Sujet Précédent Sujet Suivant

Infection Vundo, pubs, etc. sur mon PC

Flutabec -  
 Flutabec -
Bonjour à tous,

Il y a quelques mois, mon PC a été victime d'une infection Vundo, j'ai demandé de l'aide sur ce forum et tout est rentré dans l'ordre.

Je reviens ici car je pense avoir affaire à une infection du même type (alertes du pare-feu constantes, trojans...), et parce que tous mes points de restaurations ont disparu !

Je viens donc vous demander un peu d'aide pour régler ce problème de virus,

Voici le rapport HiJackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:01:22, on 27/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\SECURI~1\Av_Fw\backweb\6588780\Program\SERVIC~1.EXE
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsgk32st.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\FSGK32.EXE
C:\Program Files\Securitoo\Av_Fw\backweb\6588780\program\fsbwsys.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fssm32.exe
C:\Program Files\Securitoo\Av_Fw\Common\FSMA32.EXE
C:\Program Files\Securitoo\Av_Fw\Common\FSM32.EXE
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Securitoo\Av_Fw\backweb\6588780\Program\fspex.exe
C:\Program Files\Securitoo\Av_Fw\FSGUI\ispnews.exe
C:\Program Files\Securitoo\Av_Fw\Common\FSMB32.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Securitoo\Av_Fw\Common\FCH32.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Securitoo\Av_Fw\Common\FAMEH32.EXE
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsqh.exe
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsrw.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Documents and Settings\Valentin\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\ctfmon.exe
C:\documents and settings\valentin\local settings\application data\giuyk.exe
C:\WINDOWS\system32\UAService7.exe
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsav32.exe
C:\Program Files\Fichiers communs\Nikon\Monitor\NkMonitor.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\Program Files\Securitoo\Av_Fw\FWES\Program\fsdfwd.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\SECURI~1\Av_Fw\ANTI-S~1\fsaw.exe
C:\Program Files\Securitoo\Av_Fw\FSGUI\fsguidll.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINDOWS\system32\rundll32.exe
C:\Documents and Settings\Valentin\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Valentin\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Valentin\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\WINDOWS\system32\rundll32.exe
C:\Documents and Settings\Valentin\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Valentin\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\Av_Fw\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\Av_Fw\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\Securitoo\Av_Fw\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Program Files\Securitoo\Av_Fw\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [d444b750] rundll32.exe "C:\WINDOWS\system32\kfoliina.dll",b
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Valentin\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [giuyk] "c:\documents and settings\valentin\local settings\application data\giuyk.exe" giuyk
O4 - Startup: Favorites.lnk = C:\WINDOWS\system32\WinIogon.exe
O4 - Startup: History.lnk = C:\WINDOWS\system32\winlogin.exe
O4 - Startup: Internet Explorer.lnk = C:\WINDOWS\system32\Winapp32.exe
O4 - Global Startup: Antivirus Firewall.lnk = C:\Program Files\Securitoo\Av_Fw\backweb\6588780\Program\fspex.exe
O4 - Global Startup: Nikon Monitor.lnk = C:\Program Files\Fichiers communs\Nikon\Monitor\NkMonitor.exe
O8 - Extra context menu item: &Bloquer cette fenêtre publicitaire - C:\Program Files\Securitoo\Av_Fw\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: &eBay Search - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Protection Internet Explorer - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\Securitoo\Av_Fw\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: Protection Internet Explorer... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\Securitoo\Av_Fw\Anti-Spyware\ieshield.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - https://www.systemrequirementslab.com/cyri
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GO333C~1\GOEC62~1.DLL jbbmpe.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Antivirus Firewall (BackWeb Plug-in - 6588780) - Securitoo Portal - C:\PROGRA~1\SECURI~1\Av_Fw\backweb\6588780\Program\SERVIC~1.EXE
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\Av_Fw\backweb\6588780\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\Av_Fw\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\Av_Fw\Common\FSMA32.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
A voir également:

30 réponses

  • 1
  • 2
Réponse 1 / 30
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
slt,

effectivement tu es infécté:

O4 - HKLM\..\Run: [d444b750] rundll32.exe "C:\WINDOWS\system32\kfoliina.dll",b
O4 - HKCU\..\Run: [giuyk] "c:\documents and settings\valentin\local settings\application data\giuyk.exe" giuyk

____________________

Fais un clic droit sur ce lien : (IL-MAFIOSO)
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
0
Réponse 2 / 30
feelgood
 
Bonjour, tu as telechargé flash get et ce logiciel t'as automatiquement mis un spyware, biensur il n'y a pas que ça, mais bon tu peux déjà le virer pour un autre gratuit et plus sur. Il y en a sur le site de sebsauvage, il faut juste que je retrouve le lien...
0
Réponse 3 / 30
feelgood
 
Re, là : http://www.commentcamarche.net/forum/affich 633279 flash get toujours pas de rep
0
Réponse 4 / 30
Flutabec
 
merci de vos réponses, la recherche navilog est en cours...

Feelgood, merci de ton conseil, mais les liens vers le site de sebsauvage sont morts. En attendant je vais désinstaller FlashGet.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 30
Flutabec
 
Voici le rapport :

Search Navipromo version 3.6.7 commencé le 27/10/2008 à 12:03:12,34

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Valentin"

Mise à jour le 22.10.2008 à 20h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***

Favorit
WebMediaPlayer

*** Recherche dossiers dans "C:\WINDOWS" ***

*** Recherche dossiers dans "C:\Program Files" ***

...\WebMediaPlayer trouvé !

*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***

...\WebMediaPlayer trouvé !

*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***

*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\Valentin\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\Valentin\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\Valentin\menudm~1\progra~1" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\Valentin\locals~1\applic~1" *

*** Recherche fichiers ***

*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :

* Dans "C:\Documents and Settings\Valentin\locals~1\applic~1" :

ecooo_navfx.dat trouvé !
giuyk.dat trouvé !
giuyk.exe trouvé !
giuyk_nav.dat trouvé !
giuyk_navps.dat trouvé !
kumwm.dat trouvé !
kumwm_nav.dat trouvé !
kumwm_navps.dat trouvé !

3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat Montorgueil absent !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :

C:\WINDOWS\system32\cKQrutwa.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\PsrsDcdd.ini2 trouvé ! infection Vundo possible non traitée par cet outil !

*** Analyse terminée le 27/10/2008 à 12:11:27,98 ***
0
Réponse 6 / 30
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
= Lance navilog1
= Cette fois-ci choisi l'option 2
= Navilog va faire le nettoyage.. patient jusqu'à ce qui soit marqué *** Nettoyage Termine le ..... ***
= Un rapport va être génrer sur ton C:\ qui sera en option 2
Note: le bureau disparaît

= colle le contenu du rapport de navilog (qui est en option2)

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Celà te fera apparaitre ton bureau.

_________________________

télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

[si je suspecte une infection bagle, j'ajoute :

sous le nom de antibagle. Fais le avant que le fichier ne soit enregistré sur le bureau]

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
0
Réponse 7 / 30
feelgood
 
ce lien doit fonctionner : https://sebsauvage.net/logiciels/freedownloadmanager.html
0
Réponse 8 / 30
Flutabec
 
Voilà le rapport Navilog :

Clean Navipromo version 3.6.7 commencé le 27/10/2008 à 12:39:54,06

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Valentin"

Mise à jour le 22.10.2008 à 20h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS

Mode suppression automatique
avec prise en charge résultats Catchme et GNS

Nettoyage exécuté au redémarrage de l'ordinateur

*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *

* Suppression dans "C:\Documents and Settings\Valentin\locals~1\applic~1" *

*** Suppression dossiers dans "C:\WINDOWS" ***

*** Suppression dossiers dans "C:\Program Files" ***

...\WebMediaPlayer ...suppression...
...\WebMediaPlayer supprimé !

*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***

...\WebMediaPlayer ...suppression...
...\WebMediaPlayer supprimé !

*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***

*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***

*** Suppression dossiers dans "C:\Documents and Settings\Valentin\applic~1" ***

*** Suppression dossiers dans "C:\Documents and Settings\Valentin\locals~1\applic~1" ***

*** Suppression dossiers dans "C:\Documents and Settings\Valentin\menudm~1\progra~1" ***

*** Suppression fichiers ***

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Valentin\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :

* Dans "C:\WINDOWS\system32" *

* Dans "C:\Documents and Settings\Valentin\locals~1\applic~1" *

giuyk.exe trouvé !
Copie giuyk.exe réalisée avec succès !
giuyk.exe supprimé !

giuyk.dat trouvé !
Copie giuyk.dat réalisée avec succès !
giuyk.dat supprimé !

giuyk_nav.dat trouvé !
Copie giuyk_nav.dat réalisée avec succès !
giuyk_nav.dat supprimé !

giuyk_navps.dat trouvé !
Copie giuyk_navps.dat réalisée avec succès !
giuyk_navps.dat supprimé !

kumwm.dat trouvé !
Copie kumwm.dat réalisée avec succès !
kumwm.dat supprimé !

kumwm_nav.dat trouvé !
Copie kumwm_nav.dat réalisée avec succès !
kumwm_nav.dat supprimé !

kumwm_navps.dat trouvé !
Copie kumwm_navps.dat réalisée avec succès !
kumwm_navps.dat supprimé !

ecooo_navfx.dat trouvé !
Copie ecooo_navfx.dat réalisée avec succès !
ecooo_navfx.dat supprimé !

*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok

*** Certificats ***

Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat Montorgueil absent !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le 27/10/2008 à 12:47:46,46 ***
0
Réponse 9 / 30
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

[si je suspecte une infection bagle, j'ajoute :

sous le nom de antibagle. Fais le avant que le fichier ne soit enregistré sur le bureau]

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
0
Réponse 10 / 30
Flutabec
 
Voici le rapport ComboFix :

ComboFix 08-10-25.01 - Valentin 2008-10-27 13:14:10.3 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1484 [GMT 1:00]
Lancé depuis: C:\Documents and Settings\Valentin\Bureau\ComboFix.exe
Commutateurs utilisés :: C:\Documents and Settings\Valentin\Bureau\WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
* Un nouveau point de restauration a été créé
* Resident AV is active

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BMd77784cc.txt
C:\WINDOWS\system32\abmdfz.dll
C:\WINDOWS\system32\aniilofk.ini
C:\WINDOWS\system32\awturQKc.dll
C:\WINDOWS\system32\cKQrutwa.ini
C:\WINDOWS\system32\cKQrutwa.ini2
C:\WINDOWS\system32\cpeeyofk.dll
C:\WINDOWS\system32\dhdpnjam.dll
C:\WINDOWS\system32\jbbmpe.dll
C:\WINDOWS\system32\kcjtph.dll
C:\WINDOWS\system32\kfoliina.dll
C:\WINDOWS\system32\PsrsDcdd.ini
C:\WINDOWS\system32\PsrsDcdd.ini2
C:\WINDOWS\system32\pstgkvne.dll
C:\WINDOWS\system32\rstdupyc.exe
C:\WINDOWS\system32\vlhfiqjv.exe
C:\WINDOWS\system32\yhsaikyk.exe

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_r_server

((((((((((((((((((((((((((((( Fichiers créés du 2008-09-27 au 2008-10-27 ))))))))))))))))))))))))))))))))))))
.

2008-10-27 12:00 . 2008-10-27 12:47 <REP> d-------- C:\Program Files\Navilog1
2008-10-26 20:18 . 2008-10-26 20:18 282,624 --a------ C:\WINDOWS\system32\DDCDSRSP.0LL
2008-10-26 20:13 . 2008-10-26 20:13 32,768 --------- C:\WINDOWS\system32\EFCYQGDD.0LL
2008-10-26 12:52 . 2008-10-26 12:52 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Themes
2008-10-26 12:52 . 2008-10-26 12:52 <REP> d-------- C:\Documents and Settings\All Users\Application Data\System Image Utility
2008-10-26 12:52 . 2008-10-26 12:52 20 ---h----- C:\Documents and Settings\All Users\Application Data\PKP_DLck.DAT
2008-10-26 12:40 . 2008-04-14 04:33 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
2008-10-26 12:40 . 2001-08-23 17:47 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
2008-10-26 12:39 . 2008-10-26 12:39 0 --a------ C:\WINDOWS\ViewNX.INI
2008-10-26 12:33 . 2008-08-29 10:54 6,652,760 --a------ C:\WINDOWS\system32\NEFcodec.dll
2008-10-26 12:33 . 2008-07-29 20:58 200,704 --a------ C:\WINDOWS\system32\Strato7.dll
2008-10-26 12:33 . 2008-07-29 21:33 110,592 --a------ C:\WINDOWS\system32\RCSigProc.dll
2008-10-26 12:24 . 2008-10-26 12:52 <REP> d-------- C:\Documents and Settings\Valentin\Application Data\Nikon
2008-10-26 12:23 . 2008-10-26 13:25 20 ---h----- C:\Documents and Settings\All Users\Application Data\PKP_DLbx.DAT
2008-10-26 11:43 . 2008-10-26 11:43 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Database
2008-10-26 11:43 . 2008-10-26 17:42 20 ---h----- C:\Documents and Settings\All Users\Application Data\PKP_DLdw.DAT
2008-10-26 11:42 . 2008-10-26 11:42 <REP> d-------- C:\Program Files\Fichiers communs\muvee Technologies
2008-10-26 11:41 . 2008-10-26 12:52 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Ultima_T15
2008-10-26 11:41 . 2008-10-26 12:52 <REP> d-------- C:\Documents and Settings\All Users\Application Data\EnterNHelp
2008-10-26 11:41 . 2008-10-26 11:41 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Commands
2008-10-26 11:41 . 2008-10-26 12:41 20 ---h----- C:\Documents and Settings\All Users\Application Data\PKP_DLdu.DAT
2008-10-25 16:14 . 2008-10-25 16:14 <REP> d-------- C:\Program Files\eRightSoft
2008-10-25 16:14 . 2006-09-12 11:46 227,328 -r-hs---- C:\WINDOWS\system32\ac3DX.ax
2008-10-25 16:14 . 2008-03-16 13:30 216,064 -r-hs---- C:\WINDOWS\system32\nbDX.dll
2008-10-25 16:14 . 2006-03-10 21:48 169,472 -r-hs---- C:\WINDOWS\system32\MatroskaDX.ax
2008-10-25 16:14 . 2006-05-03 10:06 163,328 -r-hs---- C:\WINDOWS\system32\flvDX.dll
2008-10-25 16:14 . 2005-11-25 20:46 161,792 -r-hs---- C:\WINDOWS\system32\RealMediaDX.ax
2008-10-25 16:14 . 2006-01-12 23:23 123,904 -r-hs---- C:\WINDOWS\system32\AVCDX.ax
2008-10-25 16:14 . 2003-11-20 23:00 54,784 -r-hs---- C:\WINDOWS\system32\RLAPEDec.ax
2008-10-25 16:14 . 2004-04-26 23:00 37,888 -r-hs---- C:\WINDOWS\system32\RLMPCDec.ax
2008-10-25 16:14 . 2007-02-21 11:47 31,232 -r-hs---- C:\WINDOWS\system32\msfDX.dll
2008-10-24 16:28 . 2008-10-15 17:35 337,408 -----c--- C:\WINDOWS\system32\dllcache\netapi32.dll
2008-10-19 13:28 . 2008-10-19 13:28 <REP> d-------- C:\Program Files\Sonic Foundry
2008-10-19 13:28 . 2008-10-19 13:28 <REP> d-------- C:\Program Files\Pure Motion
2008-10-19 13:28 . 2008-10-19 13:28 <REP> d-------- C:\Program Files\DebugMode
2008-10-17 17:58 . 2008-10-27 12:07 <REP> d-------- C:\Program Files\FlashGet
2008-10-17 17:58 . 2008-10-26 20:15 <REP> d-------- C:\Downloads
2008-10-17 17:48 . 2008-10-17 17:48 <REP> d-------- C:\Program Files\Fichiers communs\xing shared
2008-10-17 17:31 . 2008-10-17 17:31 <REP> d-------- C:\Documents and Settings\Valentin\Application Data\IDM
2008-10-15 13:08 . 2008-09-08 11:41 333,824 -----c--- C:\WINDOWS\system32\dllcache\srv.sys
2008-10-15 13:07 . 2008-08-14 14:23 2,191,232 -----c--- C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-10-15 13:07 . 2008-08-14 14:23 2,147,328 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-10-15 13:07 . 2008-08-14 14:23 2,068,096 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-10-15 13:07 . 2008-08-14 14:23 2,025,984 -----c--- C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-10-15 13:07 . 2008-09-15 16:26 1,846,528 -----c--- C:\WINDOWS\system32\dllcache\win32k.sys
2008-10-14 19:10 . 2008-10-14 19:10 <REP> d-------- C:\Program Files\SystemRequirementsLab
2008-10-11 16:15 . 2008-04-17 12:12 107,368 --a------ C:\WINDOWS\system32\GEARAspi.dll
2008-10-11 16:15 . 2008-04-17 12:12 15,464 --a------ C:\WINDOWS\system32\drivers\GEARAspiWDM.sys
2008-10-11 16:14 . 2008-10-11 16:15 <REP> d-------- C:\Program Files\iTunes
2008-10-11 16:14 . 2008-10-11 16:14 <REP> d-------- C:\Program Files\iPod
2008-10-11 16:14 . 2008-10-11 16:15 <REP> d-------- C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-10-11 16:13 . 2008-10-11 16:13 <REP> d-------- C:\Program Files\Bonjour
2008-10-11 16:12 . 2008-10-01 12:01 32,000 --a------ C:\WINDOWS\system32\drivers\usbaapl.sys
2008-10-08 19:21 . 2008-10-08 19:21 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple
2008-10-08 19:20 . 2008-10-11 16:11 <REP> d-------- C:\Program Files\Fichiers communs\Apple
2008-10-06 18:54 . 2008-10-06 18:54 <REP> d-------- C:\Program Files\PC Inspector File Recovery
2008-10-06 18:54 . 2002-02-18 17:40 6,200 --a------ C:\WINDOWS\system32\INT13EXT.VXD

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-27 12:25 --------- d-----w C:\Program Files\Wanadoo
2008-10-27 11:08 --------- d-----w C:\Program Files\eMule
2008-10-27 07:22 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater
2008-10-26 19:21 --------- d-----w C:\Documents and Settings\Valentin\Application Data\uTorrent
2008-10-26 11:42 --------- d-----w C:\Program Files\Fichiers communs\Nikon
2008-10-26 11:33 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-10-26 11:24 --------- d-----w C:\Program Files\Nikon
2008-10-26 10:42 --------- d-----w C:\Documents and Settings\All Users\Application Data\Nikon
2008-10-17 16:48 --------- d-----w C:\Program Files\Fichiers communs\Real
2008-10-17 16:31 --------- d-----w C:\Documents and Settings\Valentin\Application Data\DMCache
2008-10-14 18:55 --------- d-----w C:\Program Files\Celestia
2008-10-11 15:14 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-10-08 18:21 --------- d-----w C:\Program Files\Apple Software Update
2008-10-08 18:20 --------- d-----w C:\Program Files\QuickTime
2008-09-23 17:15 --------- d-----w C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
2008-09-23 14:42 --------- d-----w C:\Program Files\Yahoo!
2008-09-19 15:26 --------- d-----w C:\Documents and Settings\Valentin\Application Data\Xfire
2008-09-19 15:12 --------- d-----w C:\Program Files\Xfire
2008-09-15 15:26 1,846,528 ----a-w C:\WINDOWS\system32\win32k.sys
2008-09-10 16:31 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-09-10 15:43 --------- d-----w C:\Program Files\Aspyr
2008-09-08 10:41 333,824 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-09-07 16:08 --------- d-----w C:\Program Files\Earth+
2008-09-07 16:07 --------- d-----w C:\Program Files\MathTrax
2008-09-02 18:03 --------- d-----w C:\Program Files\VstPlugins
2008-09-02 18:03 --------- d-----w C:\Program Files\Fichiers communs\DigiDesign
2008-09-01 07:54 --------- d-----w C:\Program Files\Messenger Plus! Live
2008-08-31 14:30 --------- d-----w C:\Documents and Settings\NetworkService\Application Data\Xfire
2008-08-31 13:33 --------- d-----w C:\Program Files\Windows Live Safety Center
2008-08-29 08:18 87,336 ----a-w C:\WINDOWS\system32\dns-sd.exe
2008-08-29 07:53 61,440 ----a-w C:\WINDOWS\system32\dnssd.dll
2008-08-27 21:03 42,320 ----a-w C:\WINDOWS\system32\xfcodec.dll
2008-08-26 08:11 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-08-14 13:23 2,147,328 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:23 2,025,984 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2007-06-18 14:09 357 ----a-w C:\Documents and Settings\Valentin\.cb_layout.bin
2006-08-24 17:18 278,528 -c--a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
2006-04-12 15:18 284 ----a-w C:\Documents and Settings\Valentin\Application Data\ViewerApp.dat
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
2008-03-16 12:30 216,064 --sh--r C:\WINDOWS\system32\nbDX.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOKIT"="C:\Program Files\Wanadoo\Shell.exe" [2004-08-23 122880]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-05-27 68856]
"Google Update"="C:\Documents and Settings\Valentin\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2008-09-07 133104]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-05-29 790528]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-03-22 339968]
"zBrowser Launcher"="C:\Program Files\Logitech\iTouch\iTouch.exe" [2004-03-18 892928]
"WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 20480]
"WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 32768]
"F-Secure Manager"="C:\Program Files\Securitoo\Av_Fw\Common\FSM32.EXE" [2005-10-26 122929]
"F-Secure TNB"="C:\Program Files\Securitoo\Av_Fw\TNB\TNBUtil.exe" [2005-07-18 700416]
"F-Secure Startup Wizard"="C:\Program Files\Securitoo\Av_Fw\FSGUI\FSSW.EXE" [2005-10-18 372736]
"News Service"="C:\Program Files\Securitoo\Av_Fw\FSGUI\ispnews.exe" [2005-05-31 356352]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 6731312]
"Google Desktop Search"="C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" [2008-08-21 1838592]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-09-06 413696]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-10-01 289576]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-10-17 185872]
"Logitech Utility"="Logi_MwX.Exe" [2003-03-04 C:\WINDOWS\LOGI_MWX.EXE]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Antivirus Firewall.lnk - C:\Program Files\Securitoo\Av_Fw\backweb\6588780\Program\fspex.exe [2006-10-16 32807]
Nikon Monitor.lnk - C:\Program Files\Fichiers communs\Nikon\Monitor\NkMonitor.exe [2008-06-05 479232]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.xvid"= xvid.dll
"vidc.iv41"= ir41_32.dll
"vidc.COL1"= Col4codk.dll
"vidc.i420"= i420vfw.dll
"VIDC.XFR1"= xfcodec.dll
"vidc.mpng"= C:\Program Files\t@b\[u]0/u.958\686\tabdec.dll
"vidc.mvjp"= C:\Program Files\t@b\[u]0/u.958\686\tabdec.dll
"vidc.444p"= C:\Program Files\t@b\[u]0/u.958\686\tabdec.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^e-Carte Bleue La Banque Postale.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\e-Carte Bleue La Banque Postale.lnk
backup=C:\WINDOWS\pss\e-Carte Bleue La Banque Postale.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Logiciel de Synchronisation Orange.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Logiciel de Synchronisation Orange.lnk
backup=C:\WINDOWS\pss\Logiciel de Synchronisation Orange.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Valentin^Menu Démarrer^Programmes^Démarrage^Yahoo! Widget Engine.lnk]
path=C:\Documents and Settings\Valentin\Menu Démarrer\Programmes\Démarrage\Yahoo! Widget Engine.lnk
backup=C:\WINDOWS\pss\Yahoo! Widget Engine.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eCarteBleue-LPV-P1]
--a------ 2005-12-13 15:39 200704 C:\Program Files\e-Carte Bleue\LA BANQUE POSTALE\CVD VISA\ECB.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PinnacleDriverCheck]
--a------ 2003-08-28 11:47 396800 C:\WINDOWS\system32\PSDrvCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-09-06 14:09 413696 C:\Program Files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioAudioCentral]
--a------ 2003-02-26 16:50 253952 C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioDragToDisc]
--a------ 2003-02-27 04:36 757760 C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioEngineUtility]
--a------ 2003-02-27 05:31 69632 C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\ASUS\\AsusUpdate\\Update.exe"=
"C:\\Program Files\\Securitoo\\Av_Fw\\backweb\\6588780\\Program\\fspex.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\svchost.exe"=
"C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\Xfire\\xfire.exe"=
"C:\\Program Files\\Aspyr\\Guitar Hero III\\GH3.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\LucasArts\\Star Wars Jedi Knight Jedi Academy\\GameData\\jamp.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"15829:TCP"= 15829:TCP:µTorrent

R0 FSFW;F-Secure Firewall Driver;C:\WINDOWS\system32\drivers\fsdfw.sys [2005-11-18 70896]
R0 viaraid;viaraid;C:\WINDOWS\system32\DRIVERS\viaraid.sys [2003-10-21 72192]
R2 BackWeb Plug-in - 6588780;Antivirus Firewall;C:\PROGRA~1\SECURI~1\Av_Fw\backweb\6588780\Program\SERVIC~1.EXE [2006-10-16 32807]
R2 F-Secure Filter;F-Secure File System Filter;C:\Program Files\Securitoo\Av_Fw\Anti-Virus\Win2K\FSfilter.sys [2004-09-10 48720]
R2 F-Secure Gatekeeper;F-Secure Gatekeeper;C:\Program Files\Securitoo\Av_Fw\Anti-Virus\Win2K\FSgk.sys [2008-10-27 62176]
R2 F-Secure Recognizer;F-Secure File System Recognizer;C:\Program Files\Securitoo\Av_Fw\Anti-Virus\Win2K\FSrec.sys [2004-06-01 16816]
R2 litsgt;litsgt;C:\WINDOWS\system32\DRIVERS\litsgt.sys [2006-04-21 137344]
R2 tansgt;tansgt;C:\WINDOWS\system32\DRIVERS\tansgt.sys [2006-04-21 12032]
R3 SaiH040C;SaiH040C;C:\WINDOWS\system32\DRIVERS\SaiH040C.sys [2005-07-07 173568]
R3 SaiU040C;SaiU040C;C:\WINDOWS\system32\DRIVERS\SaiU040C.sys [2005-07-07 26496]
S3 ASUSHWIO;ASUSHWIO;C:\WINDOWS\system32\drivers\ASUSHWIO.sys [ ]
.
Contenu du dossier 'Tâches planifiées'

2008-10-22 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2008-10-27 C:\WINDOWS\Tasks\GoogleUpdateTaskUser.job
- C:\Documents and Settings\Valentin\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2008-09-07 19:15]

2008-10-27 C:\WINDOWS\Tasks\Scheduled scanning task.job
- C:\PROGRA~1\SECURI~1\Av_Fw\ANTI-V~1\fsav.exe [2005-06-15 20:56]
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{2E90675C-16BF-442D-AB61-D893C9E55C84} - C:\WINDOWS\system32\awturQKc.dll
BHO-{302D49CA-575B-4262-9B8C-2F26C2D9F83A} - C:\WINDOWS\system32\efcYQgdd.dll
BHO-{573ea44c-5a39-4fe8-9602-adb13cb8f915} - C:\WINDOWS\system32\jbbmpe.dll
BHO-{E832D84F-9557-4D36-99EE-5208B8E4B34A} - C:\WINDOWS\system32\ddcDsrsP.dll
HKLM-Run-d444b750 - C:\WINDOWS\system32\kfoliina.dll
ShellExecuteHooks-{302D49CA-575B-4262-9B8C-2F26C2D9F83A} - C:\WINDOWS\system32\efcYQgdd.dll
Notify-efcYQgdd - efcYQgdd.dll

.
------- Examen supplémentaire -------
.
FireFox -: Profile - C:\Documents and Settings\Valentin\Application Data\Mozilla\Firefox\Profiles\qdqrn5f3.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.fr/
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-27 13:22:27
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\GRISOFT\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsgk32st.exe
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsgk32.exe
C:\Program Files\Securitoo\Av_Fw\backweb\6588780\Program\fsbwsys.exe
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fssm32.exe
C:\Program Files\Securitoo\Av_Fw\Common\FSMA32.EXE
C:\WINDOWS\system32\FTRTSVC.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Securitoo\Av_Fw\Common\FSMB32.EXE
C:\Program Files\Securitoo\Av_Fw\Common\FCH32.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\UAService7.exe
C:\Program Files\Securitoo\Av_Fw\Common\FAMEH32.EXE
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsqh.exe
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\FSAV32.exe
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\FSRW.exe
C:\Program Files\Securitoo\Av_Fw\FWES\program\fsdfwd.exe
C:\Program Files\Logitech\MouseWare\system\EM_EXEC.EXE
C:\Program Files\Wanadoo\TaskBarIcon.exe
C:\PROGRA~1\SECURI~1\Av_Fw\ANTI-S~1\FSAW.exe
C:\Program Files\Securitoo\Av_Fw\FSGUI\fsguidll.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\system32\ALERTM~1\ALERTM~1.EXE
.
**************************************************************************
.
Heure de fin: 2008-10-27 13:28:27 - La machine a redémarré [Valentin]
ComboFix-quarantined-files.txt 2008-10-27 12:28:06
ComboFix2.txt 2008-06-27 08:43:22

Avant-CF: 75,245,846,528 octets libres
Après-CF: 75,326,554,112 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn

307 --- E O F --- 2008-10-24 21:06:38
0
Réponse 11 / 30
Flutabec
 
Mon antivirus m'a indiqué la présence d'un virus (trojan) dans le dossier /System Volume Information, de plus j'ai des doutes concernant le fichier EFCYQGDD.0LL situé dans le dossier /system32. Dois-je le supprimer ?

feelgood, merci pour le lien.
0
Réponse 12 / 30
Flutabec
 
Un petit up pour ne pas que le topic se perde...
0
Réponse 13 / 30
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
analyse ces fichiers sur virus total et colle les rapports: https://www.virustotal.com/gui/

C:\WINDOWS\system32\DDCDSRSP.0LL
C:\WINDOWS\system32\EFCYQGDD.0LL
0
Réponse 14 / 30
Flutabec
 
Voilà pour EFCYQGDD.0LL :

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.27.3 2008.10.27 -
AntiVir 7.9.0.9 2008.10.27 TR/Vundo.Gen
Authentium 5.1.0.4 2008.10.27 -
Avast 4.8.1248.0 2008.10.27 -
AVG 8.0.0.161 2008.10.27 -
BitDefender 7.2 2008.10.27 -
CAT-QuickHeal 9.50 2008.10.27 -
ClamAV 0.93.1 2008.10.27 -
DrWeb 4.44.0.09170 2008.10.27 -
eSafe 7.0.17.0 2008.10.26 Suspicious File
eTrust-Vet 31.6.6168 2008.10.25 -
Ewido 4.0 2008.10.27 -
F-Prot 4.4.4.56 2008.10.27 W32/Virtumonde.P.gen!Eldorado
F-Secure 8.0.14332.0 2008.10.27 Trojan.Win32.Monderb.vwc
Fortinet 3.113.0.0 2008.10.27 -
GData 19 2008.10.27 -
Ikarus T3.1.1.44.0 2008.10.27 Trojan.Vundo
K7AntiVirus 7.10.509 2008.10.27 -
Kaspersky 7.0.0.125 2008.10.27 Trojan.Win32.Monderb.vwc
McAfee 5415 2008.10.25 Vundo.gen.m
Microsoft 1.4005 2008.10.27 -
NOD32 3559 2008.10.27 -
Norman 5.80.02 2008.10.24 -
Panda 9.0.0.4 2008.10.27 -
PCTools 4.4.2.0 2008.10.27 -
Prevx1 V2 2008.10.27 Malicious Software
Rising 21.01.02.00 2008.10.27 -
SecureWeb-Gateway 6.7.6 2008.10.27 Trojan.Vundo.Gen
Sophos 4.35.0 2008.10.27 -
Sunbelt 3.1.1753.1 2008.10.25 -
Symantec 10 2008.10.27 -
TheHacker 6.3.1.1.131 2008.10.27 -
TrendMicro 8.700.0.1004 2008.10.27 -
ViRobot 2008.10.27.1438 2008.10.27 -
VirusBuster 4.5.11.0 2008.10.27 -

Information additionnelle
File size: 32768 bytes
MD5...: fd6500281b67a8655d235f7be06a967b
SHA1..: 65ef8a18914902bb7227648c75f831421bd28ee0
SHA256: 54906ac3423979496e054d9211cd01ee3e4150b93bb9451d4c9a39e3a56735c5
SHA512: ce8558b31dc62cce639ac82ae4ead2d4355cb5879ac3812ba4db08d3ebe7f966
df55f0e5ff11c76c469e4f59ec37b6a769f0e78e9f45f19bef28ed6ae4dc9846
PEiD..: -
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10013660
timedatestamp.....: 0x48b38f3f (Tue Aug 26 05:06:07 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xc000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xd000 0x8000 0x7400 7.91 01baa96e65e2aea21e1a01bd16fc00c6
.rsrc 0x15000 0x1000 0x800 2.71 328fbf41b0a50a4be51b41ed88d4cfa4

( 3 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree
> advapi32.dll: RegCloseKey
> user32.dll: ToAscii

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=ED59620800B2FC4D80C6005B0917F7009717574A
packers (F-Prot): UPX_LZMA

Et pour DDCDSRSP.0LL :

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.27.3 2008.10.27 -
AntiVir 7.9.0.9 2008.10.27 -
Authentium 5.1.0.4 2008.10.27 -
Avast 4.8.1248.0 2008.10.27 -
AVG 8.0.0.161 2008.10.27 Generic11.BLRO
BitDefender 7.2 2008.10.27 -
CAT-QuickHeal 9.50 2008.10.27 -
ClamAV 0.93.1 2008.10.27 -
DrWeb 4.44.0.09170 2008.10.27 -
eSafe 7.0.17.0 2008.10.26 Suspicious File
eTrust-Vet 31.6.6168 2008.10.25 -
Ewido 4.0 2008.10.27 -
F-Prot 4.4.4.56 2008.10.27 W32/Virtumonde.P.gen!Eldorado
F-Secure 8.0.14332.0 2008.10.27 Trojan.Win32.Monder.wdn
Fortinet 3.113.0.0 2008.10.27 -
GData 19 2008.10.27 -
Ikarus T3.1.1.44.0 2008.10.27 Trojan.Vundo
K7AntiVirus 7.10.509 2008.10.27 -
Kaspersky 7.0.0.125 2008.10.27 Trojan.Win32.Monder.wdn
McAfee 5415 2008.10.25 Vundo.gen.m
Microsoft 1.4005 2008.10.27 -
NOD32 3559 2008.10.27 -
Norman 5.80.02 2008.10.24 Vundo.gen212
Panda 9.0.0.4 2008.10.27 -
PCTools 4.4.2.0 2008.10.27 -
Prevx1 V2 2008.10.27 Malicious Software
Rising 21.01.02.00 2008.10.27 Trojan.Win32.Agent.abc
SecureWeb-Gateway 6.7.6 2008.10.27 Win32.UPXpacked.gen (suspicious)
Sophos 4.35.0 2008.10.27 -
Sunbelt 3.1.1753.1 2008.10.25 -
Symantec 10 2008.10.27 -
TheHacker 6.3.1.1.131 2008.10.27 -
TrendMicro 8.700.0.1004 2008.10.27 -
ViRobot 2008.10.27.1438 2008.10.27 -
VirusBuster 4.5.11.0 2008.10.27 -

Information additionnelle
File size: 282624 bytes
MD5...: 31cdda0cc832791aaaf4932c1d5a72ab
SHA1..: 22fd1eec4696b8117df428e5b8e57685bae2f7e6
SHA256: 711c283fb788237be4117fafed1523c6e00fefbcdf489372b1d55a8a80dde708
SHA512: 860750a97ff6bcc6db241d835de8abc001f27150a6b51c7a836deedbe6562bc5
fee191432c364a3f3c500caefc330b91156e0620162cef8865f039d5e6249eb7
PEiD..: -
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1009f680
timedatestamp.....: 0x48b390af (Tue Aug 26 05:12:15 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x5b000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x5c000 0x45000 0x44400 8.00 9c3fe53f037901954efcf9049dadcc4b
.rsrc 0xa1000 0x1000 0x800 5.13 c6beedd57a5d5719a087f696a196c9b0

( 3 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree
> advapi32.dll: RegCloseKey
> user32.dll: ToAscii

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=685B2AE90055637D5045047F33646800605D2420
packers (F-Prot): UPX_LZMA
0
Réponse 15 / 30
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
télécharge OTMoveIt
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau. Ou sur https://www.luanagames.com/index.fr.html
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

Citation :

C:\WINDOWS\system32\DDCDSRSP.0LL
C:\WINDOWS\system32\EFCYQGDD.0LL

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

____________

vire e qui est dans moved file en allant dans psote de travail puis C puis otmovit

________________

colle le rapport d'un scan en ligne
avec un des suivants:

bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html

Panda en ligne :
http://pandasoftware.fr

Kaspersky en ligne
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

____________________
remets un rapport hijkahcits et dis tes soucis actuels
0
Réponse 16 / 30
Flutabec
 
Le scan est en cours, en attendant, voici le rapport de la suppression:

C:\WINDOWS\system32\DDCDSRSP.0LL moved successfully.
C:\WINDOWS\system32\EFCYQGDD.0LL moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 10272008_190549
0
Réponse 17 / 30
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
ok
a plus
0
Réponse 18 / 30
Flutabec
 
Voilà le rapport du scan avec Panda en ligne:

;***********************************************************************************************************************************************************************************
ANALYSIS: 2008-10-27 21:55:55
PROTECTIONS: 2
MALWARE: 8
SUSPECTS: 7
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
F-Secure Antivirus 6.11 No Yes
F-Secure Internet Security 5.91 No No
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00040735 adware/whenusearch Adware No 0 Yes No c:\documents and settings\valentin\menu démarrer\programmes\whenu
00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Documents and Settings\Valentin\Cookies\valentin@xiti[2].txt
00279006 Adware/StartPage.ATU Adware No 1 Yes No C:\Program Files\eMule\Incoming\XviD.MPEG-4.video.codec.v.2.1 (XVID DIVX DX50).exe
01185375 Application/Psexec.A HackTools No 0 Yes No C:\System Volume Information\_restore{F0960848-2CE4-4B15-B900-1883B6643414}\RP889\A0168597.EXE
01301202 Generic Trojan Virus/Trojan No 0 Yes No C:\Program Files\Adobe\Adobe Photoshop CS3\Plug-Ins\Filters\Crystallize.8BF
02885963 Rootkit/Booto.C Virus/Worm No 0 Yes No C:\System Volume Information\_restore{F0960848-2CE4-4B15-B900-1883B6643414}\RP889\A0168577.sys
03803811 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{F0960848-2CE4-4B15-B900-1883B6643414}\RP868\A0166809.exe
03943577 Trj/Lowzones.TG Virus/Trojan No 1 Yes No C:\Qoobox\Quarantine\C\WINDOWS\system32\vlhfiqjv.exe.vir
03943577 Trj/Lowzones.TG Virus/Trojan No 1 Yes No C:\System Volume Information\_restore{F0960848-2CE4-4B15-B900-1883B6643414}\RP889\A0168564.exe
03943577 Trj/Lowzones.TG Virus/Trojan No 1 Yes No C:\System Volume Information\_restore{F0960848-2CE4-4B15-B900-1883B6643414}\RP889\A0168565.exe
03943577 Trj/Lowzones.TG Virus/Trojan No 1 Yes No C:\System Volume Information\_restore{F0960848-2CE4-4B15-B900-1883B6643414}\RP889\A0168566.exe
03943577 Trj/Lowzones.TG Virus/Trojan No 1 Yes No C:\System Volume Information\_restore{F0960848-2CE4-4B15-B900-1883B6643414}\RP886\A0168325.exe
03943577 Trj/Lowzones.TG Virus/Trojan No 1 Yes No C:\Qoobox\Quarantine\C\WINDOWS\system32\yhsaikyk.exe.vir
03943577 Trj/Lowzones.TG Virus/Trojan No 1 Yes No C:\Qoobox\Quarantine\C\WINDOWS\system32\rstdupyc.exe.vir
;===================================================================================================================================================================================
SUSPECTS
Sent Location W
;===================================================================================================================================================================================
No C:\Documents and Settings\Valentin\Bureau\Trousse de survie\ComboFix.exe[32788R22FWJFW\psexec.cfexe] W
No C:\Documents and Settings\Valentin\Local Settings\Application Data\Google\Chrome\User Data\Default\Cache\f_0000b4[32788R22FWJFW\psexec.cfexe]
No C:\Documents and Settings\Valentin\Local Settings\Application Data\Google\Chrome\User Data\Default\Cache\f_0000cf[32788R22FWJFW\psexec.cfexe]
No C:\Documents and Settings\Valentin\Mes documents\Olivier\Bureau\VirtualDub_1.6.9_b23604_Fr.exe W
No C:\Program Files\Adobe\Adobe Photoshop CS3\Plug-Ins\Extensions\MultiProcessor Support.8BX W
No C:\Program Files\Adobe\Adobe Photoshop CS3\Plug-Ins\Filters\Twirl.8BF W
No C:\WINDOWS\system32\srvany.exe W
;===================================================================================================================================================================================
VULNERABILITIES
Id Severity Description W
;===================================================================================================================================================================================
;===================================================================================================================================================================================

Plusieurs virus ont été trouvés, j'ai donc choisi l'option "Désinfecter" et pour les autres, j'ai fait "Envoyer au laboratoire"

Voici enfin le rapport HiJackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:01:44, on 27/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\SECURI~1\Av_Fw\backweb\6588780\Program\SERVIC~1.EXE
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsgk32st.exe
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\FSGK32.EXE
C:\Program Files\Securitoo\Av_Fw\backweb\6588780\program\fsbwsys.exe
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fssm32.exe
C:\Program Files\Securitoo\Av_Fw\Common\FSMA32.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Securitoo\Av_Fw\Common\FSMB32.EXE
C:\Program Files\Securitoo\Av_Fw\backweb\6588780\Program\fspex.exe
C:\Program Files\Securitoo\Av_Fw\Common\FCH32.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Program Files\Securitoo\Av_Fw\Common\FAMEH32.EXE
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsqh.exe
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsav32.exe
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsrw.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Securitoo\Av_Fw\FWES\Program\fsdfwd.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Securitoo\Av_Fw\Common\FSM32.EXE
C:\Program Files\Securitoo\Av_Fw\FSGUI\ispnews.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\PROGRA~1\SECURI~1\Av_Fw\ANTI-S~1\fsaw.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Securitoo\Av_Fw\FSGUI\fsguidll.exe
C:\Documents and Settings\Valentin\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Nikon\Monitor\NkMonitor.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Valentin\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Valentin\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Valentin\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Valentin\Mes documents\Valentin\Jeux\Jedi Academy\ja_minimizer\ja minimizer\ja minimizer.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Documents and Settings\Valentin\Bureau\Trousse de survie\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: ECarteBleueBrowserHelper Class - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\Av_Fw\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\Av_Fw\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\Securitoo\Av_Fw\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Program Files\Securitoo\Av_Fw\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Valentin\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Favorites.lnk = C:\WINDOWS\system32\WinIogon.exe
O4 - Startup: History.lnk = C:\WINDOWS\system32\winlogin.exe
O4 - Startup: Internet Explorer.lnk = C:\WINDOWS\system32\Winapp32.exe
O4 - Global Startup: Antivirus Firewall.lnk = C:\Program Files\Securitoo\Av_Fw\backweb\6588780\Program\fspex.exe
O4 - Global Startup: Nikon Monitor.lnk = C:\Program Files\Fichiers communs\Nikon\Monitor\NkMonitor.exe
O8 - Extra context menu item: &Bloquer cette fenêtre publicitaire - C:\Program Files\Securitoo\Av_Fw\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: &eBay Search - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Protection Internet Explorer - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\Securitoo\Av_Fw\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: Protection Internet Explorer... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\Securitoo\Av_Fw\Anti-Spyware\ieshield.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - https://www.systemrequirementslab.com/cyri
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Antivirus Firewall (BackWeb Plug-in - 6588780) - Securitoo Portal - C:\PROGRA~1\SECURI~1\Av_Fw\backweb\6588780\Program\SERVIC~1.EXE
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\Av_Fw\backweb\6588780\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\Av_Fw\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\Av_Fw\Common\FSMA32.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
0
Réponse 19 / 30
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
vire ce qui est dans le dossier quarantine en allant dans psote de travail uis c

C:\Qoobox\Quarantine\

______________

télécharge OTMoveIt
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau. Ou sur https://www.luanagames.com/index.fr.html
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

Citation :

c:\documents and settings\valentin\menu démarrer\programmes\whenu
C:\Documents and Settings\Valentin\Cookies\valentin@xiti[2].txt
C:\Program Files\eMule\Incoming\XviD.MPEG-4.video.codec.v.2.1 (XVID DIVX DX50).exe

C:\Documents and Settings\Valentin\Local Settings\Application Data\Google\Chrome\User Data\Default\Cache\f_0000b4
C:\Documents and Settings\Valentin\Local Settings\Application Data\Google\Chrome\User Data\Default\Cache\f_0000cf
C:\Documents and Settings\Valentin\Mes documents\Olivier\Bureau\VirtualDub_1.6.9_b23604_Fr.exe
C:\Program Files\Adobe\Adobe Photoshop CS3\Plug-Ins\Extensions\MultiProcessor Support.8BX
C:\Program Files\Adobe\Adobe Photoshop CS3\Plug-Ins\Filters\Twirl.8BF
C:\WINDOWS\system32\srvany.exe W

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

a plus
0
Réponse 20 / 30
Flutabec
 
Certains fichiers n'ont pas été trouvés, je pense qu'ils ont été supprimés lors de la désinfection de Panda en ligne.

Voilà le rapport:

c:\documents and settings\valentin\menu démarrer\programmes\whenu moved successfully.
< C:\Documents and Settings\Valentin\Cookies\valentin@xiti[2].txt >
C:\Documents and Settings\Valentin\Cookies\valentin@xiti[2].txt moved successfully.
C:\Program Files\eMule\Incoming\XviD.MPEG-4.video.codec.v.2.1 (XVID DIVX DX50).exe moved successfully.
File/Folder not found.
C:\Documents and Settings\Valentin\Local Settings\Application Data\Google\Chrome\User Data\Default\Cache\f_0000b4 moved successfully.
C:\Documents and Settings\Valentin\Local Settings\Application Data\Google\Chrome\User Data\Default\Cache\f_0000cf moved successfully.
C:\Documents and Settings\Valentin\Mes documents\Olivier\Bureau\VirtualDub_1.6.9_b23604_Fr.exe moved successfully.
C:\Program Files\Adobe\Adobe Photoshop CS3\Plug-Ins\Extensions\MultiProcessor Support.8BX moved successfully.
C:\Program Files\Adobe\Adobe Photoshop CS3\Plug-Ins\Filters\Twirl.8BF moved successfully.
File/Folder C:\WINDOWS\system32\srvany.exe W not found.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 10282008_085221
0