Virus, antivir

Bonjour,

J'ai surement un problème de virus...
Mon antivirus, antivir se désactive tout seul de temps en temps alors je suis obligé de le réinstaller...

Voilà mon rapport hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:47:49, on 27/07/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\vssvc.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Documents and Settings\Thomas\Bureau\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [InnoSetupRegFile.0000000001] "C:\WINDOWS\is-8CRT1.exe" /REG
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe

--
End of file - 4405 bytes

Se fichier:C:\WINDOWS\is-8CRT1.exe à été analysé sur virus total et panda l'a détecté comme " suspect "

Ais-je des virus ?

A+
Merci

Répondre

Inscrivez-vous ou connectez-vous pour masquer ceci.

Bonjour,

Peux-tu zipper ce fichier et l'envoyer à cette adresse : http://secubox.gateweb.org/mad.php

Peux-tu faire un scan complet avec AntiVir et poster son rapport.

------------------------------ >> Centre de Formation Helpers <<
Répondre à XmichouX

Ok je vais l'envoyer.
Le scan ne signale aucun virus.

Que dois-je faire à part ca ?

Répondre à liblabrute

Il y a aussi is-8CRT1.lst, is-8CRT1.msg je le zip avec ?

Répondre à liblabrute

J'ai envoyé mais il m'a demandé de créer un compte donc je ne sais si c'est ok ?

Répondre à liblabrute

Re,

Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
- Coche Afficher les fichiers et dossiers cachés
- Décoche Masquer les extensions des fichiers dont le type est connu
- Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)
clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virustotal

Clique sur Parcourir en haut, choisis Poste de travail et cherche ce fichier : C:\WINDOWS\is-8CRT1.exe
Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
Lorsque l'analyse est terminée ("Situation actuelle: terminé" ), clique sur Formaté
Une nouvelle fenêtre de ton navigateur va apparaître
Clique alors sur cette image :
Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
Enfin colle le résultat dans ta prochaine réponse.

------------------------------ >> Centre de Formation Helpers <<
Répondre à XmichouX

Je ne trouve pas le fichier et même si je colle la ligne que tu m'as donné il me dis que 0bytes n'as été envoyé

Merci

dsl pour le retard je n'étais pas chez moi.

Répondre à liblabrute

Re,

Télécharge Deckard's System Scanner (DSS) sur ton Bureau.

Tu dois être connecté avec des droits d'Administrateur.

Ferme toutes les applications et fenêtres
Double-clique sur dss.exe pour le lancer et suis les instructions ci-dessous

Attention, il est conseillé de stopper temporairement les logiciels résidents de protection (pare-feu, antivirus, etc.)
- S'il s'agit d'une première utilisation ou d'une nouvelle version de DSS :

Tu devras cliquer 2 fois sur le OK des boîtes de dialogue

Attention, si tu tardes trop, la réponse Abandon sera automatiquement validée

Quand le traitement est terminé (clique sur OK), deux fichiers texte s'affichent :

Main.txt <- ouvert en premier plan et en plein écran
Extra.txt <- ouvert en second plan et en fenêtré (regarde la barre des taches)
- S'il s'agit d'une utilisation supplémentaire de DSS :

Tu n'auras pas de boîte de dialogue (pas de OK)
Quand le traitement est terminé, un fichier texte s'affiche :

Main.txt <- ouvert en premier plan et en plein écran

Poste le contenu de Main.txt dans ton prochain post
De même pour Extra.txt dans ton prochain post, si tu as ce fichier (première utilisation)
N'oublie pas de réactiver les protections si elles ont été stoppées.

Ce que fait DSS :

crée un point de restauration dans Windows XP et Vista
nettoie les fichiers temporaires, DPF-Downloaded Program Files et le Cache Internet, vide la Corbeille de tous les lecteurs
vérifie quelques zones importantes de ton système et établit un rapport pour examen par ton conseiller en sécurité. DSS lance automatiquement HijackThis pour toi; il va aussi créer un raccourci HijackThis sur ton Bureau si tu n'as pas déjà HijackThis d'installé.

Note : Si le lien, ne marche pas, clique ici (DSS) .

------------------------------ >> Centre de Formation Helpers <<
Répondre à XmichouX

Merci voilà:

Main.txt

Deckard's System Scanner v20071014.68
Run by Thomas on 2008-07-31 21:52:14
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.

Backed up registry hives.
Performed disk cleanup.

[color=red]Percentage of Memory in Use: 89% (more than 75%).[/color]
[color=red]Total Physical Memory: 448 MiB (512 MiB recommended).[/color]

-- HijackThis (run as Thomas.exe) ----------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:56:16, on 31/07/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\vssvc.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Documents and Settings\Thomas\Bureau\dss.exe
C:\Program Files\VideoLAN\VLC\vlc.exe
C:\Deckard\SYSTEM~1\backup\DOCUME~1\Thomas\Bureau\Thomas.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe

--
End of file - 4151 bytes

-- File Associations -----------------------------------------------------------

[COLOR=red].cpl - cplfile - shell\cplopen\command - rundll32.exe shell32.dll,Control_RunDLL "%1",%*[/COLOR]
[COLOR=red].cpl - cplfile - shell\runas\command - rundll32.exe shell32.dll,Control_RunDLLAsUser "%1",%*[/COLOR]
[COLOR=red].reg - regfile - shell\open\command - regedit.exe "%1" %*[/COLOR]
[COLOR=red].scr - scrfile - shell\open\command - "%1" %*[/COLOR]

-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R0 sfsync02 (StarForce Protection Synchronization Driver (version 2.x)) - c:\windows\system32\drivers\sfsync02.sys <Not Verified; Protection Technology; StarForce Protection System>

S2 npkcrypt - c:\program files\nexon\europemaplestory\npkcrypt.sys (file missing)
S3 EagleNT - c:\windows\system32\drivers\eaglent.sys (file missing)

-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 AntiVirScheduler (Avira AntiVir Personal – Free Antivirus Scheduler) - "c:\program files\avira\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; AntiVir Workstation>

-- Device Manager: Disabled ----------------------------------------------------

Class GUID: {4D36E97E-E325-11CE-BFC1-08002BE10318}
Description: Fingerprint Sensor
Device ID: USB\VID_08FF&PID_2580\5&3A73E780&0&1
Manufacturer:
Name: Fingerprint Sensor
PNP Device ID: USB\VID_08FF&PID_2580\5&3A73E780&0&1
Service:

Class GUID: {4D36E97E-E325-11CE-BFC1-08002BE10318}
Description: Contrôleur de bus USB
Device ID: PCI\VEN_1002&DEV_4386&SUBSYS_30C2103C&REV_00\3&61AAA01&0&9D
Manufacturer:
Name: Contrôleur de bus USB
PNP Device ID: PCI\VEN_1002&DEV_4386&SUBSYS_30C2103C&REV_00\3&61AAA01&0&9D
Service:

Class GUID: {4D36E97E-E325-11CE-BFC1-08002BE10318}
Description:
Device ID: ACPI\IFX0102\4&2C4C3B2A&0
Manufacturer:
Name:
PNP Device ID: ACPI\IFX0102\4&2C4C3B2A&0
Service:

Class GUID: {4D36E97E-E325-11CE-BFC1-08002BE10318}
Description:
Device ID: ACPI\HPQ0004\3&61AAA01&0
Manufacturer:
Name:
PNP Device ID: ACPI\HPQ0004\3&61AAA01&0
Service:

Class GUID: {4D36E97E-E325-11CE-BFC1-08002BE10318}
Description:
Device ID: ACPI\HPQ0006\2&DABA3FF&0
Manufacturer:
Name:
PNP Device ID: ACPI\HPQ0006\2&DABA3FF&0
Service:

-- Files created between 2008-06-30 and 2008-07-31 -----------------------------

2008-07-31 21:53:32 0 d-------- C:\Documents and Settings\Thomas\plugtmp
2008-07-31 21:53:14 0 d-------- C:\Documents and Settings\Thomas\MessengerCache
2008-07-31 21:52:13 0 d--h----- C:\Documents and Settings\Thomas\~emnosto.tmp
2008-07-31 20:51:03 0 d-------- C:\downloads
2008-07-31 20:51:03 0 d-------- C:\Documents and Settings\Thomas\Application Data\FMZilla
2008-07-31 20:49:40 0 d-------- C:\Program Files\Free Music Zilla
2008-07-31 19:37:50 0 --a-----t C:\Documents and Settings\LocalService\etilqs_oyrEYGELYYXPHqa
2008-07-31 19:37:50 512 --a-----t C:\Documents and Settings\LocalService\etilqs_6rZWs6mdlxBoqUZ-journal
2008-07-31 13:33:24 0 d---s---- C:\Documents and Settings\Thomas\Cookies
2008-07-30 20:29:33 82944 --a------ C:\WINDOWS\system32\IEDFix.exe <Not Verified; S!Ri.URZ; IEDFix>
2008-07-30 20:29:33 81920 --a------ C:\WINDOWS\system32\404Fix.exe <Not Verified; S!Ri.URZ; 404Fix>
2008-07-29 22:56:47 0 dr-h----- C:\Documents and Settings\Thomas\Recent
2008-07-27 11:33:05 0 d-------- C:\Program Files\Avira
2008-07-26 13:56:10 0 d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-07-26 12:30:53 0 d-------- C:\WINDOWS\system32\NtmsData
2008-07-25 13:41:16 4980736 --a------ C:\Documents and Settings\Thomas\ntuser.dat
2008-07-22 11:58:36 0 d-------- C:\Documents and Settings\Thomas\Application Data\Groove Games
2008-07-20 15:52:16 0 d-------- C:\Documents and Settings\Thomas\Application Data\dvdcss
2008-07-19 13:45:48 0 d-------- C:\Documents and Settings\Thomas\Application Data\Ahead
2008-07-19 13:42:49 155648 -ra------ C:\WINDOWS\system32\NeroCheck.exe <Not Verified; Ahead Software Gmbh; Ahead Software Gmbh NeroCheck>
2008-07-19 13:40:12 0 d-------- C:\Documents and Settings\All Users\Application Data\Ahead
2008-07-19 13:40:10 106496 -ra------ C:\WINDOWS\system32\TwnLib20.dll <Not Verified; Pegasus Software; TWNLIB20>
2008-07-19 13:40:10 38912 -ra------ C:\WINDOWS\system32\picn20.dll <Not Verified; Pegasus Imaging Corp.; PEGASUS>
2008-07-19 13:40:10 544768 -ra------ C:\WINDOWS\system32\imagx5.dll <Not Verified; Pegasus Software, LLC; ImagXpress>
2008-07-19 13:40:09 569344 -ra------ C:\WINDOWS\system32\imagr5.dll <Not Verified; Pegasus Software,LLC; ImagXpress>
2008-07-19 13:40:07 0 d-------- C:\Program Files\Fichiers communs\Ahead
2008-07-19 13:40:01 0 d-------- C:\Program Files\Ahead
2008-07-17 18:41:50 0 d-------- C:\Program Files\Ubisoft
2008-07-15 12:00:37 0 d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier
2008-07-15 12:00:21 4212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-07-15 11:59:52 11264 --a------ C:\WINDOWS\system32\SpOrder.dll <Not Verified; Microsoft Corporation; Microsoft(R) Windows NT(TM) Operating System>
2008-07-15 11:57:16 0 d-------- C:\WINDOWS\Internet Logs
2008-07-14 22:10:49 0 d-------- C:\Documents and Settings\Thomas\Application Data\Malwarebytes
2008-07-14 22:10:46 0 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-07-14 22:10:45 0 d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-07-14 14:19:34 0 d-------- C:\Program Files\Sports Interactive
2008-07-14 09:59:30 25600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-07-14 09:59:30 289144 --a------ C:\WINDOWS\system32\VCCLSID.exe <Not Verified; S!Ri; >
2008-07-14 09:59:30 86528 --a------ C:\WINDOWS\system32\VACFix.exe <Not Verified; S!Ri.URZ; VACFix>
2008-07-14 09:59:30 288417 --a------ C:\WINDOWS\system32\SrchSTS.exe <Not Verified; S!Ri; SrchSTS>
2008-07-14 09:59:30 53248 --a------ C:\WINDOWS\system32\Process.exe <Not Verified; http://www.beyondlogic.org; Command Line Process Utility>
2008-07-14 09:59:30 51200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-07-13 23:22:01 0 d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-07-12 20:27:26 0 d--h----- C:\WINDOWS\$hf_mig$
2008-07-01 17:31:21 0 d-------- C:\Program Files\Astase
2008-06-30 18:28:23 68096 --a------ C:\WINDOWS\zip.exe
2008-06-30 18:28:23 49152 --a------ C:\WINDOWS\VFind.exe
2008-06-30 18:28:23 161792 --a------ C:\WINDOWS\swreg.exe <Not Verified; SteelWerX; SteelWerX Registry Editor>
2008-06-30 18:28:23 98816 --a------ C:\WINDOWS\sed.exe
2008-06-30 18:28:23 80412 --a------ C:\WINDOWS\grep.exe
2008-06-30 18:28:23 89504 --a------ C:\WINDOWS\fdsv.exe <Not Verified; Smallfrogs Studio; >
2008-06-30 18:28:22 212480 --a------ C:\WINDOWS\swxcacls.exe <Not Verified; SteelWerX; SteelWerX Extended Configurator ACLists>
2008-06-30 18:28:22 136704 --a------ C:\WINDOWS\swsc.exe <Not Verified; SteelWerX; SteelWerX Service Controller>
2008-06-30 16:50:58 0 d-------- C:\Program Files\Mozilla Thunderbird
2008-06-30 12:46:01 0 d-------- C:\Program Files\CCleaner

-- Find3M Report ---------------------------------------------------------------

2008-07-31 21:52:52 0 d-------- C:\Documents and Settings\Thomas\Application Data\Mozilla
2008-07-31 19:10:15 0 d-------- C:\Program Files\e-anim
2008-07-31 13:31:10 0 d-------- C:\Program Files\7-Zip
2008-07-19 19:05:08 0 d--h----- C:\Program Files\InstallShield Installation Information
2008-07-19 13:40:07 0 d-------- C:\Program Files\Fichiers communs
2008-07-19 10:25:02 0 d-------- C:\Program Files\Java
2008-07-13 11:53:45 713728 --a------ C:\WINDOWS\system32\opengl32.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System>
2008-07-04 23:07:26 0 d-------- C:\Program Files\RegSeeker
2008-07-01 08:42:20 0 -r-hs---- C:\config.sys
2008-06-27 23:09:18 0 d-------- C:\Program Files\PC Inspector File Recovery
2008-06-26 23:11:16 0 d-------- C:\Documents and Settings\Thomas\Application Data\Adobe
2008-06-26 23:10:16 0 d-------- C:\Program Files\Fichiers communs\Adobe
2008-06-25 17:34:41 0 d-------- C:\Program Files\AusLogics Disk Defrag
2008-06-23 19:35:00 0 d--h----- C:\Program Files\WindowsUpdate
2008-06-23 18:53:14 0 d-------- C:\Program Files\Movie Maker
2008-06-23 18:49:11 0 d-------- C:\Program Files\Windows NT
2008-06-23 10:48:39 0 d-------- C:\Program Files\VideoLAN
2008-06-23 09:29:06 0 d-------- C:\Documents and Settings\Thomas\Application Data\gtk-2.0
2008-06-20 20:33:06 0 d-------- C:\Program Files\Fichiers communs\InstallShield
2008-06-20 15:21:45 0 d-------- C:\Program Files\ATI Technologies
2008-06-20 13:24:37 0 d-------- C:\Documents and Settings\Thomas\Application Data\Macromedia
2008-06-20 09:25:10 0 d-------- C:\Program Files\Analog Devices
2008-06-20 09:16:42 0 d-------- C:\Program Files\Hewlett-Packard
2008-06-20 09:02:45 0 d-------- C:\Program Files\Common Files
2008-06-20 09:00:22 0 d-------- C:\Documents and Settings\Thomas\Application Data\ATI
2008-06-20 08:59:57 0 --a------ C:\WINDOWS\ativpsrm.bin
2008-06-20 08:46:30 0 d-------- C:\Program Files\Microsoft Visual Studio .NET
2008-06-19 22:52:27 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
2008-06-19 21:18:36 2925 --a------ C:\WINDOWS\mozver.dat
2008-06-19 21:16:38 0 d-------- C:\Program Files\Messenger Plus! Live
2008-06-19 21:12:36 0 d-------- C:\Program Files\Windows Live
2008-06-19 21:12:19 0 d--hs--c- C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-06-19 21:02:19 0 d-------- C:\Program Files\OOoHG
2008-06-19 21:00:19 0 d-------- C:\Program Files\OpenOffice.org 2.1
2008-06-19 20:58:01 0 d-------- C:\Program Files\Fichiers communs\Java
2008-06-19 20:53:47 0 --a------ C:\WINDOWS\nsreg.dat
2008-06-19 20:23:31 0 d-------- C:\Program Files\Broadcom
2008-06-19 20:23:28 0 d-------- C:\Documents and Settings\Thomas\Application Data\InstallShield
2008-06-19 20:18:02 0 d-------- C:\Program Files\Drivers
2008-06-19 20:02:29 0 d-------- C:\Program Files\Fichiers communs\ODBC
2008-06-19 20:02:26 0 d-------- C:\Program Files\Fichiers communs\SpeechEngines
2008-06-19 19:29:01 0 d-------- C:\Program Files\Inventel
2008-06-19 19:29:00 278528 --a------ C:\Program Files\Fichiers communs\FDEUnInstaller.exe <Not Verified; ; FDEUninstaller>
2008-06-19 19:18:37 0 d-------- C:\Documents and Settings\Thomas\Application Data\Identities
2008-06-19 19:11:57 0 d-------- C:\Program Files\microsoft frontpage
2008-06-19 19:11:38 0 -rahs---- C:\MSDOS.SYS
2008-06-19 19:11:38 0 -rahs---- C:\IO.SYS
2008-06-19 19:10:27 0 d-------- C:\Program Files\Services en ligne
2008-06-19 19:09:12 0 d-------- C:\Program Files\Fichiers communs\MSSoap
2008-06-19 19:08:40 21892 --a------ C:\WINDOWS\system32\emptyregdb.dat
2008-06-19 19:07:58 0 d-------- C:\Program Files\MSN Gaming Zone
2008-06-02 21:05:00 593920 -----n--- C:\WINDOWS\system32\ati2sgag.exe <Not Verified; ; ATI Smart>

-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [10/11/2006 12:35]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [05/01/2007 22:36]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [10/06/2008 04:27]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [12/02/2008 10:06]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"HideLegacyLogonScripts"=0 (0x0)
"HideLogoffScripts"=0 (0x0)
"RunLogonScriptSync"=1 (0x1)
"RunStartupScriptSync"=0 (0x0)
"HideStartupScripts"=0 (0x0)
"DisableRegistryTools"=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"HideLegacyLogonScripts"=0 (0x0)
"HideLogoffScripts"=0 (0x0)
"RunLogonScriptSync"=1 (0x1)
"RunStartupScriptSync"=0 (0x0)
"HideStartupScripts"=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearRecentDocsOnExit"=0100000000000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy]
C:\WINDOWS\System32\dimsntfy.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Notification Packages"= scecli scecli

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Thomas^Menu Démarrer^Programmes^Démarrage^Raccourci vers Nett_auto_user.lnk]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
eapsvcs eaphost
dot3svc dot3svc

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
napagent
hkmsvc

*Newly Created Service* - USNJSVC

-- End of Deckard's System Scanner: finished at 2008-07-31 21:57:07 ------------

Répondre à liblabrute

extra.txt

Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Professionnel (build 2600) SP 3.0
Architecture: X86; Language: French

CPU 0: Mobile AMD Sempron(tm) Processor 3500+
Percentage of Memory in Use: 82%
Physical Memory (total/avail): 447.23 MiB / 76.8 MiB
Pagefile Memory (total/avail): 1053.87 MiB / 469.39 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1922.57 MiB

C: is Fixed (NTFS) - 58.59 GiB total, 48.67 GiB free.
D: is Fixed (NTFS) - 15.93 GiB total, 1.21 GiB free.
F: is CDROM (No Media)

\\.\PHYSICALDRIVE0 - FUJITSU MHW2080BH PL - 74.53 GiB - 2 partitions
\PARTITION0 (bootable) - Système de fichiers installable - 58.59 GiB - C:
\PARTITION1 - Système de fichiers installable - 15.93 GiB - D:

-- Security Center -------------------------------------------------------------

AUOptions is scheduled to auto-install.

-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Documents and Settings\All Users
APPDATA=C:\Documents and Settings\Thomas\Application Data
CLIENTNAME=Console
CommonProgramFiles=C:\Program Files\Fichiers communs
COMPUTERNAME=THOMAS-VXHL7GDU
ComSpec=C:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Documents and Settings\Thomas
LOGONSERVER=\\THOMAS-VXHL7GDU
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\Program Files\Mozilla Firefox;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 15 Model 76 Stepping 2, AuthenticAMD
PROCESSOR_LEVEL=15
PROCESSOR_REVISION=4c02
ProgramFiles=C:\Program Files
PROMPT=$P$G
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
USERDOMAIN=THOMAS-VXHL7GDU
USERNAME=Thomas
USERPROFILE=C:\Documents and Settings\Thomas
windir=C:\WINDOWS

-- User Profiles ---------------------------------------------------------------

Thomas [I](admin)[/I]
[I](new local, admin)[/I]

-- Add/Remove Programs ---------------------------------------------------------

-- Application Event Log -------------------------------------------------------

Event Record #/Type1554 / Success
Event Submitted/Written: 07/31/2008 08:43:29 PM
Event ID/Source: 12001 / usnjsvc
Event Description:
The Messenger Sharing USN Journal Reader service started successfully.

Event Record #/Type1553 / Error
Event Submitted/Written: 07/31/2008 08:15:44 PM
Event ID/Source: 4118 / Avira AntiVir
Event Description:
C:\Program Files\Mozilla Firefox\searchplugins\amazon-france.xmlUNKNOWN20598784

Event Record #/Type1549 / Error
Event Submitted/Written: 07/31/2008 07:10:25 PM
Event ID/Source: 4118 / Avira AntiVir
Event Description:
C:\Program Files\Mozilla Firefox\searchplugins\amazon-france.xmlUNKNOWN20598784

Event Record #/Type1545 / Error
Event Submitted/Written: 07/31/2008 01:32:49 PM
Event ID/Source: 4118 / Avira AntiVir
Event Description:
C:\Program Files\Mozilla Firefox\searchplugins\amazon-france.xmlUNKNOWN20598784

Event Record #/Type1541 / Error
Event Submitted/Written: 07/31/2008 01:19:50 PM
Event ID/Source: 1000 / Application Error
Event Description:
Application défaillante acrord32.exe, version 8.1.0.137, module défaillant unknown, version 0.0.0.0, adresse de défaillance 0x2e002845.
Traitement de l'événement propre au support pour [acrord32.exe!ws!]

-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.

-- System Event Log ------------------------------------------------------------

Event Record #/Type3780 / Warning
Event Submitted/Written: 07/31/2008 08:15:25 PM
Event ID/Source: 4 / b57w2k
Event Description:
Broadcom NetLink Gigabit Ethernet: The network link is down. Check to make sure the network cable is properly connected.

Event Record #/Type3766 / Error
Event Submitted/Written: 07/31/2008 08:06:53 PM
Event ID/Source: 7000 / Service Control Manager
Event Description:
Le service npkcrypt n'a pas pu démarrer en raison de l'erreur :
%%3

Event Record #/Type3759 / Warning
Event Submitted/Written: 07/31/2008 08:06:14 PM / 07/31/2008 08:06:42 PM
Event ID/Source: 4 / b57w2k
Event Description:
Broadcom NetLink Gigabit Ethernet: The network link is down. Check to make sure the network cable is properly connected.

Event Record #/Type3741 / Error
Event Submitted/Written: 07/31/2008 06:07:40 PM
Event ID/Source: 7000 / Service Control Manager
Event Description:
Le service npkcrypt n'a pas pu démarrer en raison de l'erreur :
%%3

Event Record #/Type3735 / Warning
Event Submitted/Written: 07/31/2008 06:07:12 PM / 07/31/2008 06:07:40 PM
Event ID/Source: 4 / b57w2k
Event Description:
Broadcom NetLink Gigabit Ethernet: The network link is down. Check to make sure the network cable is properly connected.

-- End of Deckard's System Scanner: finished at 2008-07-31 21:57:07 ------------

Répondre à liblabrute

Ce n'est pas ça ?

Répondre à liblabrute

Si, je ne vois pas d'infection visible.

Supprime ce fichier, je ne le pense pas utile : C:\WINDOWS\is-8CRT1.exe

***************

------------------------------ >> Centre de Formation Helpers <<
Répondre à XmichouX

Il n'est pas présent.

Répondre à liblabrute

après ça ? :

Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
- Coche Afficher les fichiers et dossiers cachés
- Décoche Masquer les extensions des fichiers dont le type est connu
- Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)
clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

------------------------------ >> Centre de Formation Helpers <<
Répondre à XmichouX

C'est pareil

Répondre à liblabrute

Ok, poste un nouveau HijackThis pour voir.
TU n'es pas infecté je pense.

------------------------------ >> Centre de Formation Helpers <<
Répondre à XmichouX

Forum Sécurité - Virus : Virus, antivir

Attention