infectee trojan swizzor.gen.Aide please!Résolu/Fermé

Question

Bonjour a tous 
je suis nouveau sur le forum et en plus étranger, mais de bonne volonté: 
 soyez patient svp!
Je crois bien que mon ordinateur  est  infecté par un trojan swizzor.gen.
Depuis ce matin :
- l'historique de Firefox est effacé systématiquement 
- l'ordinateur s'eteind tout seul 
- la connection va et vient 

après scan avec clamwin voici le report :


Scan Started Tue Dec 02 20:41:06 2008

-------------------------------------------------------------------------------



C:\Boot\BCD: Permission denied

C:\hiberfil.sys: Permission denied

C:\pagefile.sys: Permission denied

C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\544d5ab8002beb73ca1db3e4addcfd52_fc0816dc-a509-426c-8f42-c6984cdcc6b0: Permission denied

C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\9214784be096b15e5f352672777c4955_fc0816dc-a509-426c-8f42-c6984cdcc6b0: Permission denied

C:\ProgramData\Microsoft\Search\Data\Applications\Windows	mp.edb: Permission denied

C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Windows.edb: Permission denied

C:\Users\anemone\AppData\Local\Google\Chrome\User Data\Default\Visited Links: Permission denied

C:\Users\anemone\AppData\Local\Microsoft\CardSpace\CardSpace.db: Permission denied

C:\Users\anemone\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG1: Permission denied

C:\Users\anemone
tuser.dat.LOG1: Permission denied

C:\Windows\ServiceProfiles\LocalService
tuser.dat.LOG1: Permission denied

C:\Windows\ServiceProfiles\NetworkService
tuser.dat.LOG1: Permission denied

C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0: Permission denied

C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0: Permission denied

C:\Windows\System32\catroot2\127D0A1D-4EF2-11D1-8608-00C04FC295EE\catdb: Permission denied

C:\Windows\System32\catroot2\F750E6C3-38EE-11D1-85E5-00C04FC295EE\catdb: Permission denied

C:\Windows\System32\config\COMPONENTS: Permission denied

C:\Windows\System32\config\COMPONENTS.LOG1: Permission denied

C:\Windows\System32\config\DEFAULT: Permission denied

C:\Windows\System32\config\DEFAULT.LOG1: Permission denied

C:\Windows\System32\config\RegBack\COMPONENTS: Permission denied

C:\Windows\System32\config\RegBack\DEFAULT: Permission denied

C:\Windows\System32\config\RegBack\SAM: Permission denied

C:\Windows\System32\config\RegBack\SECURITY: Permission denied

C:\Windows\System32\config\RegBack\SOFTWARE: Permission denied

C:\Windows\System32\config\RegBack\SYSTEM: Permission denied

C:\Windows\System32\config\SAM: Permission denied

C:\Windows\System32\config\SAM.LOG1: Permission denied

C:\Windows\System32\config\SECURITY: Permission denied

C:\Windows\System32\config\SECURITY.LOG1: Permission denied

C:\Windows\System32\config\SOFTWARE: Permission denied

C:\Windows\System32\config\SOFTWARE.LOG1: Permission denied

C:\Windows\System32\config\SYSTEM: Permission denied

C:\Windows\System32\config\SYSTEM.LOG1: Permission denied



C:\Program Files\Opera\program\plugins\NPSWF32_FlashUtil.exe: Trojan.Swizzor.Gen FOUND

C:\Users\anemone\Downloads\GSkU6.rar: Trojan.LdPinch-3524 FOUND

C:\Windows\System32\Ati2evxx.exe: Trojan.Swizzor.Gen FOUND

C:\Windows\System32\DriverStore\FileRepository\cl_39505.inf_89401ae6\B_39428\Ati2evxx.exe: Trojan.Swizzor.Gen FOUND

C:\Windows\System32\Macromed\Flash\NPSWF32_FlashUtil.exe: Trojan.Swizzor.Gen FOUND

----------- SCAN SUMMARY -----------

Known viruses: 468952

Engine version: 0.94.1

Scanned directories: 19647

Scanned files: 150658

Infected files: 8



Data scanned: 55246.86 MB

Time: 15626.138 sec (260 m 26 s)

--------------------------------------

Completed

--------------------------------------








J'ai donc fait un scan HijackThis, que je n'arrive pas à comprendre, qui est le suivant :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:47:20, on 04/12/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16711)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\ClamWin\bin\ClamTray.exe
C:\Users\anemone\AppData\Local\Google\Update\GoogleUpdate.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Mozilla Thunderbird	hunderbird.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\conime.exe
C:\Program Files\Graphisoft\ArchiCAD 10\ArchiCAD.exe
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Users\anemone\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ClamWin] "C:\Program Files\ClamWin\bin\ClamTray.exe" --logon
O4 - HKCU\..\Run: [Google Update] "C:\Users\anemone\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Ouvrir dans WordPerfect - C:\Program Files\WordPerfect Office X3\Programs\WPLauncher.hta
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} - 
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} - 
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} - 
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} - 
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su2/ocx/15106/CTPID.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\ProgramData\EPSON\EPW!3 SSRP\E_S40RP7.EXE
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Maxtor Service (Maxtor Sync Service) - Seagate Technology LLC - C:\Program Files\Maxtor\Sync\SyncServices.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - O2Micro International - C:\Windows\system32\o2flash.exe
O23 - Service: XAudioService - Unknown owner - C:\Windows\system32\DRIVERS\xaudio.exe (file missing)

anthony5151 · Answer

Bonjour,


Infection Lop :

- Désactive ton antivirus.
- Télécharge Lop S&D sur ton Bureau : https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/LopSD.exe?attachauth=ANoY7co3ntqUavpZ3q1BG-h4pc13vqDZmhcNeEPChtsyrgAykRbhE8bZzhk979EfQD4AgwtQUHCaQ7ZQwNYMo3_0kA8htAspckDJtu2K5t6J9z6dLW4fpZyH4FpFL1tVMBZ8H-KnN7afZ5vt-WxZRpnynk-a0XmV_Y0C0q6DxGEDKie1TnPT7gFoZnoCnspzBmbW6ZzxA4fNr3oEDlbelNZON-LjF8nOmQ%3D%3D&attredirects=2
- Double-clique dessus pour lancer l'installation 
- Fais un clic-droit sur le raccourci Lop S&D présent sur ton Bureau et choisis "Exécuter en temps qu'administrateur"
- Sélectionne la langue souhaitée, puis choisis l'option 1 (Recherche) 
- Patiente jusqu'à la fin du scan 
- Poste le rapport généré
- Réactive ton antivirus

Tutoriel pour t’aider : http://www.malekal.com//tutorial_Lop_SD.php




Pour vérifier qu'il n'y a pas d'autres infections :

Télécharge et installe Malwarebytes' Anti-Malware
- A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
- Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
- Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
- Sélectionne tes disques durs" puis clique sur "Lancer l’examen" 
- A la fin du scan, clique sur Afficher les résultats
- Coche tous les éléments  détectés puis clique sur Supprimer la sélection
- Enregistre le rapport
- S'il t'est demandé de redémarrer, clique sur Yes

Poste le rapport de scan après la suppression ici

arbi19 · Answer

salut anthony5151,
merci de la reponse j'execute de suite et je poste

arbi19 · Answer

et voici le rapport lops&d


   --------------------\  Lop S&D 4.2.4-9c   XP/Vista

   Microsoft® Windows Vista™ Édition Familiale Premium  ( v6.0.6000 ) 
   X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 CPU         T7200  @ 2.00GHz )
   BIOS : Default System BIOS
   USER : anemone ( Administrator )
   BOOT : Normal boot
   C:\ (Local Disk) - NTFS - Total:137 Go (Free:47 Go)
   D:\ (Local Disk) - FAT32 - Total:11 Go (Free:6 Go)
   E:\ (CD or DVD)
   F:\ (CD or DVD)

   "C:\Lop SD" ( MAJ : 01-11-2008|16:30 )
   Option : [1] ( 05/12/2008| 1:25 )

   [ UAC => 0 ]
 
   --------------------\  Listing des dossiers dans Local

   [09/03/2008|20:45] C:\Users\anemone\AppData\Local\Adobe
   [21/09/2007|18:48] C:\Users\anemone\AppData\Local\Ahead
   [01/06/2007|18:54] C:\Users\anemone\AppData\Local\Application Data 
   [06/06/2007|20:43] C:\Users\anemone\AppData\Local\Apps
   [01/06/2007|18:55] C:\Users\anemone\AppData\Local\ATI
   [10/12/2007|10:50] C:\Users\anemone\AppData\Local\Corel
   [02/12/2008|20:29] C:\Users\anemone\AppData\Local\d3d9caps.dat
   [16/11/2008|20:57] C:\Users\anemone\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
   [21/11/2008|21:08] C:\Users\anemone\AppData\Local\GDIPFONTCACHEV1.DAT
   [05/12/2008|01:24] C:\Users\anemone\AppData\Local\Google
   [04/06/2007|14:22] C:\Users\anemone\AppData\Local\Graphisoft
   [27/09/2007|15:26] C:\Users\anemone\AppData\Local\GS-LW-Temp
   [01/06/2007|18:54] C:\Users\anemone\AppData\Local\Historique 
   [05/12/2008|01:23] C:\Users\anemone\AppData\Local\IconCache.db
   [11/03/2008|20:29] C:\Users\anemone\AppData\Local\Installer1392
   [11/03/2008|20:20] C:\Users\anemone\AppData\Local\Installer3580
   [20/03/2008|21:40] C:\Users\anemone\AppData\Local\Microsoft
   [15/06/2007|16:59] C:\Users\anemone\AppData\Local\Microsoft Games
   [16/11/2008|21:05] C:\Users\anemone\AppData\Local\MigWiz
   [07/06/2007|20:44] C:\Users\anemone\AppData\Local\Mozilla
   [18/09/2007|21:41] C:\Users\anemone\AppData\Local\PUTTY.RND
   [11/05/2008|19:50] C:\Users\anemone\AppData\Local\Quark
   [05/12/2008|01:24] C:\Users\anemone\AppData\Local\Temp
   [01/06/2007|18:54] C:\Users\anemone\AppData\Local\Temporary Internet Files 
   [07/01/2008|13:52] C:\Users\anemone\AppData\Local\Thunderbird
   [19/03/2008|20:19] C:\Users\anemone\AppData\Local\TomTom
   [28/03/2008|22:35] C:\Users\anemone\AppData\Local\Ubisoft
   [08/10/2007|21:20] C:\Users\anemone\AppData\Local\VirtualStore
   [09/09/2007|20:08] C:\Users\anemone\AppData\Local\WindowsUpdate
 
   --------------------\  Tâches planifiées dans C:\Windows	asks

   [05/12/2008 01:24][--ah-----] C:\Windows	asks\SA.DAT
   [05/12/2008 01:23][--a------] C:\Windows	asks\SCHEDLGU.TXT

   --------------------\  Listing des dossiers dans C:\ProgramData
   
   [28/10/2007|16:25] C:\ProgramData\Abvent
   [09/03/2008|17:15] C:\ProgramData\Adobe
   [08/10/2007|17:02] C:\ProgramData\Adobe Systems
   [30/05/2007|17:36] C:\ProgramData\Apple Computer
   [02/11/2006|14:02] C:\ProgramData\Application Data 
   [01/02/2008|18:14] C:\ProgramData\Azureus
   [30/05/2007|12:44] C:\ProgramData\Bureau 
   [04/08/2007|11:47] C:\ProgramData\CanonBJ
   [03/01/2008|19:38] C:\ProgramData\Corel
   [02/11/2006|14:02] C:\ProgramData\Desktop 
   [02/11/2006|14:02] C:\ProgramData\Documents 
   [29/02/2008|14:37] C:\ProgramData\EPSON
   [07/04/2008|19:29] C:\ProgramData\ezsid.dat
   [30/05/2007|12:44] C:\ProgramData\Favoris 
   [02/11/2006|14:02] C:\ProgramData\Favorites 
   [09/03/2008|20:38] C:\ProgramData\FLEXnet
   [11/03/2008|21:54] C:\ProgramData\Locktime
   [28/07/2008|18:10] C:\ProgramData\Maxtor
   [30/05/2007|12:44] C:\ProgramData\Menu D‚marrer 
   [09/09/2007|19:56] C:\ProgramData\Microsoft
   [30/05/2007|12:44] C:\ProgramData\ModŠles 
   [12/01/2007|14:33] C:\ProgramData\Nero
   [08/01/2008|21:07] C:\ProgramData
tuser.pol
   [08/01/2008|22:21] C:\ProgramData\SITEguard
   [12/01/2008|13:58] C:\ProgramData\Skype
   [05/12/2008|00:31] C:\ProgramData\Spybot - Search & Destroy
   [02/11/2006|14:02] C:\ProgramData\Start Menu 
   [08/01/2008|22:37] C:\ProgramData\STOPzilla!
   [02/11/2006|14:02] C:\ProgramData\Templates 
   [19/03/2008|20:19] C:\ProgramData\TomTom
   [28/03/2008|22:35] C:\ProgramData\Ubisoft

   --------------------\  Listing des dossiers dans C:\Program Files

   [12/06/2007|14:26] C:\Program Files\@Last Software
   [16/11/2008|17:58] C:\Program Files\Adobe
   [20/04/2008|17:06] C:\Program Files\art-lantis 4.5
   [28/10/2007|16:24] C:\Program Files\Artlantis Studio
   [27/04/2008|11:35] C:\Program Files\Aspell
   [12/01/2007|13:13] C:\Program Files\ATI
   [12/01/2007|13:14] C:\Program Files\ATI Technologies
   [02/06/2007|01:31] C:\Program Files\AVerMedia
   [13/09/2008|08:16] C:\Program Files\Avidemux 2.4
   [31/05/2007|13:12] C:\Program Files\Canon
   [02/12/2008|21:13] C:\Program Files\CCleaner
   [02/12/2008|12:33] C:\Program Files\ClamWin
   [22/11/2008|10:35] C:\Program Files\Common Files
   [12/01/2007|13:10] C:\Program Files\CONEXANT
   [22/11/2008|10:31] C:\Program Files\Creative
   [29/02/2008|14:36] C:\Program Files\EPSON
   [30/05/2007|12:44] C:\Program Files\Fichiers communs [C:\Program Files\Common Files]
   [26/09/2008|18:04] C:\Program Files\FileZilla FTP Client
   [01/06/2008|14:37] C:\Program Files\Free FLV Converter
   [18/09/2007|20:05] C:\Program Files\Freeplayer
   [09/11/2008|15:51] C:\Program Files\Google
   [08/06/2007|18:53] C:\Program Files\Graphisoft
   [22/11/2008|11:10] C:\Program Files\InstallShield Installation Information
   [12/01/2007|13:09] C:\Program Files\Intel
   [13/09/2008|07:49] C:\Program Files\Internet Explorer
   [29/10/2007|22:03] C:\Program Files\IrfanView
   [24/11/2008|18:02] C:\Program Files\Java
   [26/10/2008|22:06] C:\Program Files\JRE
   [13/09/2008|07:15] C:\Program Files\Maxtor
   [02/11/2006|13:37] C:\Program Files\Microsoft Games
   [24/08/2008|19:27] C:\Program Files\Microsoft Silverlight
   [02/11/2006|13:42] C:\Program Files\Movie Maker
   [05/12/2008|00:58] C:\Program Files\Mozilla Firefox
   [20/11/2008|13:02] C:\Program Files\Mozilla Thunderbird
   [02/11/2006|13:37] C:\Program Files\MSN
   [10/03/2008|09:12] C:\Program Files\MSXML 4.0
   [12/01/2007|14:33] C:\Program Files\Nero
   [27/11/2008|14:40] C:\Program Files\NutsAboutNets
   [22/09/2008|22:47] C:\Program Files\OpenOffice.org 2.3
   [26/10/2008|22:06] C:\Program Files\OpenOffice.org 3
   [05/12/2008|00:14] C:\Program Files\Opera
   [05/06/2007|19:50] C:\Program Files\PDF
   [09/11/2008|16:09] C:\Program Files\Picasa2
   [22/11/2008|10:28] C:\Program Files\Pidgin
   [23/06/2008|19:40] C:\Program Files\Power Tab Editor 1.7
   [11/05/2008|19:46] C:\Program Files\Quark
   [01/06/2007|18:45] C:\Program Files\QuickTime
   [12/01/2007|13:05] C:\Program Files\Realtek
   [21/09/2008|21:52] C:\Program Files\Samsung
   [03/10/2008|15:00] C:\Program Files\SightSpeed
   [12/01/2008|13:58] C:\Program Files\Skype
   [12/11/2008|23:07] C:\Program Files\SoftChris
   [16/11/2008|17:33] C:\Program Files\Spybot - Search & Destroy
   [12/01/2007|13:11] C:\Program Files\Synaptics
   [19/03/2008|20:18] C:\Program Files\TomTom HOME 2
   [28/03/2008|21:56] C:\Program Files\Ubisoft
   [02/11/2006|14:01] C:\Program Files\Uninstall Information
   [09/10/2007|18:38] C:\Program Files\VectorWorks 11.0.1
   [09/10/2007|20:12] C:\Program Files\VectorWorks 12.5.1
   [02/06/2007|19:31] C:\Program Files\VideoLAN
   [13/09/2008|08:13] C:\Program Files\VirtualCloneDrive
   [05/06/2007|19:21] C:\Program Files\WexTech
   [08/06/2007|19:00] C:\Program Files\WIBUKEY
   [08/06/2007|19:00] C:\Program Files\WIBU-SYSTEMS
   [15/09/2007|10:35] C:\Program Files\Windows Calendar
   [02/11/2006|13:42] C:\Program Files\Windows Collaboration
   [15/09/2007|10:35] C:\Program Files\Windows Defender
   [13/09/2008|07:49] C:\Program Files\Windows Mail
   [11/10/2007|08:50] C:\Program Files\Windows Media Player
   [30/05/2007|12:44] C:\Program Files\Windows NT
   [02/11/2006|13:42] C:\Program Files\Windows Photo Gallery
   [09/01/2008|12:01] C:\Program Files\Windows Sidebar
   [02/06/2007|19:33] C:\Program Files\WinRAR
   [03/01/2008|19:38] C:\Program Files\WordPerfect Office X3

   --------------------\  Listing des dossiers dans C:\Program Files\Common Files

   [09/03/2008|17:14] C:\Program Files\Common Files\Adobe
   [27/11/2008|11:04] C:\Program Files\Common Files\Ahead
   [15/01/2007|12:01] C:\Program Files\Common Files\Borland Shared
   [12/06/2007|15:05] C:\Program Files\Common Files\InstallShield
   [08/01/2008|21:31] C:\Program Files\Common Files\iS3
   [30/05/2007|13:08] C:\Program Files\Common Files\Java
   [05/06/2007|19:21] C:\Program Files\Common Files\LHSPF
   [21/09/2007|13:44] C:\Program Files\Common Files\LightScribe
   [09/03/2008|17:01] C:\Program Files\Common Files\Macrovision Shared
   [06/06/2007|20:50] C:\Program Files\Common Files\microsoft shared
   [02/11/2006|12:18] C:\Program Files\Common Files\Services
   [22/11/2008|10:35] C:\Program Files\Common Files\Skype
   [02/11/2006|12:18] C:\Program Files\Common Files\SpeechEngines
   [15/09/2007|10:35] C:\Program Files\Common Files\System
   [05/06/2007|19:21] C:\Program Files\Common Files\Wextech Shared

   --------------------\  Process

   ( 44 Processes )

   ... OK !

   --------------------\  Recherche avec S_Lop

   Aucun fichier / dossier Lop trouvé !
 
   --------------------\  Recherche de Fichiers / Dossiers Lop

   Aucun fichier / dossier Lop trouvé ! 
 
   --------------------\  Verification du Registre
 
   ..... OK !

   --------------------\  Verification du fichier Hosts

   Fichier Hosts PROPRE


   --------------------\  Recherche de fichiers avec Catchme
 
   catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
   Rootkit scan 2008-12-05 01:25:34
   Windows 6.0.6000  NTFS
   scanning hidden processes ...
   scanning hidden files ...
   scan completed successfully
   hidden processes: 0
   hidden files: 0
 
   --------------------\  Recherche d'autres infections


   Aucune autre infection trouvée  !

   [F:6][D:9]-> C:\Users\anemone\AppData\Local\Temp
   [F:24][D:1]-> C:\Users\anemone\AppData\Roaming\MICROS~1\Windows\Cookies
   [F:6][D:4]-> C:\Users\anemone\AppData\Local\MICROS~1\Windows\TEMPOR~1\content.IE5
   [F:2][D:1]-> C:\Recycled
   [F:7][D:4]-> C:\$Recycle.Bin

   1 - "C:\Lop SD\LopR_1.txt" - 05/12/2008| 1:10 - Option : [1]
   2 - "C:\Lop SD\LopR_2.txt" - 05/12/2008| 1:16 - Option : [1]
   3 - "C:\Lop SD\LopR_3.txt" - 05/12/2008| 1:27 - Option : [1]

   --------------------\  Fin du rapport a  1:27:50
   [ UAC => 1 ]

alors qu'en pens tu?

afideg · Answer

Salut Anthony,

Ne peut-on déjà supprimer avec ClamWin ce qu'il a détecté (afin d'en connaître son efficacité) ? 

C:\Program Files\Opera\program\plugins\NPSWF32_FlashUtil.exe: Trojan.Swizzor.Gen FOUND 
C:\Users\anemone\Downloads\GSkU6.rar: Trojan.LdPinch-3524 FOUND 
C:\Windows\System32\Ati2evxx.exe: Trojan.Swizzor.Gen FOUND 
C:\Windows\System32\DriverStore\FileRepository\cl_39505.inf_­89401ae6\B_39428\Ati2evxx.exe: Trojan.Swizzor.Gen FOUND 
C:\Windows\System32\Macromed\Flash\NPSWF32_FlashUtil.exe: Trojan.Swizzor.Gen FOUND
Infected files: 8 

C'est une question.
Merci à toi.
Al.


EDIT: Apparemment, l'internaute l'avait déjà fait.
Sorry.

arbi19 · Answer

l'internaute confirme

afideg · Answer

Re,

Merci
Bonne chance

N'oublie pas Malwarebyte's Anti-Malware 

Al.

arbi19 · Answer

e log de Malwarebyte's Anti-Malware demain!
j'ai lancee une scan profond et ça s'annonce long
il as déjà trouvée 4elements infectée ... :-(

en tout cas firefox n'as plus de chronologie ni récente ni antérieure le parametres sont ok, j'ai essaye de faire une réinstallation , rien. ça me fait de souci!
qu'en pensee vous?

arbi19 · Answer

Malwarebytes' Anti-Malware 1.31
Version de la base de données: 1460
Windows 6.0.6000 

05/12/2008 13:01:13
mbam-log-2008-12-05 (13-01-13).txt

Type de recherche: Examen rapide
Eléments examinés: 2286
Temps écoulé: 6 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

voici le log....
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

arbi19 · Answer

et voici un dernier report hjt apres tutes nettoyages

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:08:35, on 05/12/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16757)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\program files\avira\antivir personaledition classic\avcenter.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\anemone\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (disabled by BHODemon)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (disabled by BHODemon)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Google Update] "C:\Users\anemone\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Ouvrir dans WordPerfect - C:\Program Files\WordPerfect Office X3\Programs\WPLauncher.hta
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} - 
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} - 
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} - 
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} - 
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} - 
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su2/ocx/15106/CTPID.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\ProgramData\EPSON\EPW!3 SSRP\E_S40RP7.EXE
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Maxtor Service (Maxtor Sync Service) - Seagate Technology LLC - C:\Program Files\Maxtor\Sync\SyncServices.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - O2Micro International - C:\Windows\system32\o2flash.exe
O23 - Service: XAudioService - Unknown owner - C:\Windows\system32\DRIVERS\xaudio.exe (file missing)

afideg · Answer

Re,

Termine avec ce "Scan en ligne de Kaspersky" https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr   sous "Internet Explorer".

Branche ton Disque Externe (clé USB) éventuellement

- Clique là où la flèche l’indique  https://imageshack.com/  .
- Clique maintenant sur "J'accepte". 
- Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire. 
- Patiente pendant l'installation des "Mises à jour". 
Clic sur « Paramètres d'analyse » 
Coche la case "Étendue" >> Ok 
- Choisis par la suite l'analyse du "Poste de travail" pour faire un « Scan complet ». 
- Sauvegarde puis colle le rapport généré en fin d'analyse.
 http://i204.photobucket.com/albums/bb106/Juliet702/Kas-SaveReport-1.gif  
http://i204.photobucket.com/albums/bb106/Juliet702/Kas-Savetxt.gif  

AIDE : Configurer le contrôle des ActiveX < http://www.inoculer.com/activex.php3  >
Tuto ici si problème : http://www.vista-xp.fr/forum/topic109.html  , ou là : https://forum.pcastuces.com/sujet.asp?f=25&s=37641  (par Morgane & nico_dodo)
                           
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.



Bonne chance
Al.

anthony5151 · Answer

Merci d'avoir repris afideg ;)
Je ne suis pas chez moi ce week end, j'aurai eu du mal à finir...


Mmsl35 :

généralement swizzor = lop

afideg · Answer

Hello,
Pas de problème avec moi anthony5151,
Je me suis laissé "embarqué"; je ne le regrette pas.
Ce topic est plein d'enseignement.
Merci.
Bon W-E.


arbi19,
Il serait intéressant de recevoir le rapport du Scan en ligne de Kaspersky
Merci


Al.

afideg · Answer

Re,
Bonsoir,

Termine avec ce "Scan en ligne de Kaspersky" https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr sous "Internet Explorer".   ==> oui, obligé.
Branche ton Disque Externe (clé USB) éventuellement 
Lance-le.


Al.

arbi19 · Answer

oui chef!

arbi19 · Answer

par curiosité' il stocke  ou tout ça( mises a jour etc)

afideg · Answer

IE est intégré à ton Windows
As-tu essayé le scanonline ?

arbi19 · Answer

oui le scan en ligne est lance (j'en suis a 7%) 
"par curiosité' il stocke ou tout ça( mises a jour etc)"=> je parlais de kaspersky.

afideg · Answer

(suite)

Le scan peut durer longtemps; voire plusieurs heures parfois.
Tout dépend du contenu de ton PC !

Kaspersky ne stocke pas de mises à jour.
Les mises à jours "de la base de données" sont continues et instantanées sur le site Kaspersky.
C'est le même principe pour quasi tous les scans antivirus en ligne.

Soit patiente
Relis bien la procédure
N'oublie pas qu'il faut me sortir un rapport et le poster

Je crois que je t'ai donné un manuel d'aide.

Merci
Al.

afideg · Answer

Le rapport est incomplet

arbi19 · Answer

le rapport est tres long et j'ai l'impression que ne tient pas dans le post.
je peut enlever toutes le lignes :
"L'objet est verrouillé ignoré "?

arbi19 · Answer

bon voici le report si j'enleve toutes le lignes "L'objet est verrouillé ignoré "

-------------------------------------------------------------------------------
 KASPERSKY ON-LINE SCANNER REPORT
 Tuesday, December 09, 2008 10:51:16 PM
 Système d'exploitation :  Home Edition,  (Build 6000)
 Kaspersky On-line Scanner version : 5.0.84.2
 Dernière mise à jour de la base antivirus Kaspersky :  9/12/2008
 Enregistrements dans la base antivirus Kaspersky : 1297411
-------------------------------------------------------------------------------

Paramètres d'analyse:
	Analyser avec la base antivirus suivante: standard
	Analyser les archives: vrai
	Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
	C:\
	D:\
	E:\
	F:\

Statistiques de l'analyse:
	Total d'objets analysés: 288047
	Nombre de virus trouvés: 1
	Nombre d'objets infectés: 1 / 0
	Nombre d'objets suspects: 0
	Durée de l'analyse: 02:26:34

Nom de l'objet infecté / Nom du virus / Dernière action
D:\Recycled\ctfmon.exe	Infecté : Trojan.Win32.VB.aqt	ignoré

Analyse terminée.

afideg · Answer

Merci

Télécharge OTMoveIt3 (OldTimer) sur ton Bureau : 
http://oldtimer.geekstogo.com/OTMoveIt3.exe 
---> Double-clique sur OTMoveIt3.exe afin de le lancer. 
---> Copie (Ctrl+C) le texte suivant ci-dessous : en gras

:files 
D:\Recycled\ctfmon.exe

:commands 
[purity] 
[emptytemp] 
[reboot] 

---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved. 
---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3. 
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. 
---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\ 
Le nom du rapport correspond au moment de sa création : date_heure.log


Bonne chance
Al.

afideg · Answer

Bonjour
Pas de problème

Qu'est-ce que ce disque D:\  ?
Est-ce une partition sur ton disque C:/, ou est-ce un disque amovible (tel que clé USB) ?
Si c'est une clé USB, relance OTMoveIt3 avec cette clé branchée (ne pas l'ouvrir).
Et redémarre le PC à la fin de l'application (pour répondre à ceci : "Files moved on Reboot...").

Merci

Al.

arbi19 · Answer

et on fait...plus haut dans la discussion tu m'as dis "Kaspersky ne stocke pas de mises à jour.
Les mises à jours "de la base de données" sont continues et instantanées sur le site Kaspersky.
C'est le même principe pour quasi tous les scans antivirus en ligne."

mais moi j'ai bel et bien un dossier Kaspersky Lab en c:\windows\windows32 et il fait 40,2 Mo!

afideg · Answer

Re,

Quel est le nom de ce fichier ?

C'est quoi ça  c:\windows\windows32  ??
Un scan en ligne Kaspersky ne stocke pas de mise à jour dans ton PC.

Quel est ton antivirus installé ?
As-tu déjà possédé Kaspersky ?

Sauf avis contraire.   ;)

Al.

anthony5151 · Answer

Bonsoir,

En fait, Kaspersky installe bien quelque chose sur l'ordinateur, d'ailleurs une entrée "Kaspersky On-line scanner" dans ajout/suppression de programmes permet de le désinstaller.
Je ne sais pas exactement à quoi ça correspond ?

arbi19 · Answer

pour répondre a afideg:
errata corrige 
c:\windows\system32 
le dossier s'appelle  Kaspersky Lab
no, je n'ai jamais eu kaspersky et actuellement je utilise avira antivir 

pour antony:
voici le copier coller du fichier txt present dans le dossier kaspersky lab 

Welcome to the Kaspersky Online Scanner!
Use it to scan your PC for viruses and other malware for free 
=============================================================


Benefits:
---------
o	Kaspersky Anti-Virus exceptional detection rates and thorough scanning

o	Hourly AV database updates available each time the Online Scanner 
	is launched

o	Heuristic analysis to detect unknown viruses

o	Simple installation (just click on a link)



Requirements and limitations:
-----------------------------
o	When using this service for the first time, you have to run with 
	Administrator privileges in order to install the product. Also, you 
	will need to download and install files about 500 KB in size (about 1 
	minute on a 57.6 kbps connection) followed by 6 MB of virus definitions.

o	However, if you use the Online Scanner again, you will only need to 
	download the files that have been updated since your last scan.

o	The Online Scanner service offered by Kaspersky Lab uses 
	Microsoft ActiveX technology. Microsoft ActiveX Technology and the 
	Kaspersky Anti-Virus Web Scanner work only with MS Internet Explorer 5.0 
	or higher.

o	We cannot guarantee that the Online Scanner will function correctly 
	if you are using any other browser or any Internet Explorer extensions 
	(such as AvantBrowser). If you use a different browser, you can use the 
	Kaspersky Online Virus Scanner to scan individual files.

o	Please note: The free Kaspersky Online Scanner does not protect 
	against malicious code, and cannot prevent future infections. It only 
	detects malware that has already penetrated your computer. We strongly 
	recommend that you install a full antivirus solution to protect your 
	system.


Privacy statement:
------------------
The Kaspersky Online Scanner will collect information about the malicious 
programs found on your computer during the scanning process. The information will be 
sent to the Kaspersky Virus Lab for statistical purposes. No personal information 
about you or specific information about your system will be collected or 
transmitted to Kaspersky Lab.

afideg · Answer

(suite)

arbi19,
La réponse à ta question est là : «  Hourly AV database updates available each time the Online Scanner 
is launched »
Ça peut se traduire comme ceci : « "Kaspersky ne stocke pas de mises à jour. 
Les mises à jours "de la base de données" sont continues et instantanées sur le site Kaspersky. 
C'est le même principe pour quasi tous les scans antivirus en ligne." »  ==> à chaque lancement du scan.

Salut anthony5151,
Amicalement.

Al.

Infectee trojan swizzor.gen.Aide please!

28 réponses

Discussions similaires

Newsletters