Impossibilité de supprimer trojans

Fermé

yishan Messages postés 158 Date d'inscription vendredi 8 août 2008 Statut Membre Dernière intervention 22 mars 2010 - 17 nov. 2008 à 00:39
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 18 nov. 2008 à 19:46

Bonjour a tous ...

j'ai été infecté par 2 trojans dont 1 qui porte le nom de (TR/Agent.iob).

En effet, j'utilise antivir qui les a détectés et qui m'a proposer de les supprimer.

Après suppression, il me renouvelle l'opération toutes les heures.

j'ai donc pris l'initiative de scanner avec hijackthis dont voici le rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:18:35, on 16/11/2008
Platform: Windows XP SP3, v.5512 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20772)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\mstsc.exe
C:\Program Files\Taskix\Taskix32.exe
C:\Program Files\VisualTaskTips\VisualTaskTips.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\WinRoll\winroll.exe
C:\Program Files\LClock\LClock.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Program Files\Hercules\WiFi Station\WifiStation.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\PnkBstrB.exe
E:\Program Files\eMule\emule.exe
C:\Program Files\KVIrc\kvirc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HiJackThis\HijackThis.exe
C:\Program Files\Notepad++\notepad++.exe

F3 - REG:win.ini: load=C:\WINDOWS\mstsc.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Taskix] C:\Program Files\Taskix\Taskix32.exe start
O4 - HKLM\..\Run: [VisualTaskTips] "C:\Program Files\VisualTaskTips\VisualTaskTips.exe"
O4 - HKLM\..\Run: [Vistadrv] C:\Program Files\VistaDriveStatus\vsdrv.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKCU\..\Run: [TransBar] C:\Program Files\TransBar\TransBar.exe /s
O4 - HKCU\..\Run: [WinRoll] "C:\Program Files\WinRoll\winroll.exe"
O4 - HKCU\..\Run: [LClock] "C:\Program Files\LClock\LClock.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKLM\..\Policies\Explorer\Run: [DllHst] C:\DOCUME~1\ADMINI~1\APPLIC~1\dllhst3g.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [SessMgr] C:\WINDOWS\sessmgr.exe /waitservice
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [CmSTP] C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\MICROS~1\cmstp.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [CmSTP] C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\MICROS~1\cmstp.exe /waitservice (User 'Default user')
O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: WiFi Station.lnk = ?
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {BD8667B7-38D8-4C77-B580-18C3E146372C} (Creative Toolbox Plug-in) - http://kiw.imgag.com/imgag/cp/install/crusher-kiwen.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE8FC1B4-C831-4178-9D25-5CA273C2E683}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

Posez votre question

A voir également:

Impossibilité de supprimer trojans

Supprimer une page word - Guide

Supprimer compte instagram - Guide

Impossible de supprimer un fichier - Guide

Supprimer pub youtube - Accueil - Streaming

Supprimer mot de passe windows 10 - Guide

48 réponses

1

2

3

Suivant

Réponse 1 / 48

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
18 nov. 2008 à 19:13

ce ne serai pas "virut" ?

potasses ceci :

Des informations intéressantes pour toi et ton PC :

=> Comportement à adopter avec son PC : http://assiste.com.free.fr/p/abc/a/safe_cex.html
et pourquoi ( exemple ) : http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html

=> Surveillance :
Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus puis avec ton anti-spyware (après les avoir mis à jour bien sur !) et supprime ce qu'ils peuvent trouver (où mets en quarantaine, en pensant à la vider ultérieurement).

Pourquoi ? Pour éviter de se retrouver dans ce genre de situation ( peu commune mais ...) :
-> http://secubox.aldria.com/topic-2373.html

=============================================================

=> Il faut mettre a jour la console Java régulièrement aussi :

Rends toi sur https://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour) ou ici https://filehippo.com/download_jre_32/?ex=CORE-116.0
Après avoir installé la dernière version, désinstalle les anciennes versions (de Java) afin d’éliminer les failles de sécurité présentes dans ces anciennes versions.
via Démarrer / Paramètres / Panneau de config / et dans Ajout/Suppression de programmes navigue jusqu'aux anciennes versions de la console Java qui s'y trouvent, puis clique sur « Supprimer », suis les invites de commandes dans la boite de dialogue qui va s'ouvrir afin d'amener la désinstallation à son terme.
Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé .
Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.

=============================================================

=> Afin d’éviter les autres failles de sécurité des différents programmes présents sur ton PC :

Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l’est pas. https://www.flexera.com/products/operations/software-vulnerability-management.html
-Tuto https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/
-Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page.

===========================================================
* le pare- feu de Xp vaut rien , je te conseille fortement dans installer un :
Armor ou Comodo sont très bien ( en anglais mais gratuit )...Tu trouveras tout ce qu'il faut ici :
http://www.commentcamarche.net/telecharger/logiciel 38 firewall

tutos :
https://www.malekal.com/tutorial-online-armor-free/
https://www.malekal.com/tutorial-comodo-firewall/

( Attention : pour Comodo 3 , ne pas installer la barre de recherche pour les navigateurs ! )

En deuxieme choix ( gratuit aussi ) :
->Comodo ancienne version 2.4 ( en francais ) :
http://download.comodo.com/cpf/download/setups/release/languages/CFP_Setup_English_French_2.4.16.174.exe
tuto: https://infomars.fr/forum/index.php?s=908072e48ff7cf0359366440cb26c93f&showtopic=389

->PC Tools Firewall Plus (en français) :
https://fr.norton.com/
Tuto : http://www.6ma.fr/tuto/utilisation-pc-tools-firewall-plus/

(Note: pensez bien à désactiver le pare-feu de Windows avant de lancer l'installe de tout autre pare-feu !)

* testes l'efficacité de ton pare-feu ici ( à titre indicatif ):
http://www.zebulon.fr/outils/scanports/test-securite.php

* tests firewall: http://www.matousec.com/index.html

=> Un complément au pare-feu pour fermer les ports risqués (dangereux, s’ils restent ouverts) :

ZebProtect (application ne nécessitant pas d’installation à lancer et paramétrer une unique fois) http://telechargement.zebulon.fr/123.html

-Tuto https://www.zebulon.fr/dossiers/autres/40-zebprotect.html

================================================================

--> Pour une meilleur sécurité lorsque tu surfes , je te conseille d'utiliser FireFox :
télécharges le ici -> http://www.commentcamarche.net/telecharger/telecharger 111 firefox

( Attention : toujours garder IE sur son PC ! Il est indispensable pour les mises à jour de ton système ainsi que pour pas mal de choses, comme les scan d'antivirus en ligne, ect... )

--> Tutorial pour sécuriser Firefox ( si tu utilises ce navigateur ) :
https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/

=================================================================
=> Rappel sur les principales causes d'infection :

* L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci :

Les dangers des cracks : http://forum.malekal.com/ftopic893.php

->Le crack dans toute sa splendeur, journal d'une infection attendue :
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/

->autre exemple en image , où comment s'infiltre une infection par un pseudo crack :
http://secuboxlabs.fr/archives/computertoday.html

* Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent):

Les conséquences du P2P : https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/

Pourquoi éviter le P2P :
> http://www.libellules.ch/...
> http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793
> https://lexpansion.lexpress.fr/actualite-economique/

* Faire attention avec les ActiveX :
http://assiste.com.free.fr/p/abc/a/activex_dangers.html
et comment :
http://assiste.com.free.fr/p/abc/c/anti_activex.html

* Prévention sur deux autres types d'infection d'actualité :

MSN prévention :
https://forum.zebulon.fr/topic/130590-infection-par-msn-ou-wlm/
-> autre danger grandissant , le " phishing " (= hameçonnage ) :
http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte

Infection par supports amovibles (clefs usb, flash, DD externes ..) :
https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/
https://forum.malekal.com/viewtopic.php?f=45&t=5544

=================================================================
( merci le sioux )

bonne continuation ....

A+

1

Réponse 2 / 48

yishan Messages postés 158 Date d'inscription vendredi 8 août 2008 Statut Membre Dernière intervention 22 mars 2010 20
18 nov. 2008 à 19:37

j'ai essayer plusieurs fois d'aller sur linux ....!!!
Malheuresement, impossible de trouver un pilote comptatible pour ma carte graphique, et ma webcam. Les principales distributions n'ayant pas les spécificités de celles-ci pour le créer.
De plus, linux mérite, quoi qu'en dise les linuxiens avisés, un certain temps d'adaptation, de comprehension du système
étant different de windows.
Et, ce temps est souvent trop long pour des personnes comme moi qui souhaite avoir une utilisation de l'informatique facile et intuitive.
Enfin, et un des plus importants problèmes, la plupart des jeux ne sont pas compatibles avec linux.
Et ma copine ne veut pas autre chose que windows :-)

1

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
18 nov. 2008 à 19:46

Et ma copine ne veut pas autre chose que windows :-)

Et bien qu'elle l'achète ! ... :)

et pour les jeux , il y a un truc fait pour qui s'appelle " Console de jeux " ... X)))))

Allez , bonne chance pour la suite ....

0

Réponse 3 / 48

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
17 nov. 2008 à 00:48

Salut,

bien infecté ... et on ne fais pas " un peu de nettoyage " avec des outils comme Combofix , tu aurais pu planter ta machine ....

Pour partir sur des outils propres , fais ceci dans l'ordre :

1-Télécharges ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://pc-system.fr/

Déconnectes toi et fermes bien toutes tes applications en cours .

Lances le .
*Cliques sur Recherche et laisses le scan se terminer (cela peut être long).
*Cliques sur Suppression pour finaliser.
*Cliques sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
--> Postes ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt .

==================

2- Retélécharges et réinstalles hijackthis ( car supprimé par Toolscleaner2 ) ,

Télécharges et installes le logiciel HijackThis :

ici ftp://ftp.commentcamarche.com/download/HJTInstall.exe
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment )

============================

3- Télécharges ToolBar S&D ( de Eric_71/Team IDN ) sur ton bureau :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

( Tuto : https://sites.google.com/site/toolbarsd/aideenimages )

!! Déconnectes toi et fermes toute tes applications en cours le temps de la manipe !!

* Double-cliques sur ToolBar SD.exe pour lancer l'outil et laisses toi guider ...
-->Tapes sur 2 ( option " nettoyage " ) puis tapes sur [Entrée].

Le nettoyage commence .
! ne touches à rien lors de la suppression !

Un rapport sera généré à la fin du processus : postes son contenu dans ta prochaine réponse
accompagné d'un nouveau rapport hijackthis pour analyse ...

( le rapport est en outre sauvegardé ici -> C:\TB.txt )

0

Réponse 4 / 48

yishan Messages postés 158 Date d'inscription vendredi 8 août 2008 Statut Membre Dernière intervention 22 mars 2010 20
17 nov. 2008 à 00:53

ok je me met a la tache et je te poste les logs
merci

0

Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question

Réponse 5 / 48

yishan Messages postés 158 Date d'inscription vendredi 8 août 2008 Statut Membre Dernière intervention 22 mars 2010 20
17 nov. 2008 à 01:07

Alors voici les logs que tu m'a demander ds l'ordre :

[ Rapport ToolsCleaner version 2.2.6 (par A.Rothstein & dj QUIOU) ]

-->- Recherche:

C:\Combofix.txt: trouvé !
C:\Qoobox: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Windows Trust\Registre\HijackThis.lnk: trouvé !
C:\Program Files\HijackThis: trouvé !
C:\Program Files\HiJackThis\HijackThis.exe: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Windows Trust\Registre\HijackThis.lnk: supprimé !
C:\Program Files\HiJackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Qoobox: supprimé !
C:\Program Files\HijackThis: supprimé !

ensuite ...

-----------\\ ToolBar S&D 1.2.4 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3, v.5512
X86-based PC ( Uniprocessor Free : Intel(R) Celeron(R) CPU 2.13GHz )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : Administrateur ( Administrator )
BOOT : Normal boot
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:29 Go (Free:8 Go)
D:\ (CD or DVD) - CDFS - Total:3 Go (Free:0 Go)
E:\ (Local Disk) - NTFS - Total:124 Go (Free:61 Go)

"C:\ToolBar SD" ( MAJ : 27-10-2008|09:25 )
Option : [1] ( 17/11/2008| 1:02 )

-----------\\ Recherche de Fichiers / Dossiers ...

C:\Program Files\DAEMON Tools Toolbar
C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
C:\Program Files\DAEMON Tools Toolbar\FirefoxDTT
C:\Program Files\DAEMON Tools Toolbar\Resources
C:\Program Files\DAEMON Tools Toolbar\uninst.exe
C:\Program Files\DAEMON Tools Toolbar\_DTLite.xml

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="https://www.google.com/?gws_rd=ssl"
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="https://www.google.com/?gws_rd=ssl"
"Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
"Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"

--------------------\\ Recherche d'autres infections

--------------------\\ Cracks & Keygens ..

C:\DOCUME~1\ADMINI~1\.housecall6.6\Quarantine\Call of duty 5 - world at war - [ Full - crack - serial].zip.bac_a08220

1 - "C:\ToolBar SD\TB_1.txt" - 17/11/2008| 1:02 - Option : [1]

-----------\\ Fin du rapport a 1:02:58,34

et enfin ...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:04:03, on 17/11/2008
Platform: Windows XP SP3, v.5512 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20772)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Taskix\Taskix32.exe
C:\Program Files\VisualTaskTips\VisualTaskTips.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\sessmgr.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\WinRoll\winroll.exe
C:\Program Files\LClock\LClock.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Program Files\Hercules\WiFi Station\WifiStation.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
F3 - REG:win.ini: load=C:\WINDOWS\cmstp.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Taskix] C:\Program Files\Taskix\Taskix32.exe start
O4 - HKLM\..\Run: [VisualTaskTips] "C:\Program Files\VisualTaskTips\VisualTaskTips.exe"
O4 - HKLM\..\Run: [Vistadrv] C:\Program Files\VistaDriveStatus\vsdrv.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKCU\..\Run: [TransBar] C:\Program Files\TransBar\TransBar.exe /s
O4 - HKCU\..\Run: [WinRoll] "C:\Program Files\WinRoll\winroll.exe"
O4 - HKCU\..\Run: [LClock] "C:\Program Files\LClock\LClock.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKLM\..\Policies\Explorer\Run: [DllHst] C:\DOCUME~1\ADMINI~1\APPLIC~1\dllhst3g.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [SessMgr] C:\WINDOWS\sessmgr.exe /waitservice
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [CmSTP] C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\MICROS~1\cmstp.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [CmSTP] C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\MICROS~1\cmstp.exe /waitservice (User 'Default user')
O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: WiFi Station.lnk = ?
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {BD8667B7-38D8-4C77-B580-18C3E146372C} (Creative Toolbox Plug-in) - http://kiw.imgag.com/imgag/cp/install/crusher-kiwen.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE8FC1B4-C831-4178-9D25-5CA273C2E683}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

0

Réponse 6 / 48

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
17 nov. 2008 à 01:20

bien ...

1- Nettoyage avec ToolBar S&D :

!! Déconnectes toi et fermes toute tes applications en cours le temps de la manipe !!

Relances l'outil en double-cliquant sur ToolBar SD.exe qui est sur ton bureau .
-->Tapes sur 2 ( option " nettoyage " ) puis tapes sur [Entrée].

Le nettoyage commence .
! ne touches à rien lors de la suppression !

Un rapport sera généré à la fin du processus : postes son contenu dans ta prochaine réponse
pour analyse ...

ensuite enchaines avec ceci :

2-Vas dans panneau de config/ajout et suppression de prg .
Regardes dans la liste si tu trouves un prg comme : " CID Help ", "Circle Developement" ou
"Adverts" --->si ils s'y trouvent , supprimes les .

3-Télécharges Lop S&D :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/LopSD.exe?attachauth=ANoY7co3ntqUavpZ3q1BG-h4pc13vqDZmhcNeEPChtsyrgAykRbhE8bZzhk979EfQD4AgwtQUHCaQ7ZQwNYMo3_0kA8htAspckDJtu2K5t6J9z6dLW4fpZyH4FpFL1tVMBZ8H-KnN7afZ5vt-WxZRpnynk-a0XmV_Y0C0q6DxGEDKie1TnPT7gFoZnoCnspzBmbW6ZzxA4fNr3oEDlbelNZON-LjF8nOmQ%3D%3D&attredirects=2

Déconnetes toi et fermes toutes tes applications en cours .

Double cliques sur sur l'.exe que tu viens de télécharger pour lancer l'installe .

Une fois l'installation faite, cliques sur le raccourci pour lancer l'outil .

Là,laisses toi guider:
--->choisis l'option 1 (recherche) et valides.

(Tu ne fais pas l'option de nettoyage ( 2 ou 3) ).

Une fois le scan terminer ,le Bloc-Notes contenant le rapport va s'ouvrir.
Postes ce rapport dans ta prochaine réponse pour analyse .

Tuto : https://sites.google.com/site/eric71mespages/lop.sd.exe

==============

postes moi ces rapports , je les analyserai demain car là , c'est l'heure pour moi d'aller dormir ...

A demain donc pour la suite ... ;)

0

Réponse 7 / 48

yishan Messages postés 158 Date d'inscription vendredi 8 août 2008 Statut Membre Dernière intervention 22 mars 2010 20
17 nov. 2008 à 01:23

ok je poste ca se soir et j'attend de tes nouvelles pour demain.
Merci beaucoup et passe une bonne nuit :)

0

Réponse 8 / 48

yishan Messages postés 158 Date d'inscription vendredi 8 août 2008 Statut Membre Dernière intervention 22 mars 2010 20
17 nov. 2008 à 01:34

ok ... alors .. le rapport toolbar SD :

-----------\\ ToolBar S&D 1.2.4 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3, v.5512
X86-based PC ( Uniprocessor Free : Intel(R) Celeron(R) CPU 2.13GHz )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : Administrateur ( Administrator )
BOOT : Normal boot
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:29 Go (Free:8 Go)
D:\ (CD or DVD) - CDFS - Total:3 Go (Free:0 Go)
E:\ (Local Disk) - NTFS - Total:124 Go (Free:61 Go)

"C:\ToolBar SD" ( MAJ : 27-10-2008|09:25 )
Option : [2] ( 17/11/2008| 1:23 )

-----------\\ SUPPRESSION

Supprime! - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
Supprime! - C:\Program Files\DAEMON Tools Toolbar\FirefoxDTT
Supprime! - C:\Program Files\DAEMON Tools Toolbar\Resources
Supprime! - C:\Program Files\DAEMON Tools Toolbar\uninst.exe
Supprime! - C:\Program Files\DAEMON Tools Toolbar\_DTLite.xml
Supprime! - C:\Program Files\DAEMON Tools Toolbar

-----------\\ Recherche de Fichiers / Dossiers ...

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="https://www.google.com/?gws_rd=ssl"
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="https://www.msn.com/fr-fr/"
"Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
"Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"

--------------------\\ Recherche d'autres infections

--------------------\\ Cracks & Keygens ..

C:\DOCUME~1\ADMINI~1\.housecall6.6\Quarantine\Call of duty 5 - world at war - [ Full - crack - serial].zip.bac_a08220

1 - "C:\ToolBar SD\TB_1.txt" - 17/11/2008| 1:02 - Option : [1]
2 - "C:\ToolBar SD\TB_2.txt" - 17/11/2008| 1:24 - Option : [2]

-----------\\ Fin du rapport a 1:24:33,67

et le rapport lopSD :

--------------------\\ Lop S&D 4.2.4-9c XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3, v.5512
X86-based PC ( Uniprocessor Free : Intel(R) Celeron(R) CPU 2.13GHz )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : Administrateur ( Administrator )
BOOT : Normal boot
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:29 Go (Free:8 Go)
D:\ (CD or DVD) - CDFS - Total:3 Go (Free:0 Go)
E:\ (Local Disk) - NTFS - Total:124 Go (Free:61 Go)

"C:\Lop SD" ( MAJ : 01-11-2008|16:30 )
Option : [1] ( 17/11/2008| 1:27 )

--------------------\\ Listing des dossiers dans APPLIC~1

[05/10/2008|20:16] C:\DOCUME~1\ADMINI~1\APPLIC~1\Adobe
[10/10/2008|13:34] C:\DOCUME~1\ADMINI~1\APPLIC~1\Apple Computer
[05/10/2008|20:02] C:\DOCUME~1\ADMINI~1\APPLIC~1\ATI
[13/10/2008|16:58] C:\DOCUME~1\ADMINI~1\APPLIC~1\Canneverbe_Limited
[10/10/2008|21:14] C:\DOCUME~1\ADMINI~1\APPLIC~1\DAEMON Tools
[05/10/2008|19:01] C:\DOCUME~1\ADMINI~1\APPLIC~1\Identities
[05/10/2008|19:11] C:\DOCUME~1\ADMINI~1\APPLIC~1\InstallShield
[06/10/2008|13:03] C:\DOCUME~1\ADMINI~1\APPLIC~1\KVIrc
[02/11/2008|18:25] C:\DOCUME~1\ADMINI~1\APPLIC~1\Leadertech
[05/10/2008|19:19] C:\DOCUME~1\ADMINI~1\APPLIC~1\Macromedia
[11/10/2008|06:49] C:\DOCUME~1\ADMINI~1\APPLIC~1\Malwarebytes
[05/10/2008|20:21] C:\DOCUME~1\ADMINI~1\APPLIC~1\Media Player Classic
[16/11/2008|23:31] C:\DOCUME~1\ADMINI~1\APPLIC~1\Microsoft
[05/10/2008|20:48] C:\DOCUME~1\ADMINI~1\APPLIC~1\mIRC
[12/11/2008|21:56] C:\DOCUME~1\ADMINI~1\APPLIC~1\Mozilla
[11/10/2008|16:58] C:\DOCUME~1\ADMINI~1\APPLIC~1\Notepad++
[30/10/2008|05:51] C:\DOCUME~1\ADMINI~1\APPLIC~1\OpenOffice.org2
[31/10/2008|07:11] C:\DOCUME~1\ADMINI~1\APPLIC~1\Opera
[05/10/2008|23:36] C:\DOCUME~1\ADMINI~1\APPLIC~1\pokerth
[26/10/2008|12:44] C:\DOCUME~1\ADMINI~1\APPLIC~1\Publish Providers
[10/10/2008|20:41] C:\DOCUME~1\ADMINI~1\APPLIC~1\Skinux
[31/10/2008|17:52] C:\DOCUME~1\ADMINI~1\APPLIC~1\Skype
[31/10/2008|11:49] C:\DOCUME~1\ADMINI~1\APPLIC~1\skypePM
[26/10/2008|12:42] C:\DOCUME~1\ADMINI~1\APPLIC~1\Sony
[05/10/2008|19:06] C:\DOCUME~1\ADMINI~1\APPLIC~1\Sun
[11/11/2008|00:25] C:\DOCUME~1\ADMINI~1\APPLIC~1\teamspeak2
[09/10/2008|07:27] C:\DOCUME~1\ADMINI~1\APPLIC~1\TuneUp Software
[05/10/2008|23:30] C:\DOCUME~1\ADMINI~1\APPLIC~1\vlc
[05/10/2008|19:06] C:\DOCUME~1\ADMINI~1\APPLIC~1\WinRAR
[16/11/2008|19:55] C:\DOCUME~1\ADMINI~1\APPLIC~1\Xfire

[05/10/2008|19:33] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
[10/10/2008|12:26] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple Computer
[05/10/2008|20:02] C:\DOCUME~1\ALLUSE~1\APPLIC~1\ATI
[05/10/2008|19:24] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Avira
[10/10/2008|00:25] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Kodak
[11/10/2008|06:49] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Malwarebytes
[05/10/2008|22:18] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Messenger Plus!
[02/11/2008|15:02] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
[05/10/2008|20:57] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Skype
[09/10/2008|07:27] C:\DOCUME~1\ALLUSE~1\APPLIC~1\TuneUp Software

[05/10/2008|18:53] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft

[05/10/2008|18:53] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft

[09/10/2008|11:18] C:\DOCUME~1\NETWOR~1\APPLIC~1\agi
[05/10/2008|18:53] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft
[05/11/2008|14:43] C:\DOCUME~1\NETWOR~1\APPLIC~1\Xfire

--------------------\\ Tâches planifiées dans C:\WINDOWS\tasks

[17/11/2008 01:00][--a------] C:\WINDOWS\tasks\Maintenance en 1 clic.job
[16/11/2008 23:30][--ah-----] C:\WINDOWS\tasks\SA.DAT
[14/04/2008 11:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

--------------------\\ Listing des dossiers dans C:\Program Files

[10/10/2008|21:30] C:\Program Files\Activision
[05/10/2008|19:32] C:\Program Files\Adobe
[10/10/2008|20:42] C:\Program Files\Alcohol Soft
[05/10/2008|19:54] C:\Program Files\ATI Technologies
[05/10/2008|19:24] C:\Program Files\Avira
[05/10/2008|21:28] C:\Program Files\AvRack
[05/10/2008|22:33] C:\Program Files\Capturino V2
[05/10/2008|19:06] C:\Program Files\CCleaner
[13/10/2008|16:57] C:\Program Files\CDBurnerXP
[05/10/2008|18:52] C:\Program Files\ComPlus Applications
[10/10/2008|20:42] C:\Program Files\Conduit
[01/11/2008|21:05] C:\Program Files\DAEMON Tools Lite
[19/10/2008|23:48] C:\Program Files\DivX
[16/11/2008|23:30] C:\Program Files\Fichiers communs
[15/11/2008|01:07] C:\Program Files\Folding@Home #01
[11/10/2008|07:10] C:\Program Files\free-downloads.net
[05/10/2008|22:10] C:\Program Files\Google
[05/10/2008|21:13] C:\Program Files\Hercules
[16/10/2008|02:29] C:\Program Files\InstallShield Installation Information
[10/10/2008|12:27] C:\Program Files\Internet Explorer
[05/10/2008|23:11] C:\Program Files\Java
[10/10/2008|12:26] C:\Program Files\Kodak
[09/10/2008|08:38] C:\Program Files\KVIrc
[05/10/2008|19:06] C:\Program Files\LClock
[10/10/2008|22:03] C:\Program Files\MagicISO
[23/10/2008|20:37] C:\Program Files\Malwarebytes' Anti-Malware
[05/10/2008|20:22] C:\Program Files\Media Player Classic
[26/10/2008|12:48] C:\Program Files\MediaMonkey
[05/10/2008|20:20] C:\Program Files\Messenger Plus! Live
[16/11/2008|23:30] C:\Program Files\microsoft frontpage
[05/10/2008|20:48] C:\Program Files\mIRC
[16/11/2008|23:30] C:\Program Files\movie maker
[17/11/2008|01:25] C:\Program Files\Mozilla Firefox
[16/11/2008|23:30] C:\Program Files\msn gaming zone
[16/11/2008|23:30] C:\Program Files\netmeeting
[11/10/2008|17:14] C:\Program Files\Notepad++
[05/10/2008|23:11] C:\Program Files\OpenOffice.org 2.4
[31/10/2008|07:11] C:\Program Files\Opera
[05/10/2008|18:52] C:\Program Files\Outlook Express
[05/10/2008|18:50] C:\Program Files\Paint.NET
[16/11/2008|21:21] C:\Program Files\PeerGuardian2
[19/10/2008|20:47] C:\Program Files\PGameScan
[07/11/2008|19:11] C:\Program Files\Picasa2
[06/10/2008|17:08] C:\Program Files\PKR
[05/10/2008|23:34] C:\Program Files\PokerTH
[10/10/2008|12:27] C:\Program Files\QuickTime
[05/10/2008|21:28] C:\Program Files\Realtek AC97
[05/10/2008|21:28] C:\Program Files\Realtek Sound Manager
[05/10/2008|20:31] C:\Program Files\Satsuki Decoder Pack
[07/10/2008|22:35] C:\Program Files\SEGA
[11/10/2008|05:45] C:\Program Files\Shock Utility
[05/10/2008|21:28] C:\Program Files\Silicon Integrated Systems
[05/10/2008|21:25] C:\Program Files\sisagp
[05/10/2008|21:27] C:\Program Files\SiSLan
[05/10/2008|20:57] C:\Program Files\Skype
[26/10/2008|12:41] C:\Program Files\Sony
[21/10/2008|07:37] C:\Program Files\Sony Setup
[05/10/2008|19:06] C:\Program Files\Taskix
[11/11/2008|00:25] C:\Program Files\Teamspeak2_RC2
[30/10/2008|18:02] C:\Program Files\Thoosje Sidebar V2.3
[05/10/2008|19:06] C:\Program Files\TransBar
[17/11/2008|00:59] C:\Program Files\Trend Micro
[26/10/2008|12:50] C:\Program Files\TuneUp Utilities 2008
[05/10/2008|19:00] C:\Program Files\Uninstall Information
[05/10/2008|18:51] C:\Program Files\Unlocker
[05/10/2008|19:35] C:\Program Files\VideoLAN
[05/10/2008|19:07] C:\Program Files\VistaDriveStatus
[05/10/2008|19:06] C:\Program Files\VisualTaskTips
[26/10/2008|12:44] C:\Program Files\VSTplugins
[05/10/2008|19:06] C:\Program Files\Windows Live
[14/11/2008|13:18] C:\Program Files\Windows Live Safety Center
[05/10/2008|18:54] C:\Program Files\Windows Media Player
[16/11/2008|23:30] C:\Program Files\windows nt
[05/10/2008|18:51] C:\Program Files\Windows Trust
[05/10/2008|19:06] C:\Program Files\WinRAR
[05/10/2008|19:06] C:\Program Files\WinRoll
[05/10/2008|19:01] C:\Program Files\WTInstaller
[16/11/2008|23:30] C:\Program Files\xerox
[12/11/2008|05:39] C:\Program Files\Xfire

--------------------\\ Listing des dossiers dans C:\Program Files\Fichiers communs

[05/10/2008|19:32] C:\Program Files\Fichiers communs\Adobe
[05/10/2008|19:52] C:\Program Files\Fichiers communs\ATI Technologies
[10/10/2008|20:55] C:\Program Files\Fichiers communs\DirectX
[05/10/2008|21:24] C:\Program Files\Fichiers communs\InstallShield
[05/10/2008|19:06] C:\Program Files\Fichiers communs\Java
[10/10/2008|12:23] C:\Program Files\Fichiers communs\Kodak
[16/11/2008|23:30] C:\Program Files\Fichiers communs\Microsoft Shared
[05/10/2008|18:52] C:\Program Files\Fichiers communs\MSSoap
[05/10/2008|20:45] C:\Program Files\Fichiers communs\ODBC
[05/10/2008|18:52] C:\Program Files\Fichiers communs\Services
[05/10/2008|20:57] C:\Program Files\Fichiers communs\Skype
[16/11/2008|23:30] C:\Program Files\Fichiers communs\speechengines
[05/10/2008|18:52] C:\Program Files\Fichiers communs\System
[09/10/2008|07:26] C:\Program Files\Fichiers communs\Wise Installation Wizard

--------------------\\ Process

( 35 Processes )

... OK !

--------------------\\ Recherche avec S_Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Recherche de Fichiers / Dossiers Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Verification du Registre

..... OK !

--------------------\\ Verification du fichier Hosts

Fichier Hosts PROPRE

--------------------\\ Recherche de fichiers avec Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-17 01:28:55
Windows 5.1.2600 Service Pack 3, v.5512 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------\\ Recherche d'autres infections

--------------------\\ Cracks & Keygens ..

C:\DOCUME~1\ADMINI~1\.housecall6.6\Quarantine\Call of duty 5 - world at war - [ Full - crack - serial].zip.bac_a08220

[F:3][D:4]-> C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
[F:13][D:0]-> C:\DOCUME~1\ADMINI~1\Cookies
[F:117][D:4]-> C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMPOR~1\content.IE5

1 - "C:\Lop SD\LopR_1.txt" - 17/11/2008| 1:29 - Option : [1]

--------------------\\ Fin du rapport a 1:29:37

encore merci et douce nuit ....

0

Réponse 9 / 48

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
17 nov. 2008 à 09:04

Salut,

on continue , un crack infecté dans la quarantaien d'housecall ... on nettoye :

1- Télécharges OTMoveIt3 (de Old_Timer) sur ton Bureau.

http://oldtimer.geekstogo.com/OTMoveIt3.exe

! Déconnectes toi et fermes toute tes applications en cours !

Double cliques sur "OTMoveIt3.exe" pour ouvrir le prg .
Puis copies ce qui se trouve en citation ci-dessous,

:Processes explorer.exe :Services :Reg :Files C:\DOCUME~1\ADMINI~1\.housecall6.6\Quarantine\Call of duty 5 - world at war - [ Full - crack - serial].zip.bac_a08220 :Commands [purity] [emptytemp] [start explorer] [Reboot]

et colles le dans le cadre de gauche de OTMoveIt3 :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)

-> cliques sur MoveIt! pour lancer la suppression.
-> laisses travailler l'outil ...

( Note : ton bureau va disparaitre puis réapparaitre, c'est normal .)

-> une fois finis , un petite fenêtre s'ouvre : cliques sur " Yes " .

Ton PC va redémarrer de lui même ...

-->Postes le contenu du rapport qui se trouve dans le dossier "C:\_OTMoveIt\MovedFiles"
( " xxxx2008_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).

2- Télécharges MSNFix.zip (de !aur3n7) :
http://sosvirus.changelog.fr/MSNFix.zip
--> décompresses-le sur le Bureau ( = extraire tout ).

Déplaces ensuite le dossier que tu viens d'extraire directement sous ton disque dure ,
c'est à dire ici -> C:\MSNFix .
( c'est très important pour le bon fonctionnement de l'outil ! ).

Impératif : Démarrer en mode sans echec .

/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

Comment aller en Mode sans échec :
1) Redémarres ton ordi .
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis la première option : Sans Échec , et valides en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).
attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...

Lances le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
- Exécute l'option R (recherche).
- Si l'infection est détectée, exécute l'option N (nettoyage) .

-> Une fois finit, sauvegardes le rapport généré sur ton bureau .
Redémarres ton PC ( = retour au mode normal ).

-> il se peut aussi que l'infection doit être nettoyer au redémarrage du PC : avant l'arrivée du bureau , une fenêtre demandant l'exécution de "MSNfix" s'ouvre .
-> cliques sur ok pour que l'outil puisse finir de travailler (patiente jusqu'à l'apparition du bureau ... ceci peut s'avérer relativement long).
le rapport s'ouvrira à l'arrivée du bureau ...

( PS : le rapport est en outre sauvegardé ici C:\MSNFix\"date_heure".txt ou ici C:\WINDOWS\msnfix.txt )

---> postes moi ce rapport accompagné d'un nouveau rapport hijackthis ( fait en mode normal ) dans ta prochaine réponse pour analyse ...

0

Réponse 10 / 48

yishan Messages postés 158 Date d'inscription vendredi 8 août 2008 Statut Membre Dernière intervention 22 mars 2010 20
17 nov. 2008 à 09:24

c parti :-)

0

Réponse 11 / 48

yishan Messages postés 158 Date d'inscription vendredi 8 août 2008 Statut Membre Dernière intervention 22 mars 2010 20
17 nov. 2008 à 09:52

alors voici le log de OTMoveIt3 :

========= PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
========== REGISTRY ==========
========== FILES ==========
C:\DOCUME~1\ADMINI~1\.housecall6.6\Quarantine\Call of duty 5 - world at war - [ Full - crack - serial].zip.bac_a08220 moved successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\etilqs_AACnMxaY6QxCcPfHZFS7 scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DF1A9B.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mqmae2t5.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mqmae2t5.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mqmae2t5.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mqmae2t5.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mqmae2t5.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
FireFox cache emptied.
Opera cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.7.1 log created on 11172008_092513

Files moved on Reboot...
File C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\etilqs_AACnMxaY6QxCcPfHZFS7 not found!
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DF1A9B.tmp moved successfully.
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mqmae2t5.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mqmae2t5.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mqmae2t5.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mqmae2t5.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mqmae2t5.default\urlclassifier3.sqlite moved successfully.

Ensuite le log de MSNfix :

MSNFix 1.749

C:\MSNFix
Fix exécuté le 17/11/2008 - 9:34:49,17 By Administrateur
mode sans échec

************************ Recherche les fichiers présents

... C:\WINDOWS\IFinst27.exe

************************ Recherche les dossiers présents

Aucun dossier trouvé

************************ Suppression des fichiers

.. OK ... C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winlogon.exe
.. OK ... C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\services.exe
.. OK ... C:\WINDOWS\system32\cftmon.exe
.. OK ... C:\WINDOWS\IFinst27.exe

************************ Nettoyage du registre

************************ Hostsclean

Cleanhosts v 0.1.0.7 By Laurent

-- Backup : C:\WINDOWS\system32\drivers\etc\hosts-20081117093617
-- original size 0.03 Kb / 1 lines
scan impossible. because they are Only 1 line in hosts file

End .............................. not available Secondes

Les fichiers encore présents seront supprimés au prochain redémarrage

Aucun Fichier trouvé

************************ Hostsclean

Cleanhosts v 0.1.0.7 By Laurent

-- Backup : C:\WINDOWS\system32\drivers\etc\hosts-20081117093819
-- original size 0.03 Kb / 1 lines
scan impossible. because they are Only 1 line in hosts file

End .............................. not available Secondes

et ensuite le rapport hidjackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:42:12, on 17/11/2008
Platform: Windows XP SP3, v.5512 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20772)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\DOCUME~1\ADMINI~1\APPLIC~1\dllhst3g.exe
C:\Program Files\Taskix\Taskix32.exe
C:\Program Files\VisualTaskTips\VisualTaskTips.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\WinRoll\winroll.exe
C:\Program Files\LClock\LClock.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Program Files\Hercules\WiFi Station\WifiStation.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
F3 - REG:win.ini: load=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\comrepl.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Taskix] C:\Program Files\Taskix\Taskix32.exe start
O4 - HKLM\..\Run: [VisualTaskTips] "C:\Program Files\VisualTaskTips\VisualTaskTips.exe"
O4 - HKLM\..\Run: [Vistadrv] C:\Program Files\VistaDriveStatus\vsdrv.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKCU\..\Run: [TransBar] C:\Program Files\TransBar\TransBar.exe /s
O4 - HKCU\..\Run: [WinRoll] "C:\Program Files\WinRoll\winroll.exe"
O4 - HKCU\..\Run: [LClock] "C:\Program Files\LClock\LClock.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKLM\..\Policies\Explorer\Run: [DllHst] C:\DOCUME~1\ADMINI~1\APPLIC~1\dllhst3g.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [SessMgr] C:\WINDOWS\sessmgr.exe /waitservice
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [CmSTP] C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\MICROS~1\cmstp.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [CmSTP] C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\MICROS~1\cmstp.exe /waitservice (User 'Default user')
O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: WiFi Station.lnk = ?
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {BD8667B7-38D8-4C77-B580-18C3E146372C} (Creative Toolbox Plug-in) - http://kiw.imgag.com/imgag/cp/install/crusher-kiwen.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE8FC1B4-C831-4178-9D25-5CA273C2E683}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

0

Réponse 12 / 48

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
17 nov. 2008 à 09:56

Bien ... on avance .... mais encore il reste encore du travail ... ^^

1- Télécharges : - CCleaner
https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "francais" en langue .
-avant de cliquer sur le bouton "installer", décoches toutes les "options supplémentaires" sauf les 2 premières.

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

---> Utilisation:
! déconnectes toi et fermes toutes applications en cours !
* vas dans "nettoyeur" : fait analyse puis nettoyage
* vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

2- Télécharges SDFix sur ton bureau :
ici http://downloads.andymanchesta.com/RemovalTools/SDFix.exe.
ou ici http://sdfix.net/SDFix.exe

--> Double-cliques sur SDFix.exe et choisis "Install" .

( tuto ici : https://www.malekal.com/slenfbot-still-an-other-irc-bot/ )

Puis une fois l'installe faite ,

Impératif : Démarrer en mode sans echec .

/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

Comment aller en Mode sans échec :
1) Redémarres ton ordi .
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis la première option : Sans Échec , et valides en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).
attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...

Ouvres le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double cliques sur RunThis.bat pour lancer le script.
--->Tapes Y pour lancer le script ...
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire , donc :
presses une touche pour redémarrer quand il te le sera demandé .

Le PC va mettre du temps avant de démarrer ( c'est normale ), après le chargement du Bureau presses une touche lorsque "Finished" s'affiche .

Le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier
C:\SDFix sous le nom "Report.txt".
Postes ce dernier dans ta prochaine réponse accompagné d'un nouveau rapport Hijakcthis pour analyse ...

0

Réponse 13 / 48

yishan Messages postés 158 Date d'inscription vendredi 8 août 2008 Statut Membre Dernière intervention 22 mars 2010 20
17 nov. 2008 à 10:20

j'utilise tous les jours ccleaner donc pas de probleme a se sujet la .... j'ai nettoyer le registre et etc ... par contre j'ai pas réussi a ouvrir le fichier runthis.bat en mode sans echec car il s'ouvrait et se refermait aussi sec ??!!!!!

0

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
17 nov. 2008 à 10:23

Si SDFix ne se lances pas (ça arrive!)

* Vas dans "Démarrer"->cliques sur la commande "Exécuter" .
Ou appuies simultanement sur la touche "Windows" et sur R > la boite de commande "Exécuter" va s´ouvrir...

->là tu Copie/colles exactement ceci dans la fenêtre :

%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe

* Cliques sur "ok", et valides ...
* Redémarres ton PC en mode sans échec et reprends la manipe de SDfix comme je te l'ai indiqué plus haut ...

0

Réponse 14 / 48

yishan Messages postés 158 Date d'inscription vendredi 8 août 2008 Statut Membre Dernière intervention 22 mars 2010 20
17 nov. 2008 à 10:40

je ne pe toujours pas l'ouvrir :(

A la console de l'entrée du patch apres la commande executer il me marque :

IXPATH 2.0 - (C) 2004 by Bill Stewart (bstewart@iname.com)

The system path is stored in the Path value in the following registry key:

HKLM\System\CurrentControlSet\Control\Session Manager\Environment

The Path registry value must be of type REG_EXPAND_SZ and must contain, at a
minimum, the following directories:

%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\Wbem

If either of these conditions are false, then the Path is not correct. This
program attempts to correct both of these problems, if found.

You must be logged on as a user with sufficient permissions to update the Path.

You may run this program without user interaction by specifying /Q on the
command line.

Check for errors and attempt to repair now? (Y/N) n

C:\WINDOWS\system32>

0

Réponse 15 / 48

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
17 nov. 2008 à 10:44

Mouais .... bizard ... changeons le fusil d'épaule et fais ceci pour le moment :

1- Télécharges UsbFix ( de Chiquitine29 et Chimay8 ) sur ton bureau :

http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe

! Déconnectes toi d'internet et fermes toutes applications en cours !

--> Double-cliques sur l' .exe pour lancer l'installation de l'outil ( ne touche pas aux paramètres d'installe ) .

Impératif :
Branches toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3, etc...) succeptibles d'avoir été infectés, ainsi que les CD et DVD rom dont tu te serts éventuellement le plus souvent ( mais sans les ouvrir ! ) .

--> Double-cliques sur le raccourci "UsbFix" qui est sur ton bureau pour lancer l'outil :

* Tapes sur 1 ( option " nettoyage " ) puis sur [entrée] et suis les instructions ...

--> Le pc va redémarrer ... laisses travailler l'outil et ne touches à rien ...
( Note : pour les unités externes non utlisées, cliques sur "continuer" lors du message d'avertissement )

--> Une fois de retour à ton bureau , attends le message de fin du nettoyage ,
puis appuies sur une touche pour que le rapport "UsbFix.txt" s'affiche .

Fais un copier/coller de son contenu dans ta prochaine réponse pour analyse et attends la suite ....

( Note : le rapport UsbFix.txt est sauvegardé a la racine du disque dur > C:\UsbFix.txt )

PS : Si le Bureau ne réapparait pas, presses Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
tapes explorer.exe et valides .

============================

2- Télécharges Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

-> http://images.malwareremoval.com/random/RSIT.exe

! Fermes bien toutes tes applications en cours !

Double-clique sur " RSIT.exe " pour le lancer .

-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

* Devant l'option "List files/folders created ..." , tu choisis : 2 months

* cliques ensuite sur " Continue " pour lancer l'analyse ...

( Note : Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence.)

-> laisses faire le scan et ne touche pas au PC ...

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).

Postes le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

Important : postes un rapport, puis l'autre dans la réponse suivante ... si tu essayes de poster les deux en même temps,
cela risque d'être trop long pour le forum ...
Et si "log.txt" seul, ne passe pas non plus , fais le en 2 fois ... merci ...

( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )

0

Réponse 16 / 48

yishan Messages postés 158 Date d'inscription vendredi 8 août 2008 Statut Membre Dernière intervention 22 mars 2010 20
17 nov. 2008 à 11:03

donc .... lol

voici le log d'usbfix :

-------------- UsbFix V2.408 ---------------

* User : Administrateur - WINDOWS-0145FAD
* Outils mis a jours le 16/11/2008 par Chiquitine29 et Chimay8
* Recherche effectuée à 10:51:37 le 17/11/2008
* Windows_NT - Internet Explorer 7.0.5730.13

--------------- [ Processus actifs ] ----------------

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avwsc.exe
C:\WINDOWS\system32\userinit.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1.tmp\b2e.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\appdrvrem01.exe
C:\WINDOWS\system32\ati2sgag.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe

--------------- [ Informations lecteurs ] ----------------

C: - Lecteur fixe

D: - Lecteur de CD-ROM

E: - Lecteur fixe

--------------- [ Lecteur C ] ----------------

C: - Lecteur fixe

+- Listing des fichiers présents :

[05/10/2008 18:54][--a------] C:\AUTOEXEC.BAT
[14/04/2008 11:00][-rahs----] C:\NTDETECT.COM
[05/10/2008 18:49][---hs----] C:\boot.ini
[17/11/2008 01:30][--a------] C:\lopR.txt
[17/11/2008 01:30][--a------] C:\TB.txt
[17/11/2008 01:30][--a------] C:\TCleaner.txt
[17/11/2008 01:30][--a------] C:\UsbFix.txt
[05/10/2008 18:54][--a------] C:\CONFIG.SYS
[05/10/2008 18:54][--a------] C:\IO.SYS
[05/10/2008 18:54][--a------] C:\MSDOS.SYS
[05/10/2008 18:54][--a------] C:\pagefile.sys

--------------- [ Lecteur D ] ----------------

D: - Lecteur de CD-ROM

+- Listing des fichiers présents :

--------------- [ Lecteur E ] ----------------

E: - Lecteur fixe

+- Listing des fichiers présents :

--------------- [ Registre / Startup ] ----------------

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Taskix REG_SZ C:\Program Files\Taskix\Taskix32.exe start
VisualTaskTips REG_SZ "C:\Program Files\VisualTaskTips\VisualTaskTips.exe"
Vistadrv REG_SZ C:\Program Files\VistaDriveStatus\vsdrv.exe
avgnt REG_SZ "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
StartCCC REG_SZ "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
TransBar REG_SZ C:\Program Files\TransBar\TransBar.exe /s
WinRoll REG_SZ "C:\Program Files\WinRoll\winroll.exe"
LClock REG_SZ "C:\Program Files\LClock\LClock.exe"
DAEMON Tools Lite REG_SZ "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun

--------------- [ Registre / Mountpoint2 ] ----------------

Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F\Shell\AutoRun\command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{90e82758-9703-11dd-9beb-0008d328ea53}\Shell\AutoRun\command

--------------- [ Nettoyage des disques ] ----------------

--------------- [ Resumé ] ----------------

-> /!\ Le resultat doit etre interprété par un spécialiste /!\

[05/10/2008 18:54][--a------] C:\AUTOEXEC.BAT
[14/04/2008 11:00][-rahs----] C:\NTDETECT.COM
[05/10/2008 18:49][---hs----] C:\boot.ini

--------------- ! Fin du rapport ! ----------------

ensuite le log info.txt d'RSIT :

Windows Trust Installer-->"C:\Program Files\WTInstaller\Désinstaller.exe"
WinRAR-->"C:\Program Files\WinRAR\uninstall.exe"
WinRoll-->"C:\Program Files\WinRoll\Désinstaller.exe"
WIRELESS-->MsiExec.exe /I{F9593CFB-D836-49BC-BFF1-0E669A411D9F}
Xfire (remove only)-->"C:\Program Files\Xfire\uninst.exe"

Securitycenter WMI appears to be broken

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files\QuickTime\QTSystem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 4 Stepping 9, GenuineIntel
"PROCESSOR_REVISION"=0409
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"CLASSPATH"=.;C:\Program Files\Java\jre1.6.0_06\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre1.6.0_06\lib\ext\QTJava.zip

-----------------EOF-----------------

je poste le log dRSIt tout de suite

0

Réponse 17 / 48

yishan Messages postés 158 Date d'inscription vendredi 8 août 2008 Statut Membre Dernière intervention 22 mars 2010 20
17 nov. 2008 à 11:04

le log d'RSIt :

Logfile of random's system information tool 1.04 (written by random/random)
Run by Administrateur at 2008-11-17 10:58:37
Microsoft Windows XP Professionnel Service Pack 3, v.5512
System drive C: has 9 GB (30%) free of 30 GB
Total RAM: 2046 MB (77% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:58:43, on 17/11/2008
Platform: Windows XP SP3, v.5512 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20772)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\comrepl.exe
C:\Program Files\Taskix\Taskix32.exe
C:\Program Files\VisualTaskTips\VisualTaskTips.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\WinRoll\winroll.exe
C:\Program Files\LClock\LClock.exe
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Program Files\Hercules\WiFi Station\WifiStation.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Administrateur.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
F3 - REG:win.ini: load=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\comrepl.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Taskix] C:\Program Files\Taskix\Taskix32.exe start
O4 - HKLM\..\Run: [VisualTaskTips] "C:\Program Files\VisualTaskTips\VisualTaskTips.exe"
O4 - HKLM\..\Run: [Vistadrv] C:\Program Files\VistaDriveStatus\vsdrv.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKCU\..\Run: [TransBar] C:\Program Files\TransBar\TransBar.exe /s
O4 - HKCU\..\Run: [WinRoll] "C:\Program Files\WinRoll\winroll.exe"
O4 - HKCU\..\Run: [LClock] "C:\Program Files\LClock\LClock.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKLM\..\Policies\Explorer\Run: [DllHst] C:\DOCUME~1\ADMINI~1\APPLIC~1\dllhst3g.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [SessMgr] C:\WINDOWS\sessmgr.exe /waitservice
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [CmSTP] C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\MICROS~1\cmstp.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [CmSTP] C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\MICROS~1\cmstp.exe /waitservice (User 'Default user')
O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: WiFi Station.lnk = ?
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {BD8667B7-38D8-4C77-B580-18C3E146372C} (Creative Toolbox Plug-in) - http://kiw.imgag.com/imgag/cp/install/crusher-kiwen.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE8FC1B4-C831-4178-9D25-5CA273C2E683}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

0

Réponse 18 / 48

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
17 nov. 2008 à 11:26

Bien ...

Télécharges MalwareByte's :
ici ftp://ftp.commentcamarche.com/download/mbam-setup.exe
ou ici : http://www.malwarebytes.org/mbam.php

* Installes le ( choisis bien "francais" ; ne modifies pas les paramètres d'installe ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le ici : https://www.malekal.com/tutorial-aboutbuster/ )

* Potasses le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnectes toi et fermes toutes applications en cours !

* Lances Malwarebyte's .

Fais un examen dit "complet" ( sélectionnes bien tous tes disks avant le scan ! ).

--> Laisses le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifies que tous les objets infectés soient validés, puis cliques sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
accompagné d'un nouveau rapport hijackthis pour analyse ...

0

Réponse 19 / 48

yishan Messages postés 158 Date d'inscription vendredi 8 août 2008 Statut Membre Dernière intervention 22 mars 2010 20
17 nov. 2008 à 19:35

Excuse moi j'ai été un peu long, le temps de faire ma nuit ^^...
alors malwairebyte est mon programme antispyware par default donc ce dut facile de générer le scan.
Voici son dernier log :

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1403
Windows 5.1.2600 Service Pack 3, v.5512

17/11/2008 19:29:36
mbam-log-2008-11-17 (19-29-36).txt

Type de recherche: Examen complet (C:\|E:\|)
Eléments examinés: 70388
Temps écoulé: 15 minute(s), 38 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\cmstp.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Antivir vient encore de me detecter le trojan TR/Agent.iob pendant que je dormai. (c peut etre celui la qui a été spprimer par malwairebyte !) je sais psa ...

merci

0

Réponse 20 / 48

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
17 nov. 2008 à 19:38

Postes moi un nouveau rapport RSIT stp ...

0

Posez votre question

Devenez membre en quelques clics

Connectez-vous simplement avec ceux qui partagent vos intérêts

Suivez vos discussions facilement et obtenez plus de réponses

Mettez en avant votre expertise et aidez les autres membres

Profitez de nombreuses fonctionnalités supplémentaires en vous inscrivant

S'inscrire