Tom's Guide > Forum > Sécurité - Virus > Virus bloquant Norton + Internet + clé USB + lecteur CD
Virus bloquant Norton + Internet + clé USB + lecteur CD - Sécurité - Virus
TomsGuide.com : 800 000 inscrits répondent à toutes vos questions high-tech et informatique. Pour obtenir de l'aide, inscrivez-vous gratuitement !
Répondre
Mot :    Pseudo :           
 
romainrou   19-02-2008 à 20:00:25

Bonjour,
J'ai un énorme souci :
En voulant installé un fichier.exe qu'un ami m'avait envoyer, il ma installé un virus. Les symptomes sont les suivants :

-Impossible d'ouvrir norton internet security 2005 (fichier nvmain.exe n'es pas une application win32 valide)
-Impossible de me connecter a internet (j'ai pourtant réactivé ma carte wifi en allant dans l'éditeur de registre (HKEY LOCAL MACHINE/.../Ndistudio/start valeur 2 à la palce du 4)
-L'ordinateur reconnait mes clé usb mais veut les formater, alors que sur les autres ordinateurs elles fonctionnent toutes.
-Impossible d'explorer le contenu d'un CD (pourtant j'ai réussi à lire un CD audio dans WMP11, mais sans pouvoir l'explorer.)

Cependant il y a une bonne nouvelle. LClock ne marchait plus et en le réinstallant il marche a nouveau (quelle nouvelle...)

Etant dans l'impossibilité de mettre un autre logiciel antivirus par le bias d'internet, d'une clé, ou d'un cd, je suis totalement perdu sans votre aide...

Merci de votre lecture et en espérant que vous puissiez m'aider...

PS : ordinateur portable acer aspire 3130 - windows xp sp2

Répondre
Liens sponsorisés
Inscrivez-vous ou connectez-vous pour masquer ceci.
XmichouX   19-02-2008 à 20:04:36
- 0 +

Salut,

Télécharge ELIBAGLA au bas de cette page. Il est préférable pour certains antivirus de les désactiver avant d’entâmer cette procédure !
Clique sur le Descargar Elibagla afin de télécharger le fichier, enregistre-le sur ton bureau.
Lance le en double cliquant dessus.
Vérifie que dans le menu déroulant Unidad, il y ait bien C:\
L'option Eliminar Ficheros Automaticamente doit également être cochée.
Clique sur Explorar pour lancer l'analyse.
Poste le rapport généré en fin fin d'analyse.

------------------------------ >> Centre de Formation Helpers <<
 Répondre à XmichouX
romainrou   19-02-2008 à 20:40:49
- 0 +

Le problème c'est que j'ai aucun moyen de mettre elibagla sur mon pc portable...

Répondre à romainrou
XmichouX   19-02-2008 à 20:44:12
- 0 +

Tu n'as pas accès à un autre ordi pour charger les tools ?
Et le mode sans échec avec prise en charge réseau, tu as essayé ?

------------------------------ >> Centre de Formation Helpers <<
 Répondre à XmichouX
romainrou   19-02-2008 à 21:08:48
- 0 +

Si j'ai accés à un autre ordi mais aprés une fois le logiciel sur le support de stockage, je le met comment sur mon ordi qui ne reconnait aucun périphérique de stockage externe ?
Je n'est pas encore essayé le mode sans échec mais j'y vais sur le champ !

Répondre à romainrou
XmichouX   19-02-2008 à 21:12:03
- 0 +

Ah oui, c'est ennuyant ..
Essaie aussi de connecter tes supports en mode sans échec, espérant que quelque chose marche ! ;)

------------------------------ >> Centre de Formation Helpers <<
 Répondre à XmichouX
romainrou   19-02-2008 à 21:30:47
- 0 +

Ca aurait été trop beau pour etre vrai... Que ce soit en mode sans échec avec ou sans prise en charge réseaux, pendant le chargement l'écran bleu made in windows s'affiche et l'ordi redemarre... J'ai réussi à le réouvrir en mode normal mais j'ai toujours les mêmes problèmes... :(

Répondre à romainrou
XmichouX   19-02-2008 à 21:52:17
- 0 +

Oui j'avais oublié , pas de SE avec Bagle (que tu as sûrement..).
Je dois t'avouer que je n'ai pas d'idée.
Si tu ne peux rien télécharger et rien amener... :'(

------------------------------ >> Centre de Formation Helpers <<
 Répondre à XmichouX
romainrou   23-02-2008 à 20:51:39
- 0 +

J'ai peut etre une idée ! Je vais mettre mon disque dur infecté en disque dur externe et tenté de faire une analyse !
Je vous poste le rapport si j'y arrive
@+

Répondre à romainrou
XmichouX   23-02-2008 à 21:31:46
- 0 +

Fais attention, j'ai peur que ça n'infecte le disque dur Sain.

------------------------------ >> Centre de Formation Helpers <<
 Répondre à XmichouX
romainrou   23-02-2008 à 21:51:28
- 0 +

Quelle serait la solution alors ?
Parce que je ne peut même pas formater...

Répondre à romainrou
XmichouX   23-02-2008 à 22:35:24
- 0 +

Je ne suis pas sûr que ça infecte ton autre disque dur sain, mais je n'aimerais pas prendre le risque inutilement.

Je me renseigne et te recontacte.
Fais un up au cas où ;)

------------------------------ >> Centre de Formation Helpers <<
 Répondre à XmichouX
XmichouX   24-02-2008 à 12:23:42
- 0 +

Re,

On va essayer quelque chose.

  • Aller dans poste de travail/outils/option des dossiers/affichage/afficher les fichiers et dossiers cachés/Appliquer - - > OK


  • Aller dans poste de travail/outils/option des dossiers/affichage/décocher masquer les fichiers protégés du système d’exploitation./Appliquer - - > OK


Supprime les autorun.inf que tu trouveras sur tous tes lecteurs !
Y compris sur la clef usb si tu y arrives.
Ensuite quand tu connectes ta clef, arrives-tu à y accéder ? Par clique droit ?

------------------------------ >> Centre de Formation Helpers <<
 Répondre à XmichouX
romainrou   24-02-2008 à 15:27:39
- 0 +

Qu'entends tu par "sur tous tes lecteurs". Je ne vois pas les fichiers autoruns, ils sont dans quel dossier ?

Répondre à romainrou
XmichouX   24-02-2008 à 19:27:58
- 0 +

A la racine de tes disques .
C:\
D:\
Et sur ta clef si possible.

Il faut affichier les fichiers cachés/système pour les voir.

------------------------------ >> Centre de Formation Helpers <<
 Répondre à XmichouX
romainrou   25-02-2008 à 08:16:37
- 0 +

Soit les fichiers ont été supprimés, soit je suis vraiment nul mais en tout cas dans tous mes disques (DD et Lecteur) je ne trouve aucun fichier à la racine...

En tout cas merci d'essayé de m'aider XmichouX ;)

Je crois que la seule solution serais de mettre mon DD infecté en externe car je ne peut pas démarrer avec l'invite de commande ms dos (ça redémarre...).

Répondre à romainrou
XmichouX   25-02-2008 à 15:40:14
- 0 +

Tu as le CD de windows ?

Tu peux peut-être essayer de booter dessus ..

------------------------------ >> Centre de Formation Helpers <<
 Répondre à XmichouX
XmichouX   26-02-2008 à 13:26:20
- 0 +

Sinon, essaie donc de le mettre en externe, et à ce moment là passe l'outil que je t'ai montré plus haut, en sélectionnant le lecteur correspondant à ton disque dur externe bien-sûr.

------------------------------ >> Centre de Formation Helpers <<
 Répondre à XmichouX
romainrou   26-02-2008 à 16:41:58
- 0 +

Non j'ai pas le CD de windows correspondant a celui de mon pc portable (xp familial au lieu de xp pro)
Les CD de windows ne sont livré qu'avec des PC portable Toshiba il me semble (ou une autre marque peut être... mais pas toutes les marques).

Je vais essayé tout à l'heure de le mettre en externe chez un ami qui a un disque dur qui ne risque rien s'il est infecté.

Je te tiens au courant des que possible.

Répondre à romainrou
romainrou   26-02-2008 à 18:22:35
- 0 +

Ca y est j'ai scanner mon DD avec elibagla, il ma éliminé 2 fichiers
voici le fichier infosat :


Tue Feb 26 18:00:50 2008
EliBagle v11.04 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Tue Feb 26 18:02:37 2008
EliBagle v11.04 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Tue Feb 26 18:02:52 2008
EliBagle v11.04 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Tue Feb 26 18:03:02 2008
EliBagle v11.04 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad F:\
F:\WINDOWS\system32\drivers\HLDRRR.EXE --> Eliminado Bagle.dldr
F:\WINDOWS\system32\drivers\SROSA.SYS --> Eliminado Bagle (rootkit)

Nº Total de Directorios: 9201
Nº Total de Ficheros: 99386
Nº de Ficheros Analizados: 12365
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2


Je vais réessayer mon DD sur mon ordi, je croise les doigts (ca serait trop beau pour être vrai mais bon...)

PS : L'ordinateur sain n'a pas été infecté par le DD externe infecté ;)

Répondre à romainrou
XmichouX   26-02-2008 à 18:39:16
- 0 +

Cool alors ;)

Ok, on continue :)

Télécharge Combofix (de sUBs) sur ton Bureau.

Désactive temporairement toute protection résidente ! (Antivirus, antispywares..)
Double clique combofix.exe. (Clique droit->Exécuter en tant qu'administrateur si sous Vista)
Tape sur la touche 1 (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra. Poste ce rapport dans ta prochaine réponse.

Le rapport se trouve ici : C:\Combofix.txt

------------------------------ >> Centre de Formation Helpers <<
 Répondre à XmichouX
romainrou   26-02-2008 à 18:43:02
- 0 +

Bon j'ai 2 bonnes et une mauvaise nouvelle,
Les 2 bonnes nouvelles sont que les CD et les clé USB remarchent !!!
Par contre la mauvaise c'est que internet ne fonctionne toujours pas.
J'ai peut être modifier quelque chose qu'il fallait pas quand j'ai touché avec l'éditeur de registre "HKEY LOCAL MACHINE/.../Ndistudio/start valeur 2 à la palce du 4" pour ma connexion Wifi.

En fait ils me disent qu'il n'y a pas d'erreur, que je suis connecté sur le réseau. Mais si j'ouvre une page internet ça fait comme si j'avais pas de connexions ... :s

Après ce petit souci de configuration, je pense que mon problème sera résolu ! (j'espère que c'est juste une config ou bien des pilotes manquant peut être...) mais je croi bien que le virus a mouru :D

en tout cas merci pour tout XmichouX

Répondre à romainrou
XmichouX   26-02-2008 à 18:55:07
- 0 +

Fais tout de même Combofix.

Pour ta connexion, c'est en effet dû à ton changement.
Tu dois la laisser à deux. 2= démarrage automatique
4= démarrage désactivé
Au fait, pourquoi as-tu fait cette modif ?

------------------------------ >> Centre de Formation Helpers <<
 Répondre à XmichouX
romainrou   26-02-2008 à 19:07:36
- 0 +

Ben en fait en fait j'était en train de chercher sur des forum mon problème de connexion internet, et j'ai vu quelqu'un parler de ça.
Alors je l'ai alors changé sur 2, et la connexion wifi a été réactivé mais internet ne marchais toujours pas.
Et là ça ne remarche toujours pas... :/

(ps : Combofix est en cours de scannage...)

Répondre à romainrou
romainrou   26-02-2008 à 19:25:00
- 0 +

Ca y est terminé !
Pour mon problème d'internet, WLM me dit qu'il s'aggirait d'une erreur de proxy ou de pare-feu, mais j'ai désactivé le pare-feu windows et j'ai que lui... :/

Voici le log :

ComboFix 08-02-25.3 - xxx 2008-02-26 19:02:10.1 - NTFSx86
Microsoft Windows XP Édition familiale xxx [GMT 1:00]
Endroit: C:\Documents and Settings\xxx\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\drivers\down

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_SROSA
-------\srosa


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-26 to 2008-02-26 ))))))))))))))))))))))))))))))))))))
.

2008-02-25 22:00 . 2008-02-25 22:00 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-02-25 22:00 . 2008-02-25 22:00 1,409 --a------ C:\WINDOWS\QTFont.for
2008-02-18 22:25 . 2008-02-18 22:25 <REP> d-------- C:\Program Files\OOBOX
2008-02-07 18:51 . 2008-02-07 18:59 <REP> d-------- C:\Documents and Settings\xxx\Application Data\U3
2008-02-06 21:47 . 2008-02-23 14:48 <REP> d-------- C:\Documents and Settings\xxx\Application Data\AdobeUM
2008-02-06 21:43 . 2008-02-06 21:43 <REP> d-------- C:\Program Files\Fichiers communs\Adobe Systems Shared
2008-02-06 21:43 . 2008-02-06 21:43 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Adobe Systems
2008-02-06 09:51 . 2008-02-06 09:55 <REP> d-------- C:\Documents and Settings\xxx\Graphisoft
2008-02-06 09:51 . 2008-02-06 09:51 <REP> d-------- C:\Documents and Settings\xxx\Application Data\Graphisoft
2008-02-06 09:09 . 2008-02-06 09:09 <REP> d-------- C:\Program Files\WIBUKEY
2008-02-06 09:09 . 2008-02-06 09:09 <REP> d-------- C:\Program Files\WIBU-SYSTEMS
2008-02-06 09:06 . 2008-02-06 09:06 <REP> d-------- C:\Program Files\Graphisoft

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-23 14:13 --------- d-----w C:\Program Files\eMule
2008-02-23 11:55 --------- d-----w C:\Program Files\Norton Internet Security
2008-02-19 17:34 --------- d-----w C:\Program Files\LClock
2008-02-19 17:33 --------- d-----w C:\Program Files\Windows Live
2008-02-18 21:25 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2008-02-18 19:06 --------- d-----w C:\Program Files\Soulseek
2008-02-14 02:02 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help
2008-02-06 20:41 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-02-06 12:55 --------- d-----w C:\Documents and Settings\xxx\Application Data\BitTorrent
2008-01-19 18:04 --------- d-----w C:\Program Files\iTunes
2008-01-19 18:04 --------- d-----w C:\Program Files\iPod
2008-01-19 18:02 --------- d-----w C:\Program Files\QuickTime
2008-01-14 21:02 --------- d-----w C:\Program Files\DivX
2008-01-08 13:09 --------- d-----w C:\Program Files\Windows Live Toolbar
2008-01-08 13:09 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-01-08 12:18 --------- d-----w C:\Program Files\Microsoft SQL Server Compact Edition
2008-01-06 19:03 --------- d-----w C:\Documents and Settings\xxx\Application Data\TransRender
2008-01-04 19:37 --------- d-----w C:\Documents and Settings\xxx\Application Data\Temporary
2008-01-04 19:37 --------- d-----w C:\Documents and Settings\xxx\Application Data\Samsung
2008-01-04 19:37 --------- d-----w C:\Documents and Settings\xxx\Application Data\ConvertTemp
2008-01-03 16:47 --------- d-----w C:\Program Files\Corel
2007-12-28 18:25 --------- d-----w C:\Program Files\Jasc Software Inc
2007-12-28 18:25 --------- d-----w C:\Documents and Settings\xxx\Application Data\Jasc
.

------- Sigcheck -------

0af023d93c7432a03f8fb91a38cff80e C:\WINDOWS\explorer.exe
----a-w 1,408,512 2007-06-13 13:22:28 C:\WINDOWS\explorer.exe
----a-w 1,037,312 2007-06-13 13:10:53 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
-c----w 1,036,288 2006-03-02 12:00:00 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
-c--a-w 1,408,512 2007-06-13 13:22:28 C:\WINDOWS\system32\dllcache\explorer.exe
----a-w 1,037,312 2007-06-13 13:22:28 C:\WINDOWS\VIPv3\backup\explorer.exe
----a-w 1,408,512 2007-06-13 13:22:28 C:\WINDOWS\VIPv3\resources\explorer.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 13:00 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe" [2007-08-03 12:51 202024]
"LClock"="C:\Program Files\LClock\lclock.exe" [2004-09-19 19:27 65536]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSPower"="SiSPower.dll" [2005-02-25 19:35 49152 C:\WINDOWS\system32\SiSPower.dll]
"SoundMan"="SOUNDMAN.EXE" [2005-02-23 18:13 77824 C:\WINDOWS\SOUNDMAN.EXE]
"VIPv3_Auto_Update"="C:\WINDOWS\VIPv3\CheckForUpdates.exe" [2006-09-08 15:54 23723]
"Vistadrv"="C:\WINDOWS\VIPv3\VIPhd\vsdrv.exe" [2006-07-30 02:37 121089]
"ISUSPM Startup"="C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" [2005-08-11 16:30 249856]
"ISUSScheduler"="C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2005-08-11 16:30 81920]
"ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2008-02-23 14:49 58984]
"Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" [2007-12-08 19:35 100056]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-09-21 03:10 55824 C:\WINDOWS\KHALMNPR.Exe]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"LogitechCommunicationsManager"="C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" [2007-10-25 16:33 563984]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 13:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
c:\program files\fichiers communs\logishrd\bluetooth\LBTWlgn.dll 2007-11-15 10:10 72208 c:\Program Files\Fichiers communs\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\MCPClient]
C:\PROGRA~1\FICHIE~1\Stardock\mcpstub.dll 2005-01-31 14:13 49152 C:\PROGRA~1\FICHIE~1\Stardock\MCPStub.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Acrobat Speed Launcher.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Acrobat Speed Launcher.lnk
backup=C:\WINDOWS\pss\Adobe Acrobat Speed Launcher.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 7.0]
--a------ 2006-01-12 20:52 483328 C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Corel File Shell Monitor]
--a------ 2007-10-30 19:52 16200 C:\Program Files\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-01-15 03:22 267048 C:\Program Files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
--a------ 2007-10-25 16:37 2178832 C:\Program Files\Logitech\QuickCam\Quickcam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
--a------ 2007-08-08 09:25 1828136 C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 15:57 153136 C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-01-10 15:27 385024 C:\Program Files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
--a------ 2005-10-24 16:53 307200 C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Nero BackItUp Scheduler 3"=2 (0x2)
"iPod Service"=3 (0x3)
"Apple Mobile Device"=2 (0x2)
"Adobe LM Service"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\BitTorrent\\bittorrent.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=

R0 PzWDM;PzWDM;C:\WINDOWS\system32\Drivers\PzWDM.sys [2005-06-29 01:38]
R2 Planificateur LiveUpdate automatique;Planificateur LiveUpdate automatique;"C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe" [2006-08-03 17:29]
R3 HSFHWSIS;HSFHWSIS;C:\WINDOWS\system32\DRIVERS\HSFHWSIS.sys [2004-12-15 15:18]
S3 MA_CMIDI;%EVOL_USB.SvcDesc%;C:\WINDOWS\system32\drivers\ma_cmidi.sys [2005-06-14 13:44]

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-02-23 16:35:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2008-02-23 11:49:29 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"
- C:\Program Files\TuneUp Utilities 2007\SystemOptimizer.exe
"2008-02-22 19:00:00 C:\WINDOWS\Tasks\Norton AntiVirus - Analyser mon ordinateur - ROUQUETTE.job"
- C:\PROGRA~1\NORTON~1\NORTON~1\Navw32.exeh/task:
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-26 19:08:28
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------

PROCESS: C:\WINDOWS\explorer.exe [6.00.2900.3156]
-> C:\Program Files\Stardock\ObjectDock\DockShellHook.dll
-> C:\Program Files\LClock\LC.dll
.
------------------------ Other Running Processes ------------------------
.
C:\PROGRA~1\FICHIE~1\Stardock\SDMCP.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\M-Audio MA_CMIDI\MA_CMIDI_Inst.exe
C:\WINDOWS\system32\PSIService.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\DOCUME~1\ROUQUE~1\LOCALS~1\Temp\{20CF4BFB-8575-4213-AF5B-DA6C113B8304}\Blaero Start Orb - Normal Taskbar.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-02-26 19:13:31 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-26 18:13:28
.
2008-02-14 02:03:53 --- E O F ---

Répondre à romainrou
XmichouX   26-02-2008 à 20:07:05
- 0 +

Tu as redémarré après l'avoir remis sur 2 ?

Si tu as XP, fais ceci :

Sélectionne l’intégralité du cadre ci-dessous :

@echo off
CD \
del /q "%windir%\Temp\*.*"
del /q "%windir%\Prefetch\*.*"
del /q "%userprofile%\Cookies\*.*"
del /s /q "%temp%\*.*"
del /s /q "%userprofile%\Local Settings\Temporary Internet Files\*.*"
del /s /q "%userprofile%\Local Settings\Historique\*.*"
exit


Copie/colle le dans le Bloc Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Enregistre le sous sur ton bureau sous le nom de Correction.bat
Double-clique dessus.

------------------------------ >> Centre de Formation Helpers <<
 Répondre à XmichouX
romainrou   26-02-2008 à 20:40:24
- 0 +

C'EST BON TOUT REMARCHE !!!
Encore merci pour ton aide précieuse, en espérant que ce topic puisse aider un e future victime de bagle...

Mille merci à bientôt !

Répondre à romainrou
XmichouX   26-02-2008 à 22:32:36
- 0 +

Re,

Pars pas si vite ;)

Vérifie que ce fichier n'existe plus :

C:\DOCUME~1\ROUQUE~1\LOCALS~1\Temp\{20CF4BFB-8575-4213-AF5B-DA6C113B8304}\Blaero Start Orb - Normal Taskbar.exe


S'il existe toujours supprime : C:\DOCUME~1\ROUQUE~1\LOCALS~1\Temp\{20CF4BFB-8575-4213-AF5B-DA6C113B8304}

********

Reposte un Hijackthis :)

------------------------------ >> Centre de Formation Helpers <<
 Répondre à XmichouX
romainrou   27-02-2008 à 23:14:22
- 0 +

Logfile of HijackThis v1.99.1
Scan saved at 22:18:36, on 27/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\FICHIE~1\Stardock\SDMCP.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\M-Audio MA_CMIDI\MA_CMIDI_Inst.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe
C:\Program Files\LClock\lclock.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\DOCUME~1\ROUQUE~1\LOCALS~1\Temp\{7F702806-7EF2-49AC-84DF-AFC6C8377161}\Blaero Start Orb - Normal Taskbar.exe
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\system32\atwtusb.exe
C:\WINDOWS\system32\WTMKM.exe
C:\Program Files\eMule\emule.exe
C:\Documents and Settings\ROUQUETTE\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VIPv3_Auto_Update] C:\WINDOWS\VIPv3\CheckForUpdates.exe
O4 - HKLM\..\Run: [Vistadrv] C:\WINDOWS\VIPv3\VIPhd\vsdrv.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [MacrokeyManager] WTMKM.exe
O4 - HKLM\..\RunOnce: [InstallShieldSetup] C:\PROGRA~1\INSTAL~1\{556F2~1\Setup.exe -rebootC:\PROGRA~1\INSTAL~1\{556F2~1\reboot.ini -l0x40c
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [LClock] C:\Program Files\LClock\lclock.exe
O4 - Startup: Blaero Start Orb (Normal taskbar).lnk = D:\Logiciels\Logiciels vista\Blaero Start Orb - Normal Taskbar.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ [...] wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B40B7B8C-FA8E-401B-9746-09512DAA4DF5}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{B40B7B8C-FA8E-401B-9746-09512DAA4DF5}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{B40B7B8C-FA8E-401B-9746-09512DAA4DF5}: NameServer = 192.168.1.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{B40B7B8C-FA8E-401B-9746-09512DAA4DF5}: NameServer = 192.168.1.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: LBTWlgn - c:\program files\fichiers communs\logishrd\bluetooth\LBTWlgn.dll
O20 - Winlogon Notify: MCPClient - C:\PROGRA~1\FICHIE~1\Stardock\mcpstub.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: M-Audio CMIDI Installer (MA_CMIDI_InstallerService) - Unknown owner - C:\Program Files\M-Audio MA_CMIDI\MA_CMIDI_Inst.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: WTService - Unknown owner - C:\WINDOWS\system32\atwtusb.exe

Répondre à romainrou
XmichouX   27-02-2008 à 23:34:24
- 0 +

Re,

Tu tiens à Symantec ?

Relance HiJackThis, do a system scan only, coche ces lignes (si toujours présentes) :

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [MacrokeyManager] WTMKM.exe
O4 - HKLM\..\RunOnce: [InstallShieldSetup] C:\PROGRA~1\INSTAL~1\{556F2~1\Setup.exe -rebootC:\PROGRA~1\INSTAL~1\{556F2~1\reboot.ini -l0x40c
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)


Puis Fix Checked !

******

J'aimerais vérifier quelque chose :

Télécharge SmitfraudFix (de S!ri)
Enregistre le sur ton bureau.

Lance-le en double cliquant sur SmitfraudFix.exe
Appuie sur une touche comme demandé.
Exécute l’option 1, un rapport va apparaître, poste le .

------------------------------ >> Centre de Formation Helpers <<
 Répondre à XmichouX
romainrou   28-02-2008 à 00:26:25
- 0 +

Ben Norton est réputé pour être le meilleur antivirus malgré toutes les médisance à son égard.
Et depuis le temps que je l'utilise (au moins 5 ans) je n'ai jamais eu de gros virus, sauf celui ci bien entendu...
Pendant une période j'avais f-secure...
En fait personne n'est d'accord sur le meilleur antivirus je crois...

 


"O4 - HKLM\..\Run: [MacrokeyManager] WTMKM.exe" Ceci est le logiciel de ma tablette graphique...

 


voici le log :

 

SmitFraudFix v2.297

 

Rapport fait à 0:19:17,31, 28/02/2008
Executé à partir de C:\Documents and Settings\xxx\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\FICHIE~1\Stardock\SDMCP.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\M-Audio MA_CMIDI\MA_CMIDI_Inst.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe
C:\Program Files\LClock\lclock.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\DOCUME~1\ROUQUE~1\LOCALS~1\Temp\{7F702806-7EF2-49AC-84DF-AFC6C8377161}\Blaero Start Orb - Normal Taskbar.exe
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\atwtusb.exe
C:\WINDOWS\system32\WTMKM.exe
C:\Program Files\eMule\emule.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 


»»»»»»»»»»»»»»»»»»»»»»»» C:\

 


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

 


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\xxx

 


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\xxx\Application Data

 


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ROUQUE~1\Favoris

 


»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

 


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

 


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

 


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

 


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
"Startup"="MCPSystemStartup"

 


»»»»»»»»»»»»»»»»»»»»»»»» Rustock

  

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: Carte réseau Broadcom 802.11g - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{B40B7B8C-FA8E-401B-9746-09512DAA4DF5}: NameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{B40B7B8C-FA8E-401B-9746-09512DAA4DF5}: NameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{B40B7B8C-FA8E-401B-9746-09512DAA4DF5}: NameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{B40B7B8C-FA8E-401B-9746-09512DAA4DF5}: NameServer=192.168.1.1

 


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 


»»»»»»»»»»»»»»»»»»»»»»»» Fin


Message édité par romainrou le 28-02-2008 à 00:31:44
Répondre à romainrou
XmichouX   28-02-2008 à 01:32:46
- 0 +

Ok, j'avais des doutes à son sujet d'où SmitfraudFix.

Télécharge ToolsCleaner2( de A.Rothstein)

Installe le sur ton Bureau
Clique sur [Recherche] pour lancer le scan
Clique sur [Supprimer] pour nettoyer les outils utilisés
Clique sur [Quitter],
Poste ce rapport ~>C:\TCleaner.txt<~

Garde ccleaner, avg et antivir si nous les avons installé..
Rapporte ton infection sur Malware Complaints >Tuto<
Ton(tes) infection(s) : Bagle

Puis regarde ces dossiers :

Sécurité/Prévention
Conséquences de la multi-protection

------------------------------ >> Centre de Formation Helpers <<
 Répondre à XmichouX
romainrou   01-03-2008 à 19:43:40
- 0 +



-->- Recherche:

C:\Qoobox: trouvé !
C:\Documents and Settings\xxx\Bureau\HijackThis.exe: trouvé !
C:\Documents and Settings\xxx\Bureau\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\xxx\Bureau\SmitFraudfix: trouvé !
C:\QooBox\Quarantine\C\Combofix: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\xxx\Bureau\HijackThis.exe: supprimé !
C:\Documents and Settings\xxx\Bureau\SmitFraudFix.exe: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\xxx\Bureau\SmitFraudfix: supprimé !

Corbeille vidée!
Fichiers temporaires nettoyés !

Répondre à romainrou
Créer un nouveau sujet Répondre
Tom's Guide > Forum > Sécurité - Virus > Virus bloquant Norton + Internet + clé USB + lecteur CD
Aller à :

Il y a 318 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.

Plan du forum
Forum Bestofmedia ©
2000-2009 Bestofmedia Group
Page générée en 0,264 secondes
Attention

Vous allez répondre sur un sujet resté inactif pendant plus de 6 mois.
Assurez-vous d'apporter des éléments nouveaux à la discussion avant de poursuivre.

Répondre Annuler
Liens