[Virus Alert] rapports pour expert?!

Question

Bonjour,

J'ai la chance d'avoir un super virus qui me gache ma soirée...
(virus alert à coté de l'horloge, messages intempestifs de demande de scan, plus de poste de travail ni de menu programme, bref la loose intégrale....)

J'ai entrepris de suivre la procédure suivante : http://www.commentcamarche.net/faq/sujet 13201 virus alert

Il est donc conseillé d'avoir un avis d'expert avant de passer à la deuxieme étape, donc voici mon premier rapport de "SmitFraudFix.exe" :

Merci par avance pour votre aide! (ps : je suis désespéré...):


Rapport fait à  0:55:18,60, 05/10/2008
Executé à partir de C:\Documents and Settings\Propri‚taire\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe
C:\Program Files\Nero\Nero 7\InCD\InCD.exe
C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\fbxrqtwn.exe PRESENT !
C:\WINDOWS\fkebanrw.exe PRESENT !
C:\WINDOWS\onfwbsak.dll PRESENT !
C:\WINDOWS\xgpsarbm.dll PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32	dssl.dll détecté, utilisez un scanner de Rootkit
C:\WINDOWS\system32\drivers	dssserv.sys détecté, utilisez un scanner de Rootkit

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Propri‚taire


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Propri‚taire\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PROPRI~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
+--------------------------------------------------+
[!] Suspicious: dfmlxbpkvlo.dll
BHO: QXK Olive - {11DFB01A-0852-4955-9747-C59E21DBBDA5}
TypeLib: {D25118FC-CF56-4ED5-A669-A2E91EF1ADD9}
Interface: {95DE3A2C-DF48-4CDF-9BC8-36BAEE2288E2}
Interface: {AACCE1F1-F0AD-429F-83D9-941BCFEA335F}
+--------------------------------------------------+
[!] Suspicious: nkefbltdvts.dll
BHO: QXK Olive - {5851BBF6-26B7-434B-A4D1-B92A05913403}
TypeLib: {6B4E4123-8C4E-49C5-ACE7-8BCA6C709931}
Interface: {35D7A01E-49C9-4048-8095-F9E350A71077}
Interface: {669091E7-946B-4024-8514-2A3CB1124B54}

[!] Suspicious: peltodgx.dll
Toolbar: peltodgx - {0FA15166-39DA-4DAB-9B1A-0DDDBACA8BD5}
TypeLib: {9C49F28F-9285-4659-9EB9-CEE15DA85009}
Interface: {A87F2637-2D4B-46DC-8948-82A4451EFD70}
Classe: peltodgx.batg
Classe: peltodgx.ToolBar.1

[!] Suspicious: dkwqgnbe.dll
Toolbar: dkwqgnbe - {DC51F59F-D0BA-4CE7-8CDB-15ABF290546E}
TypeLib: {907B7B37-B914-4613-8A50-D0CD6E090C86}
Interface: {9D0C06E0-DD9B-4D17-AE75-988E6CC87D33}
Classe: dkwqgnbe.brvf
Classe: dkwqgnbe.ToolBar.1

[!] Suspicious: neksolda.dll
SSODL: neksolda - {5683189E-73C2-4076-AC61-F9116AA31A45}


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="avgrsstx.dll"
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/100 VE Network Connection - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{AE68F4C7-316A-40C4-9752-2D3EFCDA32FB}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{AE68F4C7-316A-40C4-9752-2D3EFCDA32FB}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{AE68F4C7-316A-40C4-9752-2D3EFCDA32FB}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{AE68F4C7-316A-40C4-9752-2D3EFCDA32FB}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Lyonnais92 · Answer

Salut,

  Démarre en mode sans échec :
    Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
    (Si F8 ne marche pas utilise la touche F5).
    ----------------------------------------------------------------------------
    Relance le programme Smitfraud,
    Cette fois choisit l’option 2, répond oui a tous ;
    Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum


Si le mode sans échec ne fonctionne pas, fais le en mode normal.


Ensuite, fais ça :

Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Clique Continue à l'écran Disclaimer.

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur,  RSIT  le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. 

Poste le contenu de  log.txt  (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

NB :  Les rapports sont sauvegardés dans le dossier C:\rsit

verni29 · Answer

1) Redémarre en mode sans échec : 
Pour cela, tu tapotes la touche F8 à l’allumage du pc sans t’arrêter. 

Une fenêtre va s’ouvrir. Choisis démarrer en mode sans échec puis tape entrée. 
Choisis ton compte.
 
Relance le programme Smitfraud, 
Cette fois choisis l’option 2, répond oui a tous ; 
Sauvegarde le rapport, Redémarre en mode normal, 
copie/colle le rapport sauvegardé sur le forum.

2) Tu vas utiliser SDFix téléchargeable à :
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Tu installes le logiciel.
Tu peux t’aider du tuto suivant :
https://www.malekal.com/slenfbot-still-an-other-irc-bot/ 

Il faut que tu redémarres en mode sans échec. 
Pour cela, tu redémarres ton ordinateur et tu appuies sur la touche F8.

A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.

Tu lances SDFix en double-cliquant sur RunThis.bat dans le dossier où tu as installé le logiciel.
T
on ordinateur va redémarrer. il te sera peut-être demander d'appuyer sur une touche pour redémarrer.
L'outil va continuer à travailler, c'est normal.

Une fois affiché Finished, appuie sur une touche pour finir l'exécution du logiciel.
Ton bureau devrait réapparaitre.

Ouvre le dossier de SDFix sur ton Bureau.
Copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum.

Avec un nouveau log HijackThis !

A+

Scalap75 · Answer

Merci pour ces réponses rapides, j'avais bien lu ces infos pour la deuxieme étape, mais comme c'etait indiqué de demander un avis d'expert avant de le faire c'est pourquoi j'ai posé mon post!

Ok je me lance dans l'option 2! à tout de suite! (j'espère)

Scalap75 · Answer

Voici le rapport!
Je peux me lancer dans l'étape suivante (sdfix)?

Rapport fait à  2:00:03,39, 05/10/2008
Executé à partir de C:\Documents and Settings\Propri‚taire\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
C:\WINDOWS\dfmlxbpkvlo.dll deleted.
C:\WINDOWS
kefbltdvts.dll deleted.
C:\WINDOWS\peltodgx.dll deleted.
C:\WINDOWS\dkwqgnbe.dll deleted.
C:\WINDOWS
eksolda.dll deleted.


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\fbxrqtwn.exe supprimé
C:\WINDOWS\fkebanrw.exe supprimé
C:\WINDOWS\onfwbsak.dll supprimé
onfwbsak not found.
C:\WINDOWS\xgpsarbm.dll supprimé
Deleting [HKEY_CLASSES_ROOT\CLSID\{40C31A09-FFB6-4DAB-B08B-9ACB005BEB16}]

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{AE68F4C7-316A-40C4-9752-2D3EFCDA32FB}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{AE68F4C7-316A-40C4-9752-2D3EFCDA32FB}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{AE68F4C7-316A-40C4-9752-2D3EFCDA32FB}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{AE68F4C7-316A-40C4-9752-2D3EFCDA32FB}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Scalap75 · Answer

ps : je n'ai plus "virus alert", ni les messages intempestifs!

Scalap75 · Answer

Quelqu'un peut il m'aider svp? 
Ma question est la suivante, est ce que je dois attendre un avis d'expert après avoir posté les rapports, et avant de suivre les autres étapes?
Merci d'avance!

Scalap75 · Answer

RAPPORT "log.txt" de 


Logfile of random's system information tool 1.04 (written by random/random)
Run by Propriétaire at 2008-10-05 02:32:12
Microsoft Windows XP Édition familiale Service Pack 2
System drive C: has 61 GB (81%) free of 76 GB
Total RAM: 766 MB (52% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:32:17, on 05/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\System32\hkcmd.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe
C:\Program Files\Nero\Nero 7\InCD\InCD.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\HOTALBUMMyBOX\MediaChecker.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Documents and Settings\Propriétaire\Bureau\RSIT.exe
C:\Program Files	rend micro\Propriétaire.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {269B7399-DE29-41DA-94FC-E884F61AEF72} - C:\WINDOWS\system32\mlJDusrq.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {674855C3-B0B1-4413-9BB4-BFA6A9B5257B} - C:\WINDOWS\system32\ddcDwTjh.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [MBBalloon] C:\Program Files\HOTALBUMMyBOX\MBBalloon.exe
O4 - HKLM\..\Run: [e8ecd1b4] rundll32.exe "C:\WINDOWS\system32\xodjtgck.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: MediaChecker.lnk = C:\Program Files\HOTALBUMMyBOX\MediaChecker.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - https://webmail.aon.fr/iNotes6W.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Notify: ddcDwTjh - C:\WINDOWS\SYSTEM32\ddcDwTjh.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

Scalap75 · Answer

Le virus semble avoir été éliminé!
Merci beaucoup pour votre réactivité malgré l'heure tardive!
Si vous habitez sur Paris, çà me ferait plaisir de vous inviter pour boire un verre dans un pub/bar!

Dernière question, puis dodo pour ma part! :

Quelles protections me conseillez vous pour mon pc, pour l'instant j'ai uniquement AVG antivirus!
Merci pour vos précieux conseils!

Scalap75 · Answer

Nouveau problème : je n'arrive pas à activer les mises à jour auto de windows (message d'erreur et icone rouge avec une croix)

J4ai essayé de le mettre en auto dans panneau de config mais çà ne marche pas!
Que faire s'il vous plait?

verni29 · Answer

Bonjour, Scalp75

En attendant que Lyonnais92 ne revienne.

Il reste encore des choses à faire. Tu es infecté avec un rootkit,  et sans doute aussi une infection vundo.
C'est le plus facile qui a été fait.

Pourrais-tu passer SDFix comme je te l'avais demandé ? 
http://www.commentcamarche.net/forum/affich 8737331 virus alert rapports pour expert?#2

A+

Lyonnais92 · Answer

Bonjour,

si tu n'as pas encore lancé SDFix, je préfererai que tu fasses ceci :

télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le Bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix


Sinon, tu postes le rapport de SDFix et on verra après.

Scalap75 · Answer

Bonjour à vous deux.

En fait comme je n'avais plus de réponse j'ai cherché à gauche à droite sur différents posts.
Donc je n'ai pas fait Sdfix.
Mais j'ai installé 'et mis à jour) : 

CCleaner ; Malwarebyte's anti malware ; Spybot - Search and destroy

J'ai ensuite relancé mon pc en mode sans echec, et j'ai lancé les analyses et les corrections les unes apres les autres (dans l'ordre d'installation des logiciels).

Là je n'ai plus de messages d'erreur et j'ai un "résident spybot" qui tourne en permanence. (ce qui ne me plait pas trop d'ailleurs!)


--> Que me conseillez vous de faire maintenant pour voir si j'ai encore un virus?

Merci!

Lyonnais92 · Answer

Re,

tu fais le post 11

Scalap75 · Answer

Voici le rapport :

(au redemarrage, spybot me demandait mon autorisation pour le changement de certaines choses au registre, j'ai dit ok car si il avait pas été là je n'aurai pas eu le choix! et je pense que c'etait du à combofix)

Le rapport :

ComboFix 08-10-04.07 - Propriétaire 2008-10-05 18:04:53.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.HIDE.493 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\Propriétaire\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé

[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\_003740_.tmp.dll
C:\WINDOWS\system32\kcgtjdox.ini

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_MCHINJDRV
-------\Service_mchInjDrv

((((((((((((((((((((((((((((( Fichiers créés du 2008-09-05 au 2008-10-05 ))))))))))))))))))))))))))))))))))))
.

2008-10-05 04:29 . 2007-08-13 18:54 33,792 --a--c--- C:\WINDOWS\system32\dllcache\custsat.dll
2008-10-05 04:29 . 2008-10-05 04:32 1,374 --a------ C:\WINDOWS\imsins.BAK
2008-10-05 03:21 . 2008-10-05 03:22 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-10-05 03:21 . 2008-10-05 04:26 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-10-05 03:19 . 2008-10-05 03:20 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-10-05 03:19 . 2008-10-05 03:19 <REP> d-------- C:\Documents and Settings\Propriétaire\Application Data\Malwarebytes
2008-10-05 03:19 . 2008-10-05 03:19 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-10-05 03:19 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-05 03:19 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-05 03:18 . 2008-10-05 03:18 <REP> d-------- C:\Program Files\CCleaner
2008-10-05 02:30 . 2008-10-05 02:30 <REP> d-------- C:\rsit
2008-10-05 02:30 . 2008-10-05 02:32 <REP> d-------- C:\Program Files\trend micro
2008-10-05 01:51 . 2008-09-13 18:25 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2008-10-05 01:51 . 2008-09-13 18:25 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-10-05 01:51 . 2008-09-13 17:31 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles
2008-10-05 01:51 . 2008-09-13 18:25 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-10-05 01:51 . 2008-09-13 18:25 <REP> dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
2008-10-05 01:51 . 2008-09-13 18:25 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-10-05 01:51 . 2008-09-13 18:25 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-10-05 01:51 . 2008-10-05 01:51 <REP> d-------- C:\Documents and Settings\Administrateur
2008-10-05 00:57 . 2008-10-05 02:00 1,698 --a------ C:\WINDOWS\system32\tmp.reg
2008-10-04 19:21 . 2008-10-05 02:44 <REP> d--h----- C:\$AVG8.VAULT$
2008-09-21 21:08 . 2008-09-21 21:08 <REP> d-------- C:\Program Files\CASIO
2008-09-21 21:08 . 2003-10-02 00:00 413,696 --a------ C:\WINDOWS\system32\PICSDK.dll
2008-09-21 21:08 . 2002-11-01 00:00 114,688 --a------ C:\WINDOWS\system32\EpPicPrt.dll
2008-09-21 21:08 . 2003-10-02 00:00 91,923 --a------ C:\WINDOWS\system32\EPPICPrinterDB.dat
2008-09-21 21:08 . 2003-10-02 00:00 76,956 --a------ C:\WINDOWS\system32\EPPICPattern2.dat
2008-09-21 21:08 . 2002-11-01 00:00 65,536 --a------ C:\WINDOWS\system32\EPPicMgr.dll
2008-09-21 21:08 . 2003-10-02 00:00 39,121 --a------ C:\WINDOWS\system32\EPPICPattern1.dat
2008-09-21 21:08 . 2003-10-02 00:01 27,965 --a------ C:\WINDOWS\system32\EPPICPresetData_JP.dat
2008-09-21 21:08 . 2003-10-02 00:00 15,822 --a------ C:\WINDOWS\system32\EPPICLocal_JP.cfg
2008-09-21 21:08 . 2008-09-21 21:08 15,172 --a------ C:\WINDOWS\system32\drivers\PzWDM.sys
2008-09-21 21:08 . 2003-10-02 00:00 14,482 --a------ C:\WINDOWS\system32\EPPICLocal_EN.cfg
2008-09-21 21:06 . 2008-09-29 22:57 <REP> d-------- C:\Program Files\HOTALBUMMyBOX
2008-09-20 13:04 . 2004-08-20 01:09 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-09-18 21:03 . 2008-09-18 21:03 <REP> d-------- C:\Documents and Settings\Propriétaire\Application Data\vlc
2008-09-18 20:58 . 2008-09-18 20:58 <REP> d-------- C:\Program Files\VideoLAN
2008-09-18 14:19 . 2001-12-12 11:46 131,072 --a------ C:\WINDOWS\system32\Epcmlib.dll
2008-09-18 14:07 . 2008-09-18 16:14 <REP> d-------- C:\Program Files\Fichiers communs\EPSON
2008-09-18 14:06 . 2008-09-18 16:14 <REP> d-------- C:\Program Files\EPSON
2008-09-18 14:06 . 2002-08-26 04:30 73,116 --a------ C:\WINDOWS\system32\EBPMON2.DLL
2008-09-18 14:06 . 2002-07-31 04:25 61,440 --a------ C:\WINDOWS\system32\ECBTEG.DLL
2008-09-18 14:06 . 2000-06-07 03:01 34,304 --a------ C:\WINDOWS\system32\EBPCHP.DLL
2008-09-18 14:06 . 2004-08-04 08:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2008-09-18 14:06 . 2004-08-04 08:08 31,616 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys
2008-09-18 14:06 . 2004-08-04 08:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-09-18 14:06 . 2004-08-04 08:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2008-09-18 14:06 . 2001-09-04 04:04 182 --a------ C:\WINDOWS\system32\EBPPORT.DAT
2008-09-18 14:05 . 2002-08-09 00:00 184,320 --a------ C:\WINDOWS\system32\ESDTR.dll
2008-09-17 21:38 . 2008-09-17 21:38 <REP> d-------- C:\Program Files\SuperCopier2
2008-09-17 21:27 . 2008-10-01 00:15 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-09-17 20:25 . 2008-09-17 20:25 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-09-17 20:25 . 2008-09-17 20:25 <REP> d-------- C:\Program Files\iTunes
2008-09-17 20:25 . 2008-09-17 20:25 <REP> d-------- C:\Program Files\iPod
2008-09-17 20:25 . 2008-09-17 20:25 <REP> d-------- C:\Program Files\Bonjour
2008-09-17 20:25 . 2008-09-17 20:25 <REP> d-------- C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-09-17 20:25 . 2008-04-17 13:12 107,368 --a------ C:\WINDOWS\system32\GEARAspi.dll
2008-09-17 20:25 . 2008-09-10 16:45 32,000 --a------ C:\WINDOWS\system32\drivers\usbaapl.sys
2008-09-17 20:25 . 2008-04-17 13:12 15,464 --a------ C:\WINDOWS\system32\drivers\GEARAspiWDM.sys
2008-09-17 20:00 . 2008-09-17 20:00 <REP> d-------- C:\Program Files\MSXML 4.0
2008-09-17 19:43 . 2008-06-14 19:59 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-09-17 19:42 . 2008-04-11 20:51 683,520 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-09-17 19:42 . 2008-05-01 16:31 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll
2008-09-16 23:13 . 2008-10-02 21:55 <REP> d-------- C:\Documents and Settings\Propriétaire\Application Data\Apple Computer
2008-09-16 23:06 . 2008-09-17 20:24 <REP> d-------- C:\Program Files\Fichiers communs\Apple
2008-09-16 23:05 . 2008-09-16 23:06 <REP> d-------- C:\Program Files\QuickTime
2008-09-16 23:05 . 2008-09-16 23:05 <REP> d-------- C:\Program Files\Apple Software Update
2008-09-16 23:05 . 2008-09-17 20:25 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-09-16 23:05 . 2008-09-16 23:05 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple
2008-09-16 22:10 . 2008-09-16 22:10 <REP> d-------- C:\WINDOWS\Sun
2008-09-16 22:00 . 2004-08-20 01:09 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
2008-09-16 22:00 . 2004-08-04 07:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2008-09-16 22:00 . 2004-08-04 07:58 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2008-09-16 22:00 . 2001-08-23 17:47 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
2008-09-16 19:06 . 2008-09-17 21:39 <REP> d-------- C:\Documents and Settings\Propriétaire\Application Data\Ahead
2008-09-16 19:05 . 2008-09-16 19:05 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Ahead
2008-09-16 19:04 . 2008-09-16 19:04 <REP> d-------- C:\Program Files\Windows Sidebar
2008-09-16 19:04 . 2008-09-16 19:04 <REP> d-------- C:\Program Files\Nero
2008-09-16 19:04 . 2008-09-16 19:05 <REP> d-------- C:\Program Files\Fichiers communs\Ahead
2008-09-16 19:04 . 2008-09-16 19:04 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Nero
2008-09-16 19:03 . 2004-08-11 01:45 141,312 --a------ C:\WINDOWS\system32\setb3.tmp
2008-09-13 18:53 . 2008-09-13 18:53 <REP> d-------- C:\Documents and Settings\LocalService\Menu Démarrer
2008-09-13 18:41 . 2008-09-16 19:03 316,640 --a------ C:\WINDOWS\WMSysPr9.prx
2008-09-13 18:40 . 2008-09-13 18:40 <REP> d-------- C:\WINDOWS\provisioning
2008-09-13 18:40 . 2008-09-13 18:40 <REP> d-------- C:\WINDOWS\peernet
2008-09-13 18:39 . 2008-09-13 18:39 <REP> d-------- C:\WINDOWS\ServicePackFiles
2008-09-13 18:29 . 2008-09-13 18:29 <REP> d-------- C:\WINDOWS\EHome
2008-09-13 18:27 . 2004-08-20 00:54 58,496 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2008-09-13 18:27 . 2001-08-17 22:59 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2008-09-13 18:26 . 2002-04-15 21:11 67,866 --------- C:\WINDOWS\system32\drivers\netwlan5.img
2008-09-13 18:26 . 2004-08-19 16:10 11,776 --------- C:\WINDOWS\system32\spnpinst.exe
2008-09-13 18:26 . 2004-08-02 14:20 7,208 --------- C:\WINDOWS\system32\secupd.sig
2008-09-13 18:26 . 2004-08-02 14:20 4,569 --------- C:\WINDOWS\system32\secupd.dat
2008-09-13 18:25 . 2008-09-13 18:25 <REP> d--h----- C:\Documents and Settings\Default User\Voisinage réseau
2008-09-13 18:25 . 2008-09-13 18:25 <REP> d--h----- C:\Documents and Settings\Default User\Voisinage d'impression
2008-09-13 18:25 . 2008-09-13 17:31 <REP> d--h----- C:\Documents and Settings\Default User\Modèles
2008-09-13 18:25 . 2008-09-13 18:25 <REP> d-------- C:\Documents and Settings\Default User\Mes documents
2008-09-13 18:25 . 2008-09-13 18:25 <REP> dr------- C:\Documents and Settings\Default User\Menu Démarrer
2008-09-13 18:25 . 2008-09-13 18:25 <REP> d-------- C:\Documents and Settings\Default User\Favoris
2008-09-13 18:25 . 2008-09-13 18:25 <REP> d-------- C:\Documents and Settings\Default User\Bureau
2008-09-13 18:25 . 2008-09-13 18:25 <REP> d--h----- C:\Documents and Settings\All Users\Modèles
2008-09-13 18:25 . 2008-09-13 18:41 <REP> dr------- C:\Documents and Settings\All Users\Menu Démarrer
2008-09-13 18:25 . 2008-09-13 18:25 <REP> d-------- C:\Documents and Settings\All Users\Favoris
2008-09-13 18:25 . 2008-09-13 17:32 <REP> dr------- C:\Documents and Settings\All Users\Documents
2008-09-13 18:25 . 2008-10-05 03:19 <REP> d-------- C:\Documents and Settings\All Users\Bureau
2008-09-13 18:24 . 2008-09-13 17:38 <REP> d--h----- C:\Documents and Settings\Default User
2008-09-13 18:24 . 2008-09-13 17:34 <REP> d-------- C:\Documents and Settings\All Users
2008-09-13 18:24 . 2008-10-05 01:51 <REP> d-------- C:\Documents and Settings
2008-09-13 18:17 . 2008-10-05 17:41 <REP> d--h----- C:\WINDOWS\$hf_mig$
2008-09-13 18:17 . 2006-09-06 17:43 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-09-13 18:16 . 2008-09-13 18:16 <REP> d-------- C:\WINDOWS\system32\bits
2008-09-13 18:16 . 2004-08-20 01:09 351,232 --a------ C:\WINDOWS\system32\winhttp.dll
2008-09-13 18:16 . 2004-08-20 01:09 18,944 --a------ C:\WINDOWS\system32\qmgrprxy.dll
2008-09-13 18:16 . 2004-08-20 01:09 8,192 --------- C:\WINDOWS\system32\bitsprx2.dll
2008-09-13 18:16 . 2004-08-20 01:09 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll
2008-09-13 18:13 . 2008-09-13 18:13 <REP> d---s---- C:\Documents and Settings\Propriétaire\UserData
2008-09-13 18:13 . 2008-09-13 18:13 <REP> d---s---- C:\Documents and Settings\Propriétaire\UserData
2008-09-13 18:04 . 2008-09-13 18:04 <REP> d-------- C:\Program Files\Broadcom
2008-09-13 18:03 . 2008-09-13 18:03 <REP> d-------- C:\Program Files\Microsoft Hardware
2008-09-13 18:00 . 2008-09-13 18:00 <REP> d---s---- C:\WINDOWS\system32\Microsoft
2008-09-13 18:00 . 2003-04-07 00:21 159,744 --a------ C:\WINDOWS\system32\igfxres.dll
2008-09-06 15:09 . 2008-09-06 15:09 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
2008-09-06 15:09 . 2008-09-06 15:09 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-04 16:52 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\Azureus
2008-10-01 13:51 87,552 ----a-w C:\WINDOWS\system32\VACFix.exe
2008-09-21 19:07 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-09-19 10:26 82,944 ----a-w C:\WINDOWS\system32\o4Patch.exe
2008-09-19 10:26 82,944 ----a-w C:\WINDOWS\system32\IEDFix.C.exe
2008-09-13 17:35 --------- d-----w C:\Documents and Settings\All Users\Application Data\Azureus
2008-09-13 17:34 --------- d-----w C:\Program Files\Azureus
2008-09-13 17:31 --------- d-----w C:\Program Files\Java
2008-09-13 17:30 --------- d-----w C:\Program Files\Fichiers communs\Java
2008-09-13 17:11 97,928 ----a-w C:\WINDOWS\system32\drivers\avgldx86.sys
2008-09-13 17:11 76,040 ----a-w C:\WINDOWS\system32\drivers\avgtdix.sys
2008-09-13 17:11 10,520 ----a-w C:\WINDOWS\system32\avgrsstx.dll
2008-09-13 17:07 --------- d-----w C:\Program Files\AVG
2008-09-13 17:07 --------- d-----w C:\Documents and Settings\All Users\Application Data\avg8
2008-09-13 16:04 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-09-13 15:52 --------- d-----w C:\Program Files\Intel
2008-09-13 15:50 --------- d-----w C:\Program Files\Analog Devices
2008-09-13 15:38 --------- d-----w C:\Program Files\microsoft frontpage
2008-09-13 15:31 --------- d-----w C:\Program Files\Services en ligne
2008-09-08 21:38 88,576 ----a-w C:\WINDOWS\system32\AntiXPVSTFix.exe
2008-08-29 08:18 87,336 ----a-w C:\WINDOWS\system32\dns-sd.exe
2008-08-29 07:53 61,440 ----a-w C:\WINDOWS\system32\dnssd.dll
2008-08-18 10:19 82,432 ----a-w C:\WINDOWS\system32\404Fix.exe
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 152872]
"SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-20 1667584]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2003-04-07 155648]
"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-04-07 114688]
"AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-09-29 1234712]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"SecurDisc"="C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe" [2007-06-25 1629480]
"InCD"="C:\Program Files\Nero\Nero 7\InCD\InCD.exe" [2007-06-25 1057064]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-09-06 413696]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-09-10 289576]
"MBBalloon"="C:\Program Files\HOTALBUMMyBOX\MBBalloon.exe" [2007-11-30 789144]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
MediaChecker.lnk - C:\Program Files\HOTALBUMMyBOX\MediaChecker.exe [2007-11-30 915096]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\AVG\\AVG8\\avgupd.exe"=
"C:\\Program Files\\AVG\\AVG8\\avgemc.exe"=
"C:\\Program Files\\Azureus\\Azureus.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R0 PzWDM;PzWDM;C:\WINDOWS\system32\Drivers\PzWDM.sys [2008-09-21 15172]
R1 AvgLdx86;AVG AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-09-13 97928]
R2 avg8emc;AVG8 E-mail Scanner;C:\PROGRA~1\AVG\AVG8\avgemc.exe [2008-09-13 875288]
R2 avg8wd;AVG8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-09-13 231704]
R2 AvgTdiX;AVG8 Network Redirector;C:\WINDOWS\system32\Drivers\avgtdix.sys [2008-09-13 76040]

*Newly Created Service* - MCHINJDRV
.
Contenu du dossier 'Tâches planifiées'

2008-09-16 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-POINTER - point32.exe

.
------- Examen supplémentaire -------
.
FireFox -: Profile - C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\bka8a83a.default\
FF -: plugin - C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-05 18:08:11
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\mchInjDrv]
"ImagePath"="\??\C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\mc22.tmp"
.
------------------------ Autres processus actifs ------------------------
.
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\AVG\AVG8\avgrsx.exe
C:\Program Files\AVG\AVG8\avgrsx.exe
.
**************************************************************************
.
Heure de fin: 2008-10-05 18:11:55 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-10-05 16:11:48

Avant-CF: 65 564 327 936 octets libres
Après-CF: 65,498,431,488 octets libres

262 --- E O F --- 2008-10-05 02:33:24

Scalap75 · Answer

Je viens de recevoir une alerte de mon antivirus AVG :

Threat detected
File name : C:\System Volume Information\_restore (...)
Threat name : Trojan horse Generic


Je l'ai mis en quarantaine!!

Lyonnais92 · Answer

Re,

ne restaure pas ton système, car la restauration est infectée. On règlera ça à la fin (bientôt).

remets un rapport Hijackthis.

Scalap75 · Answer

Peux tu me rapeller comment il faut faire pour le rapport hijackthis stp.
Je suis un peu perdu!

Scalap75 · Answer

c'est en rapport avec random's system information tool (RSIT)?

Lyonnais92 · Answer

Re,

pour Hijackthis tout seul, fais ça :

ouvre l'explorateur Windows et cherche 

C:\Program Files	rend micro\Propriétaire.exe 

Double clic et choisir do a scan and save a log

Scalap75 · Answer

Merci! Voici le rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:46:45, on 05/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe
C:\Program Files\Nero\Nero 7\InCD\InCD.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\HOTALBUMMyBOX\MediaChecker.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files	rend micro\Propriétaire.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [MBBalloon] C:\Program Files\HOTALBUMMyBOX\MBBalloon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: MediaChecker.lnk = C:\Program Files\HOTALBUMMyBOX\MediaChecker.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - https://webmail.aon.fr/iNotes6W.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

Lyonnais92 · Answer

Re,

nettoyage :


Lis bien et exécute cette manip dans l’ordre.

#Télécharge et installe ces logiciels (si tu ne les as pas) pour les 3 premiers
mets les à jour, comme indiqué dans les démos ou tutos.

Ne les utilise pas tout de suite.


Antispywares et autres :
 
Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton bureau à partir de ce lien :

https://www.malwarebytes.com/

A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue.


Nettoyeurs (de fichiers inutiles) et autres :

*Ccleaner (gratuit)
Téléchargement :
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
Tuto :
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

Lors de l’installation, [décoche] l’option qui t’installerait la barre Yahoo !

========================================
->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]
.

=======================================

->Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec
puis tape « entrée ».
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).

========================================
->Lance CCleaner.

Suppression des fichiers temporaires

Va dans la section "Options" situé dans la marge gauche.
Décoche "Avancé"
Retourne ensuite dans la section "Nettoyeur"
Fais bien attention de cocher toutes ces cases dans la marge gauche (Internet Explorer/Windows Explorer/Système)
• Clique sur [Analyse]
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur [Lancer le Nettoyage]



========================================
Lance Malwarebytes AntiMalware

Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

MBAM analyse ton ordinateur. L'analyse peut prendre un certain teps. Il suffit de vérifier de temps en temps son avancement.

A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Ferme le bloc-note. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

Ferme MBAM en cliquant sur Quitter. 
========================================

->Relance CCleaner.
Suppression des incohérences du registre

• Clique sur l'icône [Registre] situés dans la marge à gauche
• Puis clique sur [Analyser les erreurs]
• Patiente pendant que CCleaner scan ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur [Corriger les erreurs].

Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrées cochées pour les restaurer ultérieurement.
========================================
->Vide ta Corbeille.
========================================
->Redémarre en mode normal,


- > Ouvre ce lien pour scanner ton PC avec un BitDefender en ligne (uniquement sous Internet Explorer) :

https://www.bitdefender.com/toolbox/

Utilisation :
Cliquer sur "J'accepte" puis accepter également l'ActiveX bloqué par la barre anti-popup du SP2 qui clignotera en haut et l'installer.
Ensuite, cliquer sur "Cliquez ici pour scanner".
Patienter jusqu'à la fin du scan qui peut durer assez longtemps...

Copier/coller le rapport entier sur le forum.

Tutoriel en images ici : http://pageperso.aol.fr/rginformatique/mapage/defender.htm (merci à Balltrap34 pour cette réalisation)
[Recoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

Relance Hijackthis et copie/colle un nouveau rapport sur le forum.

Et dis moi ou en sont tes problèmes s’il t’en reste.--
@+
Faites ce que l'on vous demande, ni plus, ni moins.
Ne créez pas de doublons, ni sur CCM ni sur un autre site. Merci

Scalap75 · Answer

Ok Lyonnais92, merci!

Tu as lu que j'ai déjà fait toutes ces manips???
Tu penses que je dois les refaire?

Lyonnais92 · Answer

Re,

tu as fait passer MBAM ?Où ?

Et Bit defender on line ?

Par contre, inutile de remettre un rapport Hijackthis

Scalap75 · Answer

Oui  :

[quote]

j'ai installé 'et mis à jour) :

CCleaner ; Malwarebyte's anti malware ; Spybot - Search and destroy

J'ai ensuite relancé mon pc en mode sans echec, et j'ai lancé les analyses et les corrections les unes apres les autres (dans l'ordre d'installation des logiciels). 

[unquote]


Mais j'ai pas fait bitdefender.

Peu importe, tu me conseilles de refaire toutes les manips comme tu me l'indiques?

Lyonnais92 · Answer

Re,

non, tu ne refais pas, mais j'aimerai voir le rapport de MBAM.

Et je te suggère de faire le scan on line (je n'ai pas une grande confiance en Norton).

Scalap75 · Answer

Voilà le rapport MBAM :

Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1229
Windows 5.1.2600 Service Pack 2

05/10/2008 03:55:39
mbam-log-2008-10-05 (03-55-39).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 61608
Temps écoulé: 26 minute(s), 7 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 11
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 12

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\mlJDusrq.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\ddcDwTjh.dll (Trojan.Vundo) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{674855c3-b0b1-4413-9bb4-bfa6a9b5257b} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ddcdwtjh (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{674855c3-b0b1-4413-9bb4-bfa6a9b5257b} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d57cbdae-f46a-418b-96d4-0dec05c8d64f} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{d57cbdae-f46a-418b-96d4-0dec05c8d64f} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion	dssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE	dss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{674855c3-b0b1-4413-9bb4-bfa6a9b5257b} (Trojan.Vundo) -> Delete on reboot.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\mljdusrq -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\mljdusrq  -> Delete on reboot.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\ddcDwTjh.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\mlJDusrq.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\qrsuDJlm.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\qrsuDJlm.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32	bbtsusr.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32sustbbt.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8FE476F1-BAD3-404F-BACF-20AD74147769}\RP1\A0000032.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\eepa.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWSwlfsdmk.dll (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\efcCstTK.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSl.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\TDSSserv.sys (Trojan.Agent) -> Quarantined and deleted successfully.


--------

Je fais de suite l'analyse en ligne de bitdefender.
@ tout de suite

Scalap75 · Answer

Bon en fait çà à l'air long et je dois me coucher car je me leve super tot demain!.
Je ferai çà demain soir!! 

(pour info j'ai pas norton! mais j'ai AVG à qui je faisais confiance jusqu'à hier! jamais eu de problème en 3ans!)

Scalap75 · Answer

Bonsoir Lyonnais92 :

Voici mon rapport BitDefender, je reste à ton écoute pour les éventuelles prochaines étapes! :

BitDefender Online Scanner
	


Scan report generated at: Mon, Oct 06, 2008 - 19:57:41


Scan path: A:\;C:\;D:\;E:\;
	 

Statistics

Time
	
00:28:21

Files
	
104960

Folders
	
3142

Boot Sectors
	
0

Archives
	
1514

Packed Files
	
4221
	
---------------------

Results

Identified Viruses

3

Infected Files
	
4

Suspect Files
	
0

Warnings
	
0

Disinfected
	
0

Deleted Files
	
4
	
-----------------------

Engines Info

Virus Definitions
	
1839875

Engine build
	
AVCORE v1.7 (build 8314.19) (i386) (Sep 10 2008 19:37:42)

Scan plugins

16

Archive plugins
	
43

Unpack plugins

7

E-mail plugins
	
6

System plugins
	
4
	

 ---------------------------

Scan Settings

First Action
	
Disinfect

Second Action
	
Delete

Heuristics
	
Yes

Enable Warnings
	
Yes

Scanned Extensions
	
*;

Exclude Extensions
	

Scan Emails
	
Yes

Scan Archives
	
Yes

Scan Packed
	
Yes

Scan Files
	
Yes

Scan Boot
	
Yes
	
-----------------------

Scanned File
	
 Status

C:\Program Files\Azureus\.install4j\i4j_extf_8_5p83tu.exe
	

Detected with: Application.Generic.12674

C:\Program Files\Azureus\.install4j\i4j_extf_8_5p83tu.exe
	

Disinfection failed

C:\Program Files\Azureus\.install4j\i4j_extf_8_5p83tu.exe
	

Deleted

C:\System Volume Information\_restore{8FE476F1-BAD3-404F-BACF-20AD74147769}\RP1\A0000100.sys
	

Infected with: Rootkit.TDss.E

C:\System Volume Information\_restore{8FE476F1-BAD3-404F-BACF-20AD74147769}\RP1\A0000100.sys
	

Disinfection failed

C:\System Volume Information\_restore{8FE476F1-BAD3-404F-BACF-20AD74147769}\RP1\A0000100.sys
	

Deleted

C:\System Volume Information\_restore{8FE476F1-BAD3-404F-BACF-20AD74147769}\RP1\A0000102.sys
	

Infected with: Trojan.Avenger.B

C:\System Volume Information\_restore{8FE476F1-BAD3-404F-BACF-20AD74147769}\RP1\A0000102.sys
	

Deleted

C:\System Volume Information\_restore{8FE476F1-BAD3-404F-BACF-20AD74147769}\RP4\A0000398.exe
	

Detected with: Application.Generic.12674

C:\System Volume Information\_restore{8FE476F1-BAD3-404F-BACF-20AD74147769}\RP4\A0000398.exe
	

Disinfection failed

C:\System Volume Information\_restore{8FE476F1-BAD3-404F-BACF-20AD74147769}\RP4\A0000398.exe
	

Deleted

Lyonnais92 · Answer

Re,

Ouvre ce lien :

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

dans un premier temps tu le suis pour désactiver la restauration système.

Tu fermes la fenêtre.

Dans un deuxième temps, tu le suis pour réactiver la restauration.

Comme ça, ça devrait être propre;

Remets un rapport RSIT de vérification.

Scalap75 · Answer

Merci.
J'ai fait la manip de desactiv et de reactiv de la restauration (il s'est rien passé de spécial à priori!)

Et voici le rapprt RSIT (je l'ai fait en mode windows "normal" mais antivirus eteint!)

Rapport :

Logfile of random's system information tool 1.04 (written by random/random)
Run by Propriétaire at 2008-10-06 21:18:10
Microsoft Windows XP Édition familiale Service Pack 2
System drive C: has 62 GB (81%) free of 76 GB
Total RAM: 766 MB (59% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:18:30, on 06/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe
C:\Program Files\Nero\Nero 7\InCD\InCD.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\HOTALBUMMyBOX\MediaChecker.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Propriétaire\Bureau\RSIT.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Program Files	rend micro\Propriétaire.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [MBBalloon] C:\Program Files\HOTALBUMMyBOX\MBBalloon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: MediaChecker.lnk = C:\Program Files\HOTALBUMMyBOX\MediaChecker.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - https://webmail.aon.fr/iNotes6W.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

Lyonnais92 · Answer

Re,

tout ça semble parfait (même si il manque la fin du rapport).

Si l'ordi va bien, fais ça :
* Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau.

http://pc-system.fr/
hxxp://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe

* Clique sur Recherche et laisse le scan se terminer.

* Clique, sur Suppression pour finaliser.

* Tu peux, si tu le souhaites, te servir des Options facultatives.

* Clique sur Quitter, pour que le rapport puisse se créer.

* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

Scalap75 · Answer

Merci Lyonnais.
Le pc semble aller bien, en apparence en tout cas, voici le rapport de l'application, qui a anticipé ma dernière question :

J'ai plein d'applis installées maintenant (encore après tools cleaner), j'ai :

- ccleaner
- malwarebytes
- spybot - search and destroy
- rsit
- combofix (qui n'a pas été supprimé par tools cleaner)

qu'est ce que tu me conseilles de désinstaller? Par ailleurs, j'ai comme antivirus unique "AVG", est ce que tu me conseilles de changer?
Bref, qu'est ce que tu me conseilles d'installer/garder? (parefeu? antivirus?)

Merci à toi pour tout tes bons conseils, si tu es sur Paris, je t'invite boire un verre avec plaisir pour te remercier!!!

Voici le rapport de tools cleaner :

[ Rapport ToolsCleaner version 2.2.3 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\Combofix.txt: trouvé !
C:\Combofix: trouvé !
C:\Qoobox: trouvé !
C:\Documents and Settings\Propriétaire\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\Propriétaire\Bureau\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\Propriétaire\Mes documents\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\Propriétaire\Mes documents\adx\SmitFraudFix.exe: trouvé !
C:\Program Files	rend micro\HijackThis.exe: trouvé !
C:\Program Files	rend micro\hijackthis.log: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\Propriétaire\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\Propriétaire\Bureau\SmitFraudFix.exe: supprimé !
C:\Documents and Settings\Propriétaire\Mes documents\SmitFraudFix.exe: supprimé !
C:\Documents and Settings\Propriétaire\Mes documents\adx\SmitFraudFix.exe: supprimé !
C:\Program Files	rend micro\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Program Files	rend micro\hijackthis.log: supprimé !
C:\Combofix: supprimé !
C:\Qoobox: supprimé !

Corbeille vidée!
Point de restauration crée !
Fichiers temporaires nettoyés !
Sauvegarde du registre crée !

------------------------------------

Lyonnais92 · Answer

Re,

supprime c:\rsit et combofix.exe sur ton Bureau.


Comme protection, tu as un parefeu avec AVG ?

Sinon, ouvre ce lien :

http://www.malekal.com/menu_tutorials_logiciels.php

Je te suggère de choisir Comodo. (sinon, ZoneAlarm).

Par contre, pour Spybot S&D, vaccine régulièrement en fin de scan mais enlève le Tea-timer :

Ouvre Spybot search and destroy.

clique sur mode, choisis advanced mode;

dans la colonne de gauche clique sur le + devant tools.

clique sur résident (colonne de gauche)

dans la fenêtre de droite décoche la case devant "resident tea-timer"


Pour le reste, OS, navigateur, console java, adobe reader, ... à jour

Pas de cracks, pas de téléchargements illégitimes.

Scans réguliers.

CCleaner de temps en temps

Enfin, ce petit logiciel pour nettoyer tous les jours :


    =>/b Télécharge ATF-Cleaner (Attribune) : http://www.atribune.org/ccount/click.php?id=1
    -- Met le sur ton bureau
    Note: Pour augmenter l'efficacité nous l'utiliserons ultérieurement en mode sans echec


    => Lance ATF-Cleaner :
    * Sous l'onglet Main, choisis : Select All
    * Clique sur le bouton Empty Selected

    * Sous l'onglet Firefox (si présent) : Clique sur select all
    -- Au message "are you sure you want to delete your firefox saved password" clique sur NON
    -- Clique sur Empty selected

    * Sous l'onglet Opéra (si présent) : Clique sur select all
    -- Au message "are you sure you want to delete your firefox saved password" clique sur NON
    -- Clique sur Empty selected

    * Quitte ATF-Cleaner

[Virus Alert] rapports pour expert?!

33 réponses

Votre réponse

Discussions similaires

Newsletters