Les petits frères Trojan de la famille Win32 Résolu

Question

Bonjour tout le monde !

Je me résigne à poster ici, j'ai besoin de vos lumières pour éradiquer un Trojan qui s'est infiltré sur mon Paycay. Hélas, j'aurais bien voulu vous joindre un print screen de la chose, mais bon, j'ai sans faire attention fermé la fenêtre...

Voilà donc son nom : Trojan-Downloader.Win32.Agent.bq

En fait, un pop-up apparait après avoir surfé quelques minutes sur internet, et la pop-up ressemble vraiment à celle des messages de windows, elle me dit qu'il faut que j'aille sur un site pour télécharger un logiciel pour protéger mon ordi...

Et c'est ce "Trojan-Downloader.Win32.Agent.bq" qui apparait dans la phrase (qui est par ailleurs en anglais alors que mon système d'exploitation est en... français) et qui dit que je suis attaqué par Trojan-Downloader.Win32.Agent.bq. Et je m'en suis tapé d'autres, avec des noms rigolos, genre trojan-spy.win32.greenscreen...

Bref, wala quoi, faudrait que je puisse éradiquer cette vermine, j'ai déjà essayé avec Adaware, Malwarebytes' Anti-Malware, ils m'ont enlevé des trucs, mais mon problème persiste encore...

Vous voulez une photo de la chose la prochaine fois qu'il revient ?

++ !

PS : J'ai Windows XP SP3 depuis quelques temps

anthony5151 · Answer

Bonjour,


Ne t'inquiète pas (pas trop !), ce genre de problème est malheureusement très courant... Ignore les fausses alertes et évite de te connecter sur des sites sensibles (site de ta banque, ebay...) en attendant qu'on désinfecte.


Télécharge hijackthis sur ton bureau :  https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/ 

Installe le, puis fais ceci avant de le lancer :
Va dans le menu démarrer --> Poste de travail --> disque local C --> Program Files --> Trend Micro --> Hijackthis --> cherche hijackthis.exe et fais un clic droit dessus --> renomme le en Jack.exe

Ensuite lance le et clique sur "Do a system scan and save a logfile". 
Fais un copier-coller du rapport entier sur le forum

Larekan · Answer

Ok c'est parti ! je le poste quand j'ai le log, hélas je ne posterai que dans les heures après 17 heures, je remercie l'école pour ça ;)

Larekan · Answer

Voilà le log ! 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:19:14, on 08.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\jqtmjifu.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\ASUS\ASUS DH Remote\AsDhRemote.exe
C:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\Jack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Ai Quicker Help] "C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - HKCU\..\Run: [WinApl] C:\WINDOWS\system32\jqtmjifu.exe
O4 - HKLM\..\Policies\Explorer\Run: [H9EcU5t042] C:\FlashPlayerH264Ext.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O21 - SSODL: SysCom - {5024D08A-856D-223A-5862-062CBBCEBDB6} - C:\Program Files\kvjmehd\SysCom.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe

anthony5151 · Answer

En fait, Hijackthis est un logiciel de diagnostique qui donne beaucoup d'informations sur l'ordinateur où il est installé.

Il donne des infos générales (système d'exploitation, version d'Internet Explorer...), la liste des processus en cours au moment du scan, et le plus intéressant, toutes les lignes commençant par un numéro.
Par exemple, les lignes commençant par 03 correspondent aux barres d'outils installées, les lignes 04 correspondent à la liste de démarrage, les lignes 23 correspondent aux services... etc

Dans ton rapport, ce sont ces lignes qui indiquent une infection :
O4 - HKCU\..\Run: [WinApl] C:\WINDOWS\system32\jqtmjifu.exe
O4 - HKLM\..\Policies\Explorer\Run: [H9EcU5t042] C:\FlashPlayerH264Ext.exe
O21 - SSODL: SysCom - {5024D08A-856D-223A-5862-062CBBCEBDB6} - C:\Program Files\kvjmehd\SysCom.dll

Attention : les fixer à l'aide de Hijackthis ne suffit pas, évite donc de le faire ;)




Je vais d'abord te demander un nouveau scan avec Malwarebyte's Anti-Malware (je sais que tu l'as déja fait, mais je veux voir ce qu'il trouve maintenant)

Lance le et mets le à jour.

Puis, redémarre en "Mode sans échec" : redémarre ton ordinateur et tapote sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows, et sélectionne "Mode sans échec".
Choisis ta session habituelle

Lance Malwarebyte's Anti-Malware 
- Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
- Sélectionne tes disques durs" puis clique sur "Lancer l’examen" 
- A la fin du scan, clique sur Afficher les résultats puis sur Enregistrer le rapport
- Suppression des éléments détectés --> clique sur Supprimer la sélection 
- S'il t'es demandé de redémarrer, clique sur Yes


Poste le rapport de scan après la suppression ici

Larekan · Answer

Ok, jvais prendre note de tout ça sur un papier, je reviens :D

Larekan · Answer

...ok.....

Windows m'a un peu laché sur ce coup-là... xD

J'ai fais le scan en mode sans échec, tout fonctionnait bien. Il arrive à la fin, il a détecté 5 infections. Je suis à la lettre ce que tu m'as dit de faire, je les élimine par Malwarebyte's Anti-Malware, je sauve le log sur le bureau...
Il me demande de redémarrer, ce que je fais, mais là il plante ! Alors j'éteinds et rallume toute la carlingue à la main, et quelle surprise de voir que le log n'est pas sur le bureau... Je retourne en mode sans échec ou le log se trouve bel et bien sur le bureau (inexplicablement :p), à tout hasard je regarde à nouveau Malwarebyte's Anti-Malware... Dans la quarantaine, il y avait 4 fichiers restants que j'ai ensuite deleté. Bon, à la base il y en avait 5 (que j'ai deleté avant que ça plante).

Voici le log de Malwarebyte's Anti-Malware  : 

Malwarebytes' Anti-Malware 1.27
Version de la base de données: 1130
Windows 5.1.2600 Service Pack 3

08.09.2008 21:27:25
mbam-log-2008-09-08 (21-27-11).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 163391
Temps écoulé: 29 minute(s), 9 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{5024d08a-856d-223a-5862-062cbbcebdb6} (Trojan.FakeAlert.H) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\syscom (Trojan.FakeAlert.H) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\scrfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("%1" %*) Good: ("%1" /S) -> No action taken.

Dossier(s) infecté(s):
C:\Program Files\kvjmehd (Trojan.FakeAlert.H) -> No action taken.

Fichier(s) infecté(s):
C:\Program Files\kvjmehd\SysCom.dll (Trojan.FakeAlert.H) -> No action taken.

Il écrit "No action was taken" mais avant qu'il plante en redémarrant, il avait mis que les fichiers infectés avaient été éradiqués avec succès. Le log n'a pas non plus pris en compte que j'ai deleté ces 5 fichiers...

Je sais pas quoi dire, je m'excuse ? :p

Je refais un scan avec notre programme adoré et je m'assure que le log sera bel et bien sauvé ? (j'ai utilisé une clé USB pour passer du mode sans échec au mode normal... c'est dire...)

++ !

(sorry again...)

Larekan · Answer

et je note d'ailleurs que mon pote Trojan de la famille Win32 m'a encore proposé ses services. Bouhouhouuu...

anthony5151 · Answer

Est-ce que tu peux relancer MalwareBytes (en mode normal ça ira ;) ) et regarder dans l'onglet Rapports/logs ?  Il y a peut-être deux rapports : celui que tu m'as montré, qui a été généré avant la suppression, et un autre qui a été généré après. Si tu retrouves l'autre, poste le ici stp.


Sinon une fois que tu as fait cette vérification, tu peux passer à un autre programme de désinfection (celui-ci spécialisé dans les trojans) :

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. 
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : 
• Redémarre ton ordinateur 
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde). 
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. 
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". 
• Choisis ton compte. 

• Puis, ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script. 
• Appuie sur une touche pour commencer le processus de nettoyage. 
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. 
• Appuie sur une touche pour redémarrer le PC. 
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. 
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. 
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. 
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. 

• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau rapport Hijackthis !

Larekan · Answer

C'est bizarre, j'ai l'impression que je peux plus poster ici...

Larekan · Answer

mais ?? pourquoi je peux pas poster les logs ? ils sont trop longs ?

anthony5151 · Answer

Normalement, les messages trop long sont coupés mais ils passent quand même ???
Essaye de me l'envoyer par message privé pour voir (en cliquant sur mon pseudo) ?

Larekan · Answer

Wala, les logs ont été envoyés. Les as-tu reçu ?

anthony5151 · Answer

Oui j'ai tout reçu ;)
Maintenant, on va utiliser Combofix pour finir la désinfection. Attention, ce logiciel est très puissant, une mauvaise utilisation peut faire des dégâts... 

Fais exactement ce qui suit : 

Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :
Fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix, choisis le bureau comme destination et valide :  http://download.bleepingcomputer.com/sUBs/ComboFix.exe

--------------------------------------------- [ ! ATTENTION ! ] ---------------------------------------------------------- 
!! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (dans ton cas, simplement Antivir) le temps de la manipulation : en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !! 

---> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre... 

Tuto ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 
--------------------------------------------------------------------------------------------------------------------------------- 

Ensuite : 
double-clique sur C-Fix.exe (= combofix.exe ) . 

Appuie sur une touche pour démarrer le scan . 

Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer

Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp

Larekan · Answer

ok, ça a l'air chaud... alors 2 questions :

1) Je coupe le firewall de windows ? ou je coupe seulement antivir ?

2) Je fais tout ça en mode sans échec ?

Et juste, depuis la dernière chose que j'ai faite, il n'y a donc plus qu'une fenètre qui apparait et qui met jsute que Internet Explorer n'a pas pu charger la page, blablabla.... juste pour préciser que maintenant, c'est tout le temps qu'il me le met ;)

anthony5151 · Answer

1) Antivir oui, le pare-feu windows si tu veux...

2) Non pas en mode sans échec, ça devrait aller en mode normal

Larekan · Answer

Aie, ComboFix refuse de marcher sous le nom C-Fix.exe.... je fais quoi ? je le renomme en combofix.exe ?

Larekan · Answer

rhaaaa putain, bon, hein, c'est la première fois, la prochaine je chierais moins que ça...

J'ai désactivé antivir, puis je l'ai réactiver pour te rapeller pour te dire que combofix.exe ne voulait pas marcher sous son nom de "C-Fix.exe".
J'ai finalement décidé de le renommer pour qu'il fasse plus chier.
J'ai lancé la procédure, mais,... j'ai oublié de désactiver antivr....
Pourtant, il n'y a pas du tout eu de problèmes, mais dans l'agitation, jme suis dit qu'il faudrait que je le refasse dans les règles, j'ai donc enlevé le premier log (je sais... x() pour refaire un scan pour arriver à un nouveau log que voici :

ComboFix 08-09-05.12 - BrunoF 2008-09-09 20:28:16.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1617 [GMT 2:00]
Endroit: C:\Documents and Settings\BrunoF\Bureau\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

((((((((((((((((((((((((((((( Fichiers créés 2008-08-09 to 2008-09-09 ))))))))))))))))))))))))))))))))))))
.

2008-09-09 20:11 . 2008-09-09 20:11 <REP> d-------- C:\C-Fix
2008-09-09 12:19 . 2008-09-09 12:19 579,584 --a--c--- C:\WINDOWS\system32\dllcache\user32.dll
2008-09-09 12:18 . 2008-09-09 12:18 <REP> d-------- C:\WINDOWS\ERUNT
2008-09-07 19:36 . 2008-09-07 19:37 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-09-07 17:58 . 2008-09-07 22:56 <REP> d-------- C:\Program Files\Enigma Software Group
2008-09-07 17:18 . 2007-12-30 00:27 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2008-09-07 17:18 . 2007-12-30 00:27 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-09-07 17:18 . 2007-12-29 23:38 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles
2008-09-07 17:18 . 2007-12-30 00:27 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-09-07 17:18 . 2007-12-30 00:27 <REP> dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
2008-09-07 17:18 . 2007-12-30 00:27 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-09-07 17:18 . 2008-09-09 20:22 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-09-07 17:18 . 2008-09-07 17:18 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2008-09-07 17:18 . 2008-09-07 17:18 <REP> d-------- C:\Documents and Settings\Administrateur
2008-09-07 15:45 . 2008-09-07 15:45 <REP> d-------- C:\Documents and Settings\BrunoF\Application Data\Malwarebytes
2008-09-07 15:45 . 2008-09-07 15:45 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-09-07 00:40 . 2008-09-07 00:40 <REP> d-------- C:\Documents and Settings\All Users\Application Data\juhqjopk
2008-09-07 00:40 . 2008-09-07 00:40 <REP> d-------- C:\Documents and Settings\All Users\Application Data\hglsrmhi
2008-09-07 00:40 . 2008-09-07 00:40 86,016 --a------ C:\WINDOWS\system32\jqtmjifu.exe
2008-08-29 17:05 . 2008-08-29 17:05 <REP> d-------- C:\WINDOWS\system32\fr-fr
2008-08-29 17:05 . 2008-08-29 17:05 <REP> d-------- C:\WINDOWS\system32\fr
2008-08-29 17:05 . 2008-08-29 17:05 <REP> d-------- C:\WINDOWS\system32\bits
2008-08-29 17:05 . 2008-08-29 17:05 <REP> d-------- C:\WINDOWS\l2schemas
2008-08-29 17:04 . 2008-08-29 17:05 <REP> d-------- C:\WINDOWS\ServicePackFiles
2008-08-29 16:59 . 2008-08-29 16:59 <REP> d-------- C:\WINDOWS\EHome
2008-08-15 00:08 . 2008-08-15 00:34 373,850 --a------ C:\platinels8.jpg
2008-08-13 16:33 . 2008-04-11 21:05 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-09 11:41 --------- d-----w C:\Documents and Settings\BrunoF\Application Data\OpenOffice.org2
2008-09-06 21:49 --------- d-----w C:\Program Files\Songbird
2008-08-27 16:43 --------- d-----w C:\Documents and Settings\BrunoF\Application Data\uTorrent
2008-08-07 17:15 --------- d-----w C:\Documents and Settings\BrunoF\Application Data\Bioshock
2008-08-07 11:49 --------- d-----w C:\Program Files\Winamp
2008-08-06 21:30 --------- d-----w C:\Program Files\iTunes
2008-08-06 21:30 --------- d-----w C:\Program Files\iPod
2008-08-06 21:30 --------- d-----w C:\Program Files\Apple Software Update
2008-07-21 11:24 --------- d-----w C:\Program Files\Java
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll
2008-07-18 14:01 --------- d-----w C:\Documents and Settings\BrunoF\Application Data\Winamp
2008-07-17 16:50 --------- d-----w C:\Program Files\Panda Security
2008-07-13 20:35 --------- d-----w C:\Program Files\QuickTime
2008-07-11 13:11 --------- d-----w C:\Program Files\Pixmantec
2008-07-10 07:35 32,000 ----a-w C:\WINDOWS\system32\drivers\usbaapl.sys
2008-07-07 20:28 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-26 17:35 30 ----a-w C:\Program Files\Exiferupdate.ini
2008-06-24 16:44 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 15:10 670,208 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:47 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-05-31 18:21 22,300,968 ----a-w C:\Program Files\SkypeSetup.exe
2008-01-06 11:02 22,328 ----a-w C:\Documents and Settings\BrunoF\Application Data\PnkBstrK.sys
2006-05-03 10:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 11:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
2007-12-17 13:43 27,648 --sh--w C:\WINDOWS\system32\Smab0.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"WinApl"="C:\WINDOWS\system32\jqtmjifu.exe" [2008-09-07 86016]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]
"JMB36X Configure"="C:\WINDOWS\system32\JMRaidTool.exe" [2006-08-14 352256]
"SW24"="C:\WINDOWS\system32\sw24.exe" [2006-12-15 69632]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 8523776]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 81920]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"Ai Quicker Help"="C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe" [2006-10-30 3166720]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2005-12-07 30208]
"LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" [2006-05-18 49152]
"AppleSyncNotifier"="C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-10 116040]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-05-27 413696]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-07-30 289064]
"nwiz"="nwiz.exe" [2007-12-05 C:\WINDOWS\system32\nwiz.exe]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 C:\WINDOWS\KHALMNPR.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

C:\Documents and Settings\BrunoF\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe [2008-01-03 692224]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"msacm.l3fhg"= mp3fhg.acm
"VIDC.X264"= x264vfw.dll
"msacm.divxa32"= divxa32.acm
"msacm.avis"= ff_acm.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^ASUS WiFi-AP Solo.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\ASUS WiFi-AP Solo.lnk
backup=C:\WINDOWS\pss\ASUS WiFi-AP Solo.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^BrunoF^Menu Démarrer^Programmes^Démarrage^Enregistrement de produit Logitech.lnk]
path=C:\Documents and Settings\BrunoF\Menu Démarrer\Programmes\Démarrage\Enregistrement de produit Logitech.lnk
backup=C:\WINDOWS\pss\Enregistrement de produit Logitech.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^BrunoF^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.3.lnk]
path=C:\Documents and Settings\BrunoF\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.3.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.3.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Comrade.exe]
--a------ 2007-06-29 16:03 36864 C:\Program Files\GameSpy\Comrade\Comrade.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2007-12-19 22:13 486856 D:\daemon tools\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-07-30 10:47 289064 C:\Program Files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2007-12-30 21:23 1266936 D:\Half Life 2\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\High Definition Audio Property Page Shortcut]
--------- 2004-10-27 16:21 61952 C:\WINDOWS\system32\HdAShCut.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Emule\\emule.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"D:\\utorrent\\uTorrent.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

R0 ViBus;ViBus;C:\WINDOWS\system32\DRIVERS\ViBus.sys [2007-10-18 16896]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2007-09-21 9216]
R0 ViPrt;VIA SATA IDE Device Driver;C:\WINDOWS\system32\DRIVERS\ViPrt.sys [2007-10-18 52224]
R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-02-23 11264]
R3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187.sys [2006-06-16 176128]
S3 SetupNTGLM7X;SetupNTGLM7X;E:\NTGLM7X.sys [ ]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
.
.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\BrunoF\Application Data\Mozilla\Firefox\Profiles\tyu34yia.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - about:blank
FF -: plugin - C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - C:\Program Files\ma-config.com\nphardwaredetection.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-09 20:30:21
Windows 5.1.2600 Service Pack 3 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-09-09 20:31:41
ComboFix-quarantined-files.txt 2008-09-09 18:31:27

Pre-Run: 13,621,899,264 octets libres
Post-Run: 13,609,848,832 octets libres

178 --- E O F --- 2008-08-30 11:01:52

Il n'y a eu aucun problème durant le scan.

Décidément mes amis les troyens m'aiment bien, ils arrivent plus à quitter le nid douillet de mon ordinateur, je me fais encore pop-upper par cette pub à 2 balles... (Bien que ça soit plus ma performance en la matière qui soit à 2 balles :D )

SHAME ON ME !!

anthony5151 · Answer

Justement non, j'aurai préféré que tu me montre le premier rapport, pour voir ce que Combofix a supprimé...  Et au passage, peux-tu poster un nouveau rapport hijackthis stp ?

Bon en attendant que tu le retrouves (à la racine du disque C), je vais regarder celui-ci.

Larekan · Answer

mais j'ai carrément supprimé le premier log ! :(


Voilà le nouveau scan hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:25:19, on 10.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\jqtmjifu.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\ASUS\ASUS DH Remote\AsDhRemote.exe
C:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\Jack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Ai Quicker Help] "C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WinApl] C:\WINDOWS\system32\jqtmjifu.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe

Larekan · Answer

Ha, windows a repéré des mises à jours. Je les installe, meme si on continue la désinfection ?

Larekan · Answer

ha ok, je crois que je vais m'interdire l'accès à internet pendant le reste de la désinfection, les "messages d'erreur" reviennent mais avec une image, cette fois... (toujours la même, j'entend ! avant il y avait le message "internet Explorer n'a pas pu...") Pourtant j'ai évité les sites genre Ebay, toussa !

*pense à voix haute : j'envisage le formattage ?* (nature pessimiste inside)

anthony5151 · Answer

Désolé pour le délai de réponse :(

Pas de formatage non, ce ne sera pas nécessaire ;)
Pour les mises à jour de Windows, il serait préférable que tu attendes qu'on ait fini la désinfection


Toujours avec toutes les protections désactivées (c'est important !), fais ceci :

Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
File:: 
C:\WINDOWS\system32\jqtmjifu.exe
C:\platinels8.jpg
C:\WINDOWS\system32\Smab0.dll

Folder:: 
C:\Documents and Settings\All Users\Application Data\juhqjopk
C:\Documents and Settings\All Users\Application Data\hglsrmhi

Registry:: 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinApl"=

------------------------------------------------------------------

- Enregistre ce fichier sur ton bureau (et pas ailleurs !) sous le nom CFScript.txt
- Quitte le Bloc Notes 

·  Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme sur ce lien :
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

* Une fenêtre bleue va peut-être apparaître : au message qui apparaît ( Type 1 to continue, or 2 to abort), tape 1 puis valide. 
* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal ! 
Ne touche à rien tant que le scan n'est pas terminé. 
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Larekan · Answer

ho putain, nan tu vas me haïr... houuula..

Par soucis de doute, j'ai tout fait pour empêcher les MaJ.

Quand j'ai rallumé le PC ce matin, il les a lancées.... tout seul. Je m'en suis rendu compte que quand je suis revenu devant l'ordi.

Tiens, ça me fais penser à un gars sur un forum qui avait créé une histoire ou les autres forumeurs devaient choisir la suite...
Le thème, c'était : "vous êtes l'ordi d'un jeune."
Au début, ça faisait genre : "Il vous allume. Vous faites :
1) Vous redémarrez automatiquement quand vous avez fini de booter
2) Vous lancez winamp et vous mettez la musique de métal la pros forte dans ses oreilles
3) Vous simulez une attaque de virus"

Jvais faire ça demain, là jsuis en multi-tchat sur MSN (d'ailleurs il avait de la peine à se lancer, il m'a sorti plusieurs fois des erreurs, mais ça s'est calmé, j'ai soupçonné notre désinfection) et je doute que ComboFix va apprécier qqun qui me parle... 
D'ailleurs, pourquoi ce programme est-il si "sensible" ? que fait-il à l'ordi pour faire changer l'horloge, disparaitre le bureau ?

anthony5151 · Answer

Tant pis pour les mises à jour, ce n'est pas très grave (ça va peut-être juste me compliquer un peu la tache si on doit réutiliser Combofix ^^)

Je suppose que Combofix met fin aux processus en cours pendant le scan, et c'est surement ce qui fait disparaitre le bureau... Cet outil est puissant et pourrait même supprimer des fichiers systèmes, d'où la nécessité d'être prudent quand on l'utilise
Donc tu as raison d'attendre d'avoir fini ton multi-chat MSN avant de passer aux dernières manipulation avec Combofix ;)


D'ailleurs, j'ai trouvé une suite pour le jeu "vous êtes l'ordi d'un jeune."
Au début, ça faisait genre : "Il vous allume. Vous faites :
1) Vous redémarrez automatiquement quand vous avez fini de booter
2) Vous lancez winamp et vous mettez la musique de métal la pros forte dans ses oreilles
3) Vous simulez une attaque de virus

==> 4) Vous bloquez MSN !  Héhéhé ^^

Larekan · Answer

wala le nouveau log ! Rien de spécial à noter, juste le fait que combofix s'est mis à jour tout seul avant le scan ;) Et j'ai pensé à désactiver antivir :p ComboFix 08-09-10.04 - BrunoF 2008-09-12 10:39:16.3 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1646 [GMT 2:00] Endroit: C:\Documents and Settings\BrunoF\Bureau\ComboFix.exe Command switches used :: C:\Documents and Settings\BrunoF\Bureau\CFScript.txt * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\All Users\Application Data\hglsrmhi C:\Documents and Settings\All Users\Application Data\juhqjopk C:\platinels8.jpg C:\WINDOWS\system32\jqtmjifu.exe C:\WINDOWS\system32\Smab0.dll . ((((((((((((((((((((((((((((( Fichiers créés 2008-08-12 to 2008-09-12 )))))))))))))))))))))))))))))))))))) . 2008-09-11 14:22 . 2008-09-11 14:22 d-------- C:\Program Files\Messenger Plus! Live 2008-09-11 14:22 . 2008-09-11 14:22 4,860,240 --a------ C:\MsgPlusLive-470.exe 2008-09-09 20:11 . 2008-09-09 20:11 d-------- C:\C-Fix 2008-09-09 12:19 . 2008-09-09 12:19 579,584 --a--c--- C:\WINDOWS\system32\dllcache\user32.dll 2008-09-09 12:18 . 2008-09-09 12:18 d-------- C:\WINDOWS\ERUNT 2008-09-07 19:36 . 2008-09-07 19:37 d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft 2008-09-07 17:58 . 2008-09-07 22:56 d-------- C:\Program Files\Enigma Software Group 2008-09-07 17:18 . 2007-12-30 00:27 d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau 2008-09-07 17:18 . 2007-12-30 00:27 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression 2008-09-07 17:18 . 2007-12-29 23:38 d--h----- C:\Documents and Settings\Administrateur\Modèles 2008-09-07 17:18 . 2007-12-30 00:27 d-------- C:\Documents and Settings\Administrateur\Mes documents 2008-09-07 17:18 . 2007-12-30 00:27 dr------- C:\Documents and Settings\Administrateur\Menu Démarrer 2008-09-07 17:18 . 2007-12-30 00:27 d-------- C:\Documents and Settings\Administrateur\Favoris 2008-09-07 17:18 . 2008-09-09 20:22 d-------- C:\Documents and Settings\Administrateur\Bureau 2008-09-07 17:18 . 2008-09-07 17:18 d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes 2008-09-07 17:18 . 2008-09-07 17:18 d-------- C:\Documents and Settings\Administrateur 2008-09-07 15:45 . 2008-09-07 15:45 d-------- C:\Documents and Settings\BrunoF\Application Data\Malwarebytes 2008-09-07 15:45 . 2008-09-07 15:45 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-08-29 17:05 . 2008-08-29 17:05 d-------- C:\WINDOWS\system32\fr-fr 2008-08-29 17:05 . 2008-08-29 17:05 d-------- C:\WINDOWS\system32\fr 2008-08-29 17:05 . 2008-08-29 17:05 d-------- C:\WINDOWS\system32\bits 2008-08-29 17:05 . 2008-08-29 17:05 d-------- C:\WINDOWS\l2schemas 2008-08-29 17:04 . 2008-08-29 17:05 d-------- C:\WINDOWS\ServicePackFiles 2008-08-29 16:59 . 2008-08-29 16:59 d-------- C:\WINDOWS\EHome 2008-08-13 16:33 . 2008-04-11 21:05 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-11 15:21 --------- d-----w C:\Documents and Settings\BrunoF\Application Data\OpenOffice.org2 2008-09-06 21:49 --------- d-----w C:\Program Files\Songbird 2008-08-27 16:43 --------- d-----w C:\Documents and Settings\BrunoF\Application Data\uTorrent 2008-08-07 17:15 --------- d-----w C:\Documents and Settings\BrunoF\Application Data\Bioshock 2008-08-07 11:49 --------- d-----w C:\Program Files\Winamp 2008-08-06 21:30 --------- d-----w C:\Program Files\iTunes 2008-08-06 21:30 --------- d-----w C:\Program Files\iPod 2008-08-06 21:30 --------- d-----w C:\Program Files\Apple Software Update 2008-07-21 11:24 --------- d-----w C:\Program Files\Java 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll 2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll 2008-07-18 14:01 --------- d-----w C:\Documents and Settings\BrunoF\Application Data\Winamp 2008-07-17 16:50 --------- d-----w C:\Program Files\Panda Security 2008-07-13 20:35 --------- d-----w C:\Program Files\QuickTime 2008-07-07 20:28 253,952 ----a-w C:\WINDOWS\system32\es.dll 2008-06-26 17:35 30 ----a-w C:\Program Files\Exiferupdate.ini 2008-06-24 16:44 74,240 ----a-w C:\WINDOWS\system32\mscms.dll 2008-06-24 16:12 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll 2008-06-23 15:10 670,208 ----a-w C:\WINDOWS\system32\wininet.dll 2008-06-20 17:47 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll 2008-05-31 18:21 22,300,968 ----a-w C:\Program Files\SkypeSetup.exe 2008-01-06 11:02 22,328 ----a-w C:\Documents and Settings\BrunoF\Application Data\PnkBstrK.sys 2006-05-03 10:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll 2007-02-21 11:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll . ((((((((((((((((((((((((((((( snapshot@2008-09-09_20.23.14.09 ))))))))))))))))))))))))))))))))))))))))) . - 2008-08-13 15:47:01 593,920 ----a-r C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\accicons.exe + 2008-09-11 11:46:29 593,920 ----a-r C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\accicons.exe - 2008-08-13 15:47:01 12,288 ----a-r C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\cagicon.exe + 2008-09-11 11:46:29 12,288 ----a-r C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\cagicon.exe - 2008-08-13 15:47:01 86,016 ----a-r C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\inficon.exe + 2008-09-11 11:46:29 86,016 ----a-r C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\inficon.exe - 2008-08-13 15:47:01 135,168 ----a-r C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\misc.exe + 2008-09-11 11:46:29 135,168 ----a-r C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\misc.exe - 2008-08-13 15:47:01 11,264 ----a-r C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\mspicons.exe + 2008-09-11 11:46:29 11,264 ----a-r C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\mspicons.exe - 2008-08-13 15:47:01 27,136 ----a-r C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\oisicon.exe + 2008-09-11 11:46:29 27,136 ----a-r C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\oisicon.exe - 2008-08-13 15:47:01 4,096 ----a-r C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\opwicon.exe + 2008-09-11 11:46:29 4,096 ----a-r C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\opwicon.exe - 2008-08-13 15:47:01 794,624 ----a-r C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\outicon.exe + 2008-09-11 11:46:30 794,624 ----a-r C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\outicon.exe - 2008-08-13 15:47:01 249,856 ----a-r C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\pptico.exe + 2008-09-11 11:46:29 249,856 ----a-r C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\pptico.exe - 2008-08-13 15:47:01 61,440 ----a-r C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\pubs.exe + 2008-09-11 11:46:29 61,440 ----a-r C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\pubs.exe - 2008-08-13 15:47:01 23,040 ----a-r C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\unbndico.exe + 2008-09-11 11:46:30 23,040 ----a-r C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\unbndico.exe - 2008-08-13 15:47:01 286,720 ----a-r C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\wordicon.exe + 2008-09-11 11:46:29 286,720 ----a-r C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\wordicon.exe - 2008-08-13 15:47:01 409,600 ----a-r C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\xlicons.exe + 2008-09-11 11:46:29 409,600 ----a-r C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\xlicons.exe - 2008-08-05 18:11:01 15,888,504 ----a-w C:\WINDOWS\system32\MRT.exe + 2008-08-26 20:28:12 16,208,504 ----a-w C:\WINDOWS\system32\MRT.exe + 2008-04-15 17:49:31 1,724,416 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.5581_x-ww_dfbc4fc4\GdiPlus.dll . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696] "JMB36X Configure"="C:\WINDOWS\system32\JMRaidTool.exe" [2006-08-14 352256] "SW24"="C:\WINDOWS\system32\sw24.exe" [2006-12-15 69632] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 8523776] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 81920] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "Ai Quicker Help"="C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe" [2006-10-30 3166720] "RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2005-12-07 30208] "LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" [2006-05-18 49152] "AppleSyncNotifier"="C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-10 116040] "QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-05-27 413696] "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-07-30 289064] "nwiz"="nwiz.exe" [2007-12-05 C:\WINDOWS\system32 wiz.exe] "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 C:\WINDOWS\KHALMNPR.Exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360] C:\Documents and Settings\BrunoF\Menu D‚marrer\Programmes\D‚marrage\ Adobe Gamma.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe [2008-01-03 692224] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.I420"= i420vfw.dll "msacm.l3fhg"= mp3fhg.acm "VIDC.X264"= x264vfw.dll "msacm.divxa32"= divxa32.acm "msacm.avis"= ff_acm.acm [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup] @="" [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^ASUS WiFi-AP Solo.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\ASUS WiFi-AP Solo.lnk backup=C:\WINDOWS\pss\ASUS WiFi-AP Solo.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^BrunoF^Menu Démarrer^Programmes^Démarrage^Enregistrement de produit Logitech.lnk] path=C:\Documents and Settings\BrunoF\Menu Démarrer\Programmes\Démarrage\Enregistrement de produit Logitech.lnk backup=C:\WINDOWS\pss\Enregistrement de produit Logitech.lnkStartup [HKLM\~\startupfolder\C:^Documents and Settings^BrunoF^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.3.lnk] path=C:\Documents and Settings\BrunoF\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.3.lnk backup=C:\WINDOWS\pss\OpenOffice.org 2.3.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Comrade.exe] --a------ 2007-06-29 16:03 36864 C:\Program Files\GameSpy\Comrade\Comrade.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite] --a------ 2007-12-19 22:13 486856 D:\daemon tools\DAEMON Tools Lite\daemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] --a------ 2008-07-30 10:47 289064 C:\Program Files\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam] --a------ 2007-12-30 21:23 1266936 D:\Half Life 2\Steam.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\High Definition Audio Property Page Shortcut] --------- 2004-10-27 16:21 61952 C:\WINDOWS\system32\HdAShCut.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "D:\Emule\emule.exe"= "C:\Program Files\uTorrent\uTorrent.exe"= "D:\utorrent\uTorrent.exe"= "C:\WINDOWS\system32\PnkBstrA.exe"= "C:\WINDOWS\system32\PnkBstrB.exe"= "C:\Program Files\Bonjour\mDNSResponder.exe"= "C:\Program Files\Mozilla Firefox\firefox.exe"= "C:\Program Files\Skype\Phone\Skype.exe"= "C:\Program Files\iTunes\iTunes.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= R0 ViBus;ViBus;C:\WINDOWS\system32\DRIVERS\ViBus.sys [2007-10-18 16896] R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2007-09-21 9216] R0 ViPrt;VIA SATA IDE Device Driver;C:\WINDOWS\system32\DRIVERS\ViPrt.sys [2007-10-18 52224] R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-02-23 11264] R3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187.sys [2006-06-16 176128] S3 SetupNTGLM7X;SetupNTGLM7X;E:\NTGLM7X.sys [ ] S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368] . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' . - - - - ORPHANS REMOVED - - - - HKCU-Run-WinApl - C:\WINDOWS\system32\jqtmjifu.exe ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-12 10:41:25 Windows 5.1.2600 Service Pack 3 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-09-12 10:42:51 ComboFix-quarantined-files.txt 2008-09-12 08:42:35 ComboFix2.txt 2008-09-09 18:31:41 Pre-Run: 13,383,802,880 octets libres Post-Run: 13,381,672,960 octets libres 210 --- E O F --- 2008-09-11 11:47:26

anthony5151 · Answer

Très bien, Combofix a supprimé tout ce qu'il y avait dans la liste :)

Par contre, je vois que tu viens d'installer Messenger Plus! Live : pendant l'installation, as-tu bien choisi de refuser l'installation du sponsor qui était proposé par défaut ? Je te demande ça parce que si tu as installé ce sponsor, tu viens d'installer une nouvelle infection sur ton ordinateur...

Sinon, peux-tu poster un nouveau rapport hijackthis stp ?

Larekan · Answer

alors oui, il me semble bien que j'ai refusé le sponsor... c'est carrément une infection ?
Il y aurait un moyen pour confirmer que j'ai bien pas contracté le sponsor ?


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:31:22, on 12.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE
C:\Program Files\ASUS\ASUS DH Remote\AsDhRemote.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\Jack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Ai Quicker Help] "C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe

Larekan · Answer

et jme souviens, dans la petite histoire du PC, le gars avait mis, après qu'on ait choisi une des réponses, le PC s'étant fait frappé par le jeune, il décide d'envoyer un email avec une vidéo porno à un des profs du jeune xD

anthony5151 · Answer

et jme souviens, dans la petite histoire du PC, le gars avait mis, après qu'on ait choisi une des réponses, le PC s'étant fait frappé par le jeune, il décide d'envoyer un email avec une vidéo porno à un des profs du jeune xD ==> et à sa copine ^^


Pour vérifier si tu as installé le sponsor :
Menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> cherche dans la liste Messenger Plus Live : si le sponsor est installé, ce sera indiqué "Messenger Plus! Live & Sponsor (CiD)"
Sinon tu t'en apercevras rapidement : ça affiche des fenêtres de publicités avec CiD marqué dans le titre, comme celle-ci : http://static.commentcamarche.net/www.commentcamarche.net/faq/images/2490 cid pop up.png

Larekan · Answer

yyouhouu, il n'y a pas la trace de ce sponsor \o/ par contre, si on peut l'apercevoir sur l'ajout/suppression de programmes, il doit être facile à enlever, ou... ?

anthony5151 · Answer

Non, parce que même si tu arrives à le désinstaller à partir d'Ajout/suppression de programmes (ça ne fonctionne pas toujours), l'infection qu'il a installé reste... Aucun logiciel de protection classique n'arrive à supprimer cette infection (qui porte le doux nom de Lop ou encore Swizzor), il faut utiliser un programme spécifique


Bon maintenant il ne me reste plus qu'à te donner des conseils pour sécuriser ton ordinateur !  Sauf bien sûr si tu as encore des problèmes ?

Larekan · Answer

Alors nope, il ne me reste plus de problèmes, j'ai même plus ce Trojan, il n'apparait plus du tout !
Et pour le sécuriser, j'espère juste que la vitesse de l'ordi n'en pâtira pas trop ?
 D'ailleurs, je peux nettoyer mon bureau et mon disque C: de tout ce qu'on a installé ?

anthony5151 · Answer

D'ailleurs, je peux nettoyer mon bureau et mon disque C: de tout ce qu'on a installé ?
==> c'est prévu dans la procédure de fin de nettoyage que voici ;)


Très bien, ton ordinateur est maintenant désinfecté !

Avant de retourner surfer sur internet, il y a quelques petites choses que tu dois faire pour finir le nettoyage et améliorer sensiblement la sécurité de ton ordinateur, ça t'évitera peut-être de devoir revenir ici avec une nouvelle infection dans le futur ;)  Mais sache qu'aucun logiciel de sécurité ne te protègera à 100%, ce qui fait la différence, c'est ta vigilance lorsque tu télécharges ou installes quelque chose : pour en savoir plus, je t'invite à bien lire la page indiquée tout en bas de ce message (6).



1) Sécurise ton ordinateur 

- Anti-virus : 
Tu as Antivir, c'est un excellent choix.
Juste un réglage à faire : double clique sur l'icone d'Antivir près de l'horloge --> Configuration --> coche « expert mode » --> coche « search for rootkit before scan » (ça active la recherche de rootkit avant les scans, qui ne prend pas longtemps)

- Pare-feu :
Tu n’as apparemment aucun pare-feu (sauf peut-être celui de Windows, qui est inefficace et ne filtre pas les connections sortantes, utilisées par... les trojans par exemple) : Télécharges-en un vrai. En gratuit, les plus simples sont ZoneAlarm, Kerio et Pc Tools.  Tu peux t'aider des tuto suivants pour les utiliser :
Tutorial ZoneAlarm : https://www.malekal.com/tutoriel-zonealarm-firewall/
Tutorial Kerio : http://www.malekal.com//kerio_firewall.php
Tutoriel Pc Tools Firewall : http://www.6ma.fr/tuto/utilisation-pc-tools-firewall-plus/

- Anti-spyware :
Tu n'as apparemment pas d'anti-spyware ! Installe Spyware Blaster : http://www.commentcamarche.net/telecharger/telecharger 226 spyware blaster
Il ne prend pas de mémoire, c'est juste un logiciel qui vaccine ton pc contre certaines infections. Il faut le mettre à jour manuellement, tous les 10 jours environ, et activer toutes les protections (« Enable all protection »)
En complément, garde MalwareBytes pour son scan de nettoyage performant.

- Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille d’installer et d'utiliser le navigateur Firefox 3 avec l’extension « AdBlockPlus ». Voir ici :
Tutoriel : https://www.malekal.com/securiser-le-navigateur-web-firefox-2/

- Internet Explorer n'est pas à jour, c'est une faille de sécurité (même si tu ne l'utilises pas).
Menu démarrer --> Windows update --> recherche et installe toutes les mises à jour importantes.
Si Internet Explorer n'y est pas (ou si ta version de Windows n'est pas officielle...), télécharge et installe IE 7 depuis ce lien : https://www.commentcamarche.net/telecharger/web-internet/12477-internet-explorer-11/

- Adobe Reader n’est pas à jour, c’est une faille de sécurité. Désinstalle le en allant dans menu démarrer --> panneau de configuration --> ajout/suppression de programmes. Puis télécharge et installe la nouvelle version depuis cette adresse :  https://get2.adobe.com/reader/otherversions/



2) Relance Hijackthis (pour la dernière fois), fais "scan system only" et coche ces lignes (pas dangereuses mains inutiles) : 

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) 
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"    
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"    
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"    
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime    
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe    
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')    
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')    
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')    
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')    
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe    

Si tu as bien mis à jour Adobe Reader comme je te l'ai recommandé, une ligne ressemblant à celle-ci devrait apparaitre, tu peux la cocher :
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe...

Coche également toutes les lignes commençant par 016

Ensuite, clique sur "Fix checked" 



3) Télécharge ToolsCleaner sur ton bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé : 
ftp://ftp.commentcamarche.com/download/ToolsCleaner2.exe 
Lance le, clique sur Recherche et laisse le scan se finir, puis clique sur Suppression pour nettoyer. 
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
S'il ne supprime pas tout (ex : Combofix), supprime toi même ce qui reste.



4) Télécharge et installe CCleaner (attention à l'installation, pense à DECOCHER l'installation de Yahoo toolbar discrètement proposé en plus de CCleaner) : https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html 

Lance CCleaner : 
Option --> avancé --> décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis nettoyeur --> Analyse > Lancer le nettoyage, 
puis sur OK dans la fenêtre qui s' affiche.
Relance le nettoyage une deuxième fois.

Enfin, registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

(Tu peux garder ce logiciel et l'utiliser régulièrement).



5) Pour finir le nettoyage, il faut désactiver puis réactiver la restauration système (pour créer un nouveau point de restauration sain et éviter le retour de l'infection). 

* Fais un clic droit sur poste de travail (qui est sur ton bureau ou dans le menu démarrer), puis propriétés. 
* Sélectionne l'onglet restauration du système 
* Coche l'option Désactiver la restauration du système sur tous les lecteurs 
* Clique sur OK. 

Puis refais la manipulation inverse pour réactiver la restauration système. 



6) Je t'invite enfin à visiter cette page qui t'apportera des information de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile):
https://www.malekal.com/fichiers/projetantimalwares/prevention-protection.pdf



7) Enfin, si tu n as pas d'autres problèmes, peux-tu changer le statut du sujet en resolu stp : 
https://www.commentcamarche.net/infos/25917-marquer-un-fil-de-discussion-comme-etant-resolu/



Si en plus, tu souhaites quelques conseils pour optimiser les performances de ton ordinateur, je suis à ta disposition ;)

Larekan · Answer

Heuuu.. oui, j'ai une question mais c'est chaud...

J'utilise une certaine mule et un certain... torrent, pour télécharger musiques, parfois jeux et films... Ton dernier message qui optimise la sécurité ne va pas faire couiller ces... programmes (légèrement) illégaux ?

Larekan · Answer

Tiens, une question qui me tarraude depuis longtemps...

Tu connais le SIDA, bien évidemment, il s'attaque aux défenses immunitaires du corps humain. Ensuite on meurt du premier rhume qui arrive.

Serait-il possible de créer un virus informatique qui s'attaque aux défenses de l'ordinateur cible ? (question de curiosité, hein ;) ) Cet ordi deviendrait donc immuno-déprimé et serait la proie de N'IMPORTE quel virus ?

anthony5151 · Answer

Non ça ne les empêchera pas de fonctionner... Mais attention :

Que ce soit illégal, c'est une chose (et ça ne regarde que toi), mais c'est surtout dangereux pour ton ordinateur ! Surtout au niveau des jeux, d'ailleurs si tu as déjà des cracks ou des keygens sur ton ordinateur, je te conseille vivement de les supprimer tous, et de ne plus en installer

Pourquoi ?  Parce que crack ou keygen = infection dans 90% des cas (et les logiciels de protection les détecte rarement) ! Les cracks disponibles sur la mule ou sur torrent sont souvent mis en ligne par des pirates, et les sites de cracks sont en majorité de faux sites, créés par des auteurs d'infection, dans le seul but d'infecter un grand nombre de PC.  Voir cette page à ce sujet : https://forum.malekal.com/viewtopic.php?f=33&t=893

Sache que tu ne t'en tireras pas toujours aussi bien que là... Si tu gardes des cracks sur ton ordinateur, inutile d'essayer de désinfecter, l'infection reviendra toujours. Et certaines des infections propagées par des cracks (ex : Bagle) sont autrement plus agressives que les trojan que tu avais là ! J'en sais quelque chose, je vois passer tous les jours des ordinateurs infectés à cause des cracks sur ce site...

Pour les films, certains demandent de télécharger des codecs, qui sont aussi des infections (surtout les films X), attention aussi.

anthony5151 · Answer

En réponse à ta question sur le SIDA (je ne l'avais pas vu) :

Oui, il y a le virus Bagle (appelé aussi Beagle par certaines éditeurs d'antivirus) qu'on peut comparer au SIDA.
Il bloque la plupart des logiciels de protection, il empêche aussi les mises à jour de Windows et désactive le centre de sécurité, rendant l'ordinateur encore plus vulnérable...
Et comme je le disais dans le message au dessus : ce virus se propage surtout via des cracks et kegens...

Larekan · Answer

errrr apparemment, il a pas réussi à installer la MaJ d'IE... Au début ça fonctionnait, ensuite il a dit qu'il devait faire tourner le "logiciel de suppression Windows des programmes malveillants" et c'est là qu'il m'a sorti une erreur et qu'il m'a demandé de redémarrer :/
J'ai finalement pris PC Tools Firewall, c'est assez bien foutu, par contre, les alertes plus ou moins intempestives vont continuer ou elle vont baisser de fréquence avec le temps ?

Et pourquoi, à ton avis, c'est les sites X qui sont potentiellement plus dangereux ? pourquoi pas... je sais pas moi, les sites de jeux vidéo ?

anthony5151 · Answer

Pour PC Tools, comme tout pare-feu efficace, il affiche beaucoup d'alertes au début, en période d'apprentissage.
Si la case mémoriser est cochée à chaque fois, il retiendra tes choix et tu auras de moins en moins d'alertes.


Les plus gros risques d'infection : le simple surf sur des sites porno et sites de crack (même sans rien télécharger dessus) +  les réseaux de P2P si tu y télécharges des vidéos porno ou des cracks... 
Pourquoi ce sont les plus dangereux ?  Parce que les auteurs d'infections savent que le porno ou les cracks sont des contenus qui attirent beaucoup de gens, et que ces sites nécessitent un téléchargement (de vidéo, de codec, de fichiers divers...) : idéal pour diffuser des infections !

Contre ces risques, le fait d'avoir un système à jour et des logiciels de protection efficace aide à se protéger, mais pas à tous les coups... donc si quelqu'un a ces mauvaises habitudes de surf, il sera forcément infecté un jour ou l'autre :(

Larekan · Answer

et autre chose, j'ai la présence d'un nouveau fichier dans la racine C: de mon disque C:, il s'appelle "biosinfo". Il n'a meme pas de .txt, .exe, ou autre, rien ! J'en fais quoi ? Go poubelle ?

anthony5151 · Answer

Heu... Je ne sais pas, c'est peut-être un fichier qui a été laissé par un des programmes qu'on a utilisé ?
Essaye de le supprimer, et en cas de problèmes restaure le

Larekan · Answer

wala ! j'ai changé le statut du topic ;)

Larekan · Answer

heuu, rehello, j'aurais besoin de ton aide à nouveau... es-tu dispo ?

anthony5151 · Answer

Salut,

J'ai répondu à ton message privé, si besoin tu peux continuer ici ou par MP aussi.

jojo · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:59:16, on 07/03/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Search Settings\SearchSettings.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Program Files\Pando Networks\Pando\Pando.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\CASIO\Photo Loader\Plauto.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Canal\Canal Widget\VOD\CanalPlus.VOD.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Canal\Canal Widget\Canal Widget.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\jack.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: CInterceptor Object - {38D3FE60-3D53-4F37-BB0E-C7A97A26A156} - C:\Program Files\Pando Networks\Pando\PandoIEPlugin.dll
O2 - BHO: DealioBHO Class - {6A87B991-A31F-4130-AE72-6D0C294BF082} - C:\Program Files\Dealio\kb125\Dealio.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Easy Gif Animator Toolbar Helper - {96372AB6-15EB-4316-B497-71C741BC548C} - C:\Program Files\Easy Gif Animator Extension\v3.3.0.1\EasyGifAnimator_Toolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb125\SearchSettings.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Dealio - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - C:\Program Files\Dealio\kb125\Dealio.dll
O3 - Toolbar: Easy Gif Animator Toolbar - {35065594-9169-4A34-B167-FC4865038E53} - C:\Program Files\Easy Gif Animator Extension\v3.3.0.1\EasyGifAnimator_Toolbar.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [au] C:\Program Files\Dealio\DealioAU.exe
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\Search Settings\SearchSettings.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [Canal Widget] "C:\Program Files\Canal\Canal Widget\Launcher.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [SpySweeper] C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe /0
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [Creative Detector] "C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe" /R
O4 - HKCU\..\Run: [Pando] "C:\Program Files\Pando Networks\Pando\Pando.exe" /Minimized
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [IETI] C:\Program Files\Skype\Phone\IEPlugin\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [IETI] C:\Program Files\Skype\Phone\IEPlugin\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Supervision de Photo Loader.lnk = C:\Program Files\CASIO\Photo Loader\Plauto.exe
O8 - Extra context menu item: Compare Prices with &Dealio - C:\Documents and Settings\Joseph\Application Data\Dealio\kb125\res\DealioSearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Program Files\Dealio\kb125\Dealio.dll
O9 - Extra 'Tools' menuitem: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Program Files\Dealio\kb125\Dealio.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: CanalPlus.VOD - Canal+ Active - C:\Program Files\Canal\Canal Widget\VOD\CanalPlus.VOD.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

Les petits frères Trojan de la famille Win32

45 réponses

Votre réponse

Discussions similaires

Newsletters