Tom's Guide > Forum > Sécurité - Virus > [résolu]

[résolu]

Forum Sécurité - Virus : [résolu]

TomsGuide.com : 800 000 inscrits répondent à toutes vos questions high-tech et informatique. Pour obtenir de l'aide, inscrivez-vous gratuitement !
Créer un nouveau sujet Répondre
Mot :    Pseudo :           
 
eric1983   23-02-2008 à 20:35:41

Salut tout le monde!

Je sollicite votre aide car mon ordi me pose des problèmes et je n'arrive pas à les résoudre malgré plusieurs analyse antivirus en ligne et un surf intensif sur ce site et bien d'autres à la recherche de solutions. Je désespère...

Les symptomes de mon ordi sont les suivants:

1) lenteur

2) double circonflexe (^^) et double tréma (¨¨) automatiques

3) 2 logiciels 0 octet sur mon bureau insupprimables ("impossible de supprimer fichier : impossible de lire à partir du fichier ou de la disquette source" )

Voici mon rapport hijackthis en vous remerciant d'avance pour votre aide!


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:51:37, on 23.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
C:\Program Files\CA\eTrust Antivirus\InoRT.exe
C:\Program Files\CA\eTrust Antivirus\InoTask.exe
C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\UPHClean\uphclean.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Documents and Settings\Propriétaire\Bureau\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - C:\Program Files\ShoppingReport\Bin\2.0.24\ShoppingReport.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O12 - Plugin for .mu3: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .mus: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .mut: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .myr: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/re [...] oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 6015317459
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {A73BAEFA-EE65-494D-BEDB-DD3E5A34FA98} (Image Uploader) - http://www.extrafilm.ch/ImageUploader4.cab
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AppMgmt - Apple, Inc. - (no file)
O23 - Service: Client de licence CA (CA_LIC_CLNT) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: Serveur de licence CA (CA_LIC_SRVR) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe

--
End of file - 6309 bytes


Message édité par eric1983 le 16-03-2008 à 22:56:53
Répondre
Liens sponsorisés
Inscrivez-vous ou connectez-vous pour masquer ceci.
Sham_Rock   23-02-2008 à 20:40:02
- 0 +

bonsoir

Télécharge BTFix de Bibi26.

  • Dézippe l'archive sur ton Bureau.
  • Ouvre le dossier BTFix.
  • Double clique sur BTFix.exe.
  • Clique sur Rechercher.
  • Un rapport va apparaître, copie/colle-le dans ta prochaine réponse.


------------------------------ Prévention et protection
/!\Marre de la pub: Firefox sécurisé/!\
 Répondre à Sham_Rock
eric1983   23-02-2008 à 22:54:02
- 0 +

Bonsoir, merci pour votre aide>> Voici le rapport de BTFix:

BTFix 1.080 (par bibi26) - 23/02/2008 22:52:04 - Analyse
Lancé depuis C:\Documents and Settings\Propriétaire\Bureau\BTFix\BTFix.exe

---> Fichiers/Dossiers trouvés

- C:\WINDOWS\system32\bitsprx4.dll
- C:\Program Files\ShoppingReport\
- C:\Documents and Settings\Propriétaire\Application Data\ShoppingReport\

---> Analyse terminée

Répondre à eric1983
Sham_Rock   23-02-2008 à 23:24:27
- 0 +

re

1

  • Ouvre BTFix.
  • Clique sur Nettoyer.
  • Un rapport va apparaître, copie/colle-le dans ta prochaine réponse.


2

Cette procédure doit être imprimée pour que tu puisses l’avoir sous les yeux quand tu seras en mode sans échec.

Télécharge SDFix(créé par AndyManchesta) et sauvegarde le sur ton Bureau.
***Si le lien ne fonctionne pas, essaie celui-ci : http://download.bleepingcomputer.c [...] /SDFix.exe ***

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

Déroule la liste des instructions ci-dessous :

  • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

------------------------------ Prévention et protection
/!\Marre de la pub: Firefox sécurisé/!\
 Répondre à Sham_Rock
Testeur01   23-02-2008 à 23:52:22
- 0 +

Je ne veux pas interrompre Sham_Rock, je voudrais juste préciser que dans les cas ou tu as des fichiers que tu n'arrive pas à supprimer, utilise Unlocker ! Il est très efficace ! ;)

Now, je laisse Sham_Rock te désinfecter ! ;)


Message édité par Testeur01 le 23-02-2008 à 23:53:06
------------------------------ Signé Julien ! Fin ...
 Répondre à Testeur01
eric1983   24-02-2008 à 01:11:43
- 0 +

Merci testeur01 pour ta proposition que je vais m'empresser d'essayer:-

Sham_Rock, tout semble avoir marché! Juste avant d'aller dormir car mes paupières ne tiennent plus..., voici les 3 rapports (je m'empresserai de te répondre aux aurores si d'autres manoeuvres sont encore à effectuer, encore Merci!):

BTFix 1.080 (par bibi26) - 23/02/2008 23:55:56 - Nettoyage - Mode normal
Lancé depuis C:\Documents and Settings\Propriétaire\Bureau\BTFix\BTFix.exe

---> Fichiers/dossiers supprimés (Première passe)

- Fichiers temporaires effacés
- C:\WINDOWS\system32\bitsprx4.dll
- C:\Program Files\ShoppingReport\Bin\2.0.24\
- C:\Program Files\ShoppingReport\Bin\
- C:\Program Files\ShoppingReport\cs\
- C:\Program Files\ShoppingReport\
- C:\Documents and Settings\Propriétaire\Application Data\ShoppingReport\cs\db\
- C:\Documents and Settings\Propriétaire\Application Data\ShoppingReport\cs\dwld\
- C:\Documents and Settings\Propriétaire\Application Data\ShoppingReport\cs\report\
- C:\Documents and Settings\Propriétaire\Application Data\ShoppingReport\cs\res1\
- C:\Documents and Settings\Propriétaire\Application Data\ShoppingReport\cs\
- C:\Documents and Settings\Propriétaire\Application Data\ShoppingReport\

---> Nettoyage terminé

SDFix: Version 1.145

Run by Propri‚taire on 24.02.2008 at 00:24

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

Checking Services :

Name:
runtime
QWC05

Path:
\??\C:\WINDOWS\System32\drivers\runtime.sys
System32\Drivers\Qwc05.sys

runtime - Deleted
QWC05 - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting

Service QWC05 - Deleted after Reboot

Checking Files :

Trojan Files Found:

C:\WINDOWS\system32\drivers\QWC05(2).sys - Deleted
C:\WINDOWS\system32\drivers\QWC05.sys - Deleted
C:\WINDOWS\system32\2_exception.nls - Deleted
C:\WINDOWS\system32\WLCtrl32.dll - Deleted
C:\WINDOWS\system32\ntos.exe - Deleted
C:\WINDOWS\system32\wsnpoem\audio.dll - Deleted
C:\WINDOWS\system32\wsnpoem\video.dll - Deleted



Folder C:\WINDOWS\system32\wsnpoem - Removed


Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-24 00:41:19
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:29,04,91,93,33,60,64,f7,81,71,1a,d0,93,03,2f,7d,20,0f,25,c0,59,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:29,04,91,93,33,60,64,f7,81,71,1a,d0,93,03,2f,7d,20,0f,25,c0,59,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:63,eb,e1,90,d0,29,45,cf,5c,8e,19,73,d2,fe,b1,a1,0b,b8,19,26,ba,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"khjeh"=hex:e2,c0,60,21,d7,f3,db,e5,11,ac,b2,70,93,b8,ae,cb,92,ad,08,26,31,..
"d0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:a8,09,c2,63,fa,f5,1f,8a,de,59,54,8b,63,26,07,69,12,e7,a5,15,e3,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:29,04,91,93,33,60,64,f7,81,71,1a,d0,93,03,2f,7d,20,0f,25,c0,59,..

scanning hidden registry entries ...

scanning hidden files ...


scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 2


Remaining Services :



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"="C:\\Program Files\\Real\\RealPlayer\\realplay.exe:*:Disabled:RealPlayer"
"C:\\Program Files\\IncrediMail\\bin\\IMApp.exe"="C:\\Program Files\\IncrediMail\\bin\\IMApp.exe:*:Enabled:IncrediMail"
"C:\\Program Files\\IncrediMail\\bin\\IncMail.exe"="C:\\Program Files\\IncrediMail\\bin\\IncMail.exe:*:Enabled:IncrediMail"
"C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"="C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe:*:Enabled:IncrediMail"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\WINDOWS\\system32\\msiexec.exe"="C:\\WINDOWS\\system32\\msiexec.exe:*:Enabled:Windows© installer"
"C:\\Documents and Settings\\Propri‚taire\\Bureau\\Jeux\\Nes\\a NESTCL95.EXE"="C:\\Documents and Settings\\Propri‚taire\\Bureau\\Jeux\\Nes\\a NESTCL95.EXE:*:Enabled:a NESTCL95"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\palmOne\\Hotsync.exe"="C:\\Program Files\\palmOne\\Hotsync.exe:*:Enabled:HotSync© Manager Application"
"C:\\Program Files\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"="C:\\Program Files\\Nero\\Nero 7\\Nero Home\\NeroHome.exe:*:Enabled:Nero Home"
"C:\\Documents and Settings\\Propri‚taire\\Bureau\\installer-13395-33-Nero-General-Clean-Tool-1-1-6-4-French.exe"="C:\\Documents and Settings\\Propri‚taire\\Bureau\\installer-13395-33-Nero-General-Clean-Tool-1-1-6-4-French.exe:*:Enabled:installer-13395-33-Nero-General-Clean-Tool-1-1-6-4-French"
"C:\\WINDOWS\\system32\\mmc.exe"="C:\\WINDOWS\\system32\\mmc.exe:*:Disabled:Microsoft Management Console"
"C:\\Program Files\\Internet Explorer\\iexplore.exe"="C:\\Program Files\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :


Finished!


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:52:51, on 24.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
C:\Program Files\CA\eTrust Antivirus\InoRT.exe
C:\Program Files\CA\eTrust Antivirus\InoTask.exe
C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\UPHClean\uphclean.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Propriétaire\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O12 - Plugin for .mu3: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .mus: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .mut: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .myr: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/re [...] oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 6015317459
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {A73BAEFA-EE65-494D-BEDB-DD3E5A34FA98} (Image Uploader) - http://www.extrafilm.ch/ImageUploader4.cab
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AppMgmt - Apple, Inc. - (no file)
O23 - Service: Client de licence CA (CA_LIC_CLNT) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: Serveur de licence CA (CA_LIC_SRVR) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe

--
End of file - 5641 bytes


Répondre à eric1983
eric1983   24-02-2008 à 09:49:01
- 0 +

Hello:-

Au vu de ces 3 rapports est-ce que vous pensez qu'il y a encore des signes d'infection?

Répondre à eric1983
Sham_Rock   24-02-2008 à 10:15:25
- 0 +

bonjour

~Télécharge Clean de Malekal

Enregistre-le sur ton bureau et dézippe-le
Cela va créer un dossier clean.
Double-clic sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.
Double-clic sur clean.cmd.
Un menu va apparaître, choisis l'option 1 en appuyant sur la touche 1 de ton clavier.
Clean va travailler.
Poste le contenu du rapport généré en C:\rapport_clean.txt.

------------------------------ Prévention et protection
/!\Marre de la pub: Firefox sécurisé/!\
 Répondre à Sham_Rock
eric1983   24-02-2008 à 10:58:38
- 0 +

Voici le rapport_clean:

24.02.2008 a 10:51:03.51

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\SpoonUninstall.exe FOUND
"C:\Documents and Settings\Propri‚taire\Application Data\DriveCleaner 2006\" FOUND

*** Recherche des fichiers dans C:\Program Files
"C:\Program Files\Fichiers communs\DriveCleaner 2006\" FOUND
"C:\Program Files\Fichiers communs\DriveCleaner 2006 Free\" FOUND
"C:\Program Files\Microsoft Security Adviser\" FOUND
*** Fin du rapport !

Répondre à eric1983
Sham_Rock   24-02-2008 à 11:45:53
- 0 +

re

~Redémarre l'ordinateur en mode sans échec (F8 au démarrage de l'ordinateur)
Aide


Ouvre le dossier clean, double-clique sur clean.cmd.
Choisis l'option 2 puis patiente.

~Redémarre normalement
Poste le rapport clean qui se trouve en C:\rapport_clean.txt


------------------------------ Prévention et protection
/!\Marre de la pub: Firefox sécurisé/!\
 Répondre à Sham_Rock
eric1983   24-02-2008 à 12:21:48
- 0 +

Voici le second rapport_clean:

Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 24.02.2008 a 12:09:22.68

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32

*** Suppression des fichiers dans C:\Program Files

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !

Répondre à eric1983
eric1983   24-02-2008 à 14:02:47
- 0 +

Faut-il encore effectuer d'autres manip ou est-ce que je peux considérer mon ordi comme sain et sauf?

Le problème des accents s'est résolu et il me semble avoir eu un gain certain en rapidité. MERCI MERCI MERCI 1000X!

P.S. Merci aussi à testeur01 pr son programme unlocker qui m'a effacé ces maudits fichiers 0 octet sans aucun problème:-

Répondre à eric1983
Sham_Rock   24-02-2008 à 17:57:41
- 0 +

bonsoir

~Fais une analyse antivirus en ligne sur le site de Kaspersky
http://webscanner.kaspersky.fr/

~ Clique sur Online Scanner.
~Accepte l'installation du contrôle ActiveX en cliquant sur le bouton Install.

~Sélectionne le poste de travail comme analyse.

~Enregistre le rapport en cliquant sur le bouton "Enregistrer rapport sous". Nomme-le, tu feras un copier/coller dans ta prochaine réponse.

Tuto du scan en ligne

------------------------------ Prévention et protection
/!\Marre de la pub: Firefox sécurisé/!\
 Répondre à Sham_Rock
eric1983   29-02-2008 à 09:02:11
- 0 +

Bonjour

Voici avec bcp de retard (...), le rapport du scanner online Kaspersky. Il semble qu'il y ait encore quelques soucis...

KASPERSKY ON-LINE SCANNER REPORT
Friday, February 29, 2008 8:48:42 AM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 28/02/2008
Enregistrements dans la base antivirus Kaspersky : 539925


Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie vrai

Cible de l'analyse Poste de travail
A:\
C:\
D:\
E:\
G:\

Statistiques de l'analyse
Total d'objets analysés 45397
Nombre de virus trouvés 8
Nombre d'objets infectés 61 / 0
Nombre d'objets suspects 0
Durée de l'analyse 02:08:30

Nom de l'objet infecté Nom du virus Dernière action
C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\GatherLogs\SystemIndex\SystemIndex.7.Crwl L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\GatherLogs\SystemIndex\SystemIndex.7.gthr L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\MSS.log L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010001.wid L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010002.wid L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010003.wid L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010007.ci L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010007.wid L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010007.wsb L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001000D.wid L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\INDEX.000 L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\PropMap\CiPT0000.000 L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\PropMap\Used0000.000 L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\SecStore\CiST0000.000 L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\SystemIndex.chk1.gthr L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\SystemIndex.chk2.gthr L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\SystemIndex.Ntfy62.gthr L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\tmp.edb L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Windows.edb L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Temp\usgthrsvc\Ntf2.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Temp\usgthrsvc\Ntf3.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Temp\usgthrsvc\Perflib_Perfdata_188.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Propriétaire\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Propriétaire\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Propriétaire\Local Settings\Historique\History.IE5\MSHist012008022820080229\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Propriétaire\Local Settings\TEMPMBROIT.EXE.0.AVB L'objet est verrouillé ignoré

C:\Documents and Settings\Propriétaire\Local Settings\TEMPMBROIT.EXE.1.AVB L'objet est verrouillé ignoré

C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Propriétaire\ntuser.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Propriétaire\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Program Files\CA\eTrust Antivirus\DB\rtmaster.dbf L'objet est verrouillé ignoré

C:\Program Files\CA\eTrust Antivirus\DB\rtmaster.ntx L'objet est verrouillé ignoré

C:\SDFix\backups\backups.zip/backups/WLCtrl32.dll Infecté : Trojan.Win32.Small.agv ignoré

C:\SDFix\backups\backups.zip ZIP: infecté - 1 ignoré

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP25\A0007390.dll Infecté : Email-Worm.Win32.Agent.e ignoré

C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP25\A0007396.sys Infecté : Email-Worm.Win32.Agent.e ignoré

C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP25\A0007402.dll Infecté : Email-Worm.Win32.Agent.e ignoré

C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP25\A0007408.sys Infecté : Email-Worm.Win32.Agent.e ignoré

C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0007651.exe Infecté : Trojan-Downloader.Win32.Small.grg ignoré

C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0007652.exe Infecté : Trojan-PSW.Win32.LdPinch.dis ignoré

C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0007653.exe Infecté : Trojan-Spy.Win32.Zbot.abd ignoré

C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0007654.exe Infecté : Trojan-Spy.Win32.Zbot.abd ignoré

C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0007668.dll Infecté : Email-Worm.Win32.Agent.e ignoré

C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0007673.sys Infecté : Email-Worm.Win32.Agent.e ignoré

C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0007693.dll Infecté : Email-Worm.Win32.Agent.e ignoré

C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0007699.sys Infecté : Email-Worm.Win32.Agent.e ignoré

C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0007713.dll Infecté : Email-Worm.Win32.Agent.e ignoré

C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0007718.dll Infecté : Email-Worm.Win32.Agent.e ignoré

C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0007722.dll Infecté : Email-Worm.Win32.Agent.e ignoré

C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0007727.dll Infecté : Email-Worm.Win32.Agent.e ignoré

C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0007734.sys Infecté : Email-Worm.Win32.Agent.e ignoré

C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0007739.dll Infecté : Email-Worm.Win32.Agent.e ignoré

C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0007744.sys Infecté : Email-Worm.Win32.Agent.e ignoré

C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0007867.dll Infecté : Email-Worm.Win32.Agent.e ignoré

C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0008867.dll Infecté : Email-Worm.Win32.Agent.e ignoré

C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0008883.sys Infecté : Email-Worm.Win32.Agent.e ignoré

C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0008900.dll Infecté : Email-Worm.Win32.Agent.e ignoré

C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0008921.sys Infecté : Email-Worm.Win32.Agent.e ignoré

C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0008978.sys Infecté : Email-Worm.Win32.Agent.e ignoré

C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0009101.sys Infecté : Email-Worm.Win32.Agent.e ignoré

C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP31\A0010065.sys Infecté : Email-Worm.Win32.Agent.e ignoré

C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP31\A0010099.EXE.0.AVB L'objet est verrouillé ignoré

C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP31\A0010111.sys Infecté : Email-Worm.Win32.Agent.e ignoré

C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP34\A0010219.exe Infecté : Trojan-Dropper.Win32.Agent.ecc ignoré

C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP34\A0010246.sys Infecté : Email-Worm.Win32.Agent.e ignoré

C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP34\A0010247.exe Infecté : Trojan-Spy.Win32.Zbot.abd ignoré

C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP34\A0010248.sys Infecté : Email-Worm.Win32.Agent.e ignoré

C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP34\A0010258.exe Infecté : Trojan-Clicker.Win32.VB.aaw ignoré

C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP42\change.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\mssadv.dll Infecté : Trojan-Clicker.Win32.VB.aaw ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\WindowsPowerShell.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/nBe0P7b.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/dSPbH7m.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/fl2lXa7.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/a4WhTw0.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/C0Tfefe.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/sQkX3fE.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/p2x5fP8.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/t55JTp8.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/luwp0jm.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/u686k7K.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/bdHmTQd.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/a°JK8EU.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/w4CmOVm.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/kk5NtmR.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/Nw3IRf4.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/vqbpbsL.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/EDkF7kk.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/w57obDJ.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/f1Ex1D2.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/saNBBRG.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/cv5K43c.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/uS3J678.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/xrM23xf.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/V71nnVG.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar RAR: infecté - 24 ignoré

Analyse terminée.

Répondre à eric1983
Sham_Rock   29-02-2008 à 17:56:09
- 0 +

bonjour

pas tant de soucis que ça...

supprime:
C:\WINDOWS\mssadv.dll
G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar

~Désactive puis réactive la restauration en suivant ce tuto:
http://service1.symantec.com/SUPPO [...] 0101856924
Il faudra désactiver la restauration, redémarrer l'ordinateur et réactiver aussitôt la restauration.


Supprime tous les programmes installés pour la désinfection.

Merci de consulter ce dossier (en pdf) pour en connaître davantage sur les risques du Net.

http://www.malekal.com/fichiers/projetantimalwares/reagir_miniban.gif

Si tu trouves ce document intéressant, n'hésite pas à le transmettre à tes contacts.

~Edite ton premier message (en cliquant sur la gomme) et marque [résolu] dans le titre.

:hello:

------------------------------ Prévention et protection
/!\Marre de la pub: Firefox sécurisé/!\
 Répondre à Sham_Rock
eric1983   02-03-2008 à 13:08:46
- 0 +

Bonjour,

Tout d'abord merci pour l'excellent dossier que je me suis empressé d'enregistrer et que j'ai commencé à lire.

J'ai effectué les opérations conseillées (suppression et point de restauration) mais au démarrage de l'ordinateur j'ai le message d'erreur suivant qui apparaît: "LogWatNT.exe a rencontré un problème et doit fermer"...

Que faire, est-ce un virus récalcitrant ou un défaut apparu à la suite de la désinfection?

Merci d'avance:-

Répondre à eric1983
Sham_Rock   02-03-2008 à 15:40:11
- 0 +

bonjour

comme le montre hijacthis, le fichier est toujours présent:
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe


voilà à quoi ça correspond:
http://www.generation-nt.com/logwa [...] 27557.html

reposte un log hijackthis stp

------------------------------ Prévention et protection
/!\Marre de la pub: Firefox sécurisé/!\
 Répondre à Sham_Rock
eric1983   07-03-2008 à 22:46:35
- 0 +

Bonsoir

En gros, si j'ai bien compris, LogWatNT.exe est un processus faisant partie de mon antivirus e-trust (qui ne doit plus valoir grand chose en terme de protection vu qu'il date un peu...).

Par contre, je ne comprends pas pourquoi à présent il rencontre un problème à chaque démarrage de l'ordi.

Quoiqu'il en soit voici un nouveau log hijackthis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:34:21, on 07.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
C:\Program Files\CA\eTrust Antivirus\InoRT.exe
C:\Program Files\CA\eTrust Antivirus\InoTask.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\UPHClean\uphclean.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Opera\Opera.exe
C:\Program Files\HDD Health\hddhealth.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Documents and Settings\Propriétaire\Mes documents\Eric\Programmes\Désinfection-Nettoyage\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O12 - Plugin for .mu3: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .mus: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .mut: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .myr: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} -
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/re [...] oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 6015317459
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {A73BAEFA-EE65-494D-BEDB-DD3E5A34FA98} (Image Uploader) - http://www.extrafilm.ch/ImageUploader4.cab
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AppMgmt - Apple, Inc. - (no file)
O23 - Service: Client de licence CA (CA_LIC_CLNT) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: Serveur de licence CA (CA_LIC_SRVR) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe

--
End of file - 5298 bytes

Répondre à eric1983
Sham_Rock   07-03-2008 à 23:59:31
- 0 +

bonsoir

désinstalle puis réinstalle eTrust Antivirus

ou remplace le par Antivir qui est gratuit et très performant.
Antivir.

-->Tuto<--

------------------------------ Prévention et protection
/!\Marre de la pub: Firefox sécurisé/!\
 Répondre à Sham_Rock
Créer un nouveau sujet Répondre
Tom's Guide > Forum > Sécurité - Virus > [résolu]
Aller à :

Il y a 932 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.

Plan du forum
Forum Bestofmedia ©
2000-2009 Bestofmedia Group
Page générée en 0,360 secondes
Attention

Vous allez répondre sur un sujet resté inactif pendant plus de 6 mois.
Assurez-vous d'apporter des éléments nouveaux à la discussion avant de poursuivre.

Répondre Annuler
Liens