ver sasserRésolu/Fermé

Question

Bonjour,
il me semble étre infecter par le ver sasser.
Symptome: redémarage de l'ordi dans 1 min, impossible de accéder au gestionnaire des taches, impossible de instaler le sp3 et le sp2 de windows xp avec un msg d'erreur ftp.exe est utilisé un truc du genre, impossible de accéder au gestionnaire de périférique...
j'ai télécherger un kit de désinfection fx sasser mais il ne me trouve rien
http://www.secuser.com/alertes/2004/sasser.htm
merci de m'aider svp se serais gentil

sherred · Answer

tu a essayer le sans echec avec reseau

matthieub · Answer

je vien de voir quil pourrai aussi sagire du virus blaster
je fait un scan avec le kit de désinfection

matthieub · Answer

pareil il ne trouve rien
aidez moi svp

anthony5151 · Answer

Bonjour

Pour empêcher provisoirement le redémarrage :
Démarrer >> Exécuter >> tape  shutdown -a (respecte les espaces) et valide


Ensuite, télécharge hijackthis (logiciel de diagnostique) sur ton bureau :  https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/ 

Installe le, lance le et clique sur "Do a system scan and save a logfile". 
Fais un copier-coller du rapport entier sur le forum

matthieub · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:25:02, on 29/10/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\drivers\winlogon.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\WINDOWS\System32\dllcache\wintcps.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\System32
vsvc32.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Documents and Settings\gerard\Bureau\FxGaobot.exe
C:\Documents and Settings\gerard\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\system32\drivers\winlogon.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [VTkMgr.exe] C:\WINDOWS\pchealth\helpctr\binaries\VTkMgr.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [winlogon.exe] C:\WINDOWS\system32\drivers\winlogon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: Microsoft Windows TCP Protocol - Unknown owner - C:\WINDOWS\System32\dllcache\wintcps.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe

matthieub · Answer

http://matimati14.ifrance.com/index.php?file=./public/Sans titre.bmp
tien voila se qui arrive souvent quand je fait des scan ou autre manipulation de recherche

anthony5151 · Answer

Télécharge MSNFix.zip (de !aur3n7) sur ton bureau : http://sosvirus.changelog.fr/MSNFix.zip

Décompresse-le (clic droit >> Extraire ici) et double clique sur le fichier MSNFix.bat. 
- Exécute l'option R. 
- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage.

Note : Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal 

--> Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt 


Tutoriel en image : https://www.malekal.com/supprimer-virus-desinfecter-pc/ 



Ensuite, télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. 
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : 
• Redémarre ton ordinateur 
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde). 
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. 
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". 
• Choisis ton compte. 

• Puis, ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script. 
• Appuie sur une touche pour commencer le processus de nettoyage. 
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. 
• Appuie sur une touche pour redémarrer le PC. 
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. 
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. 
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. 
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. 

• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau rapport Hijackthis !

matthieub · Answer

voila ra rapport

[b]SDFix: Version 1.238 [/b]
Run by gerard on 30/10/2008 at 12:20

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File
msconfig.exe restored from dllcache 

Rebooting


[b]Checking Files [/b]: 

Trojan Files Found:

C:\WINDOWS\SYSTEM32\FTPUPD.EXE - Deleted
C:\WINDOWS\SYSTEM32\XJF.EXE - Deleted





Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-30 12:23:38
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[b]Remaining Files [/b]:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Mon  7 Jul 2008     1,429,840 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon  7 Jul 2008     4,891,472 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Mon  7 Jul 2008     2,156,368 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Thu 30 Oct 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\021650212ba71899000e8e7db98ccffd\BIT12.tmp"
Thu 30 Oct 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\126216e1ea5a965d65b4b02390ca8357\BITB.tmp"
Thu 30 Oct 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\1e10da77e5e1c72d2afe101dc568fb06\BITE.tmp"
Thu 30 Oct 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\773244b80a35d887f4682727f34cdcce\BITC.tmp"
Thu 30 Oct 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\8aba0967f899f346d112e436c1f1b5c7\BIT11.tmp"
Thu 30 Oct 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\8d1a5116292bdd704934de7b731c8baf\BIT9.tmp"
Fri 28 Jul 2006       152,485 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\abca9e2bf0dd5e18df937d2b7f598387\BIT7.tmp"
Thu 30 Oct 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\b81252ef70e0d4f53d4fb43336030927\BIT8.tmp"
Thu 30 Oct 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\bcf43750f65e2545bf6ed144f7e38323\BITF.tmp"
Fri  2 Jun 2006       153,100 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\e17d2630592b6b8b86888b3ce879a3ab\BIT6.tmp"
Mon  7 Feb 2005     1,076,448 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\e55ba0880fe5970e8f7b6dd3f6c6d103\BIT5.tmp"
Thu 30 Oct 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\eb96ceab77261e76cdbe943d8cf8e4cc\BITD.tmp"
Thu 30 Oct 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\eb9fda4f2f8a691ab294ebfcbb58c737\BITA.tmp"
Thu 30 Oct 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\fa7f963668fe10ab54e5d66e86408298\BIT10.tmp"

[b]Finished![/b]






et la le rapport hijack
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:35:23, on 30/10/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\gerard\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe

anthony5151 · Answer

ATTENDS !   Ce n'est pas fini...


D'abord, pour vérifier qu'il n'y a plus d'infection :

Télécharge et installe Malwarebytes' Anti-Malware
- A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée 
- Lance MBAM, laisse les Mises à jour se télécharger et referme le programme

Redémarre en "Mode sans échec" : redémarre ton ordinateur et tapote sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows, et sélectionne "Mode sans échec". Choisis ta session habituelle

Lance MBAM 
- Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
- Sélectionne tes disques durs" puis clique sur "Lancer l’examen" 
- A la fin du scan, clique sur Afficher les résultats
- Coche tous les éléments  détectés puis clique sur Supprimer la sélection
- Enregistre le rapport
- S'il t'est demandé de redémarrer, clique sur Yes


Poste le rapport de scan après la suppression ici



Ensuite, si tu ne veux pas attraper à nouveau une infection, il va falloir faire plusieurs choses !  Sinon tu vas revenir dans deux jours avec la même infection...

matthieub · Answer

alors voila le log créer après le nétoyage!
Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1343
Windows 5.1.2600 Service Pack 3

31/10/2008 13:05:06
mbam-log-2008-10-31 (13-05-06).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 74326
Temps écoulé: 37 minute(s), 31 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 27

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msconfig (Backdoor.Bot) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\gerard\Application Data\Desktopicon\eBayShortcuts.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP14\A0003241.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP14\A0003242.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP15\A0003270.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP15\A0003271.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP16\A0003330.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP17\A0003344.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP17\A0003345.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP17\A0003352.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP17\A0003356.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP17\A0003357.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP17\A0005252.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP17\A0005254.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP17\A0005255.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP18\A0005280.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP18\A0006280.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP18\A0006312.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP18\A0006313.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP19\A0006426.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP19\A0006427.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP19\A0006428.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP19\A0006429.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP19\A0006430.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP19\A0006474.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP21\A0013921.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP21\A0014008.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\PCHealth\HelpCtr\Binaries\msconfig.exe (Backdoor.Bot) -> Quarantined and deleted successfully.




si sa peut te servire je te remais un log kijack


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:11:03, on 31/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Documents and Settings\gerard\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\System32
vsvc32.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\gerard\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\gerard\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\gerard\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\gerard\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe

anthony5151 · Answer

Je vois que beaucoup de choses ont changé sur ton ordinateur :)  Tu as apparemment mis Windows à jour, c'est une excellente chose ;)  Je vois aussi que tu as installé AVG : est-ce que cette version intègre un pare-feu ?




Par contre, comme je le pensais, ton ordinateur est encore infecté : on va utiliser Combofix pour finir la désinfection. Attention, ce logiciel est très puissant, une mauvaise utilisation peut faire des dégâts... 

Fais exactement ce qui suit : 

Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :
Fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix, choisis le bureau comme destination et valide :  http://download.bleepingcomputer.com/sUBs/ComboFix.exe

--------------------------------------------- [ ! ATTENTION ! ] ---------------------------------------------------------- 
!! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu) le temps de la manipulation : en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !! 

Dans ton cas, il s'agit d'AVG uniquement.

---> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre... 

Tuto ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 
--------------------------------------------------------------------------------------------------------------------------------- 

Ensuite : 
Double-clique sur C-Fix.exe (= combofix.exe ) . 

Appuie sur une touche pour démarrer le scan . 

Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer

Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp

matthieub · Answer

ComboFix 08-10-30.13 - gerard 2008-10-31 17:49:35.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.625 [GMT 1:00] Lancé depuis: C:\Documents and Settings\gerard\Bureau\C-Fix.exe * Un nouveau point de restauration a été créé . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . . ((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_MICROSOFT_WINDOWS_TCP_PROTOCOL ((((((((((((((((((((((((((((( Fichiers créés du 2008-09-28 au 2008-10-31 )))))))))))))))))))))))))))))))))))) . 2008-10-31 16:33 . 2008-10-31 16:33 d-------- C:\Program Files\Real 2008-10-31 16:33 . 2008-10-31 16:33 d-------- C:\Program Files\Fichiers communs\xing shared 2008-10-31 16:33 . 2008-10-31 16:33 d-------- C:\Program Files\Fichiers communs\Real 2008-10-31 16:33 . 2008-10-31 16:33 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll 2008-10-31 16:24 . 2008-10-31 16:24 d-------- C:\Documents and Settings\gerard\Application Data\vlc 2008-10-31 16:23 . 2008-10-31 16:23 d-------- C:\Program Files\VideoLAN 2008-10-31 11:19 . 2008-10-31 11:19 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-10-31 11:19 . 2008-10-31 11:19 d-------- C:\Documents and Settings\gerard\Application Data\Malwarebytes 2008-10-31 11:19 . 2008-10-31 11:19 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-10-31 11:19 . 2008-10-22 16:10 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-10-31 11:19 . 2008-10-22 16:10 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-10-30 18:49 . 2008-10-30 18:49 d-------- C:\Program Files\Auslogics 2008-10-30 18:49 . 2008-10-30 18:49 d-------- C:\Documents and Settings\gerard\Application Data\Auslogics 2008-10-30 15:37 . 2008-10-31 13:35 d--h----- C:\$AVG8.VAULT$ 2008-10-30 15:05 . 2008-10-31 11:19 d-------- C:\WINDOWS\system32\drivers\Avg 2008-10-30 15:05 . 2008-10-30 15:05 97,928 --a------ C:\WINDOWS\system32\drivers\avgldx86.sys 2008-10-30 15:05 . 2008-10-30 15:05 76,040 --a------ C:\WINDOWS\system32\drivers\avgtdix.sys 2008-10-30 15:05 . 2008-10-30 15:05 10,520 --a------ C:\WINDOWS\system32\avgrsstx.dll 2008-10-30 15:04 . 2008-10-30 15:04 d-------- C:\Program Files\AVG 2008-10-30 15:04 . 2008-10-30 15:04 d-------- C:\Documents and Settings\All Users\Application Data\avg8 2008-10-30 14:03 . 2008-10-30 15:05 8,192 --a------ C:\Documents and Settings\ADMINI~1 2008-10-30 13:09 . 2008-10-30 13:13 d-------- C:\WINDOWS\ServicePackFiles 2008-10-30 13:09 . 2008-04-13 19:33 33,792 -----c--- C:\WINDOWS\system32\dllcache\custsat.dll 2008-10-30 13:04 . 2008-04-13 11:23 404,990 --------- C:\WINDOWS\system32\drivers\slntamr.sys 2008-10-30 12:19 . 2008-10-30 12:19 d-------- C:\WINDOWS\ERUNT 2008-10-30 12:15 . 2008-10-30 12:25 d-------- C:\SDFix 2008-10-29 19:14 . 2008-10-29 19:14 d-------- C:\Documents and Settings\LocalService\Menu Démarrer 2008-10-29 19:04 . 2008-10-30 13:27 316,640 --a------ C:\WINDOWS\WMSysPr9.prx 2008-10-29 19:04 . 2008-04-13 19:33 221,184 --a------ C:\WINDOWS\system32\wmpns.dll 2008-10-29 19:03 . 2008-10-29 19:03 d-------- C:\WINDOWS\provisioning 2008-10-29 19:03 . 2008-10-30 13:12 d-------- C:\WINDOWS\peernet 2008-10-29 18:50 . 2008-10-30 13:13 d-------- C:\WINDOWS\EHome 2008-10-29 18:47 . 2008-10-29 18:49 d-------- C:\Program Files\Unlocker 2008-10-29 18:47 . 2008-10-31 13:05 d-------- C:\Documents and Settings\gerard\Application Data\Desktopicon 2008-10-29 17:40 . 2008-10-29 17:40 d-------- C:\Program Files\Glary Utilities 2008-10-29 17:40 . 2008-10-29 17:40 d-------- C:\Documents and Settings\gerard\Application Data\GlarySoft 2008-10-29 17:07 . 2004-03-10 19:01 608,256 -----c--- C:\WINDOWS\system32\dllcache\xpsp2res.dll 2008-10-29 17:07 . 2004-01-10 06:11 26,112 --a------ C:\WINDOWS\system32\xpsp1hfm.exe 2008-10-29 16:54 . 2008-10-29 16:54 d-------- C:\WINDOWS eport 2008-10-29 16:54 . 2008-10-29 16:51 20,682,137 --a------ C:\WINDOWS\LPT$VPN.627 2008-10-29 16:51 . 2008-10-29 16:51 d-------- C:\WINDOWS\AU_Backup 2008-10-29 16:51 . 2008-10-29 16:51 20,682,137 --a------ C:\WINDOWS\VPTNFILE.627 2008-10-29 16:51 . 2008-10-29 16:51 1,960,798 --a------ C:\WINDOWS sc.ptn 2008-10-29 16:51 . 2008-10-29 16:51 1,213,784 --a------ C:\WINDOWS\vsapi32.dll 2008-10-29 16:51 . 2008-10-29 16:51 348,229 --a------ C:\WINDOWS sc.exe 2008-10-29 16:51 . 2008-10-29 16:51 91,744 --a------ C:\WINDOWS\BPMNT.dll 2008-10-29 16:51 . 2008-10-29 16:51 71,749 --a------ C:\WINDOWS\hcextoutput.dll 2008-10-29 16:51 . 2008-10-29 17:13 823 --a------ C:\WINDOWS sc.ini 2008-10-29 16:42 . 2008-10-29 16:51 d-------- C:\WINDOWS\AU_Temp 2008-10-29 16:42 . 2008-10-29 16:42 d-------- C:\WINDOWS\AU_Log 2008-10-29 16:42 . 2008-10-29 16:42 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL 2008-10-29 16:42 . 2008-10-29 16:42 286,720 --a------ C:\WINDOWS\PATCH.EXE 2008-10-29 16:42 . 2008-10-29 16:42 69,689 --a------ C:\WINDOWS\UNZIP.DLL 2008-10-29 16:42 . 2008-10-29 16:42 170 --a------ C:\WINDOWS\GetServer.ini 2008-10-29 16:12 . 2008-10-29 16:12 d-------- C:\Program Files\Spybot - Search & Destroy 2008-10-29 16:12 . 2008-10-30 20:49 d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-10-29 12:17 . 2008-10-29 12:17 d-------- C:\WINDOWS\Sun 2008-10-29 09:50 . 2008-10-29 09:51 d-------- C:\Program Files\Fichiers communs\Adobe 2008-10-28 20:58 . 2008-10-28 20:58 d-------- C:\Program Files\ma-config.com 2008-10-28 20:58 . 2008-10-28 20:58 d-------- C:\Documents and Settings\All Users\Application Data\ma-config.com 2008-10-28 20:24 . 2008-10-28 20:24 d-------- C:\Program Files\CCleaner 2008-10-28 20:12 . 2008-10-28 20:12 d--h----- C:\WINDOWS\system32\GroupPolicy 2008-10-28 20:04 . 2008-10-30 12:37 d--h----- C:\WINDOWS\$hf_mig$ 2008-10-28 20:01 . 2008-10-30 13:12 d-------- C:\WINDOWS\system32\bits 2008-10-28 20:00 . 2008-10-28 20:00 d-------- C:\Documents and Settings\gerard\Application Data\OpenOffice.org 2008-10-28 19:56 . 2008-10-28 19:56 d-------- C:\Documents and Settings\All Users\Application Data\NVIDIA 2008-10-28 19:48 . 2008-10-28 19:48 0 --a------ C:\WINDOWS sreg.dat 2008-10-28 19:45 . 2008-10-28 19:45 d-------- C:\Program Files\OpenOffice.org 3 2008-10-28 19:45 . 2008-10-28 19:45 d-------- C:\Program Files\JRE 2008-10-28 19:45 . 2007-07-30 19:19 549,720 --a------ C:\WINDOWS\system32\wuapi.dll 2008-10-28 19:45 . 2007-07-30 19:19 325,976 --a------ C:\WINDOWS\system32\wucltui.dll 2008-10-28 19:45 . 2007-07-30 19:19 216,408 --a------ C:\WINDOWS\system32\wuaucpl.cpl 2008-10-28 19:45 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\system32\wups2.dll 2008-10-28 19:45 . 2007-07-30 19:19 38,232 --a------ C:\WINDOWS\system32\wucltui.dll.mui 2008-10-28 19:45 . 2007-07-30 19:18 33,624 --a------ C:\WINDOWS\system32\wups.dll 2008-10-28 19:45 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui 2008-10-28 19:45 . 2007-07-30 19:19 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui 2008-10-28 19:45 . 2007-07-30 19:18 21,336 --a------ C:\WINDOWS\system32\wuaueng.dll.mui 2008-10-28 19:44 . 2008-10-28 19:44 d-------- C:\Program Files\Java 2008-10-28 19:44 . 2008-10-28 19:44 d-------- C:\Program Files\Fichiers communs\Java 2008-10-28 19:44 . 2008-10-28 19:44 d---s---- C:\Documents and Settings\gerard\UserData 2008-10-28 19:44 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl 2008-10-28 19:42 . 2008-10-28 19:42 d-------- C:\Program Files\K-Lite Codec Pack 2008-10-28 19:36 . 2001-09-12 16:21 114,744 --a------ C:\WINDOWS\system32\hpzlnt04.dll 2008-10-28 19:36 . 2008-10-28 19:36 800 --a------ C:\WINDOWS\hpinfo.lnk 2008-10-28 19:35 . 2008-10-28 19:35 376 --a------ C:\WINDOWS\mozregistry.dat 2008-10-28 19:33 . 2008-10-28 19:36 d-------- C:\Program Files\hp deskjet 845c series 2008-10-28 19:33 . 2008-10-28 19:34 d-------- C:\Program Files\Hewlett-Packard 2008-10-28 19:30 . 2004-10-20 14:23 21,344 -ra------ C:\WINDOWS\system32\drivers\fbxusb32.sys . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-28 17:15 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-10-28 17:15 --------- d-----w C:\Program Files\AMD 2008-10-28 17:12 315,392 ----a-w C:\WINDOWS\HideWin.exe 2008-10-28 17:12 --------- d-----w C:\Program Files\Realtek 2008-10-28 17:12 --------- d-----w C:\Program Files\Fichiers communs\InstallShield 2008-10-28 17:05 --------- d-----w C:\Documents and Settings\gerard\Application Data\InstallShield 2008-10-28 16:59 558,142 ----a-w C:\WINDOWS\java\Packages\jlrnzv5b.zip 2008-10-28 16:59 155,995 ----a-w C:\WINDOWS\java\Packages 1vrxjlv.zip 2008-10-28 16:59 --------- d-----w C:\Program Files\microsoft frontpage 2008-10-28 16:55 --------- d-----w C:\Program Files\Services en ligne 2008-09-16 00:14 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll 2008-09-16 00:12 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll 2008-09-16 00:11 683,520 ----a-w C:\WINDOWS\system32\divx.dll . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Google Update"="C:\Documents and Settings\gerard\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2008-10-30 133104] "SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 2156368] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "HPDJ Taskbar Utility"="C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-09-12 196608] "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-10-30 7634944] "AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-10-30 1234712] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=avgrsstx.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] --a------ 2008-04-13 19:34 15360 C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] --a------ 2006-10-30 23:35 7634944 C:\WINDOWS\system32 vcpl.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] --a------ 2006-10-30 23:35 86016 C:\WINDOWS\system32 vmctray.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr] -r------- 2005-05-03 11:43 69632 C:\WINDOWS\Alcmtr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg wiz] --a------ 2006-10-30 23:35 1622016 C:\WINDOWS\system32 wiz.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL] -r------- 2008-02-19 08:34 16858112 C:\WINDOWS\RTHDCPL.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un-disabled] "winlogon.exe"=C:\WINDOWS\system32\drivers\winlogon.exe "KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k "NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup "UnlockerAssistant"="C:\Program Files\Unlocker\UnlockerAssistant.exe" "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe" -osboot [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\Network Diagnostic\xpnetdiag.exe"= "%windir%\system32\sessmgr.exe"= "C:\Program Files\AVG\AVG8\avgemc.exe"= "C:\Program Files\AVG\AVG8\avgupd.exe"= R1 AvgLdx86;AVG Free AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-10-30 97928] R2 avg8emc;AVG Free8 E-mail Scanner;C:\PROGRA~1\AVG\AVG8\avgemc.exe [2008-10-30 875288] R2 avg8wd;AVG Free8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-10-30 231704] R2 AvgTdiX;AVG Free8 Network Redirector;C:\WINDOWS\system32\Drivers\avgtdix.sys [2008-10-30 76040] S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\system32\DRIVERS\fbxusb32.sys [2004-10-20 21344] S3 maconfservice;Ma-Config Service;C:\Program Files\ma-config.com\maconfservice.exe [2008-10-28 195752] . Contenu du dossier 'Tâches planifiées' 2008-10-31 C:\WINDOWS\Tasks\GlaryInitialize.job - C:\Program Files\Glary Utilities\initialize.exe [2008-09-17 16:35] 2008-10-31 C:\WINDOWS\Tasks\GoogleUpdateTaskUser.job - C:\Documents and Settings\gerard\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2008-10-30 18:54] . - - - - ORPHELINS SUPPRIMES - - - - MSConfigStartUp-winlogon - C:\WINDOWS\system32\drivers\winlogon.exe MSConfigStartUp-VTkMgr - (no file) . ------- Examen supplémentaire ------- . FireFox -: Profile - C:\Documents and Settings\gerard\Application Data\Mozilla\Firefox\Profiles r0khyrj.default\ . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-31 17:55:52 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . ------------------------ Autres processus actifs ------------------------ . C:\WINDOWS\system32 vsvc32.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\AVG\AVG8\avgrsx.exe C:\Program Files\AVG\AVG8\avgrsx.exe . ************************************************************************** . Heure de fin: 2008-10-31 18:00:20 - La machine a redémarré ComboFix-quarantined-files.txt 2008-10-31 17:00:14 Avant-CF: 28 833 820 672 octets libres Après-CF: 28,803,653,632 octets libres WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn 212

matthieub · Answer

sinon j'ai installer spyboot que j'ai arréter pour le scan avec avg et le parfeu windows!
sinon c'est vachement sympa de ta par de t'occuper de moi!

anthony5151 · Answer

Menu démarrer --> Panneau de configuration --> Option des dossiers --> affichage --> coche "afficher les fichiers et dossiers cachés" et décoche "masquer les fichiers protégés du système d'exploitation" (tu pourras remettre les réglages comme ils étaient à la fin de cette procédure)


Va sur https://www.virustotal.com/gui/

Clique sur Parcourir
Navigue jusqu'au dossier suivant : C:\WINDOWS\java\Packages\jlrnzv5b.zip   
Clique sur « Envoyer le fichier »
S'il te dit qu'il a déjà été analysé, demande une nouvelle analyse.
Poste le rapport ici stp

Fais de même pour le dossier C:\WINDOWS\java\Packages\r1vrxjlv.zip

matthieub · Answer

voila pour le premier dossier
ntivirus  	Version  	Dernière mise à jour  	Résultat
AhnLab-V3	2008.11.1.0	2008.10.31	-
AntiVir	7.9.0.10	2008.10.31	-
Authentium	5.1.0.4	2008.10.31	-
Avast	4.8.1248.0	2008.10.31	-
AVG	8.0.0.161	2008.10.31	-
BitDefender	7.2	2008.10.31	-
CAT-QuickHeal	9.50	2008.10.31	-
ClamAV	0.94.1	2008.10.31	-
DrWeb	4.44.0.09170	2008.10.31	-
eSafe	7.0.17.0	2008.10.30	-
eTrust-Vet	31.6.6184	2008.10.31	-
Ewido	4.0	2008.10.31	-
F-Prot	4.4.4.56	2008.10.30	-
F-Secure	8.0.14332.0	2008.10.31	-
Fortinet	3.117.0.0	2008.10.31	-
GData	19	2008.10.31	-
Ikarus	T3.1.1.44.0	2008.10.31	-
K7AntiVirus	7.10.513	2008.10.31	-
Kaspersky	7.0.0.125	2008.10.31	-
McAfee	5419	2008.10.31	-
Microsoft	1.4005	2008.10.31	-
NOD32	3573	2008.10.31	-
Norman	5.80.02	2008.10.31	-
Panda	9.0.0.4	2008.10.31	-
PCTools	4.4.2.0	2008.10.31	-
Prevx1	V2	2008.10.31	-
Rising	21.01.42.00	2008.10.31	-
SecureWeb-Gateway	6.7.6	2008.10.31	-
Sophos	4.35.0	2008.10.31	-
Sunbelt	3.1.1767.2	2008.10.31	-
Symantec	10	2008.10.31	-
TheHacker	6.3.1.1.135	2008.10.31	-
TrendMicro	8.700.0.1004	2008.10.31	-
VBA32	3.12.8.9	2008.10.30	-
ViRobot	2008.10.31.1446	2008.10.31	-
VirusBuster	4.5.11.0	2008.10.31	-
Information additionnelle
File size: 558142 bytes
MD5...: cd82587e344eb1c9fc46ba77b33d4b76
SHA1..: aa76970160ecc6b7a7d40cde5875d39c2e4a19f3
SHA256: 9b447d0b33ed257343c562621517cb7973214f116efdcab612e68b8d4d8b54a4
SHA512: 140d2690c5bd194fa16fadc95c9c7079e039d7ae8348bc6d275da542615d8453
ae03e94f6ef21de9bea6e8657a0c1412c8a295fb529831b39b61ee6f5087b6b5
PEiD..: -
TrID..: File type identification
ZIP compressed archive (100.0%)
PEInfo: -

matthieub · Answer

et pour le deuxieme
Antivirus  	Version  	Dernière mise à jour  	Résultat
AhnLab-V3	2008.11.1.0	2008.10.31	-
AntiVir	7.9.0.10	2008.10.31	-
Authentium	5.1.0.4	2008.10.31	-
Avast	4.8.1248.0	2008.10.31	-
AVG	8.0.0.161	2008.10.31	-
BitDefender	7.2	2008.10.31	-
CAT-QuickHeal	9.50	2008.10.31	-
ClamAV	0.94.1	2008.10.31	-
DrWeb	4.44.0.09170	2008.10.31	-
eSafe	7.0.17.0	2008.10.30	-
eTrust-Vet	31.6.6184	2008.10.31	-
Ewido	4.0	2008.10.31	-
F-Prot	4.4.4.56	2008.10.30	-
F-Secure	8.0.14332.0	2008.10.31	-
Fortinet	3.117.0.0	2008.10.31	-
GData	19	2008.10.31	-
Ikarus	T3.1.1.44.0	2008.10.31	-
K7AntiVirus	7.10.513	2008.10.31	-
Kaspersky	7.0.0.125	2008.10.31	-
McAfee	5419	2008.10.31	-
Microsoft	1.4005	2008.10.31	-
NOD32	3573	2008.10.31	-
Norman	5.80.02	2008.10.31	-
Panda	9.0.0.4	2008.10.31	-
PCTools	4.4.2.0	2008.10.31	-
Prevx1	V2	2008.10.31	-
Rising	21.01.42.00	2008.10.31	-
SecureWeb-Gateway	6.7.6	2008.10.31	-
Sophos	4.35.0	2008.10.31	-
Sunbelt	3.1.1767.2	2008.10.31	-
Symantec	10	2008.10.31	-
TheHacker	6.3.1.1.135	2008.10.31	-
TrendMicro	8.700.0.1004	2008.10.31	-
VBA32	3.12.8.9	2008.10.30	-
ViRobot	2008.10.31.1446	2008.10.31	-
VirusBuster	4.5.11.0	2008.10.31	-
Information additionnelle
File size: 155995 bytes
MD5...: d3c3efcb8ce5fc802b18d65dc47217ad
SHA1..: 27f3c0821836fe1d53f4b44b36360414fb7f5392
SHA256: 8ad2efc5f2521f731bb9df5e44bf5cd17a540c6efc4a365981faab96197a3eb4
SHA512: bfd637963d78b41aa82d3dbdbdee1fe28b0525126982a91b68af9a1c8797e4c3
5a111a086da9553a9955fe956c3abc4d998ba34dcc71498f8c946996e1e761fb
PEiD..: -
TrID..: File type identification
ZIP compressed archive (100.0%)
PEInfo: -

matthieub · Answer

http://matimati14.ifrance.com/index.php?file=./public/Sans titre.bmp
voila se que me détecte aussi avg régulierement!

anthony5151 · Answer

Tout ce qui est dans le dossier System Volume Information / restore correspond à des sauvegardes de la restauration système ==> pas de danger du moment que tu ne fais pas de restauration du système pour l'instant ;)

Poste un nouveau rapport hijackthis stp

matthieub · Answer

nan dsl prend plutot ce lien 
http://matimati14.ifrance.com/index.php?file=./public/Sans%20titre.JPG

matthieub · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:55:10, on 31/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\System32
vsvc32.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Documents and Settings\gerard\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Program Files\AVG\AVG8\avgrsx.exe
C:\Program Files\AVG\AVG8\avgrsx.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\gerard\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\gerard\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\gerard\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\gerard\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe

anthony5151 · Answer

Très bien, ton ordinateur n'est plus infecté !

Avant de retourner surfer sur internet, il y a quelques petites choses que tu dois faire pour finir le nettoyage et améliorer sensiblement la sécurité de ton ordinateur, ça t'évitera peut-être de devoir revenir ici avec une nouvelle infection dans le futur ;)  Mais sache qu'aucun logiciel de sécurité ne te protègera à 100%, ce qui fait la différence, c'est ta vigilance lorsque tu télécharges ou installes quelque chose : pour en savoir plus, je t'invite à bien lire la page indiquée tout en bas de ce message (6).



1) Sécurise ton ordinateur 

- Pare-feu :
Si AVG n'intègre pas de pare-feu, tu n'as donc que le pare-feu Windows : il te protègera contre les infections basiques comme celle que tu as eu (elle date d'il y a plusieurs années...) : pour une meilleure protection contre les infections actuelles, télécharges-en un vrai. En gratuit, le plus simple est PC Tools :
- Tutoriel PcTools

- Anti-spyware :
* Installe Spyware Blaster : il ne prend pas de mémoire, c'est juste un logiciel qui vaccine ton pc contre certaines infections. Il faut le mettre à jour manuellement, tous les 10 jours environ, et activer toutes les protections (« Enable all protection ») 
* En complément, garde MalwareBytes pour son scan de nettoyage performant, et Spybot pour ses vaccinations à faire régulièrement (après chaque mise à jour)

- Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille d’installer et d'utiliser le navigateur Firefox 3 avec l’extension « AdBlockPlus ». Il est plus sécurisé qu'Internet Explorer, et il respecte ta vie privée, contraire à Google Chrome qui collecte des données sur ton comportement en ligne...
Tu peux trouver des explications ici pour l'installation de l'extension.

- Internet Explorer n'est pas à jour, c'est une faille de sécurité (même si tu ne l'utilises pas)
Menu démarrer --> Windows update --> recherche et installe toutes les mises à jour importantes.
Si Internet Explorer n'y est pas (ou si ta version de Windows n'est pas officielle...), télécharge et installe IE 7 depuis ce lien : IE 7



2) Relance Hijackthis (pour la dernière fois), fais "scan system only" et coche ces lignes (pas dangereuses mains inutiles) : 

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')    
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')    

Coche également toutes les lignes commençant par 016

Ensuite, clique sur "Fix checked" 



3) Menu démarrer &#8594; exécuter &#8594; tape combofix /u (l'espace est important) et valide.
Télécharge ToolsCleaner sur ton bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé : ToolsCleaner
Lance le, clique sur Recherche et laisse le scan se finir, puis clique sur Suppression pour nettoyer. 
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
S'il ne supprime pas tout, supprime manuellement ce qui reste.



4) Télécharge et installe CCleaner  (si ce n’est déjà fait) : https://www.ccleaner.com/ccleaner/download

Lance CCleaner
Option --> avancé --> décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis nettoyeur --> Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Relance le nettoyage une deuxième fois.

Enfin, registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

(Tu peux garder ce logiciel et l'utiliser régulièrement).



5) Pour finir le nettoyage, il faut désactiver puis réactiver la restauration système (pour créer un nouveau point de restauration sain et éviter le retour de l'infection). 

* Fais un clic droit sur poste de travail (qui est sur ton bureau ou dans le menu démarrer), puis propriétés. 
* Sélectionne l'onglet restauration du système 
* Coche l'option Désactiver la restauration du système sur tous les lecteurs 
* Clique sur OK. 

Puis refais la manipulation inverse pour réactiver la restauration système. 



6) Je t'invite enfin à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile):
Prévention et sécurité sur internet



7) Enfin, si tu n as pas d'autres problèmes, tu peux changer le statut du sujet en résolu : Aide





Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)

matthieub · Answer

merci bien de ton aide. pour pctools, j'ai désinstaler avg car il me semble que c'est pas bon de avoir de antivirus!

matthieub · Answer

a mince donc je peux remètre avg?

anthony5151 · Answer

Oui, il faut que tu le remettes (ou un autre antivirus s'il ne te convient pas)  ;)

matthieub · Answer

mais en faite pour pc tools j'ai installais le mauvais il me semble!
https://fr.norton.com/
c'est sa que j'ai installé

anthony5151 · Answer

Arf... Tu as installé l'antivirus et donc... tu n'as toujours pas de pare-feu...

Re-télécharge hijackthis stp, je vais t'aider à mettre tout ça

matthieub · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:47:06, on 05/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\PC Tools AntiVirus\PCTAV.exe
C:\Documents and Settings\gerard\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32
vsvc32.exe
C:\Program Files\PC Tools AntiVirus\PCTAVSvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\gerard\Bureau\HiJackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [PCTAVApp] "C:\Program Files\PC Tools AntiVirus\PCTAV.exe" /MONITORSCAN
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\gerard\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - 
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} - 
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - 
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: PC Tools AntiVirus Engine (PCTAVSvc) - PC Tools Research Pty Ltd - C:\Program Files\PC Tools AntiVirus\PCTAVSvc.exe

anthony5151 · Answer

# Redémarre en mode sans échec

- Clique sur Démarrer, puis sur Arrêter
- Sélectionne Redémarrer et clique sur OK
- Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows n'apparaisse, tapote plusieurs fois sur la touche F8 (F5 sur certains ordinateurs).
- A l'affichage du menu des options avancées de Windows, déplace toi avec les flèches du clavier et sélectionne "Mode sans échec"
- Patiente lors du démarrage qui peut prendre du temps, puis choisis (si nécessaire) ta session habituelle.

Une fois en mode sans échec, ne t'inquiète pas si les couleurs et la taille des icônes changent, c'est normal


# Désinstalle PC Tools Antivirus

- Clique sur Menu démarrer, puis va dans Panneau de configuration, puis Ajout/suppression de programmes
- Sélectionne PCTools Antivirus et clique ensuite sur Désinstaller, puis laisse toi guider.
- A la fin de la désinstallation, fais redémarrer ton ordinateur (en mode normal).


# Supprime les fichiers temporaires avec CCleaner

- Si ce n'est pas déjà fait, télécharge CCleaner ici : https://www.ccleaner.com/ccleaner/download ... ading-slim
- Exécute le fichier ccsetup_slim.exe pour lancer l'installation, puis laisse toi guider.
- Une fois l'installation terminée, lance CCleaner
- Va dans la section "Options" situé dans la marge gauche et clique sur "Avancé"
- Décoche "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48h"
- Retourne ensuite dans la section "Nettoyeur"
- Vérifie que toutes ces cases sont cochées dans la marge gauche : Internet Explorer / Windows Explorer / Système.
- Clique sur Analyse
- Une fois le scan terminé, clique sur Lancer le Nettoyage


# Nettoie la base de registre avec RegCleaner

- Télécharge RegCleaner à cette adresse : http://www.01net.com/windows/Utilitaire ... /4894.html
- Exécute le fichier RegCleaner.exe pour lancer l'installation et laisse toi guider.
- Une fois l'installation terminée, lance RegCleaner
- Au premier démarrage, tu dois valider la licence d'utilisation, pour cela, cliquez sur le bouton "I accept the disclaimer abov"
- Mets ensuite le logiciel en français en cliquant sur Option &#8594; Langue &#8594; choisir la langue
- Paramètre ensuite Regcleaner en manuel : Option &#8594; Nettoyage du registre &#8594; Méthode &#8594; Manuelle
- Vérifie que la sauvegarde automatique est bien paramétrée : Outils &#8594; nettoyage du registre &#8594; Sauvegardes &#8594; Coche « créer une sauvegarde globale ».
- On passe au nettoyage : clique sur "Outils" puis "Nettoyage du registre" et "Tout faire"
- Si les clés trouvées te semblent correctes à la fin du scan, clique sur "Sélection" puis sur "Tous" pour tout sélectionner
- Clique enfin sur le bouton "Supprimer sélection" pour lancer le nettoyage




# Réinstallations

AVG antivirus :
http://www.avgfrance.com/product-avg-anti-virus-free-edition

PC Tools Firewall :
https://fr.norton.com/

Pense aussi à mettre Internet Explorer à jour, tu ne l'as pas fait mais c'est important (voir plus haut)


Ensuite, relance une dernière fois hijackthis, et fixe cette ligne :
O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file) 

Puis gérère un nouveau rapport et poste le ici stp

Ver sasser

28 réponses

Discussions similaires

Newsletters