Bien des PC à nettoyer... :(

Question

Bien le bonjour la communauté ! :)
Je suis, je pense pouvoir le dire ainsi, un utilisateur plutôt confirmé :D
Malgré cela je fréquente très souvent les forums d'aide et à fortiori celui de "CommentCaMarche" très pertinent en la matière !
Venons-en à mon problème donc :
 Je suis au fil du temps devenu (par défaut lol) un "urgentiste du PC"...
Le souci, c'est que mes compétences me paraissent bien trop limitées !!
Alors en résumé : quelle approche avoir quand avast détecte une "anomalie", quelle analyse avoir pour distinguer Trojans, de Malwares, Spyware, Keylogger, Worms et autre comparses ?...
Je souhaiterais aussi pouvoir interpréter des rapports comme en un celui de HiJackThis mais aussi celui des autres outils d'analyse et de gestion diverses (si quelqu'un a le goût de poster une petite liste plutôt EXHAUSTIVE ;) avec une raison aux ordres chronologiques d'utilisation; il est le bienvenue !).
Sans quoi, un éclaircissement sur le fonctionnement de la restauration, couplée ou non ?! au mode sans échec me serait aussi précieux pour les SE XP et VISTA ;)
Bien des bonnes choses à tous.
J'ai hâte de pouvoir en dire plus, préciser après avoir reçu une voir des réponses à mon post :)
@+

PC_Doctor_lol · Answer

P't'être bien un élément de début de réponse ! ;)
http://www.hijackthis.de/fr
un "Expert" me lira sans doute... :D

Gabess · Answer

Salut,

Je suis avec intérêt ce post, mais je ne pourrai pas t'apporter de précisions ...
A mon avis, il doit exister toute la doc nécessaire sur hijackthis en cherchant un peu sur google ...
Par contre, étant dans le même cas que toi ("allo, tu peux passer, mon pc marche plus ?"), j'ai fini par utiliser la solution de la prévention sur les pc de mes proches (AVG+firewall windows+Spybot à executer tous les mois+résident spybot)
Depuis que j'ai fait ca, on me laisse tranquille, du moins en ce qui concerne les virus.

PC_Doctor_lol · Answer

Salut Gabess,
Ravi de voir que nous sommes maintenant deux à être rattachés à la pertinence de ce post :)
N'étant pas des plus urgents... (quoi que ?! j'ai un portable sur un parc dont un malware type Rootkit revient périodiquement !!) j'espère qu'il pourra trouver résonnance auprès du plus grand nombre mais aussi surtout qu'il ne fait pas trop redondance avec des infos que je n'aurais pas vues ;) lol
Ceci est une affaire à suivre !! :)

Pour te répondre sans quoi, plutôt qu'AVG, je fais le choix d'Avast... Qui a quelquechose à en dire ou à rajouter ?
Concernat le firewall de windows... il se retrouve trop souvent désactivé pour moi (cf. utlisations multiples !! ;) lol);
je lui préfèrre donc ZoneAlarm mais de même tout point de vue est le bienvenu !!!
Pour ce qui est de Spybot je l'utilise aussi, mais pour autrui, quand il est en résident, c'est vite un "j'autorise ou non la modification de la clé de registe" qui vient trop souvent retentir à mon oreille via le combiné !!

@+ tutti

Gabess · Answer

J'utilisais aussi ZoneAlarm, mais il s'est avéré que le firewallwindows remplissait plus ou moins la même utilité, en étant transparent pour l'utilisateur ...
Je ne l'utiliserai quand même pas pour protéger des serveurs sensibles en entreprise, c'est sur ... mais pour un particulier, je trouve que ca suffit.
J'ai entendu très récemment (enfin lu plutôt) de très mauvais commentaires sur la fiabilité d'avast ... apparemment ce leader de l'antivirus gratuit s'est un peu reposé sur ses lauriers est s'est transformé en passoire ...
Pour l'autorisation des clés de registre, je dis à mes ""clients"" : "quand tu es en train d'installer, ou de déinstaller un logiciel, ou pour une mise à jour windows/logiciel, tu cliques sur oui. Non si tu as une notification sans que tu y sois pour quelque chose" ... Ils ont retenu la leçon ...

PC_Doctor_lol · Answer

Et bien concernant Avast face à AVG, ton avis (reposant sur lectures) est posé !
J'espère que d'autres viendront ;)
Mon problème vient donc peut-être de là !

Disons donc : Question 1 = Le choix de l'antivirus (gratuité ?...)
                   Question 2 = Le firewall de windows ou un autre ?


Sinon, je suis trop d'accord (et te rejoint) quand à la gestion quotidienne du Spybot Résident; si ce n'est quand la personne me demande pour savoir si elle doit mettre à jour Adobe Reader et si c'est gratuit !! alors qu'elle utilise quotidiennement des .pdf !!! lol

Voyons la suite...
@+

PC_Doctor_lol · Answer

Re,
Voici donc un premier log HiJackThis pour faire école peut-être ? ;)
Pour commencer le malware CKVO je crois savoir...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:42:25, on 13/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Wireless Console 2\wcourier.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe
C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\WINDOWS\sm56hlpr.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\NWTRAY.EXE
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\vptray.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\ASUS\Asus ChkMail\ChkMail.exe
C:\Program Files\Labtec NumPad\Magickey.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Program Files\mozilla.org\SeaMonkey\seamonkey.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://rechercher.orange.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://imp.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Wireless Console 2] C:\Program Files\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] "C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe"
O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [ASUS Live Update] C:\Program Files\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [ABLKSR] C:\WINDOWS\ABLKSR\ABLKSR.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [vptray] C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\vptray.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: ASUS ChkMail.lnk = C:\Program Files\ASUS\Asus ChkMail\ChkMail.exe
O4 - Global Startup: Enable Labtec NumPad.lnk = C:\Program Files\Labtec NumPad\Magickey.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.asus.com/fr/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{17158AD5-D9CF-49B0-8018-DF4AA356EA2D}: NameServer = 212.27.53.252,212.27.54.252
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINDOWS\system32\cusrvc.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

PC_Doctor_lol · Answer

O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe
	
Genre
	
Nasty
Nasty
	Programme inconnu. This entry was classified from our visitors as bad.

Voici la seule "croix rouge" (et non "coche verte) éditer par http://www.hijackthis.de/fr
Faut'il donc simplement regarder dans cette direction ? (cf. ligne en gras ... en O4)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:42:25, on 13/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Wireless Console 2\wcourier.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe
C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\WINDOWS\sm56hlpr.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\NWTRAY.EXE
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\vptray.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\ASUS\Asus ChkMail\ChkMail.exe
C:\Program Files\Labtec NumPad\Magickey.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Program Files\mozilla.org\SeaMonkey\seamonkey.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://rechercher.orange.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://imp.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Wireless Console 2] C:\Program Files\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] "C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe"
O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [ASUS Live Update] C:\Program Files\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [ABLKSR] C:\WINDOWS\ABLKSR\ABLKSR.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [vptray] C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\vptray.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: ASUS ChkMail.lnk = C:\Program Files\ASUS\Asus ChkMail\ChkMail.exe
O4 - Global Startup: Enable Labtec NumPad.lnk = C:\Program Files\Labtec NumPad\Magickey.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.asus.com/fr/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{17158AD5-D9CF-49B0-8018-DF4AA356EA2D}: NameServer = 212.27.53.252,212.27.54.252
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINDOWS\system32\cusrvc.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

PC_Doctor_lol · Answer

Alors je reviens un peu...
Je ferais aussi pour suivre dans l'énumération de noms !!
Qui se sent prêt à se frotter à une mini rédaction les intégrant, une sorte de tuto généraliste, voir une pitite méthodo ! ;)

Hoster malwarebyte smitfraudfix combofix adaware asquared ccleaner spybot ...

J'espère être suffisamment clair quand à l'orientation de mon topic :
une approche un peu plus globale et personnelle des virus informatiques
avec un portable infesté pour l'exemple

@+

PC_Doctor_lol · Answer

Pitite parenthèse pour la question 1 : choix de l'antivirus et si je parlais d'Antivir (english version only ?) au milieu d'AVG et Avast ?! ...

PC_Doctor_lol · Answer

Bonjour,
J'espère qu'au delà de ma recherche globale... quelqu'un pourra jeter un œil à mes deux log HJT ?!...
Un grand merci par avance...

PC_Doctor_lol · Answer

Un petit coup de main possible ? :)

Destrio5 · Answer

Salut,

"O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe"
---> C'est une infection.

--> Télécharge UsbFix (de Chiquitine29) sur ton Bureau :
http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe

--> Lance l'installation avec les paramètres par défaut.

--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.

--> Double-clique sur le raccourci UsbFix sur ton Bureau.

--> Le PC va redémarrer.

--> Après redémarrage, poste le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.

(Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)

PC_Doctor_lol · Answer

Un grand merci pour cette procédure Destrio5
J'aurais ce portable sous la main demain seulement mais je ferais cela ;)
J'ai d'ors et déjà supprimer quelques petites chose avec ~"malwarebyte"
Sans quoi je pêux te demander pour ce qui est de l'identité plus précise de cette infection ?

Destrio5 · Answer

http://www.malekal.com/amvo_tavo_kavo_Trojan.PWS.Onlinegames.php

PC_Doctor_lol · Answer

Trop classe !
Je cherchais ce type d'infos !!
Pardon si c'est une question bête mais ckvo c'est identique à amvo_tavo_kavo ?
Ce Trojan.PWS.Onlinegames.NXE (lié au jeu Word of Warcraft) décline d'autre noms en 4 lettres dont les 2 dernières sont "vo" ??
Sinon, dans le cas où tu aurais d'autres sites de ce type... je suis trop preneur
mais je vais aussi me constituer une bibliothèque de virus et traitements ! ;)
Et ce une chose déjà existante ?

Utilisateur anonyme · Answer

Salut 

pour suivre merci

sKe69 · Answer

Salut,

je vais aussi me constituer une bibliothèque de virus 

ceci t'aiguillera :
http://www.malekal.com/guide_supression_spywares.php
http://www.malekal.com/outils_supprimer_spywares.php#mozTocId918714

et pour aider à vérifier la légitimité des différents élements d'un hijackthis :
https://www.systemlookup.com/lists.php
si dispo : http://www.castlecops.com/CLSID.html


A+  ;)

PC_Doctor_lol · Answer

Bonjour,
Désolé de n'avoir pu repasser plus tôt.
Concernant le nettoyage de l'ASUS A6J d'une collègue, j'ai procèdé comme indiqué par Destrio5 avec UsbFix (merci à toi Chiquitine29).
Voici le rapport :
 

-------------- UsbFix V1.095 ---------------

* User : claire - NOM-93487D094C6
* Outils mis a jours le 15/10/2008 par Chiquitine29
* Recherche effectuée à 15:58:39 le 15/10/2008
* Windows Xp - Internet Explorer 7.0.5730.11 
  
  
--------------- [ Processus actifs ] ----------------   
  
 
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\userinit.exe
C:\DOCUME~1\Claire\LOCALS~1\Temp\1.tmp\b2e.exe
C:\WINDOWS\ATK0100\HControl.exe
  
--------------- [ Informations lecteurs ] ----------------   
  
C: - Lecteur fixe

D: - Lecteur fixe

F: - Lecteur amovible

 
+- Contenu de l'autorun : C:\autorun.inf  

;LAeJ4i3mof01waD2A33SlDwsa4qLj4kkAka
[AutoRun]
;m3ZdKasf2pJs9KikJl70s2akiwj120k11e9337DiAiskDnDJAsLrKf2Cl0AaasweSsaoSk34AqK6Ldek5wHp
open=pnt.com
;8KFlwlS4L22odrw1904023sis4kawaaidDSw2jsK3wsO0HJorDpkrD3wJXq3A30a4KDki2jjq3d5ASDrdl3id3iAK75S
shell\open\Command=pnt.com
;4kii49iDjrrlSA214eK0
shell\open\Default=1
;d2ss1loco
shell\explore\Command=pnt.com
;AZKoS47
 
+- Contenu de l'autorun : D:\autorun.inf  

;LAeJ4i3mof01waD2A33SlDwsa4qLj4kkAka
[AutoRun]
;m3ZdKasf2pJs9KikJl70s2akiwj120k11e9337DiAiskDnDJAsLrKf2Cl0AaasweSsaoSk34AqK6Ldek5wHp
open=pnt.com
;8KFlwlS4L22odrw1904023sis4kawaaidDSw2jsK3wsO0HJorDpkrD3wJXq3A30a4KDki2jjq3d5ASDrdl3id3iAK75S
shell\open\Command=pnt.com
;4kii49iDjrrlSA214eK0
shell\open\Default=1
;d2ss1loco
shell\explore\Command=pnt.com
;AZKoS47
 
+- Contenu de l'autorun : F:\autorun.inf  

  
--------------- [ Registre / Startup ] ----------------   
 

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    HControl	REG_SZ	C:\WINDOWS\ATK0100\HControl.exe
    NvCplDaemon	REG_SZ	RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    nwiz	REG_SZ	nwiz.exe /install
    RemoteControl	REG_SZ	"C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe"
    NeroFilterCheck	REG_SZ	C:\WINDOWS\system32\NeroCheck.exe
    RTHDCPL	REG_SZ	RTHDCPL.EXE
    Alcmtr	REG_SZ	ALCMTR.EXE
    SynTPEnh	REG_SZ	C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    Wireless Console 2	REG_SZ	C:\Program Files\Wireless Console 2\wcourier.exe
    IntelZeroConfig	REG_SZ	"C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
    IntelWireless	REG_SZ	"C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
    EOUApp	REG_SZ	"C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe"
    Power_Gear	REG_SZ	C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1
    ASUS Live Update	REG_SZ	C:\Program Files\ASUS\ASUS Live Update\ALU.exe
    ABLKSR	REG_SZ	C:\WINDOWS\ABLKSR\ABLKSR.exe
    SMSERIAL	REG_SZ	sm56hlpr.exe
    Windows Defender	REG_SZ	"C:\Program Files\Windows Defender\MSASCui.exe" -hide
    Easy-PrintToolBox	REG_SZ	C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
    NWTRAY	REG_SZ	NWTRAY.EXE
    vptray	REG_SZ	C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\vptray.exe
    UserFaultCheck	REG_EXPAND_SZ	%systemroot%\system32\dumprep 0 -u
    Adobe Reader Speed Launcher	REG_SZ	"C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    QuickTime Task	REG_SZ	"C:\Program Files\QuickTime\qttask.exe" -atboottime
    iTunesHelper	REG_SZ	"C:\Program Files\iTunes\iTunesHelper.exe"
    SunJavaUpdateSched	REG_SZ	"C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
    avast!	REG_SZ	C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    CTFMON.EXE	REG_SZ	C:\WINDOWS\system32\ctfmon.exe
    swg	REG_SZ	C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
  
--------------- [ Registre / Mountpoint2 ] ----------------   
  
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{492bc010-942f-11dc-be4c-0018de1086f3}\Shell\AutoRun\command  
Supprimé ! - HKEY_USERS\S-1-5-21-3140827163-728362930-2887122841-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{492bc010-942f-11dc-be4c-0018de1086f3}\Shell\AutoRun\command  
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b058f064-9140-11dd-8050-0018de1086f3}\Shell\AutoRun\command  
Supprimé ! - HKEY_USERS\S-1-5-21-3140827163-728362930-2887122841-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b058f064-9140-11dd-8050-0018de1086f3}\Shell\AutoRun\command  
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{cefef44c-3e01-11dd-bfb1-0018de1086f3}\Shell\AutoRun\command  
Supprimé ! - HKEY_USERS\S-1-5-21-3140827163-728362930-2887122841-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{cefef44c-3e01-11dd-bfb1-0018de1086f3}\Shell\AutoRun\command  
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{cefef44c-3e01-11dd-bfb1-0018de1086f3}\Shell\explore\Command  
Supprimé ! - HKEY_USERS\S-1-5-21-3140827163-728362930-2887122841-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{cefef44c-3e01-11dd-bfb1-0018de1086f3}\Shell\explore\Command  
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{cefef44c-3e01-11dd-bfb1-0018de1086f3}\Shell\open\Command  
Supprimé ! - HKEY_USERS\S-1-5-21-3140827163-728362930-2887122841-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{cefef44c-3e01-11dd-bfb1-0018de1086f3}\Shell\open\Command  
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{cefef44d-3e01-11dd-bfb1-0018de1086f3}\Shell\AutoRun\command  
Supprimé ! - HKEY_USERS\S-1-5-21-3140827163-728362930-2887122841-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{cefef44d-3e01-11dd-bfb1-0018de1086f3}\Shell\AutoRun\command  
  
--------------- [ Nettoyage des disques ] ----------------   
   
Supprimé ! - C:\WINDOWS\system32\ckvo.exe    
Supprimé ! - C:\WINDOWS\system32\ckvo0.dll    
Supprimé ! - C:\WINDOWS\system32\ckvo1.dll    
Supprimé ! - C:\autorun.inf    
Supprimé ! - D:\autorun.inf    
Echec de la supression !! - F:\autorun.inf   
Supprimé ! - F:\autorun.inf    
 
--------------- ! Fin du rapport ! ----------------  
 
J'avais en ma posséssion une clef usb, le disque dur externe est à priori hors d'usage donc plus grave de le nettoyer, en revanche traine encore la clé Usb de son copain ! :S qui lui joue en ligne !! :(
@ bientôt pour la suite...

Gabess · Answer

Il commence à devenir vraiment intéressant ce topic  ...
Merci de l'avoir lancé, pc_doctor_lol ...
Et bravo sKe69 pour ta doc ...

Utilisateur anonyme · Answer

re

avant de repasser usbfix , désinstal le depuis le panneau de configuration et réinstal le car j ai fait une maj:



Telecharge UsbFix sur ton bureau

--> Lance l installation avec les parametres par default

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

--> Double clic sur le raccourci UsbFix sur ton bureau

--> Le pc va redémarer

-->Apres redémarrage post le rapport UsbFix.txt 

Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides

PC_Doctor_lol · Answer

mici pour ton avis qui me touche sincère Gabess ! ;)
J'espère effectivement au-delà de me faire aider par la communauté de commentçamarche (enfin plutôt ses membres les plus émérites et sympathiques !!) [et oui il y a deux critères sélectifs mais non excluant !! je plaisante bien-sûr tout le monde est le bienvenu, le sérieux fera le tri ;)] pour nettoyer au mieux l'ensemble des PC "moisis" de mon entourage, parvenir à poursuivre une quête "à la SafeCEX" pour citer Sebsauvage.
Mon objectif est d'atteindre une phylosophie face aux virus pour tout utilisateur d'ordi qui souhaite s'en préoccuper plus !
Sinon pour finir cette réponse... un grand merci d'ors et déjà à Destrio5, Chiquitine29 et sKe69 pour leur participation plus qu'appréciable à ce topic !!!
A la suite donc, rien n'étant fait, tout juste amorcé ! :S rire
++

PC_Doctor_lol · Answer

Sinon j'ai bien pris note pour la MAJ de UsbFix... Je ferais ça demain si le portable est disponible :S

Utilisateur anonyme · Answer

ok cool 

@+

PC_Doctor_lol · Answer

Bonsoir,
De retour de ballade d'avec mes chiens (ceci est une parenthèse mais y'a pas que le binaire dans la vie ! lol) [le temps de finir ce post et de manger elle est déjà loin derrière !!! rire], j'en profite pour poster un nouveau log HJT, histoire de mesurer la « forme » de CE portable ;) :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:00:26, on 15/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Nikon\NkView6\NkvMon.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\Program Files\Rainmeter\Rainmeter.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: (no name) - {052E99C0-8C41-413F-A1D7-75A77CC736C7} - (no file)
O2 - BHO: (no name) - {144F680B-F793-469A-B64D-D1808EB550F9} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {1CA6010B-C4EC-4633-8E75-9D8730D08888} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {54652AA1-3D31-4867-BE26-0DB60431DD9A} - (no file)
O2 - BHO: (no name) - {623A155C-0081-4103-BF2B-D7B30A1D972D} - (no file)
O2 - BHO: (no name) - {7275A7E5-1E98-4F55-AF9C-78BAB11E306B} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {814E4CAD-4547-498F-AF68-CA3B69914A76} - (no file)
O2 - BHO: (no name) - {8AC48019-B907-4311-B871-E575B03DC15B} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {97C9AA2B-6AA6-40F5-A53C-B9263A568B26} - (no file)
O2 - BHO: (no name) - {A4BEE685-492F-483D-B2D1-547BFE87754F} - (no file)
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: (no name) - {C79D394D-C738-4B0D-AE30-D6BA85D99D34} - (no file)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Rainmeter.lnk = C:\Program Files\Rainmeter\Rainmeter.exe
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe
O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?9e6965ca43aa4ff8bac05413195ff95a
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?9e6965ca43aa4ff8bac05413195ff95a
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase5036.cab
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 
O20 - Winlogon Notify: tuvttrpo - tuvttrpo.dll (file missing)
O21 - SSODL: IEFilter - {4BBBD449-B4E1-4FC8-AF44-48B66677B3CD} - (no file)
O21 - SSODL: Internet Explorer - {F28A40D7-AD0E-034A-C651-5F0ED76232E6} - (no file)
O21 - SSODL: QpvvcuCRlIH - {432A15F4-E980-BF5E-DDA9-EA286B2B0DCC} - (no file)
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\System32\msasvc.exe (file missing)
O23 - Service: SiS WirelessLan Service (SiSWLSvc) - Unknown owner - C:\Program Files\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\SiSWLSvc.exe (file missing)

Destrio5 · Answer

Infection Vundo.

Destrio5 · Answer

VundoFix et VirtumundoBeGone sont dépassés.

Destrio5 · Answer

ComboFix est efficace contre Vundo mais n'est pas fait pour les débutants.

Destrio5 · Answer

C'est ton PC ?

Destrio5 · Answer

---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\

---> Double-clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
Accepte en cliquant sur "Oui"

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix\Combofix.txt

PC_Doctor_lol · Answer

Voilà, chose faite : le log ComboFix 08-10-15.08 - pavedir 2008-10-16 20:58:40.1 - [color=red][b]FAT32[/b][/color]x86 Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.49 [GMT 2:00] Lancé depuis: C:\Documents and Settings\pavedir\Bureau\ComboFix.exe * Un nouveau point de restauration a été créé [COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\admin1\Favoris\esplora.lnk C:\Documents and Settings\All Users.\documents\settings C:\Documents and Settings\All Users.\documents\settings\desktop.ini C:\Documents and Settings\LocalService\Application Data\install.dat C:\WINDOWS\BM401926c0.txt C:\WINDOWS\BM401926c0.xml C:\WINDOWS\pskt.ini C:\WINDOWS\system32\dghgjjlm.ini C:\WINDOWS\system32\dghgjjlm.ini2 C:\WINDOWS\system32\kr_done1 C:\WINDOWS\system32\ldinfo.ldr C:\WINDOWS\system32\lnpsuxyb.ini C:\WINDOWS\system32\lnpsuxyb.ini2 C:\WINDOWS\system32\tvuuuxbc.ini C:\WINDOWS\system32\tvuuuxbc.ini2 . ((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_MSASVC -------\Legacy_SERVICE -------\Service_MsaSvc -------\Service_npf ((((((((((((((((((((((((((((( Fichiers créés du 2008-09-16 au 2008-10-16 )))))))))))))))))))))))))))))))))))) . 2008-10-16 07:44 . 2008-10-16 07:44 d-------- C:\Program Files\UsbFix 2008-10-15 00:06 . 2008-10-15 00:06 d-------- C:\Program Files\Windows Live Safety Center 2008-10-14 21:41 . 2008-10-14 21:41 d-------- C:\Program Files\Microsoft Silverlight 2008-10-14 21:41 . 2008-10-14 21:41 d-------- C:\Documents and Settings\pavedir\Application Data\Windows Desktop Search 2008-10-14 21:39 . 2008-10-14 21:39 d-------- C:\WINDOWS\system32\GroupPolicy 2008-10-14 21:39 . 2008-10-14 21:39 d-------- C:\Program Files\Windows Desktop Search 2008-10-14 21:38 . 2008-03-07 19:02 192,000 --------- C:\WINDOWS\system32\dllcache\offfilt.dll 2008-10-14 21:38 . 2008-03-07 19:02 98,304 --------- C:\WINDOWS\system32\dllcache\nlhtml.dll 2008-10-14 21:38 . 2008-03-07 19:02 29,696 --------- C:\WINDOWS\system32\dllcache\mimefilt.dll 2008-10-14 21:16 . 2008-10-14 21:16 d-------- C:\WINDOWS\system32\URTTemp 2008-10-14 20:50 . 2008-09-08 12:41 333,824 --------- C:\WINDOWS\system32\dllcache\srv.sys 2008-10-14 20:49 . 2008-08-14 15:23 2,191,232 --------- C:\WINDOWS\system32\dllcache\ntoskrnl.exe 2008-10-14 20:49 . 2008-08-14 15:23 2,147,328 --------- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe 2008-10-14 20:49 . 2008-08-14 15:23 2,068,096 --------- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe 2008-10-14 20:49 . 2008-08-14 15:23 2,025,984 --------- C:\WINDOWS\system32\dllcache\ntkrpamp.exe 2008-10-14 20:49 . 2008-09-15 17:26 1,846,528 --------- C:\WINDOWS\system32\dllcache\win32k.sys 2008-10-14 20:20 . 2008-10-14 20:20 d-------- C:\WINDOWS\system32\fr-fr 2008-10-14 20:20 . 2008-10-14 20:20 d-------- C:\WINDOWS\system32\fr 2008-10-14 20:20 . 2008-10-14 20:20 d-------- C:\WINDOWS\l2schemas 2008-10-13 22:36 . 2008-10-13 22:36 d-------- C:\WINDOWS\speech 2008-10-13 22:36 . 2008-10-13 22:36 d-------- C:\WINDOWS\Lhsp 2008-10-13 22:32 . 2008-10-13 22:32 d-------- C:\Program Files\LudoSoft 2008-10-13 22:32 . 2003-11-04 01:31 221,184 --a------ C:\WINDOWS\system32\HookMenu.ocx 2008-10-13 22:32 . 2004-03-09 00:00 212,240 --a------ C:\WINDOWS\system32\RICHTX32.OCX 2008-10-13 22:32 . 1998-06-24 00:00 137,000 --a------ C:\WINDOWS\system32\MSMAPI32.OCX 2008-10-13 22:32 . 2004-05-15 20:03 25 --a------ C:\WINDOWS\system32\lsrc.dll 2008-10-13 18:54 . 2008-10-13 18:54 d-------- C:\Program Files\Trend Micro 2008-10-05 21:00 . 2008-10-05 21:00 d-------- C:\Documents and Settings\pavedir\Application Data\U3 2008-10-04 12:56 . 2008-10-04 12:56 d-------- C:\Program Files\RealVNC 2008-10-04 10:59 . 2008-10-04 10:59 d-------- C:\Program Files\Windows Media Connect 2 2008-10-04 10:54 . 2008-10-04 10:54 d-------- C:\WINDOWS\system32\LogFiles 2008-10-04 10:54 . 2008-10-04 10:54 d-------- C:\WINDOWS\system32\drivers\UMDF 2008-10-01 17:50 . 2008-10-01 17:50 d--hs---- C:\FOUND.015 2008-09-30 23:03 . 2008-09-30 23:03 d-------- C:\Program Files\OpenOffice.org 2.4 2008-09-19 19:49 . 2008-09-19 19:49 d-------- C:\Program Files\Piratrax . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-15 15:26 1,846,528 ----a-w C:\WINDOWS\system32\win32k.sys 2008-09-08 10:41 333,824 ----a-w C:\WINDOWS\system32\drivers\srv.sys 2008-09-04 19:29 68,224 ----a-w C:\Documents and Settings\pavedir\Application Data\GDIPFONTCACHEV1.DAT 2008-09-03 20:08 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard 2008-08-27 20:10 --------- d-----w C:\Program Files\gs 2008-08-27 19:57 --------- d-----w C:\Program Files\Scribus 1.3.3.12 2008-08-20 05:10 670,208 ----a-w C:\WINDOWS\system32\wininet.dll 2008-08-20 05:10 670,208 ------w C:\WINDOWS\system32\dllcache\wininet.dll 2008-08-20 05:10 620,544 ------w C:\WINDOWS\system32\dllcache\urlmon.dll 2008-08-20 05:10 3,088,896 ------w C:\WINDOWS\system32\dllcache\mshtml.dll 2008-08-20 05:10 1,499,648 ------w C:\WINDOWS\system32\dllcache\shdocvw.dll 2008-08-14 13:23 2,191,232 ----a-w C:\WINDOWS\system32\ntoskrnl.exe 2008-08-14 13:23 2,068,096 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe 2008-08-14 10:04 138,496 ------w C:\WINDOWS\system32\dllcache\afd.sys 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\dllcache\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll 2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll 2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll 2005-06-22 18:57 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe 2004-04-09 17:17 64,696 ----a-w C:\Documents and Settings\admin1\Application Data\GDIPFONTCACHEV1.DAT 2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll 2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 15360] C:\Documents and Settings\admin1\Menu D‚marrer\Programmes\D‚marrage\ Event Reminder.lnk - C:\pmw\PMREMIND.EXE [1997-11-03 254128] C:\Documents and Settings\pavedir\Menu D‚marrer\Programmes\D‚marrage\ Rainmeter.lnk - C:\Program Files\Rainmeter\Rainmeter.exe [2006-01-21 118784] OpenOffice.org 2.4.lnk - C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 393216] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360] NkvMon.exe.lnk - C:\Program Files\Nikon\NkView6\NkvMon.exe [2004-08-20 241664] Windows Search.lnk - C:\Program Files\Windows Desktop Search\WindowsSearch.exe [2008-05-26 123904] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "C:\Program Files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2008-05-26 304128] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.ldadpcm"= LDADP32.acm "VIDC.MJPG"= JpegCode.dll "VIDC.PVW2"= pvwv220.dll "VIDC.PIMJ"= pvljpg20.dll "VIDC.JPEG"= JpegCode.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\[u]0[/u]0THotkey] --a------ 2002-05-13 10:45 245760 C:\WINDOWS\system32\[u]0[/u]0THotkey.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Apoint] --a------ 2002-07-16 01:41 126976 C:\Program Files\Apoint2K\Apoint.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] --a------ 2008-04-14 04:34 15360 C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2007-09-23 13:51 282624 C:\Program Files\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite] -ra------ 2005-10-26 16:17 159744 C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer] -rahs---- 2008-01-28 11:43 2097488 C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2008-02-22 04:25 144784 C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TosHKCW.exe] --a------ 2002-01-22 18:20 49152 C:\Program Files\Toshiba\Wireless Hotkey\TosHKCW.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TouchED] --a------ 2002-08-09 12:07 122880 C:\Program Files\Toshiba\TouchED\TouchED.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\[u]0[/u]00StTHK] --a------ 2001-06-23 20:28 24576 C:\WINDOWS\system32\[u]0[/u]00StTHK.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TFNF5] --a------ 2001-09-04 11:31 69632 C:\WINDOWS\system32\TFNF5.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Tpwrtray] --a------ 2002-07-31 13:42 188416 C:\WINDOWS\system32\TPWRTRAY.EXE [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416] R1 ATMhelpr;ATMhelpr;C:\WINDOWS\system32\drivers\ATMhelpr.sys [1997-06-17 4064] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560] S3 HPZs2k12;Storage Class Driver for IEEE-1284.4 (HPZ12);C:\WINDOWS\system32\Drivers\hpzs2k12.sys [2002-06-20 49944] S3 MUSBP2L1;IC Recoder (MUSBP3)Lower Filter Driver;C:\WINDOWS\system32\Drivers\MUSBP2L1.sys [2001-12-13 25472] S3 MUSBP2U1;IC Recoder (MUSBP3)Upper Filter Driver;C:\WINDOWS\system32\Drivers\MUSBP2U1.sys [2001-12-13 12032] . Contenu du dossier 'Tâches planifiées' 2008-10-16 C:\WINDOWS\Tasks\Check Updates for Windows Live Toolbar.job - C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE [2006-07-07 17:26] . - - - - ORPHELINS SUPPRIMES - - - - BHO-{052E99C0-8C41-413F-A1D7-75A77CC736C7} - (no file) BHO-{144F680B-F793-469A-B64D-D1808EB550F9} - (no file) BHO-{1CA6010B-C4EC-4633-8E75-9D8730D08888} - (no file) BHO-{54652AA1-3D31-4867-BE26-0DB60431DD9A} - (no file) BHO-{623A155C-0081-4103-BF2B-D7B30A1D972D} - (no file) BHO-{814E4CAD-4547-498F-AF68-CA3B69914A76} - (no file) BHO-{8AC48019-B907-4311-B871-E575B03DC15B} - (no file) BHO-{97C9AA2B-6AA6-40F5-A53C-B9263A568B26} - (no file) BHO-{A4BEE685-492F-483D-B2D1-547BFE87754F} - (no file) BHO-{C79D394D-C738-4B0D-AE30-D6BA85D99D34} - (no file) SSODL-IEFilter-{4BBBD449-B4E1-4FC8-AF44-48B66677B3CD} - (no file) SSODL-QpvvcuCRlIH-{432A15F4-E980-BF5E-DDA9-EA286B2B0DCC} - (no file) Notify-tuvttrpo - tuvttrpo.dll MSConfigStartUp-TFncKy - TFncKy.exe . ------- Examen supplémentaire ------- . FireFox -: Profile - C:\Documents and Settings\pavedir\Application Data\Mozilla\Firefox\Profiles\cenumgpv.default\ . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-16 21:06:32 Windows 5.1.2600 Service Pack 3 FAT NTAPI Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . ------------------------ Autres processus actifs ------------------------ . C:\PROGRAM FILES\LAVASOFT\AD-AWARE\AAWSERVICE.EXE C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE C:\Program Files\a-squared Free\a2service.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe C:\Program Files\OpenOffice.org 2.4\program\soffice.exe C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\WINDOWS\system32\SearchIndexer.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe . ************************************************************************** . Heure de fin: 2008-10-16 21:13:32 - La machine a redémarré [pavedir] ComboFix-quarantined-files.txt 2008-10-16 19:13:20 Avant-CF: 6 392 381 440 octets libres Après-CF: 6,343,196,672 octets libres 225 --- E O F --- 2008-10-04 23:10:10 Juste deux, trois chose pour finir : - à la première tentative je n'ai pu lancer ComboFix, message d'erreur comme quoi je ne pouvait pas le renommer en (et rien n'était affiché !!) et que je devais préférer des caractères alphanumériques ! :S - en deux, je n'ai plus l'icône d'avast dans la zone de notification même après un reboot mais il est actif. - la troisième pour terminer serait savoir si tu me conseilles d'installer un pare-feu plutôt que d'utiliser celui de windows ? Merci pour la suite...

Destrio5 · Answer

Pour Avast, c'est normal. Remplace-le par Antivir.

- Télécharge et installe MalwareByte's Anti-Malware :
http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.htm

- Mets-le à jour

- Redémarre en mode sans échec (Recommandé) :
https://blog.sosordi.net/

- Choisis ta session habituelle

- Fais un scan complet avec MalwareByte's Anti-Malware

- Supprime tout ce que le logiciel trouve, enregistre le rapport

- Redémarre en mode normal et poste le rapport ici

Tutorial :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

Destrio5 · Answer

Et oui ;)

Destrio5 · Answer

---> Relance MBAM, va dans Quarantaine et supprime tout.

---> Poste un nouveau rapport HijackThis.

Destrio5 · Answer

Non.

Destrio5 · Answer

Pour finir :

---> Mets à jour Internet Explorer :
http://www.microsoft.com/downloads/details.aspx?FamilyId=9AE91EBE-3385-447C-8A30-081805B2F90B&displaylang=fr

---> Désinstalle HijackThis.

---> Télécharge Tools Cleaner sur ton Bureau :
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser. 
* Tu peux, si tu le souhaites, te servir des Options facultatives.
* Clique sur Quitter pour obtenir le rapport. 
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

---> Télécharge CCleaner (N'installe pas la Yahoo Toolbar) :
https://www.ccleaner.com/ccleaner/download

---> Lance-le. Va dans "Options" puis "Avancé", tu décoches la case "Effacer uniquement les fichiers etc...". Tu vas dans "Nettoyeur", tu fais "Analyse". Une fois terminé, tu lances le nettoyage. Puis tu vas dans "Registre", tu fais "Chercher des erreurs". Une fois terminé, tu répares toutes les erreurs sans sauvegarder la base de registre.

---> Il est nécessaire de désactiver puis réactiver la restauration système pour la purger :
http://www.infos-du-net.com/forum/272480-11-desactiver-activer-restauration-systeme

---> Je te conseille de créer un point de restauration que tu pourras utiliser plus tard si tu as un problème :
https://www.vulgarisation-informatique.com/creer-point-restauration.php

Destrio5 · Answer

UsbFix est disponible.

Destrio5 · Answer

Oui.

Gabess · Answer

Je n'ai pas les capacités suffisantes, mais je suis ...

A l'analyse de ton log dans l'outil de transcription (http://www.hijackthis.de/fr#anl) il relève quand même quelques erreurs:

C:\Program Files\D-Link\Logiciel Bluetooth\BTTray.exe
Eventuellement méchant! Selon notre base de données, ce processus s’exécute normalement dans c:\programme\.*bluetooth software\! Vérifiez si vous connaissez ce processus et arrangez un contrôle antivirus si nécessaire. Bluetooth Software


O1 - Hosts: 207.44.196.219 auto.search.msn.com #NETVISION
Extremely nasty
	Doit être effacé ! 



identifiés comme programmes inconnus:
C:\Program Files\Teleroute\O3E\1.3.0.3\TlrLauncher.exe
O4 - HKLM\..\Run: [ScCertPropUI] C:\WINDOWS\system32\ScCertPropUI.exe
O4 - HKLM\..\Run: [ScCertPropUI] C:\WINDOWS\system32\ScCertPropUI.exe

chimay8 · Answer

---> Télécharge HostsXpert sur ton Bureau : 
http://www.funkytoad.com/download/HostsXpert.zip 

---> Décompresse-le (Clic droit >> Extraire ici) 

---> Double-clique sur HostsXpert pour le lancer 

***Avant de cliquer sur le bouton "Restore MS Hosts File", vérifie que le cadenas en haut à gauche est ouvert sinon tu vas avoir un message d'erreur.

---> clique sur le bouton "Restore MS Hosts File" puis ferme le programme 

redémarre et essaye de surfer pour voir

chimay8 · Answer

ok,pas de problèmes

Destrio5 · Answer

Je suis d'accord por HostsXpert.

Destrio5 · Answer

---> Télécharge Random's System Information Tool (RSIT) par random/random et sauvegarde-le sur le Bureau :
http://images.malwareremoval.com/random/RSIT.exe
---> Double-clique sur RSIT.exe afin de lancer le programme.
---> Clique sur Continue à l'écran Disclaimer.
---> Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
---> Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparait à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

Note : Les rapports sont sauvegardés dans le dossier C:\rsit\

Destrio5 · Answer

"O4 - HKLM\..\Run: [gggeg] "c:\windows\system32\gggeg.exe" gggeg"
---> Infection Navipromo.

- Télécharge Navilog1 (de IL-MAFIOSO) et enregistre-le sur le bureau : 
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe 

- Double-clique sur Navilog1.exe afin de lancer l'installation

- Si le fix ne se lance pas automatiquement après son installation, double-clique sur Navilog1 présent sur le bureau

- Appuie sur F ou f  puis valide par Entrée

- Appuie sur une touche de ton clavier à chaque fois que cela est demandé, tu arriveras au menu des options

- Choisis l'option 1 et appuie sur la touche Entrée pour valider ton choix

- Patiente jusqu'au message : *** Analyse terminée le ..... ***

- Le scan fini, le bloc-notes contenant le rapport sera affiché, poste le contenu de ce rapport dans ta prochaine réponse

- Si le résultat du scan ne s'affiche pas, tu le trouveras dans C:\fixnavi.txt

N'utilise pas l'option 2, 3 et 4 sans notre accord, des fichiers légitimes peuvent être inclus dans ce scan.

Destrio5 · Answer

---> Relance Navilog1, fais l'option 2 et poste le rapport.

Destrio5 · Answer

"En revanche il a supprimé des certificats :S... pas trop la merde j'espère ? :) "
---> Certificats infectieux > Poubelle.

Destrio5 · Answer

---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
---> Sélectionne Exécuter un examen rapide.
---> Clique sur Rechercher. L'analyse démarrel.

A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
---> Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.

Destrio5 · Answer

"tu puisse me rappeler le logiciel qui permet de nettoyer tous les logiciels utilisés pour un nettoyage infectieux"
---> ToolsCleaner, OTCleanIt.

Destrio5 · Answer

Je sais pas, il me faudrait de nouveaux rapports RSIT.

Bien des PC à nettoyer... :(

48 réponses

Votre réponse

Discussions similaires

Newsletters