Dossier temp augmente au fil du temps

link666fr Messages postés 8 Statut Membre -  
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour,

j'ai un gros souci sur mon ordinateur ^^
Alors voila, quand je lance un programme (pour l'instant sa me le fait que sur se programme et j'espère que sa le fera pas sur d'autre :x) , je remarque que mon dossier C:\WINDOWS\Temp se remplit de fichier du genre "PRE", "PR1C", "PR3B" ect...
Cela entraine plusieurs problèmes : sa bouffe de la place sur mon dd, sa me fait ramer, le pc freeze plusieurs secondes ect...
Sa peu durer plus ou moins longtemps, 10 à 20 minutes pendants lesquelles mon pc est donc inutilisable (la réaction stop quand il n'y à plus de place dans le dd). Une fois ce phénomène terminé, je peu enfin effacer les fichiers de mon dossier temp et réutiliser mon ordinateur normalement (à savoir que si je relance le programme, sa recommence :/ )
Par contre, si je redémarre mon ordinateur sans effacer les fichiers, ils n'y sont plus une fois l'ordinateur redémarré :o
Ce programme est installer depuis un bon moment et n'à pas subi de modification récente (mise à jour ou autre)
Je ne pense pas que le problème vienne du programme puisque il n'a pas subi de mise à jour récente mais d'un trojan / virus :/
Voila :/
Merci d'avance pour vos solutions / conseils

PS : en y repensant il me semble que sa m'est déjà arrivé avec un autre programme, à confirmer :/
Configuration: Windows XP
Firefox 2.0.0.16

15 réponses

  1. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    Télécharge ici :

    http://images.malwareremoval.com/random/RSIT.exe

    random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

    Double-clique sur RSIT.exe afin de lancer RSIT.

    Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).

    Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

    Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

    Poste le contenu de log.txt (<<qui sera affiché)
    .

    NB : Les rapports sont sauvegardés dans le dossier C:\rsit
    0
  2. link666fr Messages postés 8 Statut Membre
     
    Le voila

    Logfile of random's system information tool 1.04 (written by random/random)
    Run by EMILE at 2008-12-13 10:56:20
    Microsoft Windows XP Professionnel Service Pack 3
    System drive C: has 22 GB (56%) free of 39 GB
    Total RAM: 2046 MB (68% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 10:56:23, on 13/12/2008
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
    C:\WINDOWS\eHome\ehRecvr.exe
    C:\WINDOWS\eHome\ehSched.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\oodag.exe
    C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
    C:\PROGRA~1\Wanadoo\CnxMon.exe
    C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\TuneUp Utilities 2007\MemOptimizer.exe
    C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\WINDOWS\system32\dllhost.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\Wanadoo\EspaceWanadoo.exe
    C:\Program Files\Wanadoo\ComComp.exe
    C:\Program Files\Wanadoo\Watch.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    D:\Documents and Settings\EMILE.YZUL\Bureau\RSIT.exe
    C:\Program Files\trend micro\EMILE.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: IECatcher Class - {B930BA63-9E5A-11D3-A288-0000E80E2EDE} - C:\PROGRA~1\MASSDO~1\MDHELPER.DLL
    O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [SDFix] D:\Documents and Settings\EMILE.YZUL\Bureau\sdfix\SDFix\RunThis.bat /second
    O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Program Files\TuneUp Utilities 2007\MemOptimizer.exe" autostart
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    O8 - Extra context menu item: &Tout télécharger en utilisant Mass Downloader - C:\Program Files\Mass Downloader\Add_All.htm
    O8 - Extra context menu item: Liens de téléchargement avec Mega Manager... - C:\Program Files\Megaupload\Mega Manager\mm_file.htm
    O8 - Extra context menu item: Télécharger en utilisant &Mass Downloader - C:\Program Files\Mass Downloader\Add_Url.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra button: Mass Downloader - {0FD01980-CCCB-11D3-80D4-0000E80E2EDE} - C:\Program Files\Mass Downloader\massdown.exe
    O9 - Extra 'Tools' menuitem: &Mass Downloader - {0FD01980-CCCB-11D3-80D4-0000E80E2EDE} - C:\Program Files\Mass Downloader\massdown.exe
    O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
    O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
    O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
    O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
    O17 - HKLM\System\CCS\Services\Tcpip\..\{45311268-1EE6-44DF-A591-8FA238C5C1B3}: NameServer = 81.253.149.9 80.10.246.132
    O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
    O23 - Service: Maxtor Service (Maxtor Sync Service) - Seagate Technology LLC - C:\Program Files\Maxtor\Sync\SyncServices.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
    O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
    0
  3. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    quel est le programme qui provoque ce phénomène ?
    0
  4. link666fr Messages postés 8 Statut Membre
     
    Le programme en question est utorrent.
    Sa fait un bon moment que je l'utilise, pas de mise à jour récente (enfin peut être il y à 2 ou 3 mois) mais mon problème date d'hier donc..

    PS : le logiciel n'était pas lancé lors de l'analyse de RSIT, faut il que je le lance et que j'analyse a se moment la ?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    rien d'évident.

    1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

    https://download.cnet.com/Malwarebytes/3000-8022_4-10804572.html

    3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

    4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

    5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

    6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

    7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

    8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

    9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

    10) Si des malwares ont été détectés, leur liste s'affiche.
    En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

    11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

    12) Ferme MBAM en cliquant sur Quitter.

    13) Poste le rapport dans ta réponse
    0
  7. link666fr Messages postés 8 Statut Membre
     
    re ,

    Malwarebytes' Anti-Malware 1.31
    Version de la base de données: 1496
    Windows 5.1.2600 Service Pack 3

    13/12/2008 11:30:23
    mbam-log-2008-12-13 (11-30-23).txt

    Type de recherche: Examen rapide
    Eléments examinés: 55751
    Temps écoulé: 3 minute(s), 57 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 2

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Quarantined and deleted successfully.

    Toujours le même problème quand je lance utorrent, création de fichiers en masse :/
    Alors visiblement les fichiers qui se créer sont associés à l'application avp.exe, soit mon anti virus (kaspersky)
    Si je lance utorrent sans l'anti virus, aucun fichier ne se créer, j'avoue ne pas trop comprendre la o_O
    0
  8. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    lancer utorrent sans l'antivirus !!! Il faut être tombé sur la tête.

    Déjà le P2P est risqué. Alors, sans AV .......

    C'est TDSS qui infecte ton ordi et perturbe son fonctionnement.

    On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    * Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

    Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.
    0
  9. link666fr Messages postés 8 Statut Membre
     
    re,

    ComboFix 08-12-12.05 - EMILE 2008-12-13 14:55:19.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.2046.1595 [GMT 1:00]
    Lancé depuis: d:\documents and settings\EMILE.YZUL\Bureau\ComboFix.exe
    * Un nouveau point de restauration a été créé
    .
    [i] ADS - system32: deleted 0 bytes in 1 streams. /i
    [i] ADS - WINDOWS: deleted 0 bytes in 1 streams. /i

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    D:\Autorun.inf
    d:\documents and settings\EMILE.YZUL\Application Data\.#
    J:\autorun.inf

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_TDSSSERV

    ((((((((((((((((((((((((((((( Fichiers créés du 2008-11-13 au 2008-12-13 ))))))))))))))))))))))))))))))))))))
    .

    2008-12-13 11:24 . 2008-12-13 11:24 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
    2008-12-13 11:24 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
    2008-12-13 11:24 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
    2008-12-13 10:53 . 2008-12-13 10:56 <REP> d-------- C:\rsit
    2008-12-13 10:53 . 2008-12-13 10:56 <REP> d-------- c:\program files\trend micro
    2008-12-12 23:59 . 2008-12-12 23:59 579,584 --a------ c:\windows\system32\dllcache\user32.dll
    2008-12-12 23:53 . 2008-12-12 23:53 <REP> d-------- c:\windows\ERUNT
    2008-12-12 23:10 . 2008-12-12 23:10 <REP> d-------- d:\documents and settings\EMILE.YZUL\Application Data\Grisoft
    2008-12-12 23:10 . 2007-05-30 13:10 10,872 --a------ c:\windows\system32\drivers\AvgAsCln.sys

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-12-13 14:01 33,779,232 --sha-w c:\windows\system32\drivers\fidbox.dat
    2008-12-13 14:00 461,732 --sha-w c:\windows\system32\drivers\fidbox.idx
    2008-12-13 14:00 139,424 --sha-w c:\windows\system32\drivers\fidbox2.idx
    2008-12-13 14:00 1,398,304 --sha-w c:\windows\system32\drivers\fidbox2.dat
    2008-12-13 13:52 --------- d-----w c:\program files\Wanadoo
    2008-12-13 13:35 --------- d-----w d:\documents and settings\EMILE.YZUL\Application Data\uTorrent
    2008-12-13 11:08 --------- d-----w c:\program files\Unlocker
    2008-12-13 10:31 --------- d-----w d:\documents and settings\All Users\Application Data\Kaspersky Lab
    2008-11-11 23:45 --------- d-----w c:\program files\Red Kawa
    2008-11-11 23:45 --------- d-----w c:\program files\AviSynth 2.5
    2008-11-09 16:45 --------- d-----w d:\documents and settings\EMILE.YZUL\Application Data\Template
    2008-11-09 16:44 --------- d-----w c:\program files\Microsoft Works
    2008-11-05 13:02 --------- d-----w d:\documents and settings\EMILE.YZUL\Application Data\LimeWire
    2008-11-04 13:49 --------- d-----w d:\documents and settings\EMILE.YZUL\Application Data\La Bataille pour la Terre du Milieu ™ II
    2008-10-27 22:11 --------- d-----w d:\documents and settings\EMILE.YZUL\Application Data\Command & Conquer 3 Les guerres du Tiberium
    2008-10-27 21:01 --------- d-----w c:\program files\Atari
    2008-10-27 20:17 --------- d-----w d:\documents and settings\EMILE.YZUL\Application Data\gnupg
    2008-10-25 10:51 --------- d--h--w c:\program files\InstallShield Installation Information
    2008-10-25 08:42 --------- d---a-w d:\documents and settings\All Users\Application Data\TEMP
    2008-10-24 23:57 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard
    2008-10-24 23:57 --------- d-----w c:\program files\AGEIA Technologies
    2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
    2008-10-21 20:07 --------- d-----w c:\program files\Microsoft ActiveSync
    2008-10-19 14:46 --------- d-----w d:\documents and settings\EMILE.YZUL\Application Data\Desktopicon
    2008-10-15 16:23 --------- d-----w c:\program files\Fichiers communs\Blizzard Entertainment
    2008-10-15 15:59 --------- d-----w d:\documents and settings\All Users\Application Data\Blizzard
    2008-07-12 15:06 22,328 ----a-w d:\documents and settings\EMILE.YZUL\Application Data\PnkBstrK.sys
    2006-05-06 16:42 7,260,160 ----a-w c:\program files\mozilla firefox\plugins\libvlc.dll
    2005-05-13 16:12 217,073 --sha-r c:\windows\meta4.exe
    2005-10-24 10:13 66,560 --sha-r c:\windows\MOTA113.exe
    2005-10-13 20:27 422,400 --sha-r c:\windows\x2.64.exe
    2005-10-07 18:14 308,224 --sha-r c:\windows\system32\avisynth.dll
    2005-07-14 11:31 27,648 --sha-r c:\windows\system32\AVSredirect.dll
    2005-06-26 14:32 616,448 --sha-r c:\windows\system32\cygwin1.dll
    2005-06-21 21:37 45,568 --sha-r c:\windows\system32\cygz.dll
    2004-01-24 23:00 70,656 --sha-r c:\windows\system32\i420vfw.dll
    2006-04-27 09:24 2,945,024 --sha-r c:\windows\system32\Smab.dll
    2005-02-28 12:16 240,128 --sha-r c:\windows\system32\x.264.exe
    2004-01-24 23:00 70,656 --sha-r c:\windows\system32\yv12vfw.dll
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "TuneUp MemOptimizer"="c:\program files\TuneUp Utilities 2007\MemOptimizer.exe" [2007-01-17 311816]
    "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]
    "H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "WooCnxMon"="c:\progra~1\Wanadoo\CnxMon.exe" [2004-05-13 24576]
    "WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-05-13 24576]
    "WOOTASKBARICON"="c:\progra~1\Wanadoo\TaskbarIcon.exe" [2004-05-13 49152]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-17 13574144]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-09-17 86016]
    "!AVG Anti-Spyware"="c:\program files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 6731312]
    "SDFix"="d:\documents and settings\EMILE.YZUL\Bureau\sdfix\SDFix\RunThis.bat" [2008-09-03 763544]
    "AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [2008-02-08 227856]
    "nwiz"="nwiz.exe" [2008-09-17 c:\windows\system32\nwiz.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    d:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    DSLMON.lnk - c:\program files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2008-03-18 954475]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "VIDC.I420"= i420vfw.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]
    --a------ 2004-08-22 17:05 81920 c:\program files\D-Tools\daemon.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray]
    --a------ 2005-09-29 14:01 67584 c:\windows\ehome\ehtray.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
    --a------ 2006-11-13 13:07 1289000 c:\program files\Microsoft ActiveSync\wcescomm.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
    --------- 2008-04-14 03:34 1695232 c:\program files\Messenger\msmsgs.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
    --a------ 2007-10-18 11:34 5724184 c:\program files\Windows Live\Messenger\msnmsgr.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mxomssmenu]
    --a------ 2007-09-06 14:53 169264 c:\program files\Maxtor\OneTouch Status\MaxMenuMgr.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
    --a------ 2008-09-17 08:55 13574144 c:\windows\system32\nvcpl.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
    --a------ 2008-09-17 08:55 86016 c:\windows\system32\nvmctray.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
    --a------ 2004-08-10 14:00 455168 c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
    --a------ 2004-08-10 14:00 455168 c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
    --a------ 2008-03-16 20:15 98304 c:\program files\QuickTime\qttask.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
    --a------ 2005-06-03 03:52 36975 c:\program files\Java\jre1.5.0_04\bin\jusched.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
    --a------ 2005-05-03 17:43 69632 c:\windows\Alcmtr.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\High Definition Audio Property Page Shortcut]
    --a------ 2005-01-07 17:07 61952 c:\windows\system32\HdAShCut.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
    --a------ 2008-09-17 08:55 1657376 c:\windows\system32\nwiz.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
    --a------ 2005-12-09 15:49 15691264 c:\windows\RTHDCPL.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLDial.exe"=
    "c:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLacsd.exe"=
    "c:\\Program Files\\AOL 9.0\\waol.exe"=
    "d:\\LOGICIELS\\eMule\\emule.exe"=
    "c:\\Program Files\\Messenger\\msmsgs.exe"=
    "d:\\LOGICIELS\\Emule Morph\\emule\\emule.exe"=
    "d:\\Steam\\Steam\\SteamApps\\unknowakalink\\counter-strike source\\hl2.exe"=
    "c:\\Program Files\\UseNeXT\\UseNeXT.exe"=
    "d:\\JEUX\\Assasin's Creed\\AssassinsCreed_Dx9.exe"=
    "d:\\JEUX\\Assasin's Creed\\AssassinsCreed_Dx10.exe"=
    "d:\\JEUX\\Assasin's Creed\\AssassinsCreed_Launcher.exe"=
    "d:\\Documents and Settings\\All Users\\Application Data\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 7.0.1.325\\French\\setup.exe"=
    "c:\\Program Files\\LimeWire\\LimeWire.exe"=
    "c:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 7.0\\avp.exe"=
    "d:\\JEUX\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
    "d:\\JEUX\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
    "d:\\JEUX\\LucasArts\\Star Wars JK II Jedi Outcast\\GameData\\jk2mp.exe"=
    "c:\\WINDOWS\\system32\\dpvsetup.exe"=
    "c:\\Program Files\\uTorrent\\uTorrent.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
    "d:\\JEUX\\Warhammer Online - Age of Reckoning\\warpatch.exe"=
    "c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
    "c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
    "c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
    "d:\\JEUX\\Ubisoft\\Far Cry 2\\bin\\FarCry2.exe"=
    "d:\\JEUX\\Ubisoft\\Far Cry 2\\bin\\FC2Launcher.exe"=
    "d:\\JEUX\\Ubisoft\\Far Cry 2\\bin\\FC2Editor.exe"=
    "c:\\Program Files\\Atari\\AITD\\Alone.exe"=
    "d:\\JEUX\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat"=
    "d:\\JEUX\\Warcraft III\\war3.exe"=
    "d:\\JEUX\\DreamCatcher\\Painkiller\\Bin\\Painkiller.exe"=
    "d:\\JEUX\\Electronic Arts\\La Bataille pour la Terre du Milieu II\\game.dat"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "1380:TCP"= 1380:TCP:Warpatch
    "10622:TCP"= 10622:TCP:Warhammer
    "1024:UDP"= 1024:UDP:Warhammer
    "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

    R3 3xHybrid;3xHybrid service;c:\windows\system32\DRIVERS\3xHybrid.sys [2008-03-16 825600]
    R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\DRIVERS\klim5.sys [2007-12-13 24592]
    R3 X10Hid;X10 Hid Device;c:\windows\system32\Drivers\x10hid.sys [2008-03-16 7040]
    S3 EverestDriver;Lavalys EVEREST Kernel Driver;\??\c:\program files\Lavalys\EVEREST Home Edition\kerneld.wnt [2005-05-17 4736]
    S3 SaiHFF0D;SaiHFF0D;c:\windows\system32\DRIVERS\SaiHFF0D.sys [2008-04-12 176000]
    S3 SaiUFF0D;SaiUFF0D;c:\windows\system32\DRIVERS\SaiUFF0D.sys [2008-04-12 27136]

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    UxTuneUp
    .
    Contenu du dossier 'Tâches planifiées'

    2008-12-12 c:\windows\Tasks\Maintenance en 1 clic.job
    - c:\program files\TuneUp Utilities 2007\SystemOptimizer.exe [2007-01-17 14:47]
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    WebBrowser-{A057A204-BACC-4D26-C39E-35F1D2A32EC8} - (no file)
    MSConfigStartUp-RealTray - c:\program files\Real\RealPlayer\RealPlay.exe
    MSConfigStartUp-adiras - adiras.exe
    MSConfigStartUp-autoclk - autoclk.exe

    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.wanadoo.fr
    IE: &Tout télécharger en utilisant Mass Downloader - c:\program files\Mass Downloader\Add_All.htm
    IE: Liens de téléchargement avec Mega Manager... - c:\program files\Megaupload\Mega Manager\mm_file.htm
    IE: Télécharger en utilisant &Mass Downloader - c:\program files\Mass Downloader\Add_Url.htm
    FF - ProfilePath - d:\documents and settings\EMILE.YZUL\Application Data\Mozilla\Firefox\Profiles\[u]0/ulb02b23.default\
    FF - prefs.js: browser.search.selectedEngine - Yahoo
    FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?ei=utf-8&fr=megaup&p=
    FF - plugin: c:\program files\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
    FF - plugin: c:\program files\DivX\DivX Content Uploader\npUpload.dll
    FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPJava11.dll
    FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPJava12.dll
    FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPJava13.dll
    FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPJava14.dll
    FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPJava32.dll
    FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPJPI150_04.dll
    FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPOJI610.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\npmozax.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\npvlc.dll
    FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
    .

    **************************************************************************

    catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-12-13 15:01:44
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet003\Services\EverestDriver]
    "ImagePath"="\??\c:\program files\Lavalys\EVEREST Home Edition\kerneld.wnt"
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(1168)
    c:\windows\system32\klogon.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\progra~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    c:\program files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    c:\windows\ehome\ehrecvr.exe
    c:\windows\ehome\ehSched.exe
    c:\program files\Maxtor\Sync\SyncServices.exe
    c:\windows\system32\nvsvc32.exe
    c:\windows\system32\oodag.exe
    c:\progra~1\COMMON~1\X10\Common\X10nets.exe
    c:\windows\system32\rundll32.exe
    c:\progra~1\MICROS~2\rapimgr.exe
    c:\windows\system32\dllhost.exe
    c:\windows\system32\wscntfy.exe
    .
    **************************************************************************
    .
    Heure de fin: 2008-12-13 15:05:41 - La machine a redémarré
    ComboFix-quarantined-files.txt 2008-12-13 14:05:32

    Avant-CF: 22 662 660 096 octets libres
    Après-CF: 22,578,020,352 octets libres

    251 --- E O F --- 2008-12-12 23:49:25
    0
  10. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    pourquoi as tu SDFix sur ton ordi ?

    ==================

    ========================================
    ->Affiche tous les fichiers et dossiers :
    clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

    [Coche] « afficher les dossiers et fichiers cachés »

    [Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

    [Décoche] « masquer les extensions dont le type est connu »

    Puis fais [appliquer] pour valider les changements.

    Et [Ok]
    .

    Avec le fonction rechercher de Windows, recherche TDSS*.* et poste le résultat.
    0
  11. link666fr Messages postés 8 Statut Membre
     
    SDFix je l'avait utiliser y a un moment parce que j'avait un problème ac tdssadw.dll, que je croyer avoir virer (apparament non vu que Malwarebytes' Anti-Malware me la virer précédemment)

    Sinon je trouve un seul fichier : " Legacy_TDSSSERV.reg.dat " qui se trouve dans " C:\Qoobox\Quarantine\Registry_backups "
    0
  12. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    pour SDFix, je m'en doutais un peu car les TDSS ressemblaient à des restes mais cette infection bouge si vite que j'ai préféré vérifier.

    +++++++++++++++++++++++++++++

    Ouvre l'Explorateur Windows et cherche :

    c:\windows\system32\Smab.dll

    Clic droit et Supprimer.

    ==========================

    Tu as toujours une inflation de fichiers dans Temp ?

    d:\documents and settings\EMILE.YZUL\Application Data\uTorrent a été modifié le 2008-12-13 13:35.

    0
  13. link666fr Messages postés 8 Statut Membre
     
    Instructions suivies, mais malheureusement des fichiers se créer toujours dans mon dossier temp quand j'utilise utorrent :(
    Par contre les fichiers se créer bcp plus lentement m'enfin je ram toujours autant :/
    0
  14. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    désinstalle l'application et réinstalle la.
    0
  15. link666fr Messages postés 8 Statut Membre
     
    Bon ben j'ai pas réinstaller utorrent car visiblement cette saloperie s'active aussi quand je télécharge via un site....
    Je sent que je v devoir passer par la case formatage, une fois de plus -_-"
    0
  16. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    fais redémarrer l'ordi et remets un rapport RSIT.

    Depuis le temps qu'on explique que le P2P ......, que cliquer sur tout ce qui bouge ..... que ne pas mettre à jour .....

    Je ne te vise pas particulièrement. j'écris aussi pour ceux qui liront ce topic.

    Peut être certains comprendront que ça n'arrive pas qu'aux autres.

    ===

    On va quand même essayer d'éviter le formatage.
    0