Sujet Précédent Sujet Suivant

Obfuscated.gx.2050

tyty22 -  
anthony5151 Messages postés 10927 Statut Contributeur sécurité -
Bonjour,
Le trojan : tr/obfuscated.gx.2050 est venu faire un petit tour dans mon PC. Malgré avira, trojan remover, spybot s&d, je n'arrive pas à m'en débarrasser.ne connaissant pas d'autre solution, pourrais-je avoir de l'aide s.v.p.....
P.S. :sur windows xp sp2

15 réponses

Réponse 1 / 15
tyty22
 
Bonjour,
J'ai suivi les manips comme prevu.
Comme le rapport ne changeait pas, j'ai :
desinstaller spybot s&d
desinstaller remove trojan
l'antivirus était fermé, les pare-feu hors service
Fermé manuellement ma connexion internet et tous les programmes susceptible de demarrer inopinément,
Enfin j'ai lancer combofix après avoir supprimé les anciennes versions et fichiers, et voici le nouveau rapport qui paraît ne pas avoir changé...
Une petite remarque : a la fin de combofix, je n'ai pas (comme le dis le tutoriel) le rapport qui s'affiche, j'ai attendu 30 minute dès que la fenêtre combofix s'est fermée, puis j'ai été chercher le rapport dans :
c:\combofix\combofix.txt
Je suis un peu perplexe, je te remercie encore de ton aide .
Amicalement
TYTY

Voici le rapport :

ComboFix 08-10-06.05 - Administrateur 2008-10-07 9:53:56.6 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.459 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe

[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
.

((((((((((((((((((((((((((((( Fichiers créés du 2008-09-07 au 2008-10-07 ))))))))))))))))))))))))))))))))))))
.

2008-10-06 09:03 . 2008-10-06 09:03 578,048 --a--c--- C:\WINDOWS\system32\dllcache\user32.dll
2008-10-06 09:01 . 2008-10-06 09:01 <REP> d-------- C:\WINDOWS\ERUNT
2008-10-06 08:55 . 2008-10-04 03:11 <REP> d-------- C:\SDFix
2008-10-05 20:39 . 2008-10-05 20:39 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2008-10-05 20:39 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-05 20:39 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-05 20:38 . 2008-10-05 20:39 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-10-05 20:38 . 2008-10-05 20:38 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-10-05 20:28 . 2008-10-05 20:28 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-10-05 20:28 . 2008-10-05 20:28 1,409 --a------ C:\WINDOWS\QTFont.for
2008-10-05 14:44 . 2008-10-05 14:44 <REP> d-------- C:\Program Files\Trend Micro
2008-10-03 11:56 . 2008-10-05 22:23 <REP> d-------- C:\Program Files\xsbbbfg
2008-10-03 11:56 . 2008-10-04 18:41 <REP> d-------- C:\Documents and Settings\All Users\Application Data\ebujglkh
2008-09-18 17:55 . 2008-09-20 20:50 <REP> d-------- C:\Program Files\Free Video Converter
2008-09-12 22:17 . 2008-10-06 11:03 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-09-12 21:55 . 2008-09-13 00:44 <REP> d-------- C:\Documents and Settings\Administrateur\iWizz
2008-09-12 21:54 . 2008-09-12 21:55 <REP> d-------- C:\Program Files\iWizz
2008-09-12 21:54 . 2008-09-12 21:55 <REP> d-------- C:\Documents and Settings\Administrateur\.bitrock

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-07 07:20 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\uTorrent
2008-10-07 07:06 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\OpenOffice.org2
2008-10-05 11:45 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-10-04 21:00 --------- d-----w C:\Program Files\Ad-Aware
2008-09-22 15:38 796,672 ----a-w C:\WINDOWS\GPInstall.exe
2008-09-02 19:35 --------- d-----w C:\Documents and Settings\All Users\Application Data\Zylom
2008-08-23 12:17 --------- d-----w C:\Program Files\Lexmark X1100 Series
2008-08-22 20:56 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-08-22 20:56 --------- d-----w C:\Program Files\PC Inspector File Recovery
2008-08-22 20:15 --------- d-----w C:\Program Files\SoftLogica
2008-08-22 19:47 --------- d-----w C:\Program Files\ACE Mega CoDecS Pack
2008-08-21 20:09 --------- d-----w C:\Program Files\QuickTime
2008-08-21 20:04 --------- d-----w C:\Program Files\K-Lite Codec Pack
2008-08-21 19:45 --------- d-----w C:\Program Files\VideoLAN
2008-08-07 04:53 --------- d-----w C:\Program Files\IncrediMail
2007-12-30 22:28 461,946 ----a-w C:\Program Files\smart.exe
2007-11-27 08:26 24,130,866 ----a-w C:\Program Files\wmp11-windowsxp-x86-fr-fr.exe
2006-10-08 23:18 145,920 ----a-w C:\WINDOWS\inf\hdaudio.sys
2001-11-23 11:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
2006-07-29 18:18 112 --sha-w C:\WINDOWS\system32\Vistadrive\unistl.cmd
.
0
Réponse 2 / 15
tyty22
 
Bonjour,
J'ai effectuer toutes les manipulations comme prévu, et , a priori, ca a marché !
je te joint le rapport combofix :

ComboFix 08-10-07.06 - Administrateur 2008-10-08 9:12:42.7 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.444 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\Administrateur\Bureau\C.fix.exe
* Un nouveau point de restauration a été créé

[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\IE4 Error Log.txt

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-09-08 au 2008-10-08 ))))))))))))))))))))))))))))))))))))
.

2008-10-06 09:03 . 2008-10-06 09:03 578,048 --a--c--- C:\WINDOWS\system32\dllcache\user32.dll
2008-10-06 09:01 . 2008-10-08 09:02 <REP> d-------- C:\WINDOWS\ERUNT
2008-10-05 20:39 . 2008-10-05 20:39 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2008-10-05 20:38 . 2008-10-05 20:38 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-10-05 20:28 . 2008-10-05 20:28 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-10-05 20:28 . 2008-10-05 20:28 1,409 --a------ C:\WINDOWS\QTFont.for
2008-10-05 14:44 . 2008-10-08 09:02 <REP> d-------- C:\Program Files\Trend Micro
2008-10-03 11:56 . 2008-10-05 22:23 <REP> d-------- C:\Program Files\xsbbbfg
2008-10-03 11:56 . 2008-10-04 18:41 <REP> d-------- C:\Documents and Settings\All Users\Application Data\ebujglkh
2008-09-18 17:55 . 2008-09-20 20:50 <REP> d-------- C:\Program Files\Free Video Converter
2008-09-12 22:17 . 2008-10-06 11:03 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-09-12 21:55 . 2008-09-13 00:44 <REP> d-------- C:\Documents and Settings\Administrateur\iWizz
2008-09-12 21:54 . 2008-09-12 21:55 <REP> d-------- C:\Program Files\iWizz
2008-09-12 21:54 . 2008-09-12 21:55 <REP> d-------- C:\Documents and Settings\Administrateur\.bitrock

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-08 07:06 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\uTorrent
2008-10-08 07:06 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\OpenOffice.org2
2008-10-05 11:45 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-10-04 21:00 --------- d-----w C:\Program Files\Ad-Aware
2008-09-22 15:38 796,672 ----a-w C:\WINDOWS\GPInstall.exe
2008-09-02 19:35 --------- d-----w C:\Documents and Settings\All Users\Application Data\Zylom
2008-08-23 12:17 --------- d-----w C:\Program Files\Lexmark X1100 Series
2008-08-22 20:56 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-08-22 20:56 --------- d-----w C:\Program Files\PC Inspector File Recovery
2008-08-22 20:15 --------- d-----w C:\Program Files\SoftLogica
2008-08-22 19:47 --------- d-----w C:\Program Files\ACE Mega CoDecS Pack
2008-08-21 20:09 --------- d-----w C:\Program Files\QuickTime
2008-08-21 20:04 --------- d-----w C:\Program Files\K-Lite Codec Pack
2008-08-21 19:45 --------- d-----w C:\Program Files\VideoLAN
2007-12-30 22:28 461,946 ----a-w C:\Program Files\smart.exe
2007-11-27 08:26 24,130,866 ----a-w C:\Program Files\wmp11-windowsxp-x86-fr-fr.exe
2006-10-08 23:18 145,920 ----a-w C:\WINDOWS\inf\hdaudio.sys
2001-11-23 11:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
2006-07-29 18:18 112 --sha-w C:\WINDOWS\system32\Vistadrive\unistl.cmd
.

------- Sigcheck -------

2007-03-08 17:37 578560 753354f594809a9b96f73999b435a533 C:\WINDOWS\SoftwareDistribution\Download\807aa275a612b3508a3d1d613bbf6226\SP2GDR\user32.dll
2007-03-08 17:50 579072 4d88aaf39adabfe45958ea1384e2c4ff C:\WINDOWS\SoftwareDistribution\Download\807aa275a612b3508a3d1d613bbf6226\SP2QFE\user32.dll
2006-10-09 01:19 578048 c1ba2463a2689d0ee0375de076454248 C:\WINDOWS\system32\user32.dll
2008-10-06 09:03 578048 c1ba2463a2689d0ee0375de076454248 C:\WINDOWS\system32\dllcache\user32.dll

2006-10-09 01:26 360576 b2220c618b42a2212a59d91ebd6fc4b4 C:\WINDOWS\system32\drivers\tcpip.sys

2006-10-09 01:16 506880 1d5b0b4d441f8543b0e899adadb83356 C:\WINDOWS\system32\winlogon.exe

2007-02-28 18:02 2059648 a1d5231403329478ae4fe2778c55c77f C:\WINDOWS\SoftwareDistribution\Download\47cec0c462f6cbdcf7ca5941c1ec0b4a\SP2GDR\ntkrnlpa.exe
2007-02-28 08:08 2061440 7a56a64eb50399613587e90292dd2aab C:\WINDOWS\SoftwareDistribution\Download\47cec0c462f6cbdcf7ca5941c1ec0b4a\SP2QFE\ntkrnlpa.exe
2006-10-09 01:36 2060160 dba3f9a6c596dc9fa91e73e5dc05c152 C:\WINDOWS\system32\ntkrnlpa.exe

2007-02-28 18:02 2182400 7d6d19aac51a4325f6039f083c22303c C:\WINDOWS\SoftwareDistribution\Download\47cec0c462f6cbdcf7ca5941c1ec0b4a\SP2GDR\ntoskrnl.exe
2007-02-28 18:08 2184192 8e244108562e0e452eb68dff64cb08a9 C:\WINDOWS\SoftwareDistribution\Download\47cec0c462f6cbdcf7ca5941c1ec0b4a\SP2QFE\ntoskrnl.exe
2006-10-09 01:24 2183168 3eaecccf7cdc8c871ac9f2faefdc42e9 C:\WINDOWS\system32\ntoskrnl.exe

2006-10-04 09:05 3116032 70342280d7bac042be4afdedc81c1ce7 C:\WINDOWS\explorer.exe
2007-06-13 15:22 1037312 d0288319660edcfed07c7e74c4ea38a5 C:\WINDOWS\SoftwareDistribution\Download\aa7b28efbf5e224a2f6b995008501967\SP2GDR\explorer.exe
2007-06-13 15:10 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\SoftwareDistribution\Download\aa7b28efbf5e224a2f6b995008501967\SP2QFE\explorer.exe

2006-10-09 01:20 57856 ad3d9d191aea7b5445fe1d82ffbb4788 C:\WINDOWS\system32\spoolsv.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VisualTaskTips"="C:\Windows\System32\VisualTaskTips.exe" [2006-07-05 36864]
"LClock"="C:\Program Files\LClock\lclock.exe" [2004-09-19 65536]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"UberIcon"="C:\Program Files\UberIcon\UberIcon Manager.exe" [2005-08-12 180224]
"uTorrent"="C:\Program Files\uTorrent\uTorrent.exe" [2008-10-08 270128]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]
"IncrediMail"="C:\Program Files\IncrediMail\bin\IncMail.exe" [2008-07-24 243072]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-09 5562368]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-09 86016]
"EPSON Stylus Photo R300 Series (Copie 1)"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE" [2003-09-11 99840]
"EPSON Stylus Photo R300 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE" [2003-09-11 99840]
"Vistadrv"="C:\WINDOWS\system32\Vistadrive\vsdrv.exe" [2006-07-30 121089]
"BigDogPath"="C:\WINDOWS\VM_STI.EXE" [2004-06-09 40960]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"SoundMan"="SOUNDMAN.EXE" [2006-10-09 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"WIAWizardMenu"="C:\WINDOWS\system32\sti_ci.dll" [2006-09-08 678912]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"UberIcon"="C:\Program Files\UberIcon\UberIcon Manager.exe" [2005-08-12 180224]
"VisualTaskTips"="C:\Windows\System32\VisualTaskTips.exe" [2006-07-05 36864]
"Vistadrv"="C:\Windows\System32\Vistadrive\vsdrv.exe" [2006-07-30 121089]
"TweakRAM"="C:\Program Files\TweakRAM\TweakRAM.exe" [2006-04-15 907264]
"LClock"="C:\Program Files\LClock\lclock.exe" [2004-09-19 65536]

C:\Documents and Settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\
D‚marrer Microsoft Office Outlook.lnk - C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE [2003-07-15 196152]
OpenOffice.org 2.2.lnk - C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe [2007-02-02 393216]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
TrayMin300.exe.lnk - C:\Program Files\Philips\SPC 200NC PC Camera\TrayMin200.exe [2007-05-14 278528]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer"= DrvTrNTm.dll
"wave"= DrvTrNTm.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Program Files\\Windows Media Player\\wmplayer.exe"=
"C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"C:\\Documents and Settings\\Administrateur\\Local Settings\\Application Data\\IM\\Runtime\\IncrediMail_Install.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\IncrediMail\\bin\\IncMail.exe"=
"C:\\Program Files\\IncrediMail\\bin\\ImApp.exe"=
"C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"17804:TCP"= 17804:TCP:*:Disabled:BitComet 17804 TCP
"17804:UDP"= 17804:UDP:*:Disabled:BitComet 17804 UDP

R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-10-09 9728]
R1 GhPciScan;GhostPciScanner;C:\Program Files\Symantec\Norton Ghost 2003\ghpciscan.sys [2003-05-28 5632]
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-12-29 26368]
S3 iMSPCLOj;iMSPCLOj;C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\iMSPCLOj.sys [ ]
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{65ff3dcb-3aaf-11d8-8446-000b6a2d1121}]
\Shell\Auto\command - bittorrent.exe e
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL
.
Contenu du dossier 'Tâches planifiées'

2008-08-28 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2007-06-03 14:42]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-WOOKIT - C:\PROGRA~1\Wanadoo\Shell.exe
HKLM-Run-SDFix - C:\DOCUME~1\ADMINI~1\Bureau\SDFIX~1\SDFix\RunThis.bats.bat
HKLM-Run-Cmaudio - cmicnfg.cpl
HKU-Default-RunOnce-nltide3 - rundll32 advpack.dll

.
------- Examen supplémentaire -------
.
FireFox -: Profile - C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\e0xhmmwt.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://orange.fr
FF -: plugin - C:\Documents and Settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF -: plugin - C:\Program Files\ACE Mega CoDecS Pack\SystemS\RealMedia\Browser\plugins\nppl3260.dll
FF -: plugin - C:\Program Files\ACE Mega CoDecS Pack\SystemS\RealMedia\Browser\plugins\nprpjplug.dll
FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npzylomgamesplayer.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-08 09:14:07
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2008-10-08 9:15:09
ComboFix-quarantined-files.txt 2008-10-08 07:14:58

Avant-CF: 22,822,739,968 octets libres
Après-CF: 22,811,688,960 octets libres

165
Encore merci pour cette abnégation !
Amicalement.
TYTY
0
Réponse 3 / 15
tyty22
 
Voici le rapport hijackthis que tu m'as demander.
Encore merçi.
Amicalement .
Tyty

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:20, on 12/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
C:\WINDOWS\VM_STI.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\System32\VisualTaskTips.exe
C:\Program Files\LClock\lclock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\UberIcon\UberIcon Manager.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Philips\SPC 200NC PC Camera\TrayMin200.exe
C:\Program Files\IncrediMail\bin\IMApp.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.BIN
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10MT2.EXE
C:\Program Files\IncrediMail\bin\IncMail.exe
C:\Documents and Settings\Administrateur\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredimail.com/french/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P40 "EPSON Stylus Photo R300 Series (Copie 1)" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [Vistadrv] C:\WINDOWS\system32\Vistadrive\vsdrv.exe
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC 200NC PC Camera
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [VisualTaskTips] C:\Windows\System32\VisualTaskTips.exe
O4 - HKCU\..\Run: [LClock] C:\Program Files\LClock\lclock.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKUS\S-1-5-19\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [VisualTaskTips] C:\Windows\System32\VisualTaskTips.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [Vistadrv] C:\Windows\System32\Vistadrive\vsdrv.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [TweakRAM] C:\Program Files\TweakRAM\TweakRAM.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [LClock] C:\Program Files\LClock\lclock.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'Default user')
O4 - Startup: Démarrer Microsoft Office Outlook.lnk = C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe
O4 - Startup: Pense-Bête 79f.lnk = C:\Program Files\Pense-bete\pb79f.exe
O4 - Global Startup: TrayMin300.exe.lnk = C:\Program Files\Philips\SPC 200NC PC Camera\TrayMin200.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
0
Réponse 4 / 15
tyty22
 
Mille fois merci pour ce travail de longue haleine, je me permettrais de dire que tu fais partie des "robins des bois" de l'informatique toujours prêts à aider les serfs du net à lutter contre les attaques malfaisantes de nombre de brigands...
Pour ce qui est d'incredimail, je suis étonné de ce que j'ai pu lire, je vais le désinstaller rapidement ! ! ! Et surtout, faire parvenir ce lien à tous mes proches qui s'en serve.
Sinon, je suis bien entendu preneur de tous conseils concernant la sécurité de mon pc.Tu noteras que je fonctionne essentiellement avec des gratuits plus par principe que par soucis d'économie, mais dans cette jungle, il est difficile de voir clairement.
Encore merci de tous ce travail,
Amicalement.
Tyty
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 15
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
Bonjour,

Merci de suivre la procédure suivante pour générer un rapport hijackthis qui me permettra de diagnostiquer le problème de ton ordinateur :

Télécharge hijackthis sur ton bureau : https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/

Une fois que tu l'auras installé, il va se lancer automatiquement : ferme le, puis va dans le menu démarrer --> Poste de travail --> disque local C --> Program Files --> Trend Micro --> Hijackthis --> cherche hijackthis.exe et fais un clic droit dessus --> renomme le en Jack.exe

Ensuite lance le et clique sur "Do a system scan and save a logfile".
Fais un copier-coller du rapport entier sur le forum

-1
tyty22
 
Merçi Anthony pour ton aide, tu trouveras ci-joint le rapport...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:21:25, on 05/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
C:\WINDOWS\VM_STI.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\LClock\lclock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\UberIcon\UberIcon Manager.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\yjwxqzat.exe
C:\Program Files\Philips\SPC 200NC PC Camera\TrayMin200.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.exe
C:\Program Files\IncrediMail\bin\IMApp.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.BIN
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\Program Files\IncrediMail\bin\IncMail.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Trend Micro\HijackThis\jack.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredimail.com/french/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P40 "EPSON Stylus Photo R300 Series (Copie 1)" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [Vistadrv] C:\WINDOWS\system32\Vistadrive\vsdrv.exe
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC 200NC PC Camera
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [VisualTaskTips] C:\Windows\System32\VisualTaskTips.exe
O4 - HKCU\..\Run: [LClock] C:\Program Files\LClock\lclock.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [syshlp] C:\WINDOWS\system32\yjwxqzat.exe
O4 - HKLM\..\Policies\Explorer\Run: [Jm0dLbFz8j] C:\Documents and Settings\All Users\Application Data\ebujglkh\ydubsxkx.exe
O4 - HKUS\S-1-5-19\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [VisualTaskTips] C:\Windows\System32\VisualTaskTips.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [Vistadrv] C:\Windows\System32\Vistadrive\vsdrv.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [TweakRAM] C:\Program Files\TweakRAM\TweakRAM.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [LClock] C:\Program Files\LClock\lclock.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'Default user')
O4 - Startup: Démarrer Microsoft Office Outlook.lnk = C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe
O4 - Startup: Pense-Bête 79f.lnk = C:\Program Files\Pense-bete\pb79f.exe
O4 - Global Startup: TrayMin300.exe.lnk = C:\Program Files\Philips\SPC 200NC PC Camera\TrayMin200.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O21 - SSODL: aplcom - {191AC1A7-66E5-1C75-D7C9-014D8DAD4EF2} - C:\Program Files\xsbbbfg\aplcom.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
0
Réponse 6 / 15
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
Ton ordinateur est encore infecté

Télécharge et installe Malwarebytes' Anti-Malware
- A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
- Lance MBAM, laisse les Mises à jour se télécharger et referme le programme

Redémarre en "Mode sans échec" : redémarre ton ordinateur et tapote sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows, et sélectionne "Mode sans échec". Choisis ta session habituelle

Lance MBAM
- Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
- Sélectionne tes disques durs" puis clique sur "Lancer l’examen"
- A la fin du scan, clique sur Afficher les résultats puis sur Enregistrer le rapport
- Suppression des éléments détectés --> clique sur Supprimer la sélection
- S'il t'es demandé de redémarrer, clique sur Yes

Poste le rapport de scan après la suppression ici

-1
tyty22
 
Voici le rapport de scan de MBAM, a priori, les messsages de prevention d'avira ne s'affichent plus...
Merçi de passer ton temps sur mon problème.Juste une petite questiion, les fichiers qui ont étés mis en quarantaine ou effacés ne manqueront-ils pas à un moment donné?Je ne comprends pas , vu le nombre d'éléments infectés ainsi que les fichiers supprimés, que mon pc tourne encore rond...(si tu as une reponse simple...)Encore merci de ton aide...
Tyty

:

Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1230
Windows 5.1.2600 Service Pack 2

05/10/2008 22:23:51
mbam-log-2008-10-05 (22-23-51).txt

Type de recherche: Examen complet (C:\|E:\|G:\|)
Eléments examinés: 118334
Temps écoulé: 1 hour(s), 27 minute(s), 57 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 17
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 3
Fichier(s) infecté(s): 63

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{191AC1A7-66E5-1C75-D7C9-014D8DAD4EF2} (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\dpcproxy (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logons (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\typelib (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\HOL5_VXIEWER.FULL.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Classes\applications\accessdiver.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fwbd (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\HolLol (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mslagent (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\iTunesMusic (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\rdriv (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\wkey (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\mwc (Malware.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\aplcom (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\syshlp (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SystemCheck2 (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\WINDOWS\mslagent (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Program Files\akl (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\smp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Program Files\xsbbbfg\aplcom.dll (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\yjwxqzat.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
C:\WINDOWS\mslagent\2_mslagent.dll (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS\mslagent\mslagent.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS\mslagent\uninstall.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Program Files\akl\akl.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Program Files\akl\akl.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Program Files\akl\uninstall.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Program Files\akl\unsetup.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\smp\msrc.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\syssetub.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\a.bat (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\base64.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\FVProtect.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\userconfig9x.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\winsystem.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\zip1.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\zip2.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\zip3.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\zipped.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\bdn.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\iTunesMusic.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\mssecu.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\akttzn.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\anticipator.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\awtoolb.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bdn.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bsva-egihsg52.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dpcproxy.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hoproxy.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hxiwlgpm.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hxiwlgpm.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msgp.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msnbho.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mssecu.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msvchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mtr2.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mwin32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\netode.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\newsd32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ps1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\psof1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\psoft1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\regc64.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\regm64.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Rundl1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sncntr.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ssurf022.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ssvchost.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ssvchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sysreq.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\taack.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\taack.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\temp#01.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\thun.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\thun32.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\VBIEWER.OCX (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vcatchpi.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winlogonpc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winsystem.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\WINWGPX.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vbsys2.dll (Trojan.Clicker) -> Quarantined and deleted successfully.
0
Réponse 7 / 15
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
Alors je vais commencer par répondre à tes questions (ensuite on continuera la désinfection, il reste probablement des traces).

"les messsages de prevention d'avira ne s'affichent plus"

==> C'est un fichier unique qui est à l'origine de tout ça. Il n'a pas été détecté par Antivir, et il a donc pu télécharger d'autres fichiers infectés (qui eux été détectés en partie, mais qui se réinstallaient ensuite)

"les fichiers qui ont étés mis en quarantaine ou effacés ne manqueront-ils pas à un moment donné?Je ne comprends pas , vu le nombre d'éléments infectés ainsi que les fichiers supprimés, que mon pc tourne encore rond"

==> En fait, tu devrais plutôt te demander comment ton pc tournait rond avec tous ces fichiers infectés qui utilisaient la mémoire de ton ordinateur en permanence... Ces fichiers ont été téléchargés par l'infection, ce ne sont pas des fichiers sains qui ont été infectés, ils peuvent donc être supprimé sans problème.

D'ailleurs puisqu'on parle de quarantaine, tu peux vider celle de MalwareBytes.

Suite de la désinfection :

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

• Puis, ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur une touche pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau rapport Hijackthis !

-1
tyty22
 
Voici le resultat de SD fix :

[b]SDFix: Version 1.231 [/b]
Run by Administrateur on 06/10/2008 at 09:04

Microsoft Windows XP [version 5.1.2600]
Running From: C:\Documents and Settings\Administrateur\Bureau\sd fix\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File
Restoring Missing Security Center Service

un icone s'est créer sur le bureau :
Catch me (doc notepad) une fois ouvert, le doc dit ceci :

file copied: C:\WINDOWS\system32\user32.dll -> C:\WINDOWS\system32\dllcache\user32.dll ( 578048 bytes )
0
tyty22 > tyty22
 
J'avais oublié : le rappport hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:29:52, on 06/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
C:\WINDOWS\VM_STI.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\System32\VisualTaskTips.exe
C:\Program Files\LClock\lclock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\UberIcon\UberIcon Manager.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Philips\SPC 200NC PC Camera\TrayMin200.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.BIN
C:\Program Files\IncrediMail\bin\IMApp.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Administrateur\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredimail.com/french/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P40 "EPSON Stylus Photo R300 Series (Copie 1)" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [Vistadrv] C:\WINDOWS\system32\Vistadrive\vsdrv.exe
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC 200NC PC Camera
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot
O4 - HKLM\..\Run: [SDFix] C:\DOCUME~1\ADMINI~1\Bureau\SDFIX~1\SDFix\RunThis.bats.bat /second
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [VisualTaskTips] C:\Windows\System32\VisualTaskTips.exe
O4 - HKCU\..\Run: [LClock] C:\Program Files\LClock\lclock.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKUS\S-1-5-19\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [VisualTaskTips] C:\Windows\System32\VisualTaskTips.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [Vistadrv] C:\Windows\System32\Vistadrive\vsdrv.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [TweakRAM] C:\Program Files\TweakRAM\TweakRAM.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [LClock] C:\Program Files\LClock\lclock.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'Default user')
O4 - Startup: Démarrer Microsoft Office Outlook.lnk = C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe
O4 - Startup: Pense-Bête 79f.lnk = C:\Program Files\Pense-bete\pb79f.exe
O4 - Global Startup: TrayMin300.exe.lnk = C:\Program Files\Philips\SPC 200NC PC Camera\TrayMin200.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
0
Réponse 8 / 15
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
On va utiliser Combofix pour finir la désinfection. Attention, ce logiciel est très puissant, une mauvaise utilisation peut faire des dégâts...

Fais exactement ce qui suit :

Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :
Fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix, choisis le bureau comme destination et valide : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu) le temps de la manipulation : en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!

Dans ton cas, il s'agit d'Antivir uniquement.

---> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre...

Tuto ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-clique sur C-Fix.exe (= combofix.exe ) .

Appuie sur une touche pour démarrer le scan .

Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer

Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp

-1
tyty22
 
Voici le rapport de combo fix, j'ai eu quelques soucis car j'ai pris le tuto comme base de travail, et j'aurais du regarder plutôt les conseils que tu m'a envoyé, car c'est grâce à eux que ca a marche...

ComboFix 08-10-05.05 - Administrateur 2008-10-06 11:36:24.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.454 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe

[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\Documents and Settings\Administrateur\Cookies\administrateur@news.fr.msn[1].txt
C:\WINDOWS\system32\rtl60.bpl
C:\WINDOWS\system32\sysdm.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-09-06 au 2008-10-06 ))))))))))))))))))))))))))))))))))))
.

2008-10-06 09:03 . 2008-10-06 09:03 578,048 --a--c--- C:\WINDOWS\system32\dllcache\user32.dll
2008-10-06 09:01 . 2008-10-06 09:01 <REP> d-------- C:\WINDOWS\ERUNT
2008-10-06 08:55 . 2008-10-04 03:11 <REP> d-------- C:\SDFix
2008-10-05 20:39 . 2008-10-05 20:39 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2008-10-05 20:39 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-05 20:39 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-05 20:38 . 2008-10-05 20:39 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-10-05 20:38 . 2008-10-05 20:38 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-10-05 20:28 . 2008-10-05 20:28 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-10-05 20:28 . 2008-10-05 20:28 1,409 --a------ C:\WINDOWS\QTFont.for
2008-10-05 14:44 . 2008-10-05 14:44 <REP> d-------- C:\Program Files\Trend Micro
2008-10-03 11:56 . 2008-10-05 22:23 <REP> d-------- C:\Program Files\xsbbbfg
2008-10-03 11:56 . 2008-10-04 18:41 <REP> d-------- C:\Documents and Settings\All Users\Application Data\ebujglkh
2008-09-18 17:55 . 2008-09-20 20:50 <REP> d-------- C:\Program Files\Free Video Converter
2008-09-12 22:17 . 2008-10-06 11:03 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-09-12 22:16 . 2008-10-03 13:32 <REP> d-------- C:\Program Files\Trojan Remover
2008-09-12 22:16 . 2008-09-12 22:16 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Simply Super Software
2008-09-12 22:16 . 2008-09-12 22:16 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Simply Super Software
2008-09-12 22:16 . 2006-05-25 15:52 162,304 --a------ C:\WINDOWS\system32\ztvunrar36.dll
2008-09-12 22:16 . 2003-02-02 20:06 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll
2008-09-12 22:16 . 2005-08-26 01:50 77,312 --a------ C:\WINDOWS\system32\ztvunace26.dll
2008-09-12 22:16 . 2002-03-06 01:00 75,264 --a------ C:\WINDOWS\system32\unacev2.dll
2008-09-12 22:16 . 2006-06-19 13:01 69,632 --a------ C:\WINDOWS\system32\ztvcabinet.dll
2008-09-12 21:55 . 2008-09-13 00:44 <REP> d-------- C:\Documents and Settings\Administrateur\iWizz
2008-09-12 21:54 . 2008-09-12 21:55 <REP> d-------- C:\Program Files\iWizz
2008-09-12 21:54 . 2008-09-12 21:55 <REP> d-------- C:\Documents and Settings\Administrateur\.bitrock

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-06 09:34 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\uTorrent
2008-10-06 09:34 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\OpenOffice.org2
2008-10-05 11:45 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-10-05 11:45 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-10-04 21:00 --------- d-----w C:\Program Files\Ad-Aware
2008-09-22 15:38 796,672 ----a-w C:\WINDOWS\GPInstall.exe
2008-09-02 19:35 --------- d-----w C:\Program Files\Zylom Games
2008-09-02 19:35 --------- d-----w C:\Documents and Settings\All Users\Application Data\Zylom
2008-08-23 12:17 --------- d-----w C:\Program Files\Lexmark X1100 Series
2008-08-22 20:56 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-08-22 20:56 --------- d-----w C:\Program Files\PC Inspector File Recovery
2008-08-22 20:15 --------- d-----w C:\Program Files\SoftLogica
2008-08-22 19:47 --------- d-----w C:\Program Files\ACE Mega CoDecS Pack
2008-08-21 20:09 --------- d-----w C:\Program Files\QuickTime
2008-08-21 20:04 --------- d-----w C:\Program Files\K-Lite Codec Pack
2008-08-21 19:45 --------- d-----w C:\Program Files\VideoLAN
2008-08-07 04:53 --------- d-----w C:\Program Files\IncrediMail
2007-12-30 22:28 461,946 ----a-w C:\Program Files\smart.exe
2007-11-27 08:26 24,130,866 ----a-w C:\Program Files\wmp11-windowsxp-x86-fr-fr.exe
2006-10-08 23:18 145,920 ----a-w C:\WINDOWS\inf\hdaudio.sys
2001-11-23 11:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
2006-07-29 18:18 112 --sha-w C:\WINDOWS\system32\Vistadrive\unistl.cmd
.
0
tyty22
 
J'ai du merdouiller sur le forum, je ne sais pas si la suite (après combofix) t'es parvenue.
amicalement
Tyty
0
Réponse 9 / 15
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
Non il manque la fin du rapport
Tu peux le retrouver à la racine du disque dur (C:\Combofix.txt)

-1
tyty22
 
j' ai recopier le c:/combofix0.txtComboFix, le voici :

08-10-05.05 - Administrateur 2008-10-06 11:36:24.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.454 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe

[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\Documents and Settings\Administrateur\Cookies\administrateur@news.fr.msn[1].txt
C:\WINDOWS\system32\rtl60.bpl
C:\WINDOWS\system32\sysdm.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-09-06 au 2008-10-06 ))))))))))))))))))))))))))))))))))))
.

2008-10-06 09:03 . 2008-10-06 09:03 578,048 --a--c--- C:\WINDOWS\system32\dllcache\user32.dll
2008-10-06 09:01 . 2008-10-06 09:01 <REP> d-------- C:\WINDOWS\ERUNT
2008-10-06 08:55 . 2008-10-04 03:11 <REP> d-------- C:\SDFix
2008-10-05 20:39 . 2008-10-05 20:39 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2008-10-05 20:39 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-05 20:39 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-05 20:38 . 2008-10-05 20:39 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-10-05 20:38 . 2008-10-05 20:38 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-10-05 20:28 . 2008-10-05 20:28 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-10-05 20:28 . 2008-10-05 20:28 1,409 --a------ C:\WINDOWS\QTFont.for
2008-10-05 14:44 . 2008-10-05 14:44 <REP> d-------- C:\Program Files\Trend Micro
2008-10-03 11:56 . 2008-10-05 22:23 <REP> d-------- C:\Program Files\xsbbbfg
2008-10-03 11:56 . 2008-10-04 18:41 <REP> d-------- C:\Documents and Settings\All Users\Application Data\ebujglkh
2008-09-18 17:55 . 2008-09-20 20:50 <REP> d-------- C:\Program Files\Free Video Converter
2008-09-12 22:17 . 2008-10-06 11:03 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-09-12 22:16 . 2008-10-03 13:32 <REP> d-------- C:\Program Files\Trojan Remover
2008-09-12 22:16 . 2008-09-12 22:16 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Simply Super Software
2008-09-12 22:16 . 2008-09-12 22:16 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Simply Super Software
2008-09-12 22:16 . 2006-05-25 15:52 162,304 --a------ C:\WINDOWS\system32\ztvunrar36.dll
2008-09-12 22:16 . 2003-02-02 20:06 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll
2008-09-12 22:16 . 2005-08-26 01:50 77,312 --a------ C:\WINDOWS\system32\ztvunace26.dll
2008-09-12 22:16 . 2002-03-06 01:00 75,264 --a------ C:\WINDOWS\system32\unacev2.dll
2008-09-12 22:16 . 2006-06-19 13:01 69,632 --a------ C:\WINDOWS\system32\ztvcabinet.dll
2008-09-12 21:55 . 2008-09-13 00:44 <REP> d-------- C:\Documents and Settings\Administrateur\iWizz
2008-09-12 21:54 . 2008-09-12 21:55 <REP> d-------- C:\Program Files\iWizz
2008-09-12 21:54 . 2008-09-12 21:55 <REP> d-------- C:\Documents and Settings\Administrateur\.bitrock

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-06 09:34 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\uTorrent
2008-10-06 09:34 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\OpenOffice.org2
2008-10-05 11:45 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-10-05 11:45 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-10-04 21:00 --------- d-----w C:\Program Files\Ad-Aware
2008-09-22 15:38 796,672 ----a-w C:\WINDOWS\GPInstall.exe
2008-09-02 19:35 --------- d-----w C:\Program Files\Zylom Games
2008-09-02 19:35 --------- d-----w C:\Documents and Settings\All Users\Application Data\Zylom
2008-08-23 12:17 --------- d-----w C:\Program Files\Lexmark X1100 Series
2008-08-22 20:56 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-08-22 20:56 --------- d-----w C:\Program Files\PC Inspector File Recovery
2008-08-22 20:15 --------- d-----w C:\Program Files\SoftLogica
2008-08-22 19:47 --------- d-----w C:\Program Files\ACE Mega CoDecS Pack
2008-08-21 20:09 --------- d-----w C:\Program Files\QuickTime
2008-08-21 20:04 --------- d-----w C:\Program Files\K-Lite Codec Pack
2008-08-21 19:45 --------- d-----w C:\Program Files\VideoLAN
2008-08-07 04:53 --------- d-----w C:\Program Files\IncrediMail
2007-12-30 22:28 461,946 ----a-w C:\Program Files\smart.exe
2007-11-27 08:26 24,130,866 ----a-w C:\Program Files\wmp11-windowsxp-x86-fr-fr.exe
2006-10-08 23:18 145,920 ----a-w C:\WINDOWS\inf\hdaudio.sys
2001-11-23 11:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
2006-07-29 18:18 112 --sha-w C:\WINDOWS\system32\Vistadrive\unistl.cmd
.
0
tyty22
 
Je n'avais pas vérifier avant d'envoyer le second fichier, a proiro, c'est le même que le précédent, c'est bien le fichier :
c:\Combofix\Combofix.txt que j'ai joint.

il termine par la ligne :
2006-07-29 18:18 112 --sha-w C:\WINDOWS\system32\Vistadrive\unistl.cmd
.
0
Réponse 10 / 15
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
Dans ce cas supprime ce rapport ainsi que Combofix, puis télécharge le à nouveau et recommence stp (n'oublie pas de ne garder aucune fenêtre ouverte et de ne rien faire pendant l'analyse, et pense à désactiver ton antivirus)

Puis poste le nouveau rapport

-1
Réponse 11 / 15
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
Petite question :

Est-ce qu'il y a plusieurs sessions sur cette ordinateur ? Si oui, est-ce que tu es bien sur une session ayant les droits d'administrateurs, ou une session limitée ?

Si le problème ne vient pas de là :

1) Télécharge ToolsCleaner sur ton bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé : ToolsCleaner
Lance le, clique sur Recherche et laisse le scan se finir, puis clique sur Suppression pour nettoyer.
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
S'il ne supprime pas tout, supprime manuellement ce qui reste.

2) Redémarre ton ordinateur puis télécharge à nouveau ComboFix.exe en pensant bien à le renommer en C-Fix.exe avant de le lancer

Si ça ne fonctionne toujours pas, on utilisera un autre logiciel :(

-1
Réponse 12 / 15
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
Désolé pour cette réponse tardive :

Toujours avec toutes les protections désactivées, fais ceci :

Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------

Folder::
C:\Program Files\xsbbbfg
C:\Documents and Settings\All Users\Application Data\ebujglkh

------------------------------------------------------------------

- Enregistre ce fichier sur ton bureau (et pas ailleurs !) sous le nom CFScript.txt
- Quitte le Bloc Notes

· Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme sur ce lien :
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

* Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort), tape 1 puis valide.
* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

-1
tyty22
 
Il n'y a pas de problème quand à la réponse tardive, j'ai effectuer les manips comme prevue, juste que je n'ai pas eu la fenetre bleue avec type 1 to continue or 2 to abort, c'etait un ecran de prevention sur la non-garantie du logiciel (en francais), et ca a afficher ce rapport :
ComboFix 08-10-10.09 - Administrateur 2008-10-11 17:59:14.8 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.452 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\Administrateur\Bureau\C.fix.exe
Commutateurs utilisés :: C:\Documents and Settings\Administrateur\Bureau\CFScript.txt
* Un nouveau point de restauration a été créé

[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Application Data\ebujglkh
C:\Documents and Settings\All Users\Application Data\ebujglkh\ydubsxkx.VIR
C:\Program Files\xsbbbfg

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-09-11 au 2008-10-11 ))))))))))))))))))))))))))))))))))))
.

2008-10-06 09:03 . 2008-10-06 09:03 578,048 --a--c--- C:\WINDOWS\system32\dllcache\user32.dll
2008-10-06 09:01 . 2008-10-08 09:02 <REP> d-------- C:\WINDOWS\ERUNT
2008-10-05 20:39 . 2008-10-05 20:39 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2008-10-05 20:38 . 2008-10-05 20:38 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-10-05 20:28 . 2008-10-09 11:50 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-10-05 20:28 . 2008-10-05 20:28 1,409 --a------ C:\WINDOWS\QTFont.for
2008-10-05 14:44 . 2008-10-08 09:02 <REP> d-------- C:\Program Files\Trend Micro
2008-09-18 17:55 . 2008-09-20 20:50 <REP> d-------- C:\Program Files\Free Video Converter
2008-09-12 22:17 . 2008-10-06 11:03 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-09-12 21:55 . 2008-09-13 00:44 <REP> d-------- C:\Documents and Settings\Administrateur\iWizz
2008-09-12 21:54 . 2008-09-12 21:55 <REP> d-------- C:\Program Files\iWizz
2008-09-12 21:54 . 2008-09-12 21:55 <REP> d-------- C:\Documents and Settings\Administrateur\.bitrock

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-11 15:58 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\uTorrent
2008-10-11 13:55 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\OpenOffice.org2
2008-10-05 11:45 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-10-04 21:00 --------- d-----w C:\Program Files\Ad-Aware
2008-09-22 15:38 796,672 ----a-w C:\WINDOWS\GPInstall.exe
2008-09-02 19:35 --------- d-----w C:\Documents and Settings\All Users\Application Data\Zylom
2008-08-23 12:17 --------- d-----w C:\Program Files\Lexmark X1100 Series
2008-08-22 20:56 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-08-22 20:56 --------- d-----w C:\Program Files\PC Inspector File Recovery
2008-08-22 20:15 --------- d-----w C:\Program Files\SoftLogica
2008-08-22 19:47 --------- d-----w C:\Program Files\ACE Mega CoDecS Pack
2008-08-21 20:09 --------- d-----w C:\Program Files\QuickTime
2008-08-21 20:04 --------- d-----w C:\Program Files\K-Lite Codec Pack
2008-08-21 19:45 --------- d-----w C:\Program Files\VideoLAN
2007-12-30 22:28 461,946 ----a-w C:\Program Files\smart.exe
2007-11-27 08:26 24,130,866 ----a-w C:\Program Files\wmp11-windowsxp-x86-fr-fr.exe
2006-10-08 23:18 145,920 ----a-w C:\WINDOWS\inf\hdaudio.sys
2001-11-23 11:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
2006-07-29 18:18 112 --sha-w C:\WINDOWS\system32\Vistadrive\unistl.cmd
.

------- Sigcheck -------

2007-03-08 17:37 578560 753354f594809a9b96f73999b435a533 C:\WINDOWS\SoftwareDistribution\Download\807aa275a612b3508a3d1d613bbf6226\SP2GDR\user32.dll
2007-03-08 17:50 579072 4d88aaf39adabfe45958ea1384e2c4ff C:\WINDOWS\SoftwareDistribution\Download\807aa275a612b3508a3d1d613bbf6226\SP2QFE\user32.dll
2006-10-09 01:19 578048 c1ba2463a2689d0ee0375de076454248 C:\WINDOWS\system32\user32.dll
2008-10-06 09:03 578048 c1ba2463a2689d0ee0375de076454248 C:\WINDOWS\system32\dllcache\user32.dll

2006-10-09 01:26 360576 b2220c618b42a2212a59d91ebd6fc4b4 C:\WINDOWS\system32\drivers\tcpip.sys

2006-10-09 01:16 506880 1d5b0b4d441f8543b0e899adadb83356 C:\WINDOWS\system32\winlogon.exe

2007-02-28 18:02 2059648 a1d5231403329478ae4fe2778c55c77f C:\WINDOWS\SoftwareDistribution\Download\47cec0c462f6cbdcf7ca5941c1ec0b4a\SP2GDR\ntkrnlpa.exe
2007-02-28 08:08 2061440 7a56a64eb50399613587e90292dd2aab C:\WINDOWS\SoftwareDistribution\Download\47cec0c462f6cbdcf7ca5941c1ec0b4a\SP2QFE\ntkrnlpa.exe
2006-10-09 01:36 2060160 dba3f9a6c596dc9fa91e73e5dc05c152 C:\WINDOWS\system32\ntkrnlpa.exe

2007-02-28 18:02 2182400 7d6d19aac51a4325f6039f083c22303c C:\WINDOWS\SoftwareDistribution\Download\47cec0c462f6cbdcf7ca5941c1ec0b4a\SP2GDR\ntoskrnl.exe
2007-02-28 18:08 2184192 8e244108562e0e452eb68dff64cb08a9 C:\WINDOWS\SoftwareDistribution\Download\47cec0c462f6cbdcf7ca5941c1ec0b4a\SP2QFE\ntoskrnl.exe
2006-10-09 01:24 2183168 3eaecccf7cdc8c871ac9f2faefdc42e9 C:\WINDOWS\system32\ntoskrnl.exe

2006-10-04 09:05 3116032 70342280d7bac042be4afdedc81c1ce7 C:\WINDOWS\explorer.exe
2007-06-13 15:22 1037312 d0288319660edcfed07c7e74c4ea38a5 C:\WINDOWS\SoftwareDistribution\Download\aa7b28efbf5e224a2f6b995008501967\SP2GDR\explorer.exe
2007-06-13 15:10 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\SoftwareDistribution\Download\aa7b28efbf5e224a2f6b995008501967\SP2QFE\explorer.exe

2006-10-09 01:20 57856 ad3d9d191aea7b5445fe1d82ffbb4788 C:\WINDOWS\system32\spoolsv.exe
.
((((((((((((((((((((((((((((( snapshot@2008-10-08_ 9.14.32.87 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-10-11 13:55:41 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_5f4.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VisualTaskTips"="C:\Windows\System32\VisualTaskTips.exe" [2006-07-05 36864]
"LClock"="C:\Program Files\LClock\lclock.exe" [2004-09-19 65536]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"UberIcon"="C:\Program Files\UberIcon\UberIcon Manager.exe" [2005-08-12 180224]
"uTorrent"="C:\Program Files\uTorrent\uTorrent.exe" [2008-10-08 270128]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]
"IncrediMail"="C:\Program Files\IncrediMail\bin\IncMail.exe" [2008-07-24 243072]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-09 5562368]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-09 86016]
"EPSON Stylus Photo R300 Series (Copie 1)"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE" [2003-09-11 99840]
"EPSON Stylus Photo R300 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE" [2003-09-11 99840]
"Vistadrv"="C:\WINDOWS\system32\Vistadrive\vsdrv.exe" [2006-07-30 121089]
"BigDogPath"="C:\WINDOWS\VM_STI.EXE" [2004-06-09 40960]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"SoundMan"="SOUNDMAN.EXE" [2006-10-09 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"WIAWizardMenu"="C:\WINDOWS\system32\sti_ci.dll" [2006-09-08 678912]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"UberIcon"="C:\Program Files\UberIcon\UberIcon Manager.exe" [2005-08-12 180224]
"VisualTaskTips"="C:\Windows\System32\VisualTaskTips.exe" [2006-07-05 36864]
"Vistadrv"="C:\Windows\System32\Vistadrive\vsdrv.exe" [2006-07-30 121089]
"TweakRAM"="C:\Program Files\TweakRAM\TweakRAM.exe" [2006-04-15 907264]
"LClock"="C:\Program Files\LClock\lclock.exe" [2004-09-19 65536]

C:\Documents and Settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\
D‚marrer Microsoft Office Outlook.lnk - C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE [2003-07-15 196152]
OpenOffice.org 2.2.lnk - C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe [2007-02-02 393216]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
TrayMin300.exe.lnk - C:\Program Files\Philips\SPC 200NC PC Camera\TrayMin200.exe [2007-05-14 278528]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer"= DrvTrNTm.dll
"wave"= DrvTrNTm.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Program Files\\Windows Media Player\\wmplayer.exe"=
"C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"C:\\Documents and Settings\\Administrateur\\Local Settings\\Application Data\\IM\\Runtime\\IncrediMail_Install.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\IncrediMail\\bin\\IncMail.exe"=
"C:\\Program Files\\IncrediMail\\bin\\ImApp.exe"=
"C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"17804:TCP"= 17804:TCP:*:Disabled:BitComet 17804 TCP
"17804:UDP"= 17804:UDP:*:Disabled:BitComet 17804 UDP

R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-10-09 9728]
R1 GhPciScan;GhostPciScanner;C:\Program Files\Symantec\Norton Ghost 2003\ghpciscan.sys [2003-05-28 5632]
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-12-29 26368]
S3 iMSPCLOj;iMSPCLOj;C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\iMSPCLOj.sys [ ]
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{65ff3dcb-3aaf-11d8-8446-000b6a2d1121}]
\Shell\Auto\command - bittorrent.exe e
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL
.
Contenu du dossier 'Tâches planifiées'

2008-08-28 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2007-06-03 14:42]
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-11 18:00:20
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2008-10-11 18:01:24
ComboFix-quarantined-files.txt 2008-10-11 16:01:10
ComboFix2.txt 2008-10-08 07:15:11

Avant-CF: 22 697 226 240 octets libres
Après-CF: 22,710,517,760 octets libres

156
Merçi encore de ton acharnement, et bon week-end..
Amicalement .
Tyty
0
Réponse 13 / 15
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
C'est parfait, peux-tu poster un dernier rapport hijackthis stp ?

-1
Réponse 14 / 15
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
Ton ordinateur n'est plus infecté ;)

Par contre, je vois que tu as Incredimail sur ton ordinateur : un peu de lecture sur ce logiciel à bannir...

Sinon je peux t'aider à sécuriser davantage ton ordinateur, si tu le souhaites ?

-1
Réponse 15 / 15
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
De rien, c'était un plaisir de t'aider :)
Pour Incredimail, il y a des conseils pour la désinstallation dans le lien que je t'ai donné : en plus de tous les autres problèmes, Incredimail est difficile à désinstaller complètement...

A part ça, ton ordinateur n'est plus infecté ;)

Avant de retourner surfer sur internet, il y a quelques petites choses que tu dois faire pour finir le nettoyage et améliorer sensiblement la sécurité de ton ordinateur, ça t'évitera peut-être de devoir revenir ici avec une nouvelle infection dans le futur ;) Mais sache qu'aucun logiciel de sécurité ne te protègera à 100%, ce qui fait la différence, c'est ta vigilance lorsque tu télécharges ou installes quelque chose : pour en savoir plus, je t'invite à bien lire la page indiquée tout en bas de ce message (6).

1) Sécurise ton ordinateur

- Anti-virus :
Antivir est un excellent choix, garde le. Juste un petit réglage à faire :
Double clique sur l'icone d'Antivir près de l'horloge --> Configuration --> Coche « expert mode » --> coche « Search for rootkits before scan » (= « rech. rootkits au dem. de la recherche » dans les versions françaises)

- Pare-feu :
Tu n’as apparemment aucun pare-feu (sauf peut-être celui de Windows, qui est inefficace et ne filtre pas les connections sortantes utilisées par beaucoup d'infections...) : Télécharges-en un vrai. En gratuit, les plus simples sont ZoneAlarm, Kerio et Pc Tools. Tu peux t'aider des tuto suivants pour utiliser celui que tu choisiras :
- Tutoriel PcTools
- Tutoriel Kerio

- Anti-spyware :
Tu n'as apparemment pas d'anti-spyware actif :
* Installe Spyware Blaster : il ne prend pas de mémoire, c'est juste un logiciel qui vaccine ton pc contre certaines infections. Il faut le mettre à jour manuellement, tous les 10 jours environ, et activer toutes les protections (« Enable all protection »)
* En complément, garde MalwareBytes pour son scan de nettoyage performant.

- Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille d’installer et d'utiliser le navigateur Firefox 3 avec l’extension « AdBlockPlus ». Tu peux trouver des explications ici

- Internet Explorer n'est pas à jour, c'est une faille de sécurité (même si tu ne l'utilises pas).
Menu démarrer --> Windows update --> recherche et installe toutes les mises à jour importantes.
[Sauf si, comme ton rapport le laisse penser, ta version de Windows est non-officielle...]

- Java n'est pas à jour, c'est une faille de sécurité.
Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes et désinstalle les. Télécharge et installe la nouvelle version depuis le site officiel de java : https://java.com/fr/

2) Relance Hijackthis (pour la dernière fois), fais "scan system only" et coche ces lignes (pas dangereuses mains inutiles) :

O2 - BHO: (no name) - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c (si elle apparaît encore après la désinstallation)

Si tu as bien mis à jour Adobe Reader comme je te l'ai recommandé, cette ligne devrait apparaitre, tu peux la cocher : O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

Coche également toutes les lignes commençant par 016

Ensuite, clique sur "Fix checked"

3) Télécharge ToolsCleaner sur ton bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé : ToolsCleaner
Lance le, clique sur Recherche et laisse le scan se finir, puis clique sur Suppression pour nettoyer.
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
S'il ne supprime pas tout (ex : Combofix), supprime manuellement ce qui reste.

4) Télécharge et installe CCleaner (attention à l'installation, pense à DECOCHER l'installation de Yahoo toolbar discrètement proposé en plus de CCleaner).

Lance CCleaner
Option --> avancé --> décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis nettoyeur --> Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Relance le nettoyage une deuxième fois.

Enfin, registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

(Tu peux garder ce logiciel et l'utiliser régulièrement).

5) Pour finir le nettoyage, il faut désactiver puis réactiver la restauration système (pour créer un nouveau point de restauration sain et éviter le retour de l'infection).

* Fais un clic droit sur poste de travail (qui est sur ton bureau ou dans le menu démarrer), puis propriétés.
* Sélectionne l'onglet restauration du système
* Coche l'option Désactiver la restauration du système sur tous les lecteurs
* Clique sur OK.

Puis refais la manipulation inverse pour réactiver la restauration système.

6) Je t'invite enfin à visiter cette page qui t'apportera des information de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile):
Prévention et sécurité sur internet

7) Enfin, si tu n as pas d'autres problèmes, tu peux changer le statut du sujet en résolu : Aide

Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)
-1

Discussions similaires

télécharger driver imprimante hp deskjet 2050
baya 24 -
ZiziEnRute92 -

7 réponses
pilote pour mon imprimante hp deskjet 2050 j510 series
Sambiri -
kaneagle -

1 réponse
Installer une imprimante sans le CD d'installation
soleil03110 -
xplom -

1 réponse
panne vdo pn 2050
joss73 -
seb -

3 réponses
installation imprimante hp2050
sir aime -
Traxmix -

2 réponses