Impossibilité de supprimer trojans

yishan Messages postés 159 Statut Membre -
sKe69 Messages postés 21955 Statut Contributeur sécurité - 18 nov. 2008 à 19:46

Bonjour a tous ...

j'ai été infecté par 2 trojans dont 1 qui porte le nom de (TR/Agent.iob).

En effet, j'utilise antivir qui les a détectés et qui m'a proposer de les supprimer.

Après suppression, il me renouvelle l'opération toutes les heures.

j'ai donc pris l'initiative de scanner avec hijackthis dont voici le rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:18:35, on 16/11/2008
Platform: Windows XP SP3, v.5512 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20772)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\mstsc.exe
C:\Program Files\Taskix\Taskix32.exe
C:\Program Files\VisualTaskTips\VisualTaskTips.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\WinRoll\winroll.exe
C:\Program Files\LClock\LClock.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Program Files\Hercules\WiFi Station\WifiStation.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\PnkBstrB.exe
E:\Program Files\eMule\emule.exe
C:\Program Files\KVIrc\kvirc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HiJackThis\HijackThis.exe
C:\Program Files\Notepad++\notepad++.exe

F3 - REG:win.ini: load=C:\WINDOWS\mstsc.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Taskix] C:\Program Files\Taskix\Taskix32.exe start
O4 - HKLM\..\Run: [VisualTaskTips] "C:\Program Files\VisualTaskTips\VisualTaskTips.exe"
O4 - HKLM\..\Run: [Vistadrv] C:\Program Files\VistaDriveStatus\vsdrv.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKCU\..\Run: [TransBar] C:\Program Files\TransBar\TransBar.exe /s
O4 - HKCU\..\Run: [WinRoll] "C:\Program Files\WinRoll\winroll.exe"
O4 - HKCU\..\Run: [LClock] "C:\Program Files\LClock\LClock.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKLM\..\Policies\Explorer\Run: [DllHst] C:\DOCUME~1\ADMINI~1\APPLIC~1\dllhst3g.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [SessMgr] C:\WINDOWS\sessmgr.exe /waitservice
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [CmSTP] C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\MICROS~1\cmstp.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [CmSTP] C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\MICROS~1\cmstp.exe /waitservice (User 'Default user')
O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: WiFi Station.lnk = ?
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {BD8667B7-38D8-4C77-B580-18C3E146372C} (Creative Toolbox Plug-in) - http://kiw.imgag.com/imgag/cp/install/crusher-kiwen.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE8FC1B4-C831-4178-9D25-5CA273C2E683}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 5321 bytes

Je n'y vois rien d'anormal, j'en ai profiter pour nettoyer un peu.

j'ai fais donc un scan avec combofix dont voici le rapport qui a supprimer quelques fichiers :

ComboFix 08-11-16.02 - Administrateur 2008-11-16 23:28:03.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1571 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe

[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/B/COLOR
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Administrateur\Application Data\dllhst3g.exe
c:\windows\system32\unrar.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-10-16 au 2008-11-16 ))))))))))))))))))))))))))))))))))))
.

2008-11-16 23:31 . 2008-11-14 14:55 81,920 --a------ c:\documents and settings\Administrateur\Application Data\dllhst3g.exe
2008-11-16 23:30 . 2008-11-16 23:30 <REP> d-------- c:\windows\system32\xircom
2008-11-16 23:30 . 2008-11-16 23:30 <REP> d-------- c:\windows\system32\restore
2008-11-16 23:30 . 2008-11-16 23:30 <REP> d-------- c:\windows\system32\oobe
2008-11-16 23:30 . 2008-11-16 23:30 <REP> d-------- c:\windows\srchasst
2008-11-16 23:30 . 2008-11-16 23:30 <REP> d-------- c:\windows\msagent
2008-11-16 23:30 . 2008-11-16 23:30 <REP> d-------- c:\program files\microsoft frontpage
2008-11-16 23:29 . 2008-11-14 14:55 81,920 --a------ c:\windows\system32\drivers\cmstp.exe
2008-11-16 20:12 . 2008-11-16 21:20 <REP> d-------- c:\documents and settings\Administrateur\.housecall6.6
2008-11-16 03:25 . 2008-11-16 03:25 38 --a------ c:\windows\AviSplitter.INI
2008-11-15 01:44 . 2008-11-15 01:44 2,915,944 --a------ c:\windows\system32\drivers\appdrv01.sys
2008-11-15 01:44 . 2008-11-15 01:44 304,528 --a------ c:\windows\system32\appdrvrem01.exe
2008-11-15 01:07 . 2008-11-15 01:07 <REP> d-------- c:\program files\Folding@Home #01
2008-11-14 15:04 . 2008-11-14 15:04 279,712 --a------ c:\windows\system32\drivers\atksgt.sys
2008-11-14 15:04 . 2008-11-14 15:04 25,888 --a------ c:\windows\system32\drivers\lirsgt.sys
2008-11-14 14:55 . 2008-11-14 14:55 81,920 --a------ c:\windows\sessmgr.exe
2008-11-14 14:55 . 2008-11-14 14:55 81,920 --a------ c:\windows\mstsc.exe
2008-11-14 14:54 . 2008-05-30 14:11 3,850,760 --a------ c:\windows\system32\D3DX9_38.dll
2008-11-14 14:54 . 2008-05-30 14:11 1,491,992 --a------ c:\windows\system32\D3DCompiler_38.dll
2008-11-14 14:54 . 2008-05-30 14:19 507,400 --a------ c:\windows\system32\XAudio2_1.dll
2008-11-14 14:54 . 2008-05-30 14:11 467,984 --a------ c:\windows\system32\d3dx10_38.dll
2008-11-14 14:54 . 2008-05-30 14:18 238,088 --a------ c:\windows\system32\xactengine3_1.dll
2008-11-14 14:54 . 2008-05-30 14:17 65,032 --a------ c:\windows\system32\XAPOFX1_0.dll
2008-11-14 14:54 . 2008-05-30 14:17 25,608 --a------ c:\windows\system32\X3DAudio1_4.dll
2008-11-14 14:53 . 2008-11-14 14:53 <REP> d-------- c:\windows\Logs
2008-11-13 15:19 . 2008-11-14 13:18 <REP> d-------- c:\program files\Windows Live Safety Center
2008-11-11 00:25 . 2008-11-11 00:25 <REP> d-------- c:\documents and settings\Administrateur\Application Data\teamspeak2
2008-11-11 00:24 . 2008-11-11 00:25 <REP> d-------- c:\program files\Teamspeak2_RC2
2008-11-11 00:24 . 2008-11-11 00:24 34,064 --a------ c:\windows\system32\lhacm.acm
2008-11-09 11:33 . 1999-12-17 09:13 86,016 --a------ c:\windows\unvise32.exe
2008-11-08 21:10 . 2008-11-11 21:43 54,156 --ah----- c:\windows\QTFont.qfn
2008-11-08 21:10 . 2008-11-08 21:10 1,409 --a------ c:\windows\QTFont.for
2008-11-05 14:43 . 2008-11-05 14:43 <REP> d-------- c:\documents and settings\NetworkService\Application Data\Xfire
2008-11-02 18:25 . 2008-11-02 18:25 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Leadertech
2008-11-02 15:14 . 2008-11-02 15:14 107,888 --a------ c:\windows\system32\CmdLineExt.dll
2008-11-01 21:05 . 2008-11-01 21:05 <REP> d-------- c:\program files\DAEMON Tools Toolbar
2008-11-01 21:05 . 2008-11-01 21:05 <REP> d-------- c:\program files\DAEMON Tools Lite
2008-10-31 07:11 . 2008-10-31 07:11 <REP> d-------- c:\program files\Opera
2008-10-30 02:24 . 2008-10-30 02:24 42,320 --a------ c:\windows\system32\xfcodec.dll
2008-10-29 08:41 . 2008-10-30 18:02 <REP> d-------- c:\program files\Thoosje Sidebar V2.3
2008-10-26 12:44 . 2008-10-26 12:44 <REP> d-------- c:\program files\VSTplugins
2008-10-26 12:44 . 2008-10-26 12:44 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Publish Providers
2008-10-26 12:42 . 2008-10-26 12:42 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Sony
2008-10-26 12:41 . 2008-10-26 12:41 <REP> d-------- c:\program files\Sony
2008-10-21 07:37 . 2008-10-21 07:37 <REP> d-------- c:\program files\Sony Setup
2008-10-19 23:48 . 2008-10-19 23:48 <REP> d-------- c:\program files\DivX
2008-10-19 20:29 . 2008-10-19 20:47 <REP> d-------- c:\program files\PGameScan
2008-10-16 00:27 . 2008-11-16 19:55 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Xfire
2008-10-16 00:26 . 2008-11-12 05:39 <REP> d-------- c:\program files\Xfire

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-16 20:22 202,648 ----a-w c:\windows\system32\PnkBstrB.exe
2008-11-16 20:22 138,408 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2008-11-16 20:21 --------- d-----w c:\program files\PeerGuardian2
2008-11-07 18:11 --------- d-----w c:\program files\Picasa2
2008-10-31 16:52 --------- d-----w c:\documents and settings\Administrateur\Application Data\Skype
2008-10-31 10:49 --------- d-----w c:\documents and settings\Administrateur\Application Data\skypePM
2008-10-30 04:51 --------- d-----w c:\documents and settings\Administrateur\Application Data\OpenOffice.org2
2008-10-26 11:50 --------- d-----w c:\program files\TuneUp Utilities 2008
2008-10-26 11:48 --------- d-----w c:\program files\MediaMonkey
2008-10-23 19:37 --------- d-----w c:\program files\Malwarebytes' Anti-Malware
2008-10-22 14:10 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2008-10-22 14:10 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2008-10-16 01:29 --------- d--h--w c:\program files\InstallShield Installation Information
2008-10-13 15:58 --------- d-----w c:\documents and settings\Administrateur\Application Data\Canneverbe_Limited
2008-10-13 15:57 --------- d-----w c:\program files\CDBurnerXP
2008-10-11 16:14 --------- d-----w c:\program files\Notepad++
2008-10-11 15:58 --------- d-----w c:\documents and settings\Administrateur\Application Data\Notepad++
2008-10-11 06:10 --------- d-----w c:\program files\free-downloads.net
2008-10-11 05:49 --------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes
2008-10-11 05:49 --------- d-----w c:\documents and settings\Administrateur\Application Data\Malwarebytes
2008-10-11 04:45 65,536 ----a-w c:\windows\IFinst27.exe
2008-10-11 04:45 --------- d-----w c:\program files\Shock Utility
2008-10-10 21:03 --------- d-----w c:\program files\MagicISO
2008-10-10 20:45 66,872 ----a-w c:\windows\system32\PnkBstrA.exe
2008-10-10 20:42 22,328 ----a-w c:\documents and settings\Administrateur\Application Data\PnkBstrK.sys
2008-10-10 20:30 --------- d-----w c:\program files\Activision
2008-10-10 20:14 717,296 ----a-w c:\windows\system32\drivers\sptd.sys
2008-10-10 20:14 --------- d-----w c:\documents and settings\Administrateur\Application Data\DAEMON Tools
2008-10-10 19:55 --------- d-----w c:\program files\Fichiers communs\DirectX
2008-10-10 19:42 --------- d-----w c:\program files\Conduit
2008-10-10 19:42 --------- d-----w c:\program files\Alcohol Soft
2008-10-10 19:41 --------- d-----w c:\documents and settings\Administrateur\Application Data\Skinux
2008-10-10 12:34 --------- d-----w c:\documents and settings\Administrateur\Application Data\Apple Computer
2008-10-10 11:27 --------- d-----w c:\program files\QuickTime
2008-10-10 11:26 --------- d-----w c:\program files\Kodak
2008-10-10 11:26 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer
2008-10-10 11:23 --------- d-----w c:\program files\Fichiers communs\Kodak
2008-10-09 23:25 --------- d-----w c:\documents and settings\All Users\Application Data\Kodak
2008-10-09 15:32 348,160 ----a-w c:\windows\system32\msvcr71.dll
2008-10-09 15:32 339,968 ----a-w c:\windows\system32\pythoncom25.dll
2008-10-09 15:32 2,117,632 ----a-w c:\windows\system32\python25.dll
2008-10-09 15:32 114,688 ----a-w c:\windows\system32\pywintypes25.dll
2008-10-09 10:18 --------- d-----w c:\documents and settings\NetworkService\Application Data\agi
2008-10-09 10:01 90,112 ----a-w c:\windows\DUMP45b3.tmp
2008-10-09 07:38 --------- d-----w c:\program files\KVIrc
2008-10-09 06:27 355,584 ----a-w c:\windows\system32\TuneUpDefragService.exe
2008-10-09 06:27 --------- d-----w c:\documents and settings\All Users\Application Data\TuneUp Software
2008-10-09 06:27 --------- d-----w c:\documents and settings\Administrateur\Application Data\TuneUp Software
2008-10-09 06:26 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard
2008-10-07 21:35 --------- d-----w c:\program files\SEGA
2008-10-06 16:08 --------- d-----w c:\program files\PKR
2008-10-06 12:03 --------- d-----w c:\documents and settings\Administrateur\Application Data\KVIrc
2008-10-05 22:36 --------- d-----w c:\documents and settings\Administrateur\Application Data\pokerth
2008-10-05 22:34 --------- d-----w c:\program files\PokerTH
2008-10-05 22:30 --------- d-----w c:\documents and settings\Administrateur\Application Data\vlc
2008-10-05 22:11 --------- d-----w c:\program files\OpenOffice.org 2.4
2008-10-05 22:11 --------- d-----w c:\program files\Java
2008-10-05 21:33 --------- d-----w c:\program files\Capturino V2
2008-10-05 21:18 --------- d-----w c:\documents and settings\All Users\Application Data\Messenger Plus!
2008-10-05 21:10 --------- d-----w c:\program files\Google
2008-10-05 20:28 --------- d-----w c:\program files\Silicon Integrated Systems
2008-10-05 20:28 --------- d-----w c:\program files\Realtek Sound Manager
2008-10-05 20:28 --------- d-----w c:\program files\Realtek AC97
2008-10-05 20:28 --------- d-----w c:\program files\AvRack
2008-10-05 20:27 --------- d-----w c:\program files\SiSLan
2008-10-05 20:25 --------- d-----w c:\program files\sisagp
2008-10-05 20:24 --------- d-----w c:\program files\Fichiers communs\InstallShield
2008-10-05 20:13 --------- d-----w c:\program files\Hercules
2008-10-05 19:57 --------- d-----w c:\program files\Skype
2008-10-05 19:57 --------- d-----w c:\program files\Fichiers communs\Skype
2008-10-05 19:57 --------- d-----w c:\documents and settings\All Users\Application Data\Skype
2008-10-05 19:48 --------- d-----w c:\program files\mIRC
2008-10-05 19:48 --------- d-----w c:\documents and settings\Administrateur\Application Data\mIRC
2008-10-05 19:31 --------- d-----w c:\program files\Satsuki Decoder Pack
2008-10-05 19:22 --------- d-----w c:\program files\Media Player Classic
2008-10-05 19:21 --------- d-----w c:\documents and settings\Administrateur\Application Data\Media Player Classic
2008-10-05 19:20 --------- d-----w c:\program files\Messenger Plus! Live
2008-10-05 19:02 --------- d-----w c:\documents and settings\All Users\Application Data\ATI
2008-10-05 19:02 --------- d-----w c:\documents and settings\Administrateur\Application Data\ATI
2008-10-05 18:54 --------- d-----w c:\program files\ATI Technologies
2008-10-05 18:52 --------- d-----w c:\program files\Fichiers communs\ATI Technologies
2008-10-05 18:35 --------- d-----w c:\program files\VideoLAN
2008-10-05 18:32 --------- d-----w c:\program files\Fichiers communs\Adobe
2008-10-05 18:24 --------- d-----w c:\program files\Avira
2008-10-05 18:24 --------- d-----w c:\documents and settings\All Users\Application Data\Avira
2008-10-05 18:12 21,419 ----a-w c:\windows\system32\drivers\AegisP.sys
2008-10-05 18:11 --------- d-----w c:\documents and settings\Administrateur\Application Data\InstallShield
2008-10-05 18:07 --------- d-----w c:\program files\VistaDriveStatus
2008-10-05 18:06 --------- d-----w c:\program files\WinRoll
2008-10-05 18:06 --------- d-----w c:\program files\Windows Live
2008-10-05 18:06 --------- d-----w c:\program files\VisualTaskTips
2008-10-05 18:06 --------- d-----w c:\program files\TransBar
2008-10-05 18:06 --------- d-----w c:\program files\Taskix
2008-10-05 18:06 --------- d-----w c:\program files\LClock
2008-10-05 18:06 --------- d-----w c:\program files\Fichiers communs\Java
2008-10-05 18:06 --------- d-----w c:\program files\CCleaner
2008-10-05 18:01 --------- d-----w c:\program files\WTInstaller
2008-10-05 17:51 --------- d-----w c:\program files\Windows Trust
2008-10-05 17:51 --------- d-----w c:\program files\Unlocker
2008-10-05 17:50 --------- d-----w c:\program files\Paint.NET
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TransBar"="c:\program files\TransBar\TransBar.exe" [2005-06-01 65536]
"WinRoll"="c:\program files\WinRoll\winroll.exe" [2004-04-07 15360]
"LClock"="c:\program files\LClock\LClock.exe" [2004-09-19 65536]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-07-24 490952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Taskix"="c:\program files\Taskix\Taskix32.exe" [2007-01-25 65536]
"VisualTaskTips"="c:\program files\VisualTaskTips\VisualTaskTips.exe" [2007-09-05 36352]
"Vistadrv"="c:\program files\VistaDriveStatus\vsdrv.exe" [2006-07-30 121089]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"DllHst"="c:\docume~1\ADMINI~1\APPLIC~1\dllhst3g.exe" [2008-11-14 81920]

[HKEY_CURRENT_USER\software\microsoft\windows\Currentversion\policies\explorer\Run]
"SessMgr"="c:\windows\sessmgr.exe" [2008-11-14 81920]

[HKEY_USERS\.DEFAULT\software\microsoft\windows\Currentversion\policies\explorer\Run]
"CmSTP"="c:\docume~1\ADMINI~1\LOCALS~1\APPLIC~1\MICROS~1\cmstp.exe" [2008-11-14 81920]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Logiciel Kodak EasyShare.lnk - c:\program files\Kodak\Kodak EasyShare software\bin\EasyShare.exe [2008-05-10 282624]
WiFi Station.lnk - c:\program files\Hercules\WiFi Station\WifiStation.exe [2008-10-05 654336]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
"HideRunAsVerb"= 1 (0x1)
"NoNetConnectDisconnect"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"ForceClassicControlPanel"= 1 (0x1)
"NoResolveSearch"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoStrCmpLogical"= 0 (0x0)
"NoWelcomeScreen"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"ForceClassicControlPanel"= 1 (0x1)
"NoResolveSearch"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoStrCmpLogical"= 0 (0x0)
"NoWelcomeScreen"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\windows]
"load"=c:\docume~1\ADMINI~1\APPLIC~1\MICROS~1\logman.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\keygen.exe]
"Debugger"=StripMyRights.exe /D /L C

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"PeerGuardian"=c:\program files\PeerGuardian2\pg2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

R1 appdrv01;Application Driver (01);c:\windows\system32\Drivers\appdrv01.sys [2008-11-15 2915944]
R2 UxTuneUp;TuneUp Extension de thème;c:\windows\System32\svchost.exe -k netsvcs [2008-04-14 14336]
R3 camfilt2;camfilt2;c:\windows\system32\DRIVERS\camfilt2.sys [2008-10-05 94720]
S2 appdrvrem01;Application Driver Auto Removal Service (01);c:\windows\System32\appdrvrem01.exe svc []
S3 TuneUp.Defrag;TuneUp Drive Defrag Service;c:\windows\System32\TuneUpDefragService.exe [2008-10-09 355584]

[COLOR=RED]NETSVCS REQUIRES REPAIRS - current entries shown/COLOR
6to4
AppMgmt
AudioSrv
Browser
CryptSvc
DMServer
DHCP
EventSystem
FastUserSwitchingCompatibility
HidServ
Ias
Iprip
Irmon
LanmanServer
LanmanWorkstation
Netman
Nla
Ntmssvc
NWCWorkstation
Nwsapagent
Rasauto
Rasman
Remoteaccess
Schedule
Seclogon
SENS
Sharedaccess
Tapisrv
Themes
UxTuneUp
W32Time
WZCSVC
Wmi
WmdmPmSp
winmgmt
xmlprov
napagent
hkmsvc
BITS
ShellHWDetection
WmdmPmSN

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - F:\CLIC.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{90e82758-9703-11dd-9beb-0008d328ea53}]
\Shell\AutoRun\command - f:\setup\rsrc\Autorun.exe
\Shell\dinstall\command - f:\directx\dxsetup.exe
.
Contenu du dossier 'Tâches planifiées'

2008-11-16 c:\windows\Tasks\Maintenance en 1 clic.job
- c:\program files\TuneUp Utilities 2008\OneClickStarter.exe [2008-06-20 08:23]
.
.
------- Examen supplémentaire -------
.
FireFox -: Profile - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\mqmae2t5.default\
FF -: plugin - c:\program files\Picasa2\npPicasa2.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-16 23:30:56
Windows 5.1.2600 Service Pack 3, v.5512 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

PROCESSUS: c:\windows\explorer.exe
-> c:\program files\VisualTaskTips\VttHooks.dll
-> c:\program files\WinRoll\winroll.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\CDBurnerXP\NMSAccessU.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\program files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
.
**************************************************************************
.
Heure de fin: 2008-11-16 23:33:36 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-11-16 22:33:30

Avant-CF: 9 430 454 272 octets libres
Après-CF: 9,430,302,720 octets libres

325

et le log Combofix Quarantine :

2008-05-24 19:13:48 A------- 203,264 C:\Qoobox\Quarantine\C\WINDOWS\system32\UnRAR.exe.vir
2008-11-14 14:55:52 A------- 81,920 C:\Qoobox\Quarantine\C\Documents and Settings\Administrateur\Application Data\dllhst3g.exe.vir
2008-11-16 23:27:25 A------- 633 C:\Qoobox\Quarantine\catchme.log
2008-11-16 23:29:02 A------- 7,774 C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2008-11-16 23:29:21 A------- 78,218 C:\Qoobox\Quarantine\C\Documents and Settings\Administrateur\Application Data\_dllhst3g_.exe.zip
2008-11-16 23:32:58 A------- 2 C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-CFSServ.exe.reg.dat
2008-11-16 23:32:58 A------- 2 C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-NDSTray.exe.reg.dat
2008-11-16 23:32:58 A------- 2 C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-TFncKy.reg.dat

j'ai refait un rapport hijackthis derriere :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:34:54, on 16/11/2008
Platform: Windows XP SP3, v.5512 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20772)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Taskix\Taskix32.exe
C:\Program Files\VisualTaskTips\VisualTaskTips.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\sessmgr.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\WinRoll\winroll.exe
C:\Program Files\LClock\LClock.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Program Files\Hercules\WiFi Station\WifiStation.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\explorer.exe
C:\Program Files\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
F3 - REG:win.ini: load=C:\WINDOWS\cmstp.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Taskix] C:\Program Files\Taskix\Taskix32.exe start
O4 - HKLM\..\Run: [VisualTaskTips] "C:\Program Files\VisualTaskTips\VisualTaskTips.exe"
O4 - HKLM\..\Run: [Vistadrv] C:\Program Files\VistaDriveStatus\vsdrv.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKCU\..\Run: [TransBar] C:\Program Files\TransBar\TransBar.exe /s
O4 - HKCU\..\Run: [WinRoll] "C:\Program Files\WinRoll\winroll.exe"
O4 - HKCU\..\Run: [LClock] "C:\Program Files\LClock\LClock.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKLM\..\Policies\Explorer\Run: [DllHst] C:\DOCUME~1\ADMINI~1\APPLIC~1\dllhst3g.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [SessMgr] C:\WINDOWS\sessmgr.exe /waitservice
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [CmSTP] C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\MICROS~1\cmstp.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [CmSTP] C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\MICROS~1\cmstp.exe /waitservice (User 'Default user')
O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: WiFi Station.lnk = ?
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {BD8667B7-38D8-4C77-B580-18C3E146372C} (Creative Toolbox Plug-in) - http://kiw.imgag.com/imgag/cp/install/crusher-kiwen.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE8FC1B4-C831-4178-9D25-5CA273C2E683}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 5437 bytes

....et scanner de nouveau avec antivir :

Avira AntiVir Personal
Report file date: dimanche 16 novembre 2008 23:39

Scanning for 1035635 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 3, v.5512) [5.1.2600]
Boot mode: Normally booted
Username: SYSTEM
Computer name: WINDOWS-0145FAD

Version information:
BUILD.DAT : 8.2.0.336 16933 Bytes 30/10/2008 11:40:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26/06/2008 08:57:53
AVSCAN.DLL : 8.1.4.0 40705 Bytes 26/05/2008 07:56:40
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:19
LUKERES.DLL : 8.1.4.0 12033 Bytes 26/05/2008 07:58:52
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 01:34:48
ANTIVIR1.VDF : 7.1.0.56 411136 Bytes 09/11/2008 10:10:09
ANTIVIR2.VDF : 7.1.0.57 2048 Bytes 09/11/2008 10:10:10
ANTIVIR3.VDF : 7.1.0.88 210944 Bytes 14/11/2008 10:10:04
Engineversion : 8.2.0.31
AEVDF.DLL : 8.1.0.6 102772 Bytes 15/10/2008 18:28:06
AESCRIPT.DLL : 8.1.1.15 332156 Bytes 12/11/2008 10:10:06
AESCN.DLL : 8.1.1.5 123251 Bytes 08/11/2008 10:10:58
AERDL.DLL : 8.1.1.3 438645 Bytes 06/11/2008 10:10:48
AEPACK.DLL : 8.1.3.4 393591 Bytes 12/11/2008 10:10:06
AEOFFICE.DLL : 8.1.0.30 196986 Bytes 08/11/2008 10:10:57
AEHEUR.DLL : 8.1.0.71 1487222 Bytes 08/11/2008 10:10:57
AEHELP.DLL : 8.1.1.3 119157 Bytes 08/11/2008 10:10:55
AEGEN.DLL : 8.1.1.0 319859 Bytes 08/11/2008 10:10:54
AEEMU.DLL : 8.1.0.9 393588 Bytes 15/10/2008 18:27:56
AECORE.DLL : 8.1.4.1 172405 Bytes 08/11/2008 10:10:53
AEBB.DLL : 8.1.0.3 53618 Bytes 15/10/2008 18:27:53
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:05
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:28:01
AVREP.DLL : 8.0.0.2 98344 Bytes 05/10/2008 18:25:10
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:40
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:23
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:49
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:40
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:10
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12/06/2008 13:48:07
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27/06/2008 13:34:37

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, E:,
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: dimanche 16 novembre 2008 23:39

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'emule.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'CCC.exe' - '1' Module(s) have been scanned
Scan process 'WiFiStation.exe' - '1' Module(s) have been scanned
Scan process 'EasyShare.exe' - '1' Module(s) have been scanned
Scan process 'daemon.exe' - '1' Module(s) have been scanned
Scan process 'LClock.exe' - '1' Module(s) have been scanned
Scan process 'winroll.exe' - '1' Module(s) have been scanned
Scan process 'MOM.exe' - '1' Module(s) have been scanned
Scan process 'sessmgr.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'VisualTaskTips.exe' - '1' Module(s) have been scanned
Scan process 'Taskix32.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'StarWindServiceAE.exe' - '1' Module(s) have been scanned
Scan process 'PnkBstrB.exe' - '1' Module(s) have been scanned
Scan process 'PnkBstrA.exe' - '1' Module(s) have been scanned
Scan process 'NMSAccessU.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
34 processes with 34 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Boot sector 'E:\'
[INFO] No virus was found!

Starting to scan the registry.
C:\Documents and Settings\Administrateur\Application Data\dllhst3g.exe
[WARNING] The file could not be opened!
The registry was scanned ( '50' files ).

Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Qoobox\Quarantine\C\Documents and Settings\Administrateur\Application Data\_dllhst3g_.exe.zip
[0] Archive type: ZIP
--> dllhst3g.exe.1
[DETECTION] Is the TR/Drop.Softomat.AN Trojan
[NOTE] The file was deleted!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNING] The file could not be opened!
Begin scan in 'E:\'

End of the scan: lundi 17 novembre 2008 00:19
Used time: 39:56 Minute(s)

The scan has been done completely.

5782 Scanning directories
221697 Files were scanned
1 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
1 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
3 Files cannot be scanned
221693 Files not concerned
1443 Archives were scanned
3 Warnings
1 Notes

Alors j'aurai peut être du attendre de voir si il me détecterai les trojans mais j'ai la vague impression qu'ils sont toujours la.

Alors j'espère qu'avec les connaissances de certains qu'on va pouvoir m'éclairer
merci d'avance

Configuration: Windows XP
Firefox 3.0.4

Afficher la suite

A voir également:

Impossibilité de supprimer trojans
Supprimer rond bleu whatsapp - Guide
Impossible de supprimer une page word - Guide
Supprimer liste déroulante excel - Guide
Impossible de supprimer un fichier - Guide
Supprimer hiberfil.sys - Guide

48 réponses

Réponse 1 / 48

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

ce ne serai pas "virut" ?

potasses ceci :

Des informations intéressantes pour toi et ton PC :

=> Comportement à adopter avec son PC : http://assiste.com.free.fr/p/abc/a/safe_cex.html
et pourquoi ( exemple ) : http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html

=> Surveillance :
Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus puis avec ton anti-spyware (après les avoir mis à jour bien sur !) et supprime ce qu'ils peuvent trouver (où mets en quarantaine, en pensant à la vider ultérieurement).

Pourquoi ? Pour éviter de se retrouver dans ce genre de situation ( peu commune mais ...) :
-> http://secubox.aldria.com/topic-2373.html

=============================================================

=> Il faut mettre a jour la console Java régulièrement aussi :

Rends toi sur https://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour) ou ici https://filehippo.com/download_jre_32/?ex=CORE-116.0
Après avoir installé la dernière version, désinstalle les anciennes versions (de Java) afin d’éliminer les failles de sécurité présentes dans ces anciennes versions.
via Démarrer / Paramètres / Panneau de config / et dans Ajout/Suppression de programmes navigue jusqu'aux anciennes versions de la console Java qui s'y trouvent, puis clique sur « Supprimer », suis les invites de commandes dans la boite de dialogue qui va s'ouvrir afin d'amener la désinstallation à son terme.
Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé .
Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.

=============================================================

=> Afin d’éviter les autres failles de sécurité des différents programmes présents sur ton PC :

Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l’est pas. https://www.flexera.com/products/operations/software-vulnerability-management.html
-Tuto https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/
-Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page.

===========================================================
* le pare- feu de Xp vaut rien , je te conseille fortement dans installer un :
Armor ou Comodo sont très bien ( en anglais mais gratuit )...Tu trouveras tout ce qu'il faut ici :
http://www.commentcamarche.net/telecharger/logiciel 38 firewall

tutos :
https://www.malekal.com/tutorial-online-armor-free/
https://www.malekal.com/tutorial-comodo-firewall/

( Attention : pour Comodo 3 , ne pas installer la barre de recherche pour les navigateurs ! )

En deuxieme choix ( gratuit aussi ) :
->Comodo ancienne version 2.4 ( en francais ) :
http://download.comodo.com/cpf/download/setups/release/languages/CFP_Setup_English_French_2.4.16.174.exe
tuto: https://infomars.fr/forum/index.php?s=908072e48ff7cf0359366440cb26c93f&showtopic=389

->PC Tools Firewall Plus (en français) :
https://fr.norton.com/
Tuto : http://www.6ma.fr/tuto/utilisation-pc-tools-firewall-plus/

(Note: pensez bien à désactiver le pare-feu de Windows avant de lancer l'installe de tout autre pare-feu !)

* testes l'efficacité de ton pare-feu ici ( à titre indicatif ):
http://www.zebulon.fr/outils/scanports/test-securite.php

* tests firewall: http://www.matousec.com/index.html

=> Un complément au pare-feu pour fermer les ports risqués (dangereux, s’ils restent ouverts) :

ZebProtect (application ne nécessitant pas d’installation à lancer et paramétrer une unique fois) http://telechargement.zebulon.fr/123.html

-Tuto https://www.zebulon.fr/dossiers/autres/40-zebprotect.html

================================================================

--> Pour une meilleur sécurité lorsque tu surfes , je te conseille d'utiliser FireFox :
télécharges le ici -> http://www.commentcamarche.net/telecharger/telecharger 111 firefox

( Attention : toujours garder IE sur son PC ! Il est indispensable pour les mises à jour de ton système ainsi que pour pas mal de choses, comme les scan d'antivirus en ligne, ect... )

--> Tutorial pour sécuriser Firefox ( si tu utilises ce navigateur ) :
https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/

=================================================================
=> Rappel sur les principales causes d'infection :

* L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci :

Les dangers des cracks : http://forum.malekal.com/ftopic893.php

->Le crack dans toute sa splendeur, journal d'une infection attendue :
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/

->autre exemple en image , où comment s'infiltre une infection par un pseudo crack :
http://secuboxlabs.fr/archives/computertoday.html

* Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent):

Les conséquences du P2P : https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/

Pourquoi éviter le P2P :
> http://www.libellules.ch/...
> http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793
> https://lexpansion.lexpress.fr/actualite-economique/

* Faire attention avec les ActiveX :
http://assiste.com.free.fr/p/abc/a/activex_dangers.html
et comment :
http://assiste.com.free.fr/p/abc/c/anti_activex.html

* Prévention sur deux autres types d'infection d'actualité :

MSN prévention :
https://forum.zebulon.fr/topic/130590-infection-par-msn-ou-wlm/
-> autre danger grandissant , le " phishing " (= hameçonnage ) :
http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte

Infection par supports amovibles (clefs usb, flash, DD externes ..) :
https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/
https://forum.malekal.com/viewtopic.php?f=45&t=5544

=================================================================
( merci le sioux )

bonne continuation ....

A+

Réponse 2 / 48

yishan Messages postés 159 Statut Membre 20

j'ai essayer plusieurs fois d'aller sur linux ....!!!
Malheuresement, impossible de trouver un pilote comptatible pour ma carte graphique, et ma webcam. Les principales distributions n'ayant pas les spécificités de celles-ci pour le créer.
De plus, linux mérite, quoi qu'en dise les linuxiens avisés, un certain temps d'adaptation, de comprehension du système
étant different de windows.
Et, ce temps est souvent trop long pour des personnes comme moi qui souhaite avoir une utilisation de l'informatique facile et intuitive.
Enfin, et un des plus importants problèmes, la plupart des jeux ne sont pas compatibles avec linux.
Et ma copine ne veut pas autre chose que windows :-)

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

Et ma copine ne veut pas autre chose que windows :-)

Et bien qu'elle l'achète ! ... :)

et pour les jeux , il y a un truc fait pour qui s'appelle " Console de jeux " ... X)))))

Allez , bonne chance pour la suite ....

Réponse 3 / 48

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

Salut,

bien infecté ... et on ne fais pas " un peu de nettoyage " avec des outils comme Combofix , tu aurais pu planter ta machine ....

Pour partir sur des outils propres , fais ceci dans l'ordre :

1-Télécharges ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://pc-system.fr/

Déconnectes toi et fermes bien toutes tes applications en cours .

Lances le .
*Cliques sur Recherche et laisses le scan se terminer (cela peut être long).
*Cliques sur Suppression pour finaliser.
*Cliques sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
--> Postes ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt .

==================

2- Retélécharges et réinstalles hijackthis ( car supprimé par Toolscleaner2 ) ,

Télécharges et installes le logiciel HijackThis :

ici ftp://ftp.commentcamarche.com/download/HJTInstall.exe
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment )

============================

3- Télécharges ToolBar S&D ( de Eric_71/Team IDN ) sur ton bureau :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

( Tuto : https://sites.google.com/site/toolbarsd/aideenimages )

!! Déconnectes toi et fermes toute tes applications en cours le temps de la manipe !!

* Double-cliques sur ToolBar SD.exe pour lancer l'outil et laisses toi guider ...
-->Tapes sur 2 ( option " nettoyage " ) puis tapes sur [Entrée].

Le nettoyage commence .
! ne touches à rien lors de la suppression !

Un rapport sera généré à la fin du processus : postes son contenu dans ta prochaine réponse
accompagné d'un nouveau rapport hijackthis pour analyse ...

( le rapport est en outre sauvegardé ici -> C:\TB.txt )

Réponse 4 / 48

yishan Messages postés 159 Statut Membre 20

ok je me met a la tache et je te poste les logs
merci

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 5 / 48

yishan Messages postés 159 Statut Membre 20

Alors voici les logs que tu m'a demander ds l'ordre :

[ Rapport ToolsCleaner version 2.2.6 (par A.Rothstein & dj QUIOU) ]

-->- Recherche:

C:\Combofix.txt: trouvé !
C:\Qoobox: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Windows Trust\Registre\HijackThis.lnk: trouvé !
C:\Program Files\HijackThis: trouvé !
C:\Program Files\HiJackThis\HijackThis.exe: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Windows Trust\Registre\HijackThis.lnk: supprimé !
C:\Program Files\HiJackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Qoobox: supprimé !
C:\Program Files\HijackThis: supprimé !

ensuite ...

-----------\\ ToolBar S&D 1.2.4 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3, v.5512
X86-based PC ( Uniprocessor Free : Intel(R) Celeron(R) CPU 2.13GHz )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : Administrateur ( Administrator )
BOOT : Normal boot
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:29 Go (Free:8 Go)
D:\ (CD or DVD) - CDFS - Total:3 Go (Free:0 Go)
E:\ (Local Disk) - NTFS - Total:124 Go (Free:61 Go)

"C:\ToolBar SD" ( MAJ : 27-10-2008|09:25 )
Option : [1] ( 17/11/2008| 1:02 )

-----------\\ Recherche de Fichiers / Dossiers ...

C:\Program Files\DAEMON Tools Toolbar
C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
C:\Program Files\DAEMON Tools Toolbar\FirefoxDTT
C:\Program Files\DAEMON Tools Toolbar\Resources
C:\Program Files\DAEMON Tools Toolbar\uninst.exe
C:\Program Files\DAEMON Tools Toolbar\_DTLite.xml

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="https://www.google.com/?gws_rd=ssl"
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="https://www.google.com/?gws_rd=ssl"
"Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
"Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"

--------------------\\ Recherche d'autres infections

--------------------\\ Cracks & Keygens ..

C:\DOCUME~1\ADMINI~1\.housecall6.6\Quarantine\Call of duty 5 - world at war - [ Full - crack - serial].zip.bac_a08220

1 - "C:\ToolBar SD\TB_1.txt" - 17/11/2008| 1:02 - Option : [1]

-----------\\ Fin du rapport a 1:02:58,34

et enfin ...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:04:03, on 17/11/2008
Platform: Windows XP SP3, v.5512 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20772)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Taskix\Taskix32.exe
C:\Program Files\VisualTaskTips\VisualTaskTips.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\sessmgr.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\WinRoll\winroll.exe
C:\Program Files\LClock\LClock.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Program Files\Hercules\WiFi Station\WifiStation.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
F3 - REG:win.ini: load=C:\WINDOWS\cmstp.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Taskix] C:\Program Files\Taskix\Taskix32.exe start
O4 - HKLM\..\Run: [VisualTaskTips] "C:\Program Files\VisualTaskTips\VisualTaskTips.exe"
O4 - HKLM\..\Run: [Vistadrv] C:\Program Files\VistaDriveStatus\vsdrv.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKCU\..\Run: [TransBar] C:\Program Files\TransBar\TransBar.exe /s
O4 - HKCU\..\Run: [WinRoll] "C:\Program Files\WinRoll\winroll.exe"
O4 - HKCU\..\Run: [LClock] "C:\Program Files\LClock\LClock.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKLM\..\Policies\Explorer\Run: [DllHst] C:\DOCUME~1\ADMINI~1\APPLIC~1\dllhst3g.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [SessMgr] C:\WINDOWS\sessmgr.exe /waitservice
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [CmSTP] C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\MICROS~1\cmstp.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [CmSTP] C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\MICROS~1\cmstp.exe /waitservice (User 'Default user')
O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: WiFi Station.lnk = ?
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {BD8667B7-38D8-4C77-B580-18C3E146372C} (Creative Toolbox Plug-in) - http://kiw.imgag.com/imgag/cp/install/crusher-kiwen.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE8FC1B4-C831-4178-9D25-5CA273C2E683}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

Réponse 6 / 48

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

bien ...

1- Nettoyage avec ToolBar S&D :

!! Déconnectes toi et fermes toute tes applications en cours le temps de la manipe !!

Relances l'outil en double-cliquant sur ToolBar SD.exe qui est sur ton bureau .
-->Tapes sur 2 ( option " nettoyage " ) puis tapes sur [Entrée].

Le nettoyage commence .
! ne touches à rien lors de la suppression !

Un rapport sera généré à la fin du processus : postes son contenu dans ta prochaine réponse
pour analyse ...

ensuite enchaines avec ceci :

2-Vas dans panneau de config/ajout et suppression de prg .
Regardes dans la liste si tu trouves un prg comme : " CID Help ", "Circle Developement" ou
"Adverts" --->si ils s'y trouvent , supprimes les .

3-Télécharges Lop S&D :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/LopSD.exe?attachauth=ANoY7co3ntqUavpZ3q1BG-h4pc13vqDZmhcNeEPChtsyrgAykRbhE8bZzhk979EfQD4AgwtQUHCaQ7ZQwNYMo3_0kA8htAspckDJtu2K5t6J9z6dLW4fpZyH4FpFL1tVMBZ8H-KnN7afZ5vt-WxZRpnynk-a0XmV_Y0C0q6DxGEDKie1TnPT7gFoZnoCnspzBmbW6ZzxA4fNr3oEDlbelNZON-LjF8nOmQ%3D%3D&attredirects=2

Déconnetes toi et fermes toutes tes applications en cours .

Double cliques sur sur l'.exe que tu viens de télécharger pour lancer l'installe .

Une fois l'installation faite, cliques sur le raccourci pour lancer l'outil .

Là,laisses toi guider:
--->choisis l'option 1 (recherche) et valides.

(Tu ne fais pas l'option de nettoyage ( 2 ou 3) ).

Une fois le scan terminer ,le Bloc-Notes contenant le rapport va s'ouvrir.
Postes ce rapport dans ta prochaine réponse pour analyse .

Tuto : https://sites.google.com/site/eric71mespages/lop.sd.exe

==============

postes moi ces rapports , je les analyserai demain car là , c'est l'heure pour moi d'aller dormir ...

A demain donc pour la suite ... ;)

Réponse 7 / 48

yishan Messages postés 159 Statut Membre 20

ok je poste ca se soir et j'attend de tes nouvelles pour demain.
Merci beaucoup et passe une bonne nuit :)

Réponse 8 / 48

yishan Messages postés 159 Statut Membre 20

ok ... alors .. le rapport toolbar SD :

-----------\\ ToolBar S&D 1.2.4 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3, v.5512
X86-based PC ( Uniprocessor Free : Intel(R) Celeron(R) CPU 2.13GHz )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : Administrateur ( Administrator )
BOOT : Normal boot
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:29 Go (Free:8 Go)
D:\ (CD or DVD) - CDFS - Total:3 Go (Free:0 Go)
E:\ (Local Disk) - NTFS - Total:124 Go (Free:61 Go)

"C:\ToolBar SD" ( MAJ : 27-10-2008|09:25 )
Option : [2] ( 17/11/2008| 1:23 )

-----------\\ SUPPRESSION

Supprime! - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
Supprime! - C:\Program Files\DAEMON Tools Toolbar\FirefoxDTT
Supprime! - C:\Program Files\DAEMON Tools Toolbar\Resources
Supprime! - C:\Program Files\DAEMON Tools Toolbar\uninst.exe
Supprime! - C:\Program Files\DAEMON Tools Toolbar\_DTLite.xml
Supprime! - C:\Program Files\DAEMON Tools Toolbar

-----------\\ Recherche de Fichiers / Dossiers ...

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="https://www.google.com/?gws_rd=ssl"
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="https://www.msn.com/fr-fr/"
"Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
"Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"

--------------------\\ Recherche d'autres infections

--------------------\\ Cracks & Keygens ..

C:\DOCUME~1\ADMINI~1\.housecall6.6\Quarantine\Call of duty 5 - world at war - [ Full - crack - serial].zip.bac_a08220

1 - "C:\ToolBar SD\TB_1.txt" - 17/11/2008| 1:02 - Option : [1]
2 - "C:\ToolBar SD\TB_2.txt" - 17/11/2008| 1:24 - Option : [2]

-----------\\ Fin du rapport a 1:24:33,67

et le rapport lopSD :

--------------------\\ Lop S&D 4.2.4-9c XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3, v.5512
X86-based PC ( Uniprocessor Free : Intel(R) Celeron(R) CPU 2.13GHz )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : Administrateur ( Administrator )
BOOT : Normal boot
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:29 Go (Free:8 Go)
D:\ (CD or DVD) - CDFS - Total:3 Go (Free:0 Go)
E:\ (Local Disk) - NTFS - Total:124 Go (Free:61 Go)

"C:\Lop SD" ( MAJ : 01-11-2008|16:30 )
Option : [1] ( 17/11/2008| 1:27 )

--------------------\\ Listing des dossiers dans APPLIC~1

[05/10/2008|20:16] C:\DOCUME~1\ADMINI~1\APPLIC~1\Adobe
[10/10/2008|13:34] C:\DOCUME~1\ADMINI~1\APPLIC~1\Apple Computer
[05/10/2008|20:02] C:\DOCUME~1\ADMINI~1\APPLIC~1\ATI
[13/10/2008|16:58] C:\DOCUME~1\ADMINI~1\APPLIC~1\Canneverbe_Limited
[10/10/2008|21:14] C:\DOCUME~1\ADMINI~1\APPLIC~1\DAEMON Tools
[05/10/2008|19:01] C:\DOCUME~1\ADMINI~1\APPLIC~1\Identities
[05/10/2008|19:11] C:\DOCUME~1\ADMINI~1\APPLIC~1\InstallShield
[06/10/2008|13:03] C:\DOCUME~1\ADMINI~1\APPLIC~1\KVIrc
[02/11/2008|18:25] C:\DOCUME~1\ADMINI~1\APPLIC~1\Leadertech
[05/10/2008|19:19] C:\DOCUME~1\ADMINI~1\APPLIC~1\Macromedia
[11/10/2008|06:49] C:\DOCUME~1\ADMINI~1\APPLIC~1\Malwarebytes
[05/10/2008|20:21] C:\DOCUME~1\ADMINI~1\APPLIC~1\Media Player Classic
[16/11/2008|23:31] C:\DOCUME~1\ADMINI~1\APPLIC~1\Microsoft
[05/10/2008|20:48] C:\DOCUME~1\ADMINI~1\APPLIC~1\mIRC
[12/11/2008|21:56] C:\DOCUME~1\ADMINI~1\APPLIC~1\Mozilla
[11/10/2008|16:58] C:\DOCUME~1\ADMINI~1\APPLIC~1\Notepad++
[30/10/2008|05:51] C:\DOCUME~1\ADMINI~1\APPLIC~1\OpenOffice.org2
[31/10/2008|07:11] C:\DOCUME~1\ADMINI~1\APPLIC~1\Opera
[05/10/2008|23:36] C:\DOCUME~1\ADMINI~1\APPLIC~1\pokerth
[26/10/2008|12:44] C:\DOCUME~1\ADMINI~1\APPLIC~1\Publish Providers
[10/10/2008|20:41] C:\DOCUME~1\ADMINI~1\APPLIC~1\Skinux
[31/10/2008|17:52] C:\DOCUME~1\ADMINI~1\APPLIC~1\Skype
[31/10/2008|11:49] C:\DOCUME~1\ADMINI~1\APPLIC~1\skypePM
[26/10/2008|12:42] C:\DOCUME~1\ADMINI~1\APPLIC~1\Sony
[05/10/2008|19:06] C:\DOCUME~1\ADMINI~1\APPLIC~1\Sun
[11/11/2008|00:25] C:\DOCUME~1\ADMINI~1\APPLIC~1\teamspeak2
[09/10/2008|07:27] C:\DOCUME~1\ADMINI~1\APPLIC~1\TuneUp Software
[05/10/2008|23:30] C:\DOCUME~1\ADMINI~1\APPLIC~1\vlc
[05/10/2008|19:06] C:\DOCUME~1\ADMINI~1\APPLIC~1\WinRAR
[16/11/2008|19:55] C:\DOCUME~1\ADMINI~1\APPLIC~1\Xfire

[05/10/2008|19:33] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
[10/10/2008|12:26] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple Computer
[05/10/2008|20:02] C:\DOCUME~1\ALLUSE~1\APPLIC~1\ATI
[05/10/2008|19:24] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Avira
[10/10/2008|00:25] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Kodak
[11/10/2008|06:49] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Malwarebytes
[05/10/2008|22:18] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Messenger Plus!
[02/11/2008|15:02] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
[05/10/2008|20:57] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Skype
[09/10/2008|07:27] C:\DOCUME~1\ALLUSE~1\APPLIC~1\TuneUp Software

[05/10/2008|18:53] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft

[05/10/2008|18:53] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft

[09/10/2008|11:18] C:\DOCUME~1\NETWOR~1\APPLIC~1\agi
[05/10/2008|18:53] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft
[05/11/2008|14:43] C:\DOCUME~1\NETWOR~1\APPLIC~1\Xfire

--------------------\\ Tâches planifiées dans C:\WINDOWS\tasks

[17/11/2008 01:00][--a------] C:\WINDOWS\tasks\Maintenance en 1 clic.job
[16/11/2008 23:30][--ah-----] C:\WINDOWS\tasks\SA.DAT
[14/04/2008 11:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

--------------------\\ Listing des dossiers dans C:\Program Files

[10/10/2008|21:30] C:\Program Files\Activision
[05/10/2008|19:32] C:\Program Files\Adobe
[10/10/2008|20:42] C:\Program Files\Alcohol Soft
[05/10/2008|19:54] C:\Program Files\ATI Technologies
[05/10/2008|19:24] C:\Program Files\Avira
[05/10/2008|21:28] C:\Program Files\AvRack
[05/10/2008|22:33] C:\Program Files\Capturino V2
[05/10/2008|19:06] C:\Program Files\CCleaner
[13/10/2008|16:57] C:\Program Files\CDBurnerXP
[05/10/2008|18:52] C:\Program Files\ComPlus Applications
[10/10/2008|20:42] C:\Program Files\Conduit
[01/11/2008|21:05] C:\Program Files\DAEMON Tools Lite
[19/10/2008|23:48] C:\Program Files\DivX
[16/11/2008|23:30] C:\Program Files\Fichiers communs
[15/11/2008|01:07] C:\Program Files\Folding@Home #01
[11/10/2008|07:10] C:\Program Files\free-downloads.net
[05/10/2008|22:10] C:\Program Files\Google
[05/10/2008|21:13] C:\Program Files\Hercules
[16/10/2008|02:29] C:\Program Files\InstallShield Installation Information
[10/10/2008|12:27] C:\Program Files\Internet Explorer
[05/10/2008|23:11] C:\Program Files\Java
[10/10/2008|12:26] C:\Program Files\Kodak
[09/10/2008|08:38] C:\Program Files\KVIrc
[05/10/2008|19:06] C:\Program Files\LClock
[10/10/2008|22:03] C:\Program Files\MagicISO
[23/10/2008|20:37] C:\Program Files\Malwarebytes' Anti-Malware
[05/10/2008|20:22] C:\Program Files\Media Player Classic
[26/10/2008|12:48] C:\Program Files\MediaMonkey
[05/10/2008|20:20] C:\Program Files\Messenger Plus! Live
[16/11/2008|23:30] C:\Program Files\microsoft frontpage
[05/10/2008|20:48] C:\Program Files\mIRC
[16/11/2008|23:30] C:\Program Files\movie maker
[17/11/2008|01:25] C:\Program Files\Mozilla Firefox
[16/11/2008|23:30] C:\Program Files\msn gaming zone
[16/11/2008|23:30] C:\Program Files\netmeeting
[11/10/2008|17:14] C:\Program Files\Notepad++
[05/10/2008|23:11] C:\Program Files\OpenOffice.org 2.4
[31/10/2008|07:11] C:\Program Files\Opera
[05/10/2008|18:52] C:\Program Files\Outlook Express
[05/10/2008|18:50] C:\Program Files\Paint.NET
[16/11/2008|21:21] C:\Program Files\PeerGuardian2
[19/10/2008|20:47] C:\Program Files\PGameScan
[07/11/2008|19:11] C:\Program Files\Picasa2
[06/10/2008|17:08] C:\Program Files\PKR
[05/10/2008|23:34] C:\Program Files\PokerTH
[10/10/2008|12:27] C:\Program Files\QuickTime
[05/10/2008|21:28] C:\Program Files\Realtek AC97
[05/10/2008|21:28] C:\Program Files\Realtek Sound Manager
[05/10/2008|20:31] C:\Program Files\Satsuki Decoder Pack
[07/10/2008|22:35] C:\Program Files\SEGA
[11/10/2008|05:45] C:\Program Files\Shock Utility
[05/10/2008|21:28] C:\Program Files\Silicon Integrated Systems
[05/10/2008|21:25] C:\Program Files\sisagp
[05/10/2008|21:27] C:\Program Files\SiSLan
[05/10/2008|20:57] C:\Program Files\Skype
[26/10/2008|12:41] C:\Program Files\Sony
[21/10/2008|07:37] C:\Program Files\Sony Setup
[05/10/2008|19:06] C:\Program Files\Taskix
[11/11/2008|00:25] C:\Program Files\Teamspeak2_RC2
[30/10/2008|18:02] C:\Program Files\Thoosje Sidebar V2.3
[05/10/2008|19:06] C:\Program Files\TransBar
[17/11/2008|00:59] C:\Program Files\Trend Micro
[26/10/2008|12:50] C:\Program Files\TuneUp Utilities 2008
[05/10/2008|19:00] C:\Program Files\Uninstall Information
[05/10/2008|18:51] C:\Program Files\Unlocker
[05/10/2008|19:35] C:\Program Files\VideoLAN
[05/10/2008|19:07] C:\Program Files\VistaDriveStatus
[05/10/2008|19:06] C:\Program Files\VisualTaskTips
[26/10/2008|12:44] C:\Program Files\VSTplugins
[05/10/2008|19:06] C:\Program Files\Windows Live
[14/11/2008|13:18] C:\Program Files\Windows Live Safety Center
[05/10/2008|18:54] C:\Program Files\Windows Media Player
[16/11/2008|23:30] C:\Program Files\windows nt
[05/10/2008|18:51] C:\Program Files\Windows Trust
[05/10/2008|19:06] C:\Program Files\WinRAR
[05/10/2008|19:06] C:\Program Files\WinRoll
[05/10/2008|19:01] C:\Program Files\WTInstaller
[16/11/2008|23:30] C:\Program Files\xerox
[12/11/2008|05:39] C:\Program Files\Xfire

--------------------\\ Listing des dossiers dans C:\Program Files\Fichiers communs

[05/10/2008|19:32] C:\Program Files\Fichiers communs\Adobe
[05/10/2008|19:52] C:\Program Files\Fichiers communs\ATI Technologies
[10/10/2008|20:55] C:\Program Files\Fichiers communs\DirectX
[05/10/2008|21:24] C:\Program Files\Fichiers communs\InstallShield
[05/10/2008|19:06] C:\Program Files\Fichiers communs\Java
[10/10/2008|12:23] C:\Program Files\Fichiers communs\Kodak
[16/11/2008|23:30] C:\Program Files\Fichiers communs\Microsoft Shared
[05/10/2008|18:52] C:\Program Files\Fichiers communs\MSSoap
[05/10/2008|20:45] C:\Program Files\Fichiers communs\ODBC
[05/10/2008|18:52] C:\Program Files\Fichiers communs\Services
[05/10/2008|20:57] C:\Program Files\Fichiers communs\Skype
[16/11/2008|23:30] C:\Program Files\Fichiers communs\speechengines
[05/10/2008|18:52] C:\Program Files\Fichiers communs\System
[09/10/2008|07:26] C:\Program Files\Fichiers communs\Wise Installation Wizard

--------------------\\ Process

( 35 Processes )

... OK !

--------------------\\ Recherche avec S_Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Recherche de Fichiers / Dossiers Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Verification du Registre

..... OK !

--------------------\\ Verification du fichier Hosts

Fichier Hosts PROPRE

--------------------\\ Recherche de fichiers avec Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-17 01:28:55
Windows 5.1.2600 Service Pack 3, v.5512 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------\\ Recherche d'autres infections

--------------------\\ Cracks & Keygens ..

C:\DOCUME~1\ADMINI~1\.housecall6.6\Quarantine\Call of duty 5 - world at war - [ Full - crack - serial].zip.bac_a08220

[F:3][D:4]-> C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
[F:13][D:0]-> C:\DOCUME~1\ADMINI~1\Cookies
[F:117][D:4]-> C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMPOR~1\content.IE5

1 - "C:\Lop SD\LopR_1.txt" - 17/11/2008| 1:29 - Option : [1]

--------------------\\ Fin du rapport a 1:29:37

encore merci et douce nuit ....

Réponse 9 / 48

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

Salut,

on continue , un crack infecté dans la quarantaien d'housecall ... on nettoye :

1- Télécharges OTMoveIt3 (de Old_Timer) sur ton Bureau.

http://oldtimer.geekstogo.com/OTMoveIt3.exe

! Déconnectes toi et fermes toute tes applications en cours !

Double cliques sur "OTMoveIt3.exe" pour ouvrir le prg .
Puis copies ce qui se trouve en citation ci-dessous,

:Processes
explorer.exe

:Services

:Reg

:Files
C:\DOCUME~1\ADMINI~1\.housecall6.6\Quarantine\Call of duty 5 - world at war - [ Full - crack - serial].zip.bac_a08220

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

et colles le dans le cadre de gauche de OTMoveIt3 :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)

-> cliques sur MoveIt! pour lancer la suppression.
-> laisses travailler l'outil ...

( Note : ton bureau va disparaitre puis réapparaitre, c'est normal .)

-> une fois finis , un petite fenêtre s'ouvre : cliques sur " Yes " .

Ton PC va redémarrer de lui même ...

-->Postes le contenu du rapport qui se trouve dans le dossier "C:\_OTMoveIt\MovedFiles"
( " xxxx2008_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).

2- Télécharges MSNFix.zip (de !aur3n7) :
http://sosvirus.changelog.fr/MSNFix.zip
--> décompresses-le sur le Bureau ( = extraire tout ).

Déplaces ensuite le dossier que tu viens d'extraire directement sous ton disque dure ,
c'est à dire ici -> C:\MSNFix .
( c'est très important pour le bon fonctionnement de l'outil ! ).

Impératif : Démarrer en mode sans echec .

/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

Comment aller en Mode sans échec :
1) Redémarres ton ordi .
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis la première option : Sans Échec , et valides en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).
attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...

Lances le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
- Exécute l'option R (recherche).
- Si l'infection est détectée, exécute l'option N (nettoyage) .

-> Une fois finit, sauvegardes le rapport généré sur ton bureau .
Redémarres ton PC ( = retour au mode normal ).

-> il se peut aussi que l'infection doit être nettoyer au redémarrage du PC : avant l'arrivée du bureau , une fenêtre demandant l'exécution de "MSNfix" s'ouvre .
-> cliques sur ok pour que l'outil puisse finir de travailler (patiente jusqu'à l'apparition du bureau ... ceci peut s'avérer relativement long).
le rapport s'ouvrira à l'arrivée du bureau ...

( PS : le rapport est en outre sauvegardé ici C:\MSNFix\"date_heure".txt ou ici C:\WINDOWS\msnfix.txt )

---> postes moi ce rapport accompagné d'un nouveau rapport hijackthis ( fait en mode normal ) dans ta prochaine réponse pour analyse ...

Réponse 10 / 48

yishan Messages postés 159 Statut Membre 20

c parti :-)

Réponse 11 / 48

yishan Messages postés 159 Statut Membre 20

alors voici le log de OTMoveIt3 :

========= PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
========== REGISTRY ==========
========== FILES ==========
C:\DOCUME~1\ADMINI~1\.housecall6.6\Quarantine\Call of duty 5 - world at war - [ Full - crack - serial].zip.bac_a08220 moved successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\etilqs_AACnMxaY6QxCcPfHZFS7 scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DF1A9B.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mqmae2t5.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mqmae2t5.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mqmae2t5.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mqmae2t5.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mqmae2t5.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
FireFox cache emptied.
Opera cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.7.1 log created on 11172008_092513

Files moved on Reboot...
File C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\etilqs_AACnMxaY6QxCcPfHZFS7 not found!
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DF1A9B.tmp moved successfully.
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mqmae2t5.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mqmae2t5.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mqmae2t5.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mqmae2t5.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mqmae2t5.default\urlclassifier3.sqlite moved successfully.

Ensuite le log de MSNfix :

MSNFix 1.749

C:\MSNFix
Fix exécuté le 17/11/2008 - 9:34:49,17 By Administrateur
mode sans échec

************************ Recherche les fichiers présents

... C:\WINDOWS\IFinst27.exe

************************ Recherche les dossiers présents

Aucun dossier trouvé

************************ Suppression des fichiers

.. OK ... C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winlogon.exe
.. OK ... C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\services.exe
.. OK ... C:\WINDOWS\system32\cftmon.exe
.. OK ... C:\WINDOWS\IFinst27.exe

************************ Nettoyage du registre

************************ Hostsclean

Cleanhosts v 0.1.0.7 By Laurent

-- Backup : C:\WINDOWS\system32\drivers\etc\hosts-20081117093617
-- original size 0.03 Kb / 1 lines
scan impossible. because they are Only 1 line in hosts file

End .............................. not available Secondes

Les fichiers encore présents seront supprimés au prochain redémarrage

Aucun Fichier trouvé

************************ Hostsclean

Cleanhosts v 0.1.0.7 By Laurent

-- Backup : C:\WINDOWS\system32\drivers\etc\hosts-20081117093819
-- original size 0.03 Kb / 1 lines
scan impossible. because they are Only 1 line in hosts file

End .............................. not available Secondes

et ensuite le rapport hidjackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:42:12, on 17/11/2008
Platform: Windows XP SP3, v.5512 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20772)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\DOCUME~1\ADMINI~1\APPLIC~1\dllhst3g.exe
C:\Program Files\Taskix\Taskix32.exe
C:\Program Files\VisualTaskTips\VisualTaskTips.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\WinRoll\winroll.exe
C:\Program Files\LClock\LClock.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Program Files\Hercules\WiFi Station\WifiStation.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
F3 - REG:win.ini: load=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\comrepl.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Taskix] C:\Program Files\Taskix\Taskix32.exe start
O4 - HKLM\..\Run: [VisualTaskTips] "C:\Program Files\VisualTaskTips\VisualTaskTips.exe"
O4 - HKLM\..\Run: [Vistadrv] C:\Program Files\VistaDriveStatus\vsdrv.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKCU\..\Run: [TransBar] C:\Program Files\TransBar\TransBar.exe /s
O4 - HKCU\..\Run: [WinRoll] "C:\Program Files\WinRoll\winroll.exe"
O4 - HKCU\..\Run: [LClock] "C:\Program Files\LClock\LClock.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKLM\..\Policies\Explorer\Run: [DllHst] C:\DOCUME~1\ADMINI~1\APPLIC~1\dllhst3g.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [SessMgr] C:\WINDOWS\sessmgr.exe /waitservice
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [CmSTP] C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\MICROS~1\cmstp.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [CmSTP] C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\MICROS~1\cmstp.exe /waitservice (User 'Default user')
O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: WiFi Station.lnk = ?
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {BD8667B7-38D8-4C77-B580-18C3E146372C} (Creative Toolbox Plug-in) - http://kiw.imgag.com/imgag/cp/install/crusher-kiwen.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE8FC1B4-C831-4178-9D25-5CA273C2E683}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

Réponse 12 / 48

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

Bien ... on avance .... mais encore il reste encore du travail ... ^^

1- Télécharges : - CCleaner
https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "francais" en langue .
-avant de cliquer sur le bouton "installer", décoches toutes les "options supplémentaires" sauf les 2 premières.

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

---> Utilisation:
! déconnectes toi et fermes toutes applications en cours !
* vas dans "nettoyeur" : fait analyse puis nettoyage
* vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

2- Télécharges SDFix sur ton bureau :
ici http://downloads.andymanchesta.com/RemovalTools/SDFix.exe.
ou ici http://sdfix.net/SDFix.exe

--> Double-cliques sur SDFix.exe et choisis "Install" .

( tuto ici : https://www.malekal.com/slenfbot-still-an-other-irc-bot/ )

Puis une fois l'installe faite ,

Impératif : Démarrer en mode sans echec .

/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

Comment aller en Mode sans échec :
1) Redémarres ton ordi .
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis la première option : Sans Échec , et valides en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).
attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...

Ouvres le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double cliques sur RunThis.bat pour lancer le script.
--->Tapes Y pour lancer le script ...
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire , donc :
presses une touche pour redémarrer quand il te le sera demandé .

Le PC va mettre du temps avant de démarrer ( c'est normale ), après le chargement du Bureau presses une touche lorsque "Finished" s'affiche .

Le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier
C:\SDFix sous le nom "Report.txt".
Postes ce dernier dans ta prochaine réponse accompagné d'un nouveau rapport Hijakcthis pour analyse ...

Réponse 13 / 48

yishan Messages postés 159 Statut Membre 20

j'utilise tous les jours ccleaner donc pas de probleme a se sujet la .... j'ai nettoyer le registre et etc ... par contre j'ai pas réussi a ouvrir le fichier runthis.bat en mode sans echec car il s'ouvrait et se refermait aussi sec ??!!!!!

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

Si SDFix ne se lances pas (ça arrive!)

* Vas dans "Démarrer"->cliques sur la commande "Exécuter" .
Ou appuies simultanement sur la touche "Windows" et sur R > la boite de commande "Exécuter" va s´ouvrir...

->là tu Copie/colles exactement ceci dans la fenêtre :

%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe

* Cliques sur "ok", et valides ...
* Redémarres ton PC en mode sans échec et reprends la manipe de SDfix comme je te l'ai indiqué plus haut ...

Réponse 14 / 48

yishan Messages postés 159 Statut Membre 20

je ne pe toujours pas l'ouvrir :(

A la console de l'entrée du patch apres la commande executer il me marque :

IXPATH 2.0 - (C) 2004 by Bill Stewart (bstewart@iname.com)

The system path is stored in the Path value in the following registry key:

HKLM\System\CurrentControlSet\Control\Session Manager\Environment

The Path registry value must be of type REG_EXPAND_SZ and must contain, at a
minimum, the following directories:

%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\Wbem

If either of these conditions are false, then the Path is not correct. This
program attempts to correct both of these problems, if found.

You must be logged on as a user with sufficient permissions to update the Path.

You may run this program without user interaction by specifying /Q on the
command line.

Check for errors and attempt to repair now? (Y/N) n

C:\WINDOWS\system32>

Réponse 15 / 48

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

Mouais .... bizard ... changeons le fusil d'épaule et fais ceci pour le moment :

1- Télécharges UsbFix ( de Chiquitine29 et Chimay8 ) sur ton bureau :

http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe

! Déconnectes toi d'internet et fermes toutes applications en cours !

--> Double-cliques sur l' .exe pour lancer l'installation de l'outil ( ne touche pas aux paramètres d'installe ) .

Impératif :
Branches toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3, etc...) succeptibles d'avoir été infectés, ainsi que les CD et DVD rom dont tu te serts éventuellement le plus souvent ( mais sans les ouvrir ! ) .

--> Double-cliques sur le raccourci "UsbFix" qui est sur ton bureau pour lancer l'outil :

* Tapes sur 1 ( option " nettoyage " ) puis sur [entrée] et suis les instructions ...

--> Le pc va redémarrer ... laisses travailler l'outil et ne touches à rien ...
( Note : pour les unités externes non utlisées, cliques sur "continuer" lors du message d'avertissement )

--> Une fois de retour à ton bureau , attends le message de fin du nettoyage ,
puis appuies sur une touche pour que le rapport "UsbFix.txt" s'affiche .

Fais un copier/coller de son contenu dans ta prochaine réponse pour analyse et attends la suite ....

( Note : le rapport UsbFix.txt est sauvegardé a la racine du disque dur > C:\UsbFix.txt )

PS : Si le Bureau ne réapparait pas, presses Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
tapes explorer.exe et valides .

============================

2- Télécharges Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

-> http://images.malwareremoval.com/random/RSIT.exe

! Fermes bien toutes tes applications en cours !

Double-clique sur " RSIT.exe " pour le lancer .

-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

* Devant l'option "List files/folders created ..." , tu choisis : 2 months

* cliques ensuite sur " Continue " pour lancer l'analyse ...

( Note : Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence.)

-> laisses faire le scan et ne touche pas au PC ...

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).

Postes le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

Important : postes un rapport, puis l'autre dans la réponse suivante ... si tu essayes de poster les deux en même temps,
cela risque d'être trop long pour le forum ...
Et si "log.txt" seul, ne passe pas non plus , fais le en 2 fois ... merci ...

( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )

Réponse 16 / 48

yishan Messages postés 159 Statut Membre 20

donc .... lol

voici le log d'usbfix :

-------------- UsbFix V2.408 ---------------

* User : Administrateur - WINDOWS-0145FAD
* Outils mis a jours le 16/11/2008 par Chiquitine29 et Chimay8
* Recherche effectuée à 10:51:37 le 17/11/2008
* Windows_NT - Internet Explorer 7.0.5730.13

--------------- [ Processus actifs ] ----------------

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avwsc.exe
C:\WINDOWS\system32\userinit.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1.tmp\b2e.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\appdrvrem01.exe
C:\WINDOWS\system32\ati2sgag.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe

--------------- [ Informations lecteurs ] ----------------

C: - Lecteur fixe

D: - Lecteur de CD-ROM

E: - Lecteur fixe

--------------- [ Lecteur C ] ----------------

C: - Lecteur fixe

+- Listing des fichiers présents :

[05/10/2008 18:54][--a------] C:\AUTOEXEC.BAT
[14/04/2008 11:00][-rahs----] C:\NTDETECT.COM
[05/10/2008 18:49][---hs----] C:\boot.ini
[17/11/2008 01:30][--a------] C:\lopR.txt
[17/11/2008 01:30][--a------] C:\TB.txt
[17/11/2008 01:30][--a------] C:\TCleaner.txt
[17/11/2008 01:30][--a------] C:\UsbFix.txt
[05/10/2008 18:54][--a------] C:\CONFIG.SYS
[05/10/2008 18:54][--a------] C:\IO.SYS
[05/10/2008 18:54][--a------] C:\MSDOS.SYS
[05/10/2008 18:54][--a------] C:\pagefile.sys

--------------- [ Lecteur D ] ----------------

D: - Lecteur de CD-ROM

+- Listing des fichiers présents :

--------------- [ Lecteur E ] ----------------

E: - Lecteur fixe

+- Listing des fichiers présents :

--------------- [ Registre / Startup ] ----------------

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Taskix REG_SZ C:\Program Files\Taskix\Taskix32.exe start
VisualTaskTips REG_SZ "C:\Program Files\VisualTaskTips\VisualTaskTips.exe"
Vistadrv REG_SZ C:\Program Files\VistaDriveStatus\vsdrv.exe
avgnt REG_SZ "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
StartCCC REG_SZ "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
TransBar REG_SZ C:\Program Files\TransBar\TransBar.exe /s
WinRoll REG_SZ "C:\Program Files\WinRoll\winroll.exe"
LClock REG_SZ "C:\Program Files\LClock\LClock.exe"
DAEMON Tools Lite REG_SZ "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun

--------------- [ Registre / Mountpoint2 ] ----------------

Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F\Shell\AutoRun\command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{90e82758-9703-11dd-9beb-0008d328ea53}\Shell\AutoRun\command

--------------- [ Nettoyage des disques ] ----------------

--------------- [ Resumé ] ----------------

-> /!\ Le resultat doit etre interprété par un spécialiste /!\

[05/10/2008 18:54][--a------] C:\AUTOEXEC.BAT
[14/04/2008 11:00][-rahs----] C:\NTDETECT.COM
[05/10/2008 18:49][---hs----] C:\boot.ini

--------------- ! Fin du rapport ! ----------------

ensuite le log info.txt d'RSIT :

Windows Trust Installer-->"C:\Program Files\WTInstaller\Désinstaller.exe"
WinRAR-->"C:\Program Files\WinRAR\uninstall.exe"
WinRoll-->"C:\Program Files\WinRoll\Désinstaller.exe"
WIRELESS-->MsiExec.exe /I{F9593CFB-D836-49BC-BFF1-0E669A411D9F}
Xfire (remove only)-->"C:\Program Files\Xfire\uninst.exe"

Securitycenter WMI appears to be broken

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files\QuickTime\QTSystem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 4 Stepping 9, GenuineIntel
"PROCESSOR_REVISION"=0409
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"CLASSPATH"=.;C:\Program Files\Java\jre1.6.0_06\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre1.6.0_06\lib\ext\QTJava.zip

-----------------EOF-----------------

je poste le log dRSIt tout de suite

Réponse 17 / 48

yishan Messages postés 159 Statut Membre 20

le log d'RSIt :

Logfile of random's system information tool 1.04 (written by random/random)
Run by Administrateur at 2008-11-17 10:58:37
Microsoft Windows XP Professionnel Service Pack 3, v.5512
System drive C: has 9 GB (30%) free of 30 GB
Total RAM: 2046 MB (77% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:58:43, on 17/11/2008
Platform: Windows XP SP3, v.5512 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20772)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\comrepl.exe
C:\Program Files\Taskix\Taskix32.exe
C:\Program Files\VisualTaskTips\VisualTaskTips.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\WinRoll\winroll.exe
C:\Program Files\LClock\LClock.exe
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Program Files\Hercules\WiFi Station\WifiStation.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Administrateur.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
F3 - REG:win.ini: load=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\comrepl.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Taskix] C:\Program Files\Taskix\Taskix32.exe start
O4 - HKLM\..\Run: [VisualTaskTips] "C:\Program Files\VisualTaskTips\VisualTaskTips.exe"
O4 - HKLM\..\Run: [Vistadrv] C:\Program Files\VistaDriveStatus\vsdrv.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKCU\..\Run: [TransBar] C:\Program Files\TransBar\TransBar.exe /s
O4 - HKCU\..\Run: [WinRoll] "C:\Program Files\WinRoll\winroll.exe"
O4 - HKCU\..\Run: [LClock] "C:\Program Files\LClock\LClock.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKLM\..\Policies\Explorer\Run: [DllHst] C:\DOCUME~1\ADMINI~1\APPLIC~1\dllhst3g.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [SessMgr] C:\WINDOWS\sessmgr.exe /waitservice
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [CmSTP] C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\MICROS~1\cmstp.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [CmSTP] C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\MICROS~1\cmstp.exe /waitservice (User 'Default user')
O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: WiFi Station.lnk = ?
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {BD8667B7-38D8-4C77-B580-18C3E146372C} (Creative Toolbox Plug-in) - http://kiw.imgag.com/imgag/cp/install/crusher-kiwen.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE8FC1B4-C831-4178-9D25-5CA273C2E683}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

Réponse 18 / 48

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

Bien ...

Télécharges MalwareByte's :
ici ftp://ftp.commentcamarche.com/download/mbam-setup.exe
ou ici : http://www.malwarebytes.org/mbam.php

* Installes le ( choisis bien "francais" ; ne modifies pas les paramètres d'installe ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le ici : https://www.malekal.com/tutorial-aboutbuster/ )

* Potasses le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnectes toi et fermes toutes applications en cours !

* Lances Malwarebyte's .

Fais un examen dit "complet" ( sélectionnes bien tous tes disks avant le scan ! ).

--> Laisses le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifies que tous les objets infectés soient validés, puis cliques sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
accompagné d'un nouveau rapport hijackthis pour analyse ...

Réponse 19 / 48

yishan Messages postés 159 Statut Membre 20

Excuse moi j'ai été un peu long, le temps de faire ma nuit ^^...
alors malwairebyte est mon programme antispyware par default donc ce dut facile de générer le scan.
Voici son dernier log :

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1403
Windows 5.1.2600 Service Pack 3, v.5512

17/11/2008 19:29:36
mbam-log-2008-11-17 (19-29-36).txt

Type de recherche: Examen complet (C:\|E:\|)
Eléments examinés: 70388
Temps écoulé: 15 minute(s), 38 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\cmstp.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Antivir vient encore de me detecter le trojan TR/Agent.iob pendant que je dormai. (c peut etre celui la qui a été spprimer par malwairebyte !) je sais psa ...

merci

Réponse 20 / 48

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

Postes moi un nouveau rapport RSIT stp ...

Discussions similaires

Supprimer l'historique de commandes et d'achats sur Amazon

Supprimer compte facebook sans mail

Discussions similaires

Newsletters