapport est trop long le site ne veut pas l'intégré : 
Voici le virus trouvé :



The file 'C:\WINDOWS\Nircmd.exe'
contained a virus or unwanted program 'APPL/NirCmd.E.2.B' [program]
Action(s) taken:
The file was moved to '492b2e44.qua'!

jlpjlp · Answer

ce fichier correspod a combofix donc pas de soucis

ploumkat · Answer

Bon ben je vais continuer comme ça ... peut_être qu'un jour je trouverais la clé du mystère ;)
Merci de ton aide !!

Ploumkat

jlpjlp · Answer

ok

Antivirus bloqué

22 réponses

Discussions similaires

Newsletters