[Résolu] Infection par "Antivirus 2009"

Chre

8 Janvier 2009 19:47:13

Bonsoir,

Depuis quelques temps (début de l'année), l'ordinateur m'affiche en anglais des alertes "Antivirus 2009" comme quoi il est infecté, et une fenêtre "Windows Security Center" en anglais s'affiche et me dit que l'antivirus n'est pas trouvé.

Voir le résultat ici.

Je soupçonne une infection

Voici le rapport hijackthis :

Citation :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:44:54, on 08/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
C:\PROGRA~1\CONTRO~1\bin\optgui.exe
C:\WINDOWS\FixCamera.exe
C:\WINDOWS\tsnp2std.exe
C:\WINDOWS\vsnp2std.exe
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\System32\regsvr32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Antivirus 2009\av2009.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.51 V1.20\WlanCU.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpHost.exe
C:\DOCUME~1\Gaec\LOCALS~1\Temp\Répertoire temporaire 1 pour toto.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.mini60.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.01net.com/telecharger/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: milehighads browser enhancer - {3B1FBD1D-D9BF-71D3-59F9-5A94900607D9} - C:\WINDOWS\system32\ewkwujrondcvxklbn.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5f90c0e3-4c0a-4d54-a8ac-5afe6163a99e} - C:\Program Files\Starware370\bin\Starware370.dll (file missing)
O2 - BHO: (no name) - {6F282B65-56BF-4BD1-A8B2-A4449A05863D} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O2 - BHO: milehighads - {f7841d30-43a4-c3ca-2243-d0c654e2f8de} - C:\WINDOWS\system32\nsjB.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O3 - Toolbar: Starware Toolbar Musique - {1962c5bc-e475-465b-823b-133e711bceb9} - C:\Program Files\Starware370\bin\Starware370.dll (file missing)
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Program Files\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
O4 - HKLM\..\Run: [OPTENET_GUI] C:\PROGRA~1\CONTRO~1\bin\optgui.exe
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\tsnp2std.exe
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [zbkxdmkeovhaiyy] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\ewkwujrondcvxklbn.dll"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [17648617940259666287569474313390] C:\Program Files\Antivirus 2009\av2009.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Event Reminder.lnk = C:\Program Files\Broderbund\PrintMaster\PMremind.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Wireless Configuration Utility HW.51.lnk = C:\Program Files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.51 V1.20\WlanCU.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O15 - Trusted Zone: http://asia.msi.com.tw
O15 - Trusted Zone: http://global.msi.com.tw
O15 - Trusted Zone: http://www.msi.com.tw
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986....
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.ca...
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.c...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxmultijoueurs.orange.fr/Gameshell/GameHost/1....
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/fl...
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: Orange Contrôle Parental (OPTENET_FILTER) - Orange - C:\Program Files\Controle Parental\bin\optproxy.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe

--
End of file - 11442 bytes

Toute aide sera chaleureusement appréciée !

Merci,
Christian.

Autres pages sur : resolu infection antivirus 2009

| Etre averti des réponses
| Alerter

Répondre à Chre

Sham_Rock

8 Janvier 2009 20:30:51

bonsoir
~Télécharge SmitfraudFix

http://siri.urz.free.fr/Fix/SmitfraudFix.exe

Recherche:
~Double clique sur SmitfraudFix.exe
~Sélectionne 1 et presse Entrée dans le menu pour créer un rapport des fichiers responsables de l'infection. Le rapport se trouve à la racine du disque système C:\rapport.txt
~Poste ce rapport.
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

| Alerter

Répondre à Sham_Rock

Chre

15 Janvier 2009 19:29:49

Bonsoir toutes et tous,
Bonsoir Sham_Rock,

Finalement, j'ai récupéré l'ordinateur avec moi, se sera plus facile et plus rapide que via MSN

Voici le rapport demandé :

Citation :

SmitFraudFix v2.388

Rapport fait à 18:50:37,79, 09/01/2009
Executé à partir de C:\Documents and Settings\Gaec\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
C:\PROGRA~1\CONTRO~1\bin\optgui.exe
C:\WINDOWS\FixCamera.exe
C:\WINDOWS\tsnp2std.exe
C:\WINDOWS\vsnp2std.exe
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\System32\regsvr32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Antivirus 2009\av2009.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.51 V1.20\WlanCU.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Gaec\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\ieupdates.exe PRESENT !
C:\WINDOWS\system32\scui.cpl PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Gaec

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Gaec\LOCALS~1\Temp

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Gaec\Application Data

C:\Documents and Settings\Gaec\Application Data\Microsoft\Internet Explorer\Quick Launch\Antivirus 2009.lnk PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

C:\DOCUME~1\Gaec\MENUDM~1\Antivirus 2009 PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Gaec\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8169/8110 Family Gigabit Ethernet NIC #2 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
DNS Server Search Order: 0.0.0.0

Description: Realtek RTL8169/8110 Family Gigabit Ethernet NIC #2 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

Description: Realtek RTL8169/8110 Family Gigabit Ethernet NIC #2 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{4E9FF852-836A-4ADA-BB90-04291E3A9863}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{C0FC530F-8E65-4991-A885-6F8E9CA2C787}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\..\{F0A8E1BD-23AE-463B-9924-EBB073F8EDA6}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4E9FF852-836A-4ADA-BB90-04291E3A9863}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C0FC530F-8E65-4991-A885-6F8E9CA2C787}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F0A8E1BD-23AE-463B-9924-EBB073F8EDA6}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

| Alerter

Répondre à Chre

Sham_Rock

15 Janvier 2009 19:37:54

bonsoir

1

Mets à jour SmitFraudFix (option 4)

2

~Redémarre l'ordinateur en mode sans échec (F8 au démarrage de l'ordinateur)
Aide

~Double clique sur SmitfraudFix.cmd
~Sélectionne 2 et presse Entrée dans le menu pour supprimer les fichiers responsables de l'infection.
~Réponds Oui (o) à toutes les questions.
Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage.
~Poste le nouveau rapport.

3
ajoute un nouveau log hijackthis stp

| Alerter

Répondre à Sham_Rock

Chre

15 Janvier 2009 20:12:45

Re,

Sham_Rock a dit :

1
Mets à jour SmitFraudFix (option 4)2

Il n'y a pas eu de mise à jour

Citation :

SmitFraudFix v2.391

Aucune mise à jour n'est disponible pour le moment

Appuyez sur une touche pour continuer...

Le rapport demandé

Citation :

SmitFraudFix v2.388

Rapport fait à 20:52:49,90, 15/01/2009
Executé à partir de C:\Documents and Settings\Gaec\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\system32\ieupdates.exe supprimé
C:\WINDOWS\system32\scui.cpl supprimé
C:\Documents and Settings\Gaec\Application Data\Microsoft\Internet Explorer\Quick Launch\Antivirus 2009.lnk supprimé
C:\DOCUME~1\Gaec\MENUDM~1\Antivirus 2009 supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{4E9FF852-836A-4ADA-BB90-04291E3A9863}: DhcpNameServer=192.168.43.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{C0FC530F-8E65-4991-A885-6F8E9CA2C787}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\..\{F0A8E1BD-23AE-463B-9924-EBB073F8EDA6}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4E9FF852-836A-4ADA-BB90-04291E3A9863}: DhcpNameServer=192.168.43.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C0FC530F-8E65-4991-A885-6F8E9CA2C787}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F0A8E1BD-23AE-463B-9924-EBB073F8EDA6}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.43.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.43.1

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Le rapport hijackthis

Citation :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:12:01, on 15/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
C:\PROGRA~1\CONTRO~1\bin\optgui.exe
C:\WINDOWS\FixCamera.exe
C:\WINDOWS\tsnp2std.exe
C:\WINDOWS\vsnp2std.exe
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\System32\regsvr32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.51 V1.20\WlanCU.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Java\jre1.6.0_05\bin\jucheck.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\DOCUME~1\Gaec\LOCALS~1\Temp\Répertoire temporaire 5 pour HiJackThis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: milehighads browser enhancer - {3B1FBD1D-D9BF-71D3-59F9-5A94900607D9} - C:\WINDOWS\system32\ewkwujrondcvxklbn.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5f90c0e3-4c0a-4d54-a8ac-5afe6163a99e} - C:\Program Files\Starware370\bin\Starware370.dll (file missing)
O2 - BHO: (no name) - {6F282B65-56BF-4BD1-A8B2-A4449A05863D} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O2 - BHO: milehighads - {f7841d30-43a4-c3ca-2243-d0c654e2f8de} - C:\WINDOWS\system32\nsjB.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O3 - Toolbar: Starware Toolbar Musique - {1962c5bc-e475-465b-823b-133e711bceb9} - C:\Program Files\Starware370\bin\Starware370.dll (file missing)
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Program Files\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
O4 - HKLM\..\Run: [OPTENET_GUI] C:\PROGRA~1\CONTRO~1\bin\optgui.exe
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\tsnp2std.exe
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [zbkxdmkeovhaiyy] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\ewkwujrondcvxklbn.dll"
O4 - HKLM\..\Run: [MRT] "C:\WINDOWS\system32\MRT.exe" /R
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Event Reminder.lnk = C:\Program Files\Broderbund\PrintMaster\PMremind.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Wireless Configuration Utility HW.51.lnk = C:\Program Files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.51 V1.20\WlanCU.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O15 - Trusted Zone: http://asia.msi.com.tw
O15 - Trusted Zone: http://global.msi.com.tw
O15 - Trusted Zone: http://www.msi.com.tw
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986....
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.ca...
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.c...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxmultijoueurs.orange.fr/Gameshell/GameHost/1....
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/fl...
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: Orange Contrôle Parental (OPTENET_FILTER) - Orange - C:\Program Files\Controle Parental\bin\optproxy.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe

--
End of file - 11031 bytes

| Alerter

Répondre à Chre

Sham_Rock

15 Janvier 2009 20:59:08

re

Télécharge MalwareByte's Anti-Malware sur ton Bureau.

Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
Une fois l'installation et la mise à jour effectuées :

Fais redémarrer ton ordinateur en mode sans échec
- Au démarrage, après le chargement du bios, appuie successivement sur la touche F8 (ou F5) de ton clavier jusqu'à l'apparition d'un menu sur fond noir. Une fois arrivé à ce stade, sélectionne à l'aide du clavier Mode sans Echec.
-- Dans ce mode, tu n'as pas accès à Internet, et tu te retrouves avec une configuration visuelle différente (pas de fond d'écran, icônes très grosses). Ne sois donc pas étonné.
--- C'est pour ces différentes raisons que je t'invite à imprimer, noter, ou enregistrer dans un document texte les informations suivantes afin de ne pas être perdu.
---- ! Ne fais pas démarrer ton ordinateur en mode sans échec via MSConfig ! Pourquoi ? Certaines infections cassent les clefs du mode sans échec, ce qui ferait crasher ton ordinateur.

Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".

Afin de lancer la recherche, clic sur"Rechercher".

Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :

~ Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
~~ Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau.
~~~~ Fais redémarrer ton ordinateur normalement et poste le rapport dans ta prochaine réponse.

REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.[/#f]

Note : Si tu ne parviens à télécharger MBAM à partir de MajorGeeks, tu peux le télécharger ici!

[#FF0000]Aide :

Comment utiliser MBAM.

Comment faire démarrer son ordinateur en mode sans échec.

++++++++++++++++

| Alerter

Répondre à Sham_Rock

Chre

15 Janvier 2009 22:17:32

Re,

Cà devient chaud là

Impossible de télécharger MBAM depuis tes liens (les sites sont "introuvables"...) ; en cherchant, j'ai réussi via clubic.com

Mais ensuite, çà plante à la fin de l'installation de MBAM, et malgré plusieurs tentatives, cette installation n'aboutit pas et je ne peux donc pas lancer le programme.

Que dois-je faire ? Merci.

| Alerter

Répondre à Chre

Sham_Rock

16 Janvier 2009 19:32:04

bonsoir
Désactive ton antivirus et tout autre type de protection.
Télécharge ComboFix de sUBs :
ComboFix.exe
et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur ComboFix, Il va te poser une question, suis les invites puis attends que combofix ait terminé, il est possible que ton PC reboot, c’est normal, un rapport sera créé.Poste le rapport:C:\Combofix.txt
clique dessus pour l'ouvrir, puis édition "sélectionner tout", édition "copier"

viens sur le forum et édition "coller"

AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
* le nom de la partition peut changer

| Alerter

Répondre à Sham_Rock

Chre

17 Janvier 2009 10:43:39

Bonjour vous, bonjour Sham_Rock,

Que de misères, impossible de télécharger ComboFix, impossible de l'exécuter. Bref, je l'ai récupéré depuis un autre ordinateur et installé via une clé USB, en renommant le programme ComboFix.exe.

Voici, enfin, le rapport demandé

Citation :

ComboFix 09-01-16.03 - Gaec 2009-01-17 11:26:05.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.511.298 [GMT 1:00]
Lancé depuis: c:\documents and settings\Gaec\Bureau\Chre.exe
AV: Bitdefender Antivirus *On-access scanning disabled* (Outdated)
FW: Bitdefender Firewall *disabled*
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\Starware370
c:\documents and settings\All Users\Application Data\Starware370\buttons\563_button_1b_def.bmp
c:\documents and settings\All Users\Application Data\Starware370\buttons\563_button_1b_over.bmp
c:\documents and settings\All Users\Application Data\Starware370\buttons\572_button_1b_def.bmp
c:\documents and settings\All Users\Application Data\Starware370\buttons\572_button_1b_over.bmp
c:\documents and settings\All Users\Application Data\Starware370\buttons\573_button_1b_def.bmp
c:\documents and settings\All Users\Application Data\Starware370\buttons\573_button_1b_over.bmp
c:\documents and settings\All Users\Application Data\Starware370\buttons\Button_60.bmp
c:\documents and settings\All Users\Application Data\Starware370\buttons\Button_70.bmp
c:\documents and settings\All Users\Application Data\Starware370\buttons\Button_80.bmp
c:\documents and settings\All Users\Application Data\Starware370\buttons\FindIt.bmp
c:\documents and settings\All Users\Application Data\Starware370\buttons\FindItHot.bmp
c:\documents and settings\All Users\Application Data\Starware370\buttons\findithotxp.png
c:\documents and settings\All Users\Application Data\Starware370\buttons\finditxp.png
c:\documents and settings\All Users\Application Data\Starware370\buttons\logo.bmp
c:\documents and settings\All Users\Application Data\Starware370\buttons\logoxp.bmp
c:\documents and settings\All Users\Application Data\Starware370\contexts\error.xml
c:\documents and settings\All Users\Application Data\Starware370\contexts\Related.xml
c:\documents and settings\All Users\Application Data\Starware370\contexts\Travel.xml
c:\documents and settings\All Users\Application Data\Starware370\SimpleUpdate\ProductMessagingConfig.xml
c:\documents and settings\All Users\Application Data\Starware370\SimpleUpdate\ProductMessagingConfig.xml.backup
c:\documents and settings\All Users\Application Data\Starware370\SimpleUpdate\SimpleUpdateConfig.xml
c:\documents and settings\All Users\Application Data\Starware370\SimpleUpdate\SimpleUpdateConfig.xml.backup
c:\documents and settings\All Users\Application Data\Starware370\SimpleUpdate\TimerManagerConfig.xml
c:\documents and settings\All Users\Application Data\Starware370\SimpleUpdate\TimerManagerConfig.xml.backup
c:\documents and settings\Gaec\Application Data\Starware370
c:\documents and settings\Gaec\Application Data\Starware370\Button_6\Button_6Options.xml
c:\documents and settings\Gaec\Application Data\Starware370\Button_6\Button_6Options.xml.backup
c:\documents and settings\Gaec\Application Data\Starware370\Button_7\Button_7Options.xml
c:\documents and settings\Gaec\Application Data\Starware370\Button_7\Button_7Options.xml.backup
c:\documents and settings\Gaec\Application Data\Starware370\Button_8\Button_8Options.xml
c:\documents and settings\Gaec\Application Data\Starware370\Button_8\Button_8Options.xml.backup
c:\documents and settings\Gaec\Application Data\Starware370\Paroles\ParolesOptions.xml
c:\documents and settings\Gaec\Application Data\Starware370\Paroles\ParolesOptions.xml.backup
c:\documents and settings\Gaec\Application Data\Starware370\Radio_FR\Radio_FROptions.xml
c:\documents and settings\Gaec\Application Data\Starware370\Radio_FR\Radio_FROptions.xml.backup
c:\documents and settings\Gaec\Application Data\Starware370\Recherche_de_musique\Recherche_de_musiqueOptions.xml
c:\documents and settings\Gaec\Application Data\Starware370\Recherche_de_musique\Recherche_de_musiqueOptions.xml.backup
c:\documents and settings\Gaec\Application Data\Starware370\Telechargement\TelechargementOptions.xml
c:\documents and settings\Gaec\Application Data\Starware370\Telechargement\TelechargementOptions.xml.backup
c:\documents and settings\Gaec\Cookies\hpothb07.dat
c:\documents and settings\Gaec\Cookies\hpothb07.tif
c:\windows\system32\_004386_.tmp.dll
c:\windows\system32\_004387_.tmp.dll
c:\windows\system32\_004388_.tmp.dll
c:\windows\system32\_004389_.tmp.dll
c:\windows\system32\_004396_.tmp.dll
c:\windows\system32\_004397_.tmp.dll
c:\windows\system32\_004398_.tmp.dll
c:\windows\system32\_004399_.tmp.dll
c:\windows\system32\_004400_.tmp.dll
c:\windows\system32\_004401_.tmp.dll
c:\windows\system32\_004402_.tmp.dll
c:\windows\system32\_004403_.tmp.dll
c:\windows\system32\_004404_.tmp.dll
c:\windows\system32\_004405_.tmp.dll
c:\windows\system32\_004406_.tmp.dll
c:\windows\system32\_004407_.tmp.dll
c:\windows\system32\_004408_.tmp.dll
c:\windows\system32\_004409_.tmp.dll
c:\windows\system32\_004410_.tmp.dll
c:\windows\system32\_004412_.tmp.dll
c:\windows\system32\_004415_.tmp.dll
c:\windows\system32\_004416_.tmp.dll
c:\windows\system32\_004420_.tmp.dll
c:\windows\system32\_004421_.tmp.dll
c:\windows\system32\_004422_.tmp.dll
c:\windows\system32\_004423_.tmp.dll
c:\windows\system32\_004424_.tmp.dll
c:\windows\system32\_004425_.tmp.dll
c:\windows\system32\_004426_.tmp.dll
c:\windows\system32\_004428_.tmp.dll
c:\windows\system32\_004429_.tmp.dll
c:\windows\system32\_004430_.tmp.dll
c:\windows\system32\_004431_.tmp.dll
c:\windows\system32\_004432_.tmp.dll
c:\windows\system32\_004433_.tmp.dll
c:\windows\system32\_004434_.tmp.dll
c:\windows\system32\_004435_.tmp.dll
c:\windows\system32\_004436_.tmp.dll
c:\windows\system32\_004437_.tmp.dll
c:\windows\system32\_004438_.tmp.dll
c:\windows\system32\_004439_.tmp.dll
c:\windows\system32\_004442_.tmp.dll
c:\windows\system32\_004443_.tmp.dll
c:\windows\system32\_004444_.tmp.dll
c:\windows\system32\_004446_.tmp.dll
c:\windows\system32\_004447_.tmp.dll
c:\windows\system32\_004448_.tmp.dll
c:\windows\system32\_004449_.tmp.dll
c:\windows\system32\_004451_.tmp.dll
c:\windows\system32\_004452_.tmp.dll
c:\windows\system32\_004454_.tmp.dll
c:\windows\system32\_004455_.tmp.dll
c:\windows\system32\_004459_.tmp.dll
c:\windows\system32\_004460_.tmp.dll
c:\windows\system32\_004462_.tmp.dll
c:\windows\system32\_004465_.tmp.dll
c:\windows\system32\_004467_.tmp.dll
c:\windows\system32\_004468_.tmp.dll
c:\windows\system32\_004469_.tmp.dll
c:\windows\system32\_004470_.tmp.dll
c:\windows\system32\_004473_.tmp.dll
c:\windows\system32\_004474_.tmp.dll
c:\windows\system32\_004475_.tmp.dll
c:\windows\system32\_004476_.tmp.dll
c:\windows\system32\_004477_.tmp.dll
c:\windows\system32\_004482_.tmp.dll
c:\windows\system32\_004484_.tmp.dll
c:\windows\system32\drivers\TDSSpaxt.sys
c:\windows\system32\ewkwujrondcvxklbn.dll
c:\windows\system32\ieupdates.exe
c:\windows\system32\TDSScfum.dll
c:\windows\system32\TDSSfxmp.dll
c:\windows\system32\TDSSnmxh.log
c:\windows\system32\TDSSnrsr.dll
c:\windows\system32\TDSSofxh.dll
c:\windows\system32\TDSSosvd.dat
c:\windows\system32\TDSSrhym.log
c:\windows\system32\TDSSriqp.dll
c:\windows\system32\TDSSsbhc.dll
c:\windows\system32\TDSStkdv.log
c:\windows\system32\tmp.reg

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_TDSSserv.sys
-------\Legacy_TDSSserv.sys

((((((((((((((((((((((((((((( Fichiers créés du 2008-12-17 au 2009-01-17 ))))))))))))))))))))))))))))))))))))
.

2009-01-16 00:11 . 2009-01-16 00:11 552 --a------ c:\windows\system32\d3d8caps.dat
2009-01-15 23:51 . 2009-01-15 23:51 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-01-15 23:51 . 2009-01-15 23:51 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-01-15 23:51 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-15 23:51 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-15 23:19 . 2009-01-15 23:19 685,056 --a------ c:\windows\isRS-000.tmp
2009-01-15 23:15 . 2009-01-15 23:15 664 --a------ c:\windows\system32\d3d9caps.dat
2009-01-15 22:24 . 2009-01-15 22:24 <REP> d-------- c:\program files\Bonjour
2009-01-15 22:23 . 2009-01-15 22:23 <REP> d-------- c:\program files\iTunes
2009-01-15 22:23 . 2009-01-15 22:23 <REP> d-------- c:\program files\iPod
2009-01-15 22:23 . 2009-01-15 22:23 <REP> d-------- c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2009-01-15 22:21 . 2009-01-15 22:21 <REP> d-------- c:\program files\QuickTime
2009-01-15 21:19 . 2009-01-15 21:18 410,984 --a------ c:\windows\system32\deploytk.dll
2009-01-15 21:09 . 2009-01-15 21:09 118 --a------ c:\windows\system32\MRT.INI
2009-01-08 15:08 . 2009-01-08 15:08 <REP> d-------- c:\windows\system32\IOSUBSYS
2009-01-05 20:42 . 2009-01-05 20:42 684,544 --a------ c:\windows\system32\nsjB.dll
2009-01-02 18:45 . 2009-01-02 18:45 <REP> d-------- c:\program files\Milehighads Games Collection
2009-01-02 18:44 . 2009-01-07 14:34 85,239 --a------ c:\windows\system32\cont_milehighads-remove.exe
2009-01-02 18:43 . 2009-01-15 20:30 47,583 --a------ c:\windows\system32\yypkqhmjqgeczplv.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-15 22:47 --------- d-----w c:\program files\Mozilla Thunderbird
2009-01-15 21:26 --------- d-----w c:\program files\Fichiers communs\Adobe
2009-01-15 21:23 --------- d-----w c:\program files\Fichiers communs\Apple
2009-01-15 21:15 --------- d-----w c:\program files\Safari
2009-01-15 20:38 --------- d-----w c:\program files\Java
2009-01-15 20:18 --------- d-----w c:\documents and settings\Gaec\Application Data\OpenOffice.org2
2009-01-08 14:08 --------- d-----w c:\program files\Google
2009-01-02 17:45 --------- d-----w c:\documents and settings\Gaec\Application Data\LimeWire
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-12-08 15:47 5,632 ----a-w c:\windows\system32\drivers\StarOpen.sys
2008-11-28 13:25 86,792 ----a-w c:\windows\system32\drivers\bdfndisf.sys
2008-11-28 13:12 --------- d-----w c:\program files\Fichiers communs\BitDefender
2008-11-28 13:12 --------- d-----w c:\documents and settings\All Users\Application Data\BitDefender
2008-11-25 13:15 --------- d-----w c:\program files\DivX
2007-06-06 14:22 0 -c-ha-w c:\documents and settings\NetworkService\hpothb07.dat
2007-06-06 14:22 0 -c-ha-w c:\documents and settings\LocalService\hpothb07.dat
2009-01-05 19:43 654,848 ----a-w c:\program files\mozilla firefox\components\nsmilehighads.dll
2008-09-20 16:17 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008092020080921\index.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{f7841d30-43a4-c3ca-2243-d0c654e2f8de}]
2009-01-05 20:42 684544 --a------ c:\windows\system32\nsjB.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"msnmsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 2097488]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-11-04 413696]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Ulead Memory Card Detector"="c:\program files\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe" [2002-09-11 40960]
"OPTENET_GUI"="c:\progra~1\CONTRO~1\bin\optgui.exe" [2006-12-20 404536]
"FixCamera"="c:\windows\FixCamera.exe" [2006-10-09 20480]
"tsnp2std"="c:\windows\tsnp2std.exe" [2006-06-19 262144]
"snp2std"="c:\windows\vsnp2std.exe" [2006-05-15 675840]
"BitDefender Antiphishing Helper"="c:\program files\BitDefender\BitDefender 2008\IEShow.exe" [2007-10-09 61440]
"BDAgent"="c:\program files\BitDefender\BitDefender 2008\bdagent.exe" [2008-11-28 368640]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-01-15 136600]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-11-04 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-14 c:\windows\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Event Reminder.lnk - c:\program files\Broderbund\PrintMaster\PMremind.exe [2008-02-07 323584]
hp psc 1000 series.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-04-06 147456]
hpoddt01.exe.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-06 28672]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]
Wireless Configuration Utility HW.51.lnk - c:\program files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.51 V1.20\WlanCU.exe [2007-11-05 454656]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Kyodai Mahjongg\\kmj.exe"=
"c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Documents and Settings\\Gaec\\Bureau\\SmitfraudFix\\SmiUpdate.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [2006-12-13 11264]
R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;c:\windows\system32\drivers\bdfndisf.sys [2007-10-19 86792]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]
S4 OPTENET_FILTER;Orange Contrôle Parental;c:\program files\Controle Parental\bin\optproxy.exe [2007-07-25 624376]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan
.
Contenu du dossier 'Tâches planifiées'

2008-12-18 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2008-03-03 c:\windows\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1194192644.job
- c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-06 00:52]
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{3B1FBD1D-D9BF-71D3-59F9-5A94900607D9} - c:\windows\system32\ewkwujrondcvxklbn.dll
BHO-{5f90c0e3-4c0a-4d54-a8ac-5afe6163a99e} - c:\program files\Starware370\bin\Starware370.dll
BHO-{6F282B65-56BF-4BD1-A8B2-A4449A05863D} - (no file)
Toolbar-{1962c5bc-e475-465b-823b-133e711bceb9} - c:\program files\Starware370\bin\Starware370.dll
HKCU-Run-WOOKIT - c:\program files\Wanadoo\Shell.exe

.
------- Examen supplémentaire -------
.
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
IE: &Windows Live Search
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
Trusted Zone: asia.msi.com.tw
Trusted Zone: global.msi.com.tw
Trusted Zone: www.msi.com.tw

c:\windows\bdoscandellang.ini - c:\windows\bdoscandel.exe
c:\windows\Downloaded Program Files\live.ini
c:\windows\Downloaded Program Files\scanoptions.tsi
c:\windows\Downloaded Program Files\lang.ini
c:\windows\Downloaded Program Files\ipsupd.dll
c:\windows\Downloaded Program Files\bdupd.dll
c:\windows\Downloaded Program Files\libfn.dll
c:\windows\Downloaded Program Files\bdcore.dll
c:\windows\Downloaded Program Files\oscan8.ocx
O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}
hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
c:\windows\Downloaded Program Files\oscan8.inf

O16 -: {8167C273-DF59-4416-B647-C8BB2C7EE83E} - hxxp://liveupdate.msi.com.tw/autobios/LOnline/install.cab
c:\windows\Downloaded Program Files\MSIWDev.inf
FF - ProfilePath - c:\documents and settings\Gaec\Application Data\Mozilla\Firefox\Profiles\srijd3f4.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www5.yoog.com/search.php?q=
FF - prefs.js: browser.search.selectedEngine - Yoog Search
FF - prefs.js: browser.startup.homepage - hxxp://fr.yahoo.com/
FF - prefs.js: keyword.URL - hxxp://www5.yoog.com/search.php?q=
FF - component: c:\program files\Mozilla Firefox\components\nsmilehighads.dll
FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll

---- PARAMETRES FIREFOX ----
FF - user.js: browser.search.selectedEngine - Yoog Search
FF - user.js: keyword.URL - hxxp://www5.yoog.com/search.php?q=
FF - user.js: keyword.enabled - true
FF - user.js: browser.search.defaultenginename - Yoog Search
FF - user.js: browser.search.defaulturl - hxxp://www5.yoog.com/search.php?q=
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-17 11:34:48
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bdfsfltr]
"ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bdfsfltr]
"ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1264)
c:\windows\system32\MrvGINA.dll
c:\windows\system32\Ati2evxx.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\LightScribe\LSSrvc.exe
c:\program files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
c:\program files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\ati2evxx.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
c:\windows\system32\taskmgr.exe
.
**************************************************************************
.
Heure de fin: 2009-01-17 11:40:13 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-01-17 10:40:09

Avant-CF: 15,429,853,184 octets libres
Après-CF: 18,797,330,432 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4
330 --- E O F --- 2009-01-15 20:10:24

Les fichiers indiqués par ComboFix se trouvent ici.

Merci

| Alerter

Répondre à Chre

Sham_Rock

17 Janvier 2009 20:22:50

bonsoir
on continue

1

Copie (Ctrl+C) le texte ci-dessous :

File::
c:\windows\system32\nsjB.dll
c:\windows\system32\cont_milehighads-remove.exe
c:\windows\system32\yypkqhmjqgeczplv.exe
c:\program files\mozilla firefox\components\nsmilehighads.dll

Folder::
c:\program files\Milehighads Games Collection
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{f7841d30-43a4-c3ca-2243-d0c654e2f8de}]

Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu viens de copier.
Sauvegarde ce fichier sous le nom de CFScript.txt

Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

2
Télécharge MalwareByte's Anti-Malware sur ton Bureau.

Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
Une fois l'installation et la mise à jour effectuées :

Fais redémarrer ton ordinateur en mode sans échec
- Au démarrage, après le chargement du bios, appuie successivement sur la touche F8 (ou F5) de ton clavier jusqu'à l'apparition d'un menu sur fond noir. Une fois arrivé à ce stade, sélectionne à l'aide du clavier Mode sans Echec.
-- Dans ce mode, tu n'as pas accès à Internet, et tu te retrouves avec une configuration visuelle différente (pas de fond d'écran, icônes très grosses). Ne sois donc pas étonné.
--- C'est pour ces différentes raisons que je t'invite à imprimer, noter, ou enregistrer dans un document texte les informations suivantes afin de ne pas être perdu.
---- ! Ne fais pas démarrer ton ordinateur en mode sans échec via MSConfig ! Pourquoi ? Certaines infections cassent les clefs du mode sans échec, ce qui ferait crasher ton ordinateur.

Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".

Afin de lancer la recherche, clic sur"Rechercher".

Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :

~ Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
~~ Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau.
~~~~ Fais redémarrer ton ordinateur normalement et poste le rapport dans ta prochaine réponse.

REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.[/#f]

Note : Si tu ne parviens à télécharger MBAM à partir de MajorGeeks, tu peux le télécharger ici!

[#FF0000]Aide :

Comment utiliser MBAM.

Comment faire démarrer son ordinateur en mode sans échec.

| Alerter

Répondre à Sham_Rock

Chre

18 Janvier 2009 10:27:20

Bonjour à vous,
Bonjour Sham_Rock,

Première étape, voici donc tout d'abord le nouveau rapport ComboFix

Citation :

ComboFix 09-01-17.03 - Gaec 2009-01-18 11:11:40.2 - NTFSx86 NETWORK
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.511.364 [GMT 1:00]
Lancé depuis: c:\documents and settings\Gaec\Bureau\Chre.exe
Commutateurs utilisés :: c:\documents and settings\Gaec\Bureau\CFScript.txt
AV: Bitdefender Antivirus *On-access scanning disabled* (Outdated)
FW: Bitdefender Firewall *disabled*

FILE ::
c:\program files\mozilla firefox\components\nsmilehighads.dll
c:\windows\system32\cont_milehighads-remove.exe
c:\windows\system32\nsjB.dll
c:\windows\system32\yypkqhmjqgeczplv.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Milehighads Games Collection
c:\program files\Milehighads Games Collection\BobAndBill.exe
c:\program files\Milehighads Games Collection\Lines.exe
c:\program files\Milehighads Games Collection\uninstall.exe
c:\program files\Milehighads Games Collection\VideoPool.exe
c:\program files\mozilla firefox\components\nsmilehighads.dll
c:\windows\system32\cont_milehighads-remove.exe
c:\windows\system32\nsjB.dll
c:\windows\system32\yypkqhmjqgeczplv.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-12-18 au 2009-01-18 ))))))))))))))))))))))))))))))))))))
.

2009-01-17 11:52 . 2009-01-17 11:52 <REP> d-------- c:\documents and settings\Gaec\Application Data\Malwarebytes
2009-01-16 00:11 . 2009-01-16 00:11 552 --a------ c:\windows\system32\d3d8caps.dat
2009-01-15 23:51 . 2009-01-15 23:51 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-01-15 23:51 . 2009-01-15 23:51 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-01-15 23:51 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-15 23:51 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-15 23:19 . 2009-01-15 23:19 685,056 --a------ c:\windows\isRS-000.tmp
2009-01-15 23:15 . 2009-01-15 23:15 664 --a------ c:\windows\system32\d3d9caps.dat
2009-01-15 22:24 . 2009-01-15 22:24 <REP> d-------- c:\program files\Bonjour
2009-01-15 22:23 . 2009-01-15 22:23 <REP> d-------- c:\program files\iTunes
2009-01-15 22:23 . 2009-01-15 22:23 <REP> d-------- c:\program files\iPod
2009-01-15 22:23 . 2009-01-15 22:23 <REP> d-------- c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2009-01-15 22:21 . 2009-01-15 22:21 <REP> d-------- c:\program files\QuickTime
2009-01-15 21:19 . 2009-01-15 21:18 410,984 --a------ c:\windows\system32\deploytk.dll
2009-01-15 21:09 . 2009-01-15 21:09 118 --a------ c:\windows\system32\MRT.INI
2009-01-08 15:08 . 2009-01-08 15:08 <REP> d-------- c:\windows\system32\IOSUBSYS

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-17 10:34 81,984 ----a-w c:\windows\system32\bdod.bin
2009-01-15 22:47 --------- d-----w c:\program files\Mozilla Thunderbird
2009-01-15 21:26 --------- d-----w c:\program files\Fichiers communs\Adobe
2009-01-15 21:23 --------- d-----w c:\program files\Fichiers communs\Apple
2009-01-15 21:15 --------- d-----w c:\program files\Safari
2009-01-15 20:38 --------- d-----w c:\program files\Java
2009-01-15 20:18 --------- d-----w c:\documents and settings\Gaec\Application Data\OpenOffice.org2
2009-01-08 14:08 --------- d-----w c:\program files\Google
2009-01-02 17:45 --------- d-----w c:\documents and settings\Gaec\Application Data\LimeWire
2008-12-12 21:47 3,751,995 ----a-w c:\windows\system32\GPhotos.scr
2008-12-12 10:18 87,336 ----a-w c:\windows\system32\dns-sd.exe
2008-12-12 10:11 61,440 ----a-w c:\windows\system32\dnssd.dll
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-12-08 15:47 5,632 ----a-w c:\windows\system32\drivers\StarOpen.sys
2008-11-28 13:25 86,792 ----a-w c:\windows\system32\drivers\bdfndisf.sys
2008-11-28 13:23 77,824 ----a-w c:\windows\system32\xcomm.dll
2008-11-28 13:12 --------- d-----w c:\program files\Fichiers communs\BitDefender
2008-11-28 13:12 --------- d-----w c:\documents and settings\All Users\Application Data\BitDefender
2008-11-25 13:15 --------- d-----w c:\program files\DivX
2008-10-28 22:36 823,296 ----a-w c:\windows\system32\divx_xx0c.dll
2008-10-28 22:36 823,296 ----a-w c:\windows\system32\divx_xx07.dll
2008-10-28 22:35 815,104 ----a-w c:\windows\system32\divx_xx0a.dll
2008-10-28 22:35 802,816 ----a-w c:\windows\system32\divx_xx11.dll
2008-10-28 22:35 684,032 ----a-w c:\windows\system32\DivX.dll
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2007-06-06 14:22 0 -c-ha-w c:\documents and settings\NetworkService\hpothb07.dat
2007-06-06 14:22 0 -c-ha-w c:\documents and settings\LocalService\hpothb07.dat
2008-09-20 16:17 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008092020080921\index.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"msnmsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 2097488]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-11-04 413696]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Ulead Memory Card Detector"="c:\program files\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe" [2002-09-11 40960]
"OPTENET_GUI"="c:\progra~1\CONTRO~1\bin\optgui.exe" [2006-12-20 404536]
"FixCamera"="c:\windows\FixCamera.exe" [2006-10-09 20480]
"tsnp2std"="c:\windows\tsnp2std.exe" [2006-06-19 262144]
"snp2std"="c:\windows\vsnp2std.exe" [2006-05-15 675840]
"BitDefender Antiphishing Helper"="c:\program files\BitDefender\BitDefender 2008\IEShow.exe" [2007-10-09 61440]
"BDAgent"="c:\program files\BitDefender\BitDefender 2008\bdagent.exe" [2008-11-28 368640]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-01-15 136600]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-11-04 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-14 c:\windows\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Event Reminder.lnk - c:\program files\Broderbund\PrintMaster\PMremind.exe [2008-02-07 323584]
hp psc 1000 series.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-04-06 147456]
hpoddt01.exe.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-06 28672]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]
Wireless Configuration Utility HW.51.lnk - c:\program files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.51 V1.20\WlanCU.exe [2007-11-05 454656]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Kyodai Mahjongg\\kmj.exe"=
"c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Documents and Settings\\Gaec\\Bureau\\SmitfraudFix\\SmiUpdate.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [2006-12-13 11264]
R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;c:\windows\system32\drivers\bdfndisf.sys [2007-10-19 86792]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]
S4 OPTENET_FILTER;Orange Contrôle Parental;c:\program files\Controle Parental\bin\optproxy.exe [2007-07-25 624376]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan
.
Contenu du dossier 'Tâches planifiées'

2008-12-18 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2008-03-03 c:\windows\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1194192644.job
- c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-06 00:52]
.
.
------- Examen supplémentaire -------
.
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
IE: &Windows Live Search
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
Trusted Zone: asia.msi.com.tw
Trusted Zone: global.msi.com.tw
Trusted Zone: www.msi.com.tw

c:\windows\bdoscandellang.ini - c:\windows\bdoscandel.exe
c:\windows\Downloaded Program Files\live.ini
c:\windows\Downloaded Program Files\scanoptions.tsi
c:\windows\Downloaded Program Files\lang.ini
c:\windows\Downloaded Program Files\ipsupd.dll
c:\windows\Downloaded Program Files\bdupd.dll
c:\windows\Downloaded Program Files\libfn.dll
c:\windows\Downloaded Program Files\bdcore.dll
c:\windows\Downloaded Program Files\oscan8.ocx
O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}
hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
c:\windows\Downloaded Program Files\oscan8.inf

O16 -: {8167C273-DF59-4416-B647-C8BB2C7EE83E} - hxxp://liveupdate.msi.com.tw/autobios/LOnline/install.cab
c:\windows\Downloaded Program Files\MSIWDev.inf
FF - ProfilePath - c:\documents and settings\Gaec\Application Data\Mozilla\Firefox\Profiles\srijd3f4.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www5.yoog.com/search.php?q=
FF - prefs.js: browser.search.selectedEngine - Yoog Search
FF - prefs.js: browser.startup.homepage - hxxp://fr.yahoo.com/
FF - prefs.js: keyword.URL - hxxp://www5.yoog.com/search.php?q=
FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll

---- PARAMETRES FIREFOX ----
FF - user.js: browser.search.selectedEngine - Yoog Search
FF - user.js: keyword.URL - hxxp://www5.yoog.com/search.php?q=
FF - user.js: keyword.enabled - true
FF - user.js: browser.search.defaultenginename - Yoog Search
FF - user.js: browser.search.defaulturl - hxxp://www5.yoog.com/search.php?q=
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-18 11:14:24
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bdfsfltr]
"ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bdfsfltr]
"ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1144)
c:\windows\system32\MrvGINA.dll
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2009-01-18 11:16:18
ComboFix-quarantined-files.txt 2009-01-18 10:16:16
ComboFix2.txt 2009-01-17 10:40:15

Avant-CF: 18 836 729 856 octets libres
Après-CF: 18,799,472,640 octets libres

192 --- E O F --- 2009-01-15 20:10:24

MBAM en cours...

| Alerter

Répondre à Chre

Chre

18 Janvier 2009 15:55:34

Re,

Deuxième étape.

Voici deux rapports MBAM, celui demandé et fait après le ComboFix du post précédent, et un que j'ai réalisé *avant*, et qui avait trouvé beaucoup de choses.

Le rapport MBAM demandé

Citation :

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1664
Windows 5.1.2600 Service Pack 3

18/01/2009 16:48:07
mbam-log-2009-01-18 (16-48-07).txt

Type de recherche: Examen complet (C:\|F:\|)
Eléments examinés: 300581
Temps écoulé: 2 hour(s), 51 minute(s), 20 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{1962c5bc-e475-465b-823b-133e711bceb9} (Adware.Starware) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Le rapport MBAM réalisé *avant*

Citation :

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1659
Windows 5.1.2600 Service Pack 3

17/01/2009 16:41:25
mbam-log-2009-01-17 (16-41-25).txt

Type de recherche: Examen complet (C:\|F:\|)
Eléments examinés: 300467
Temps écoulé: 2 hour(s), 51 minute(s), 10 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{ab3dfa03-f743-4302-81dd-c370bffeca23} (Adware.Starware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{e550dc77-ef3b-474f-b59c-b3e2aa1fa6a5} (Adware.Starware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1a93c934-025b-4c3a-b38e-9654a7003239} (Adware.Gamesbar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{1962c5bc-e475-465b-823b-133e711bceb9} (Adware.Starware) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSScfum.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSnrsr.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSofxh.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSriqp.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{AA2CE32E-8175-4A59-A163-23E56D2CA5CE}\RP608\A0485959.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{AA2CE32E-8175-4A59-A163-23E56D2CA5CE}\RP608\A0485960.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{AA2CE32E-8175-4A59-A163-23E56D2CA5CE}\RP608\A0485961.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{AA2CE32E-8175-4A59-A163-23E56D2CA5CE}\RP608\A0485962.dll (Trojan.TDSS) -> Quarantined and deleted successfully.

| Alerter

Répondre à Chre

Sham_Rock

18 Janvier 2009 18:55:43

bonsoir
comment se comporte ton pc?

Fais une analyse antivirus en ligne sur Kaspersky avec Internet Explorer.

Autorise les Active x.

Clique sur Démarrer Online Scanner.

Sélectionne le poste de travail comme analyse. Enregistres sous le rapport en format .txt.

Colle son rapport ici.

Poste un nouveau rapport Hijackthis.

Aide : Comment faire un scan en ligne avec Kaspersky .

| Alerter

Répondre à Sham_Rock

Chre

19 Janvier 2009 05:33:20

Bonjour toutes et tous,
Bonjour Sham_Rock,

L'ordinateur va mieux, je commence à pouvoir à nouveau l'utiliser.
Mais il reste des choses d'après Kaspersky, et dans Firefox j'ai le
moteur de recherche par défaut "Yoog Search" et dans IE "Starware toolbar musique search"...

Enfin, plus gênant, je n'arrive pas à remettre en route "Bitdefender Internet Security 2008" depuis que le poste est infecté, il me dit que les services sont désactivés et que je dois redémarrer le PC. Mais même en faisant cela, çà ne démarre pas. BitDefender me dit "La protection en temps réel de BitDefender n'est pas disponible"

Voici le rapport Kaspersky

Citation :

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7 REPORT
Monday, January 19, 2009
Operating System: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Sunday, January 18, 2009 17:55:28
Records in database: 1643156
--------------------------------------------------------------------------------

Scan settings:
Scan using the following database: extended
Scan archives: yes
Scan mail databases: yes

Scan area - My Computer:
A:\
C:\
D:\
E:\
F:\

Scan statistics:
Files scanned: 251890
Threat name: 6
Infected objects: 8
Suspicious objects: 0
Duration of the scan: 02:31:01

File name / Threat name / Threats count
C:\Documents and Settings\Gaec\Bureau\clean\pskill.exe Infected: not-a-virus:RiskTool.Win32.PsKill.k 1
C:\Documents and Settings\Gaec\Mes documents\LimeWire\Saved\james brand sexy girl has shaking orgasm during sex.mp3 Infected: Trojan-Downloader.WMA.Wimad.o 1
C:\Documents and Settings\Gaec\Mes documents\LimeWire\Saved\james brand.mp3 Infected: Trojan-Downloader.WMA.GetCodec.c 1
C:\Documents and Settings\Gaec\Mes documents\Téléchargement\clean.zip Infected: not-a-virus:RiskTool.Win32.PsKill.k 1
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\__.zip Infected: Backdoor.Win32.TDSS.bkw 1
C:\_OTMoveIt\MovedFiles\compilation\tightvnc\tightvnc-1.2.9-setup.exe Infected: not-a-virus:RemoteAdmin.Win32.WinVNC-based.h 1
C:\_OTMoveIt\MovedFiles\compilation\tightvnc\tightvnc-1.2.9-setup.exe Infected: not-a-virus:RemoteAdmin.Win32.WinVNC-based.b 1
C:\_OTMoveIt\MovedFiles\Documents and Settings\Gaec\Local Settings\Application Data\Mozilla\Firefox\Profiles\srijd3f4.default\Cache\3CD27B45d01 Infected: not-a-virus:RiskTool.Win32.PsKill.k 1

The selected area was scanned.

Le rapport Hijackthis

Citation :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 06:22:10, on 19/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
C:\PROGRA~1\CONTRO~1\bin\optgui.exe
C:\WINDOWS\FixCamera.exe
C:\WINDOWS\tsnp2std.exe
C:\WINDOWS\vsnp2std.exe
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.51 V1.20\WlanCU.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\DOCUME~1\Gaec\LOCALS~1\Temp\Répertoire temporaire 1 pour HiJackThis.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: (no name) - {f7841d30-43a4-c3ca-2243-d0c654e2f8de} - (no file)
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Program Files\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
O4 - HKLM\..\Run: [OPTENET_GUI] C:\PROGRA~1\CONTRO~1\bin\optgui.exe
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\tsnp2std.exe
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre6\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Event Reminder.lnk = C:\Program Files\Broderbund\PrintMaster\PMremind.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Wireless Configuration Utility HW.51.lnk = C:\Program Files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.51 V1.20\WlanCU.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O15 - Trusted Zone: http://asia.msi.com.tw
O15 - Trusted Zone: http://global.msi.com.tw
O15 - Trusted Zone: http://www.msi.com.tw
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986....
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.ca...
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.c...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxmultijoueurs.orange.fr/Gameshell/GameHost/1....
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/fl...
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: Orange Contrôle Parental (OPTENET_FILTER) - Orange - C:\Program Files\Controle Parental\bin\optproxy.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe

--
End of file - 10068 bytes

| Alerter

Répondre à Chre

Sham_Rock

19 Janvier 2009 20:28:55

re
c'est que ça va pas mieux alors... :pt1cable:

1

Télécharge sur ton bureau FoxScan de Loup blanc
http://fradesch.perso.cegetel.net/transf/FoxScan.exe

laisse toi guider et poste le rapport généré.

supprime:

2
Copie (Ctrl+C) le texte ci-dessous :

File::
C:\Documents and Settings\Gaec\Mes documents\LimeWire\Saved\james brand sexy girl has shaking orgasm during sex.mp3
C:\Documents and Settings\Gaec\Mes documents\LimeWire\Saved\james brand.mp3

Extra::
Firefox::
FF - ProfilePath - c:\documents and settings\Gaec\Application Data\Mozilla\Firefox\Profiles\srijd3f4.default\
FF - prefs.js: browser.search.defaulturl -
FF - prefs.js: browser.search.selectedEngine -
FF - prefs.js: browser.startup.homepage -
FF - prefs.js: keyword.URL -

Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu viens de copier.
Sauvegarde ce fichier sous le nom de CFScript.txt

Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

| Alerter

Répondre à Sham_Rock

Chre

19 Janvier 2009 21:58:29

Re,

Sham_Rock a dit :

c'est que ça va pas mieux alors... :pt1cable:

Sisi, je t'assure que çà va beaucoup mieux qu'avant pourtant :lol:

Suppression des fichiers demandés faite.

Rapport TB

Citation :

-----------\\ ToolBar S&D 1.2.8 XP/Vista

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) D CPU 2.80GHz )
BIOS : Default System BIOS
USER : Gaec ( Administrator )
BOOT : Normal boot
Antivirus : Bitdefender Antivirus 8.0 (Not Activated)
Firewall : Bitdefender Firewall 8.0 (Not Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:51 Go (Free:17 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)
F:\ (Local Disk) - NTFS - Total:97 Go (Free:96 Go)

"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
Option : [1] ( 19/01/2009|22:51 )

-----------\\ Recherche de Fichiers / Dossiers ...

C:\WINDOWS\iun6002.exe

-----------\\ Extensions

(Gaec) - {0538E3E3-7E9B-4d49-8831-A227C80A7AD3} => forecastfox
(Gaec) - {635abd67-4fe9-1b23-4f01-e679fa7484c1} => ytoolbar
(Gaec) - {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} => adblockplus

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&..."
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iese..."
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iese..."

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"
"Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Local Page"="C:\\windows\\system32\\blank.htm"
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"

--------------------\\ Recherche d'autres infections

Aucune autre infection trouvée !

1 - "C:\ToolBar SD\TB_1.txt" - 19/01/2009|22:52 - Option : [1]

-----------\\ Fin du rapport a 22:52:33,68

Rapport FoxScan

Citation :

FoxScan Version 1.0.5
Ecrit par Loup blanc - Zebulon.fr
Scan lancé le 19/01/2009 à 22:56:59,62

Microsoft Windows XP [version 5.1.2600]
Service Pack 3

Mozilla Firefox version : 3.0.5 (fr)
Dossier d'installation : C:\Program Files\Mozilla Firefox

Profil : default
Dossier du profil : C:\Documents and Settings\Gaec\Application Data\mozilla\firefox\Profiles\srijd3f4.default\
Pages de démarrage : "http://fr.yahoo.com/"

------------------------------------------------------

//////////// Modules complémentaires \\\\\\\\\\\\\
======= Profil : default =======

La notification d'installation des modules complémentaires est activée

Nom : Adblock Plus
Etat : Activé
Dossier : C:\Documents and Settings\Gaec\Application Data\Mozilla\Firefox\Profiles\srijd3f4.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}

Nom : Dictionnaire HunSpell en FranÃ§ais
Etat : Activé
Dossier : C:\Documents and Settings\Gaec\Application Data\Mozilla\Firefox\Profiles\srijd3f4.default\extensions\fr-FR@dictionaries.addons.mozilla.org

Nom : Dictionnaire HunSpell en FranÃ§ais (rÃ©forme 1990)
Etat : Activé
Dossier : C:\Documents and Settings\Gaec\Application Data\Mozilla\Firefox\Profiles\srijd3f4.default\extensions\fr@dictionaries.addons.mozilla.org

Nom : Forecastfox
Etat : Activé
Dossier : C:\Documents and Settings\Gaec\Application Data\Mozilla\Firefox\Profiles\srijd3f4.default\extensions\{0538E3E3-7E9B-4d49-8831-A227C80A7AD3}

Nom : Java Console
Etat : Activé
Dossier : C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}

Nom : Java Quick Starter
Etat : Activé
Dossier : C:\Program Files\Java\jre6\lib\deploy\jqs\ff

Nom : Yahooname
Etat : Activé
Dossier : C:\Documents and Settings\Gaec\Application Data\Mozilla\Firefox\Profiles\srijd3f4.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}

Nom : Default
Etat : Activé
Dossier : C:\Program Files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

Nom : Yahoo Toolbar
Etat : Désactivé

Nom : Oberon Game Host
Etat : Désactivé

------------------------------------------------------

//////////// Plugins de recherche \\\\\\\\\\\\\
======= Profil : default =======

Recherche dans "perfs.js" :

browser.search.defaultenginename : "Yoog Search"

browser.search.defaulturl : "http://www5.yoog.com/search.php?q="

browser.search.selectedEngine : "Yoog Search"

keyword.URL : "http://www5.yoog.com/search.php?q="

--------- Moteurs de recherche trouvés ------------
+ Formulaire de recherche configuré pour le moteur

C:\Program Files\Mozilla Firefox\searchplugins\amazon-france.xml
template="http://www.amazon.fr/exec/obidos/external-search/">

C:\Program Files\Mozilla Firefox\searchplugins\eBay-france.xml
template="http://rover.ebay.com/rover/1/709-47295-17703-3/4">

C:\Program Files\Mozilla Firefox\searchplugins\google.xml
template="http://www.google.com/search">

C:\Program Files\Mozilla Firefox\searchplugins\MediaDICO-fr.xml
template="http://www.dictionnaire-mediadico.com/dictionnaires.asp">

C:\Program Files\Mozilla Firefox\searchplugins\wikipedia-fr.xml
template="http://fr.wikipedia.org/wiki/Special:Recherche">

C:\Program Files\Mozilla Firefox\searchplugins\yahoo-france.xml
template="http://fr.search.yahoo.com/search">

C:\Documents and Settings\Gaec\Application Data\mozilla\firefox\Profiles\srijd3f4.default\searchplugins\Yoog Search.xml

------------------------------------------------------

//////////// DLL présentes dans C:\Program Files\Mozilla Firefox\components \\\\\\\\\\\\\

browserdirprovider.dll
brwsrcmp.dll

------------------------------------------------------

//////////// Plugins configurés dans la Base de registre \\\\\\\\\\\\\

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@adobe.com/FlashPlayer]
"Description"="Adobe® Flash® Player 9"
"Vendor"="Adobe Systems Incorporated"
"Path"="C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll"

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@Apple.com/iTunes,version=]
"Description"="Module iTunes Detector"

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@Apple.com/iTunes,version=1.0]
"Vendor"="Apple Inc."
"Path"="C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll"

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@divx.com/DivX Browser Plugin,version=1.0.0]
"Description"="DivX Web Player"
"Vendor"="DivX,Inc."
"Path"="C:\Program Files\DivX\DivX Web Player\npdivx32.dll"

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@divx.com/DivX Player Plugin,version=1.0.0]
"Description"="DivX® Player Plugin for VOD Content"
"Vendor"="DivX,Inc."
"Path"="C:\Program Files\DivX\DivX Player\npDivxPlayerPlugin.dll"

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@google.com/npPicasa3,version=3.0.0]
"Description"="Picasa3 plugin"
"Vendor"="Google, Inc."
"Path"="C:\Program Files\Google\Picasa3\npPicasa3.dll"

------------------------------------------------------

//////////// Recherche additionnelles pour les infections Goored, YoogSearch... \\\\\\\\\\\\\

[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\extensions]

[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Mozilla Firefox 3.0.5\extensions]

------------------ Fin du rapport ------------------

| Alerter

Répondre à Chre

Sham_Rock

19 Janvier 2009 22:08:11

re

Copie (Ctrl+C) le texte ci-dessous :

File::
C:\Documents and Settings\Gaec\Mes documents\LimeWire\Saved\james brand sexy girl has shaking orgasm during sex.mp3
C:\Documents and Settings\Gaec\Mes documents\LimeWire\Saved\james brand.mp3

Extra::
Firefox::
FF - ProfilePath - c:\documents and settings\Gaec\Application Data\Mozilla\Firefox\Profiles\srijd3f4.default\
FF - prefs.js: browser.search.defaulturl -
FF - prefs.js: browser.search.selectedEngine -
FF - prefs.js: browser.startup.homepage -
FF - prefs.js: keyword.URL -

Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu viens de copier.
Sauvegarde ce fichier sous le nom de CFScript.txt

Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

| Alerter

Répondre à Sham_Rock

Chre

20 Janvier 2009 06:10:28

Bonjour à vous,
Bonjour Sham_Rock,

Voici le rapport ComboFix demandé

Citation :

ComboFix 09-01-19.04 - Gaec 2009-01-20 7:01:24.3 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.511.184 [GMT 1:00]
Lancé depuis: c:\documents and settings\Gaec\Bureau\Chre.exe
Commutateurs utilisés :: c:\documents and settings\Gaec\Bureau\CFScript.txt
AV: Bitdefender Antivirus *On-access scanning disabled* (Updated)
FW: Bitdefender Firewall *disabled*
* Un nouveau point de restauration a été créé

FILE ::
c:\documents and settings\Gaec\Mes documents\LimeWire\Saved\james brand sexy girl has shaking orgasm during sex.mp3
c:\documents and settings\Gaec\Mes documents\LimeWire\Saved\james brand.mp3
.

((((((((((((((((((((((((((((( Fichiers créés du 2008-12-20 au 2009-01-20 ))))))))))))))))))))))))))))))))))))
.

2009-01-19 22:51 . 2009-01-19 22:52 <REP> d-------- C:\ToolBar SD
2009-01-17 11:52 . 2009-01-17 11:52 <REP> d-------- c:\documents and settings\Gaec\Application Data\Malwarebytes
2009-01-16 00:11 . 2009-01-16 00:11 552 --a------ c:\windows\system32\d3d8caps.dat
2009-01-15 23:51 . 2009-01-15 23:51 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-01-15 23:51 . 2009-01-15 23:51 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-01-15 23:51 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-15 23:51 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-15 23:19 . 2009-01-15 23:19 685,056 --a------ c:\windows\isRS-000.tmp
2009-01-15 23:15 . 2009-01-18 20:23 664 --a------ c:\windows\system32\d3d9caps.dat
2009-01-15 22:24 . 2009-01-15 22:24 <REP> d-------- c:\program files\Bonjour
2009-01-15 22:23 . 2009-01-15 22:23 <REP> d-------- c:\program files\iTunes
2009-01-15 22:23 . 2009-01-15 22:23 <REP> d-------- c:\program files\iPod
2009-01-15 22:23 . 2009-01-15 22:23 <REP> d-------- c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2009-01-15 22:21 . 2009-01-15 22:21 <REP> d-------- c:\program files\QuickTime
2009-01-15 21:19 . 2009-01-15 21:18 410,984 --a------ c:\windows\system32\deploytk.dll
2009-01-15 21:09 . 2009-01-15 21:09 118 --a------ c:\windows\system32\MRT.INI
2009-01-08 15:08 . 2009-01-08 15:08 <REP> d-------- c:\windows\system32\IOSUBSYS

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-20 05:55 81,984 ----a-w c:\windows\system32\bdod.bin
2009-01-19 21:46 --------- d-----w c:\program files\Spybot - Search & Destroy
2009-01-19 21:46 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-01-15 22:47 --------- d-----w c:\program files\Mozilla Thunderbird
2009-01-15 21:26 --------- d-----w c:\program files\Fichiers communs\Adobe
2009-01-15 21:23 --------- d-----w c:\program files\Fichiers communs\Apple
2009-01-15 21:15 --------- d-----w c:\program files\Safari
2009-01-15 20:38 --------- d-----w c:\program files\Java
2009-01-15 20:18 --------- d-----w c:\documents and settings\Gaec\Application Data\OpenOffice.org2
2009-01-08 14:08 --------- d-----w c:\program files\Google
2009-01-02 17:45 --------- d-----w c:\documents and settings\Gaec\Application Data\LimeWire
2008-12-12 21:47 3,751,995 ----a-w c:\windows\system32\GPhotos.scr
2008-12-12 10:18 87,336 ----a-w c:\windows\system32\dns-sd.exe
2008-12-12 10:11 61,440 ----a-w c:\windows\system32\dnssd.dll
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-12-08 15:47 5,632 ----a-w c:\windows\system32\drivers\StarOpen.sys
2008-11-28 13:25 86,792 ----a-w c:\windows\system32\drivers\bdfndisf.sys
2008-11-28 13:23 77,824 ----a-w c:\windows\system32\xcomm.dll
2008-11-28 13:12 --------- d-----w c:\program files\Fichiers communs\BitDefender
2008-11-28 13:12 --------- d-----w c:\documents and settings\All Users\Application Data\BitDefender
2008-11-25 13:15 --------- d-----w c:\program files\DivX
2008-10-28 22:36 823,296 ----a-w c:\windows\system32\divx_xx0c.dll
2008-10-28 22:36 823,296 ----a-w c:\windows\system32\divx_xx07.dll
2008-10-28 22:35 815,104 ----a-w c:\windows\system32\divx_xx0a.dll
2008-10-28 22:35 802,816 ----a-w c:\windows\system32\divx_xx11.dll
2008-10-28 22:35 684,032 ----a-w c:\windows\system32\DivX.dll
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2007-06-06 14:22 0 -c-ha-w c:\documents and settings\NetworkService\hpothb07.dat
2007-06-06 14:22 0 -c-ha-w c:\documents and settings\LocalService\hpothb07.dat
2008-09-20 16:17 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008092020080921\index.dat
.

((((((((((((((((((((((((((((( snapshot@2009-01-17_11.39.09.73 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-01-20 05:55:57 16,384 ----atw c:\windows\temp\Perflib_Perfdata_1d0.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-11-04 413696]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Ulead Memory Card Detector"="c:\program files\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe" [2002-09-11 40960]
"OPTENET_GUI"="c:\progra~1\CONTRO~1\bin\optgui.exe" [2006-12-20 404536]
"FixCamera"="c:\windows\FixCamera.exe" [2006-10-09 20480]
"tsnp2std"="c:\windows\tsnp2std.exe" [2006-06-19 262144]
"snp2std"="c:\windows\vsnp2std.exe" [2006-05-15 675840]
"BitDefender Antiphishing Helper"="c:\program files\BitDefender\BitDefender 2008\IEShow.exe" [2007-10-09 61440]
"BDAgent"="c:\program files\BitDefender\BitDefender 2008\bdagent.exe" [2008-11-28 368640]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-01-15 136600]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-11-04 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-14 c:\windows\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Event Reminder.lnk - c:\program files\Broderbund\PrintMaster\PMremind.exe [2008-02-07 323584]
hp psc 1000 series.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-04-06 147456]
hpoddt01.exe.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-06 28672]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]
Wireless Configuration Utility HW.51.lnk - c:\program files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.51 V1.20\WlanCU.exe [2007-11-05 454656]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Kyodai Mahjongg\\kmj.exe"=
"c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Documents and Settings\\Gaec\\Bureau\\SmitfraudFix\\SmiUpdate.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [2006-12-13 11264]
R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;c:\windows\system32\drivers\bdfndisf.sys [2007-10-19 86792]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]
S4 OPTENET_FILTER;Orange Contrôle Parental;c:\program files\Controle Parental\bin\optproxy.exe [2007-07-25 624376]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan
.
Contenu du dossier 'Tâches planifiées'

2008-12-18 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2008-03-03 c:\windows\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1194192644.job
- c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-06 00:52]
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{f7841d30-43a4-c3ca-2243-d0c654e2f8de} - (no file)

.
------- Examen supplémentaire -------
.
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
IE: &Windows Live Search
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
Trusted Zone: asia.msi.com.tw
Trusted Zone: global.msi.com.tw
Trusted Zone: www.msi.com.tw
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} - hxxp://liveupdate.msi.com.tw/autobios/LOnline/install.cab
FF - ProfilePath - c:\documents and settings\Gaec\Application Data\Mozilla\Firefox\Profiles\srijd3f4.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www5.yoog.com/search.php?q=
FF - prefs.js: browser.search.selectedEngine - Yoog Search
FF - prefs.js: browser.startup.homepage - hxxp://fr.yahoo.com/
FF - prefs.js: keyword.URL - hxxp://www5.yoog.com/search.php?q=
FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll

---- PARAMETRES FIREFOX ----
FF - user.js: browser.search.selectedEngine - Yoog Search
FF - user.js: keyword.URL - hxxp://www5.yoog.com/search.php?q=
FF - user.js: keyword.enabled - true
FF - user.js: browser.search.defaultenginename - Yoog Search
FF - user.js: browser.search.defaulturl - hxxp://www5.yoog.com/search.php?q=
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-20 07:04:57
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bdfsfltr]
"ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bdfsfltr]
"ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1252)
c:\windows\system32\MrvGINA.dll
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2009-01-20 7:06:56
ComboFix-quarantined-files.txt 2009-01-20 06:06:54
ComboFix2.txt 2009-01-18 10:16:19
ComboFix3.txt 2009-01-17 10:40:15

Avant-CF: 18 632 601 600 octets libres
Après-CF: 18,654,449,664 octets libres

Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4
177 --- E O F --- 2009-01-15 20:10:24

| Alerter

Répondre à Chre

Sham_Rock

20 Janvier 2009 23:44:28

ok
bon, on fait autrement...

Télécharge OTScanIt2.exe sur ton Bureau, et fais un double clic dessus pour extraire les fichiers. Cela va créer un dossier nommé OTScanIt2 sur ton Bureau.

N.B : Si pendant le téléchargement et/ou l’installation tu reçois une alerte de ton antivirus, ignore-là. Certains composants de OTscanIT peuvent être détectés comme un virus par certains antivirus. Pense aussi à désactiver tes protections résidentes durant la procédure.

Note : Vous devez avoir ouvert une session avec un compte ayant les droits Administrateur pour exécuter ce programme.

Ferme TOUS LES AUTRES PROGRAMMES et laisse travailler OTscanIT2.

Ouvre le dossier OTScanIt2 et fais un double clic sur OTScanIt2.exe pour lancer le programme (si tu es sous Windows Vista, fais un clic droit sur le programme et choisis Exécuter en tant qu'Administrateur).

Sous "File Age" en haut, clique sur le menu déroulant et sélectionne "90 days".

Sous Additional Scans coche la case située devant les éléments suivants afin de les sélectionner : Reg - ColumnHandlers, Reg - Desktop Components, Reg - Disabled MS Config Items, Reg - File Associations, Reg - NetSvcs, Reg - Protocol Filters, Reg - Protocol Handlers, Reg - SafeBoot Minimal, Reg - SafeBoot Network, Reg - Session Manager Settings, Reg - Winsock2 Catalogs, File - Lop Check, File - Purity Scan, Files - Signature Check, and Evnt - EventViewer Logs ( Last 10 Errors).

Sous "Rootkit search", sélectionne "Yes".

Sous "Custom Scans", copie et colle la sélection ci-dessous :

C:\Program Files\Mozilla Firefox\components\*.dll /s
C:\Program files\Mozilla Firefox\searchplugins\*.* /s
C:\Program files\Mozilla Firefox\plugins\*.* /s
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\ /s

Ne modifie aucun autre paramètre.

Ensuite, cliquez sur le bouton Run Scan dans la barre d'outils.

Laissez le programme tourner sans intervenir.

Lorsque l'analyse est terminée le Bloc-notes va s'ouvrir pour afficher le fichier rapport.

Cliquez sur le menu Format et vérifiez que Retour automatique à la ligne n'est pas coché. S'il l'est, cliquez dessus afin de le décocher.

Upload-moi le rapport sur mediafire. Ne le poste pas sur le forum !

Uploader un fichier sur mediafire :

Rends-toi sur ce lien : http://www.mediafire.com/

Clique en haut sur "Upload files To Media fire". Choisis ensuite "I want to upload without an account"

Une fenêtre de ton explorateur windows va s'ouvrir. Navigue jusqu'au rapport que je te demande d'uploader, sélectionne-le puis clique sur "ouvrir".

Clique ensuite sur "Upload".

A droite de l'écran, choisis : "upload to a new folder". Laisse le nom par défaut ( = la date )

Valide et laisse l'upload se faire.

Clique sur "Vieuw uploaded file" et copie-moi l'url ( = le lien ) du nouvel onglet ou de la nouvelle fenêtre qui va s'ouvrir dans ton prochain message. Ainsi, je pourrais télécharger le rapport demandé.

| Alerter

Répondre à Sham_Rock

Chre

21 Janvier 2009 05:33:28

Bonjour toutes et tous,
Bonjour Sham_Rock,

Le rapport OTScanIt2 demandé.

[EDIT : La bonne version du fichier .TXT avec l'option "retour automatique à la ligne" désactivée

]

| Alerter

Répondre à Chre

Sham_Rock

21 Janvier 2009 20:53:33

bonsoir

1
Ouvre le bloc-notes et fais un copier coller de ce qui est ci-dessous (copie tout d'un trait) :

REGEDIT 4
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{101F239C-E334-4DA3-A997-6992AFCD1D9A}]

Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

Quitte internet et double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui".

2

Ouvre le dossier OTScanIt2 et fais un double clic sur OTScanIt2.exe pour lancer le programme (si tu es sous Windows Vista, fais un clic droit sur le programme et choisis Exécuter en tant qu'Administrateur).

Fais un copier/coller des informations de la zone Code ci-dessous dans la zone de saisie intitulée "Paste fix here" puis cliquez sur le bouton Run Fix.

[Registry - Safe List]
< FireFox Settings [Default Profile] > -> C:\Documents and Settings\Gaec\Application Data\Mozilla\FireFox\Profiles\srijd3f4.default\prefs.js
YN -> browser.search.defaultenginename -> "Yoog Search"
YN -> browser.search.defaulturl -> "http://www5.yoog.com/search.php?q="
YN -> browser.search.selectedEngine -> "Yoog Search"
< BHO's [HKEY_LOCAL_MACHINE] > -> HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
YN -> {7E853D72-626A-48EC-A868-BA8D5E23E045} [HKLM] -> Reg Error: Key does not exist or could not be opened. [Reg Error: Key does not exist or could not be opened.]
YN -> {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} [HKLM] -> Reg Error: Key does not exist or could not be opened. [Reg Error: Key does not exist or could not be opened.]
YN -> {f7841d30-43a4-c3ca-2243-d0c654e2f8de} [HKLM] -> Reg Error: Key does not exist or could not be opened. [Reg Error: Key does not exist or could not be opened.]
[Files/Folders - Created Within 90 Days]
NY -> {3276BE95_AF08_429F_A64F_CA64CB79BCF6} -> %AllUsersProfile%\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
[File - Lop Check]
NY -> {3276BE95_AF08_429F_A64F_CA64CB79BCF6} -> C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}

L'exécution devrait être très rapide. Lorsque la correction est terminée, soit tu verras un message t'annonçant que c'est fini (finished), soit tu seras invité à faire redémarrer le PC pour terminer l'exécution. Si c'est fini, clique sur le bouton Ok et le Bloc-notes va s'ouvrir pour afficher un rapport de toutes les actions réalisées. Envoie-moi ces informations en réponse.

Si un redémarrage est nécessaire, clique sur le bouton "Yes" pour faire redémarrer la machine. Après ce redémarrage, OTScanIt2 va finir de déplacer les fichiers qui ne pouvaient pas l'être précédemment, puis le Bloc-notes va s'ouvrir et afficher à ce moment-là les résultats finaux. Envoie-moi ces informations en réponse.

Poste-moi le rapport sur le forum.

| Alerter

Répondre à Sham_Rock

Chre

21 Janvier 2009 21:07:44

Re,

Ok pour fix.reg

Le rapport demandé

Citation :

[Registry - Safe List]
Registry key HKEY_LOCAL_MACHINE\Documents and Settings\Gaec\Application Data\Mozilla\FireFox\Profiles\srijd3f4.default\prefs.js not found.
Registry key HKEY_LOCAL_MACHINE\Documents and Settings\Gaec\Application Data\Mozilla\FireFox\Profiles\srijd3f4.default\prefs.js not found.
Registry key HKEY_LOCAL_MACHINE\Documents and Settings\Gaec\Application Data\Mozilla\FireFox\Profiles\srijd3f4.default\prefs.js not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7E853D72-626A-48EC-A868-BA8D5E23E045}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f7841d30-43a4-c3ca-2243-d0c654e2f8de}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f7841d30-43a4-c3ca-2243-d0c654e2f8de}\ not found.
[Files/Folders - Created Within 90 Days]
C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}\x86\x86 folder moved successfully.
C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}\x86 folder moved successfully.
C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6} folder moved successfully.
[File - Lop Check]
File C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6} not found!
< End of fix log >
OTScanIt2 by OldTimer - Version 1.0.6.2 fix logfile created on 01212009_220608

| Alerter

Répondre à Chre

Sham_Rock

21 Janvier 2009 21:09:21

alors?
si ça n'a pas marché... j'ai passé plusieurs heures sur ce problème de yoog search

| Alerter

Répondre à Sham_Rock

Chre

21 Janvier 2009 21:21:06

Sham_Rock a dit :

alors?
si ça n'a pas marché... j'ai passé plusieurs heures sur ce problème de yoog search

Oooops ! Je suis vraiment désolé.

Yoog Search était toujours présent en haut à droite de Firefox, mais en reprenant le gestionnaire des moteurs de recherche, j'ai pu maintenant le supprimer et en mettre un autre. J'ai quitté et relancé Firefox, et j'ai bien conservé mon moteur de recherche par défaut.

Donc, je pense que c'est bon de ce point du vue du côté de Firefox

| Alerter

Répondre à Chre

Sham_Rock

21 Janvier 2009 21:26:07

enfin une bonne nouvelle. :lol:

pour starware et IE, je n'ai trouvé qu'une clé de recherche musicale que j'ai del avec le .reg. Il y a autre chose? :whistle:

| Alerter

Répondre à Sham_Rock

Chre

21 Janvier 2009 21:50:01

Sham_Rock a dit :

pour starware et IE, je n'ai trouvé qu'une clé de recherche musicale que j'ai del avec le .reg. Il y a autre chose? :whistle:

Pour starware et IE, j'ai donc fait la même chose avec le gestionnaire des moteurs de recherches de IE et... j'ai réussi à supprimer ces moteurs et à remettre mon moteur de recherche par défaut.

J'ai redemarré complètement l'ordi, dans IE et Firefox, je retrouve bien mes bons moteurs de recherche. C'est donc bon de ce côté là. Merci !

De "visible", reste mon problème de Bitdefender qui ne se lance toujours pas.

| Alerter

Répondre à Chre

Sham_Rock

21 Janvier 2009 21:51:51

re
désinstalle/réinstalle

| Alerter

Répondre à Sham_Rock

Chre

22 Janvier 2009 20:19:10

Bonsoir à vous,
Bonsoir Sham_Rock,

Pffffffiooooooo

Bitdefender est réinstallé, analyses en cours, je posterai les rapports à l'issue, il y en pour plusieurs heures de traitement, donc ce ne sera pas ce soir car là, dodo

| Alerter

Répondre à Chre

Chre

23 Janvier 2009 04:57:49

Bonjour vous,
Bonjour Sham_Rock,

Voici le rapport Bitdefender

Citation :

BitDefender - Fichier journal

Produit : BitDefender Internet Security 2009
Version : BitDefender UIScanner v.12
Tâche d'analyse : Analyse complète
Date du journal : 05:52:57 23/01/2009
Chemin du journal : C:\Documents and Settings\All Users\Application Data\BitDefender\Desktop\Profiles\Logs\full_scan\1232686377_1_02.xml

Analyse des chemins :Chemin 0000: C:\WINDOWS\system32\wuauclt.exe
Chemin 0001: C:\Program Files\BitDefender\BitDefender 2009\uiscan.exe
Chemin 0002: C:\Program Files\BitDefender\BitDefender 2009\uiscan.exe
Chemin 0003: C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
Chemin 0004: C:\WINDOWS\System32\svchost.exe
Chemin 0005: C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe
Chemin 0006: C:\Program Files\BitDefender\BitDefender 2009\bdthunderbird.exe
Chemin 0007: C:\Program Files\BitDefender\BitDefender 2009\seccenter.exe
Chemin 0008: C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
Chemin 0009: C:\Program Files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.51 V1.20\WlanCU.exe
Chemin 0010: C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
Chemin 0011: C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
Chemin 0012: C:\Program Files\iPod\bin\iPodService.exe
Chemin 0013: C:\WINDOWS\system32\ctfmon.exe
Chemin 0014: C:\Program Files\Messenger\msmsgs.exe
Chemin 0015: C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe
Chemin 0016: C:\Program Files\iTunes\iTunesHelper.exe
Chemin 0017: C:\Program Files\Java\jre6\bin\jusched.exe
Chemin 0018: C:\WINDOWS\RTHDCPL.EXE
Chemin 0019: C:\WINDOWS\vsnp2std.exe
Chemin 0020: C:\WINDOWS\tsnp2std.exe
Chemin 0021: C:\WINDOWS\FixCamera.exe
Chemin 0022: C:\PROGRA~1\CONTRO~1\bin\optgui.exe
Chemin 0023: C:\Program Files\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
Chemin 0024: C:\WINDOWS\Explorer.EXE
Chemin 0025: C:\WINDOWS\system32\Ati2evxx.exe
Chemin 0026: C:\WINDOWS\System32\alg.exe
Chemin 0027: C:\WINDOWS\system32\svchost.exe
Chemin 0028: C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
Chemin 0029: C:\Program Files\Java\jre6\bin\jqs.exe
Chemin 0030: C:\Program Files\Bonjour\mDNSResponder.exe
Chemin 0031: C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
Chemin 0032: C:\WINDOWS\system32\spoolsv.exe
Chemin 0033: C:\WINDOWS\system32\svchost.exe
Chemin 0034: C:\WINDOWS\system32\svchost.exe
Chemin 0035: C:\WINDOWS\System32\svchost.exe
Chemin 0036: C:\WINDOWS\system32\svchost.exe
Chemin 0037: C:\WINDOWS\system32\svchost.exe
Chemin 0038: C:\WINDOWS\system32\Ati2evxx.exe
Chemin 0039: C:\WINDOWS\system32\lsass.exe
Chemin 0040: C:\WINDOWS\system32\services.exe
Chemin 0041: C:\WINDOWS\system32\winlogon.exe
Chemin 0042: C:\WINDOWS\system32\csrss.exe
Chemin 0043: \SystemRoot\System32\smss.exe
Chemin 0044: C:\
Chemin 0045: F:\

Options d?analyse

étecter les virus : Oui
Détecter les adwares : Oui
Détecter les spywares : Oui
Analyser les applications : Oui
Détecter les dialers : Oui
Détecter les rootkits : Oui

Options de sélection de cible :Analyser les clés du registre : Oui
Analyser les cookies : Oui
Analyser les secteurs de boot : Oui
Analyser les processus mémoire : Oui
Analyser les archives : Non
Analyser les fichiers enpaquetés : Oui
Analyser les e-mails : Non
Analyser tous les fichiers : Oui
Analyse heuristique : Oui
Extensions analysées :
Extensions exclues :

Traitement de la cible :Action par défaut pour les objets infectés : Désinfecter
Action par défaut pour les objets suspects : Aucune
Action par défaut pour les objets camouflés : Aucune
Action par défaut pour les objets infectés : Aucune
Action par défaut pour les objets suspects encryptés : Aucune
Action par défaut pour les objets protégés par mot de passe : Aucune

Résumé de l'analyseNombre de signatures de virus : 2578650
Plugins archives : 45
Plugins e-mail : 6
Plugins d'analyse : 13
Plugins système : 5
Plugins de décompression : 7

Résumé de l'analyse généraleEléments analysés : 196848
Eléments infectés : 2
Eléments suspects : 0
Eléments résolus : 2
Éléments non résolus : 47
Eléments protégés par mot de passe : 47
Virus individuels trouvés : 1
Répertoires analysés : 8906
Secteur de boot analysés : 3
Archives analysés : 29
Erreurs I/O : 26
Temps d'analyse : 01:06:15
Fichiers par seconde : 49

Résumé des processus analysésAnalysé : 44
Infecté : 0

Résumé des clés de registre analyséesAnalysé : 923
Infecté : 0

Résumé des cookies analysésAnalysé : 923
Infecté : 0

Problèmes résolusNom de l'objet Nom de la menace État final
C:\Documents and Settings\Gaec\Mes documents\Téléchargement\SmitfraudFix(2).exe Application.Generic.26831 Déplacé(s) en quarantaine
C:\Documents and Settings\Gaec\Mes documents\Téléchargement\SmitfraudFix.exe Application.Generic.26831 Déplacé(s) en quarantaine

Objets non scannés :Nom de l'objet Raison État final
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MailSkinnerrtk.zip=]sbRecovery.reg Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MailSkinnerrtk.zip=]sbRecovery.ini Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\SpywareSecure.zip=]sbRecovery.reg Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\SpywareSecure.zip=]sbRecovery.ini Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\SpywareSecure1.zip=]sbRecovery.reg Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\SpywareSecure1.zip=]sbRecovery.ini Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\SpywareSecure2.zip=]sbRecovery.reg Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\SpywareSecure2.zip=]sbRecovery.ini Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare.zip=]sbRecovery.reg Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare.zip=]sbRecovery.ini Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare1.zip=]icons/star_16.ico Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare1.zip=]Starware370Config.xml Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare1.zip=]Starware370Uninstall.exe Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare1.zip=]sbRecovery.ini Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare10.zip=]ToolbarSearchOptions.xml Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare10.zip=]ToolbarSearchOptions.xml.backup Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare10.zip=]sbRecovery.ini Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare11.zip=]TravelSearchOptions.xml Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare11.zip=]TravelSearchOptions.xml.backup Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare11.zip=]sbRecovery.ini Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare12.zip=]sbRecovery.reg Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare12.zip=]sbRecovery.ini Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare2.zip=]BrowserSearch.xml Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare2.zip=]BrowserSearch.xml.backup Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare2.zip=]sbRecovery.ini Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare3.zip=]Configurator.xml Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare3.zip=]Configurator.xml.backup Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare3.zip=]sbRecovery.ini Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare4.zip=]ErrorSearchOptions.xml Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare4.zip=]ErrorSearchOptions.xml.backup Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare4.zip=]sbRecovery.ini Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare5.zip=]ToolbarLayout.xml Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare5.zip=]ToolbarLayout.xml.backup Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare5.zip=]sbRecovery.ini Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare6.zip=]ManagerOptions.xml Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare6.zip=]ManagerOptions.xml.backup Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare6.zip=]sbRecovery.ini Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare7.zip=]RelatedSearchOptions.xml Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare7.zip=]RelatedSearchOptions.xml.backup Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare7.zip=]sbRecovery.ini Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare8.zip=]TBProductsOptions.xml Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare8.zip=]TBProductsOptions.xml.backup Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare8.zip=]sbRecovery.ini Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare9.zip=]ToolbarLogoOptions.xml Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare9.zip=]ToolbarLogoOptions.xml.backup Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare9.zip=]sbRecovery.ini Protégé par mot de passe Aucune action possible
C:\WINDOWS\sporder.zip=]sporder.Dll Protégé par mot de passe Aucune action possible

| Alerter

Répondre à Chre

Chre

23 Janvier 2009 05:01:56

Re,

La rapport pour les malwares

Citation :

BitDefender - Fichier journal

Produit : BitDefender Internet Security 2009
Version : BitDefender UIScanner v.12
Tâche d'analyse : Analyse approfondie
Date du journal : 06:00:03 23/01/2009
Chemin du journal : C:\Documents and Settings\All Users\Application Data\Bitdefender\Desktop\Profiles\Logs\deep_scan\1232686803_1_02.xml

Analyse des chemins :Chemin 0000: C:\Program Files\BitDefender\BitDefender 2009\uiscan.exe
Chemin 0001: C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
Chemin 0002: C:\Program Files\BitDefender\BitDefender 2009\uiscan.exe
Chemin 0003: C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
Chemin 0004: C:\WINDOWS\System32\svchost.exe
Chemin 0005: C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe
Chemin 0006: C:\Program Files\BitDefender\BitDefender 2009\bdthunderbird.exe
Chemin 0007: C:\Program Files\BitDefender\BitDefender 2009\seccenter.exe
Chemin 0008: C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
Chemin 0009: C:\Program Files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.51 V1.20\WlanCU.exe
Chemin 0010: C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
Chemin 0011: C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
Chemin 0012: C:\Program Files\iPod\bin\iPodService.exe
Chemin 0013: C:\WINDOWS\system32\ctfmon.exe
Chemin 0014: C:\Program Files\Messenger\msmsgs.exe
Chemin 0015: C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe
Chemin 0016: C:\Program Files\iTunes\iTunesHelper.exe
Chemin 0017: C:\Program Files\Java\jre6\bin\jusched.exe
Chemin 0018: C:\WINDOWS\RTHDCPL.EXE
Chemin 0019: C:\WINDOWS\vsnp2std.exe
Chemin 0020: C:\WINDOWS\tsnp2std.exe
Chemin 0021: C:\WINDOWS\FixCamera.exe
Chemin 0022: C:\PROGRA~1\CONTRO~1\bin\optgui.exe
Chemin 0023: C:\Program Files\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
Chemin 0024: C:\WINDOWS\Explorer.EXE
Chemin 0025: C:\WINDOWS\system32\Ati2evxx.exe
Chemin 0026: C:\WINDOWS\System32\alg.exe
Chemin 0027: C:\WINDOWS\system32\svchost.exe
Chemin 0028: C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
Chemin 0029: C:\Program Files\Java\jre6\bin\jqs.exe
Chemin 0030: C:\Program Files\Bonjour\mDNSResponder.exe
Chemin 0031: C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
Chemin 0032: C:\WINDOWS\system32\spoolsv.exe
Chemin 0033: C:\WINDOWS\system32\svchost.exe
Chemin 0034: C:\WINDOWS\system32\svchost.exe
Chemin 0035: C:\WINDOWS\System32\svchost.exe
Chemin 0036: C:\WINDOWS\system32\svchost.exe
Chemin 0037: C:\WINDOWS\system32\svchost.exe
Chemin 0038: C:\WINDOWS\system32\Ati2evxx.exe
Chemin 0039: C:\WINDOWS\system32\lsass.exe
Chemin 0040: C:\WINDOWS\system32\services.exe
Chemin 0041: C:\WINDOWS\system32\winlogon.exe
Chemin 0042: C:\WINDOWS\system32\csrss.exe
Chemin 0043: \SystemRoot\System32\smss.exe
Chemin 0044: C:\
Chemin 0045: F:\

Options d?analyse

étecter les virus : Oui
Détecter les adwares : Oui
Détecter les spywares : Oui
Analyser les applications : Oui
Détecter les dialers : Oui
Détecter les rootkits : Oui

Options de sélection de cible :Analyser les clés du registre : Oui
Analyser les cookies : Oui
Analyser les secteurs de boot : Oui
Analyser les processus mémoire : Oui
Analyser les archives : Oui
Analyser les fichiers enpaquetés : Oui
Analyser les e-mails : Non
Analyser tous les fichiers : Oui
Analyse heuristique : Oui
Extensions analysées :
Extensions exclues :

Traitement de la cible :Action par défaut pour les objets infectés : Désinfecter
Action par défaut pour les objets suspects : Aucune
Action par défaut pour les objets camouflés : Aucune
Action par défaut pour les objets infectés : Aucune
Action par défaut pour les objets suspects encryptés : Aucune
Action par défaut pour les objets protégés par mot de passe : Aucune

Résumé de l'analyseNombre de signatures de virus : 2578650
Plugins archives : 45
Plugins e-mail : 6
Plugins d'analyse : 13
Plugins système : 5
Plugins de décompression : 7

Résumé de l'analyse généraleEléments analysés : 320572
Eléments infectés : 3
Eléments suspects : 0
Eléments résolus : 2
Éléments non résolus : 92
Eléments protégés par mot de passe : 91
Virus individuels trouvés : 3
Répertoires analysés : 8970
Secteur de boot analysés : 3
Archives analysés : 2862
Erreurs I/O : 29
Temps d'analyse : 01:30:10
Fichiers par seconde : 59

Résumé des processus analysésAnalysé : 44
Infecté : 0

Résumé des clés de registre analyséesAnalysé : 923
Infecté : 0

Résumé des cookies analysésAnalysé : 923
Infecté : 0

Problèmes non résolus :Nom de l'objet Nom de la menace État final
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\__.zip=]TDSSpaxt.sys Rootkit.TDss.G Aucune action possible

Problèmes résolusNom de l'objet Nom de la menace État final
C:\System Volume Information\_restore{AA2CE32E-8175-4A59-A163-23E56D2CA5CE}\RP608\A0486134.exe Trojan.Generic.1370199 Supprimé
C:\System Volume Information\_restore{AA2CE32E-8175-4A59-A163-23E56D2CA5CE}\RP608\A0486314.exe Trojan.Generic.1371519 Supprimé

Objets non scannés :Nom de l'objet Raison État final
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MailSkinnerrtk.zip=]sbRecovery.reg Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MailSkinnerrtk.zip=]sbRecovery.ini Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\SpywareSecure.zip=]sbRecovery.reg Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\SpywareSecure.zip=]sbRecovery.ini Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\SpywareSecure1.zip=]sbRecovery.reg Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\SpywareSecure1.zip=]sbRecovery.ini Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\SpywareSecure2.zip=]sbRecovery.reg Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\SpywareSecure2.zip=]sbRecovery.ini Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare.zip=]sbRecovery.reg Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare.zip=]sbRecovery.ini Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare1.zip=]icons/star_16.ico Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare1.zip=]Starware370Config.xml Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare1.zip=]Starware370Uninstall.exe Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare1.zip=]sbRecovery.ini Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare10.zip=]ToolbarSearchOptions.xml Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare10.zip=]ToolbarSearchOptions.xml.backup Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare10.zip=]sbRecovery.ini Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare11.zip=]TravelSearchOptions.xml Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare11.zip=]TravelSearchOptions.xml.backup Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare11.zip=]sbRecovery.ini Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare12.zip=]sbRecovery.reg Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare12.zip=]sbRecovery.ini Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare2.zip=]BrowserSearch.xml Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare2.zip=]BrowserSearch.xml.backup Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare2.zip=]sbRecovery.ini Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare3.zip=]Configurator.xml Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare3.zip=]Configurator.xml.backup Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare3.zip=]sbRecovery.ini Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare4.zip=]ErrorSearchOptions.xml Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare4.zip=]ErrorSearchOptions.xml.backup Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare4.zip=]sbRecovery.ini Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare5.zip=]ToolbarLayout.xml Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare5.zip=]ToolbarLayout.xml.backup Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare5.zip=]sbRecovery.ini Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare6.zip=]ManagerOptions.xml Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare6.zip=]ManagerOptions.xml.backup Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare6.zip=]sbRecovery.ini Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare7.zip=]RelatedSearchOptions.xml Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare7.zip=]RelatedSearchOptions.xml.backup Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare7.zip=]sbRecovery.ini Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare8.zip=]TBProductsOptions.xml Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare8.zip=]TBProductsOptions.xml.backup Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare8.zip=]sbRecovery.ini Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare9.zip=]ToolbarLogoOptions.xml Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare9.zip=]ToolbarLogoOptions.xml.backup Protégé par mot de passe Aucune action possible
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\StarWare9.zip=]sbRecovery.ini Protégé par mot de passe Aucune action possible
C:\Program Files\Adobe\Acrobat 7.0\Setup Files\Rdrbig710\FRA\Data1.cab=]WebSearchENU.pdf Protégé par mot de passe Aucune action possible
C:\Program Files\Adobe\Acrobat 7.0\Setup Files\Rdrbig710\FRA\Data1.cab=]RdrMsgFRA.pdf Protégé par mot de passe Aucune action possible
C:\Program Files\Adobe\Acrobat 7.0\Setup Files\Rdrbig710\FRA\Data1.cab=]RdrMsgENU.pdf Protégé par mot de passe Aucune action possible
C:\Program Files\Adobe\Acrobat 7.0\Setup Files\Rdrbig710\FRA\Data1.cab=]RdrMsgSplash.pdf Protégé par mot de passe Aucune action possible
C:\WINDOWS\Cache\Adobe Reader 6.0\FRAMIN\Data1.cab=]RdrMsgFRA.pdf Protégé par mot de passe Aucune action possible
C:\WINDOWS\Cache\Adobe Reader 6.0\FRAMIN\Data1.cab=]RdrMsgENU.pdf Protégé par mot de passe Aucune action possible
C:\WINDOWS\sporder.zip=]sporder.Dll Protégé par mot de passe Aucune action possible
F:\compilation\adaware\aawsepersonal.exe=]wise0021=]Ad-Aware SE Default.skn Protégé par mot de passe Aucune action possible
F:\compilation\adaware\aawsepersonal.exe=]wise0021=]arrow1.bmp Protégé par mot de passe Aucune action possible
F:\compilation\adaware\aawsepersonal.exe=]wise0021=]arrow2.bmp Protégé par mot de passe Aucune action possible
F:\compilation\adaware\aawsepersonal.exe=]wise0021=]bck1.bmp Protégé par mot de passe Aucune action possible
F:\compilation\adaware\aawsepersonal.exe=]wise0021=]bt11.bmp Protégé par mot de passe Aucune action possible
F:\compilation\adaware\aawsepersonal.exe=]wise0021=]bt12.bmp Protégé par mot de passe Aucune action possible
F:\compilation\adaware\aawsepersonal.exe=]wise0021=]bt13.bmp Protégé par mot de passe Aucune action possible
F:\compilation\adaware\aawsepersonal.exe=]wise0021=]bt21.bmp Protégé par mot de passe Aucune action possible
F:\compilation\adaware\aawsepersonal.exe=]wise0021=]bt22.bmp Protégé par mot de passe Aucune action possible
F:\compilation\adaware\aawsepersonal.exe=]wise0021=]bt23.bmp Protégé par mot de passe Aucune action possible
F:\compilation\adaware\aawsepersonal.exe=]wise0021=]bt31.bmp Protégé par mot de passe Aucune action possible
F:\compilation\adaware\aawsepersonal.exe=]wise0021=]bt32.bmp Protégé par mot de passe Aucune action possible
F:\compilation\adaware\aawsepersonal.exe=]wise0021=]bt33.bmp Protégé par mot de passe Aucune action possible
F:\compilation\adaware\aawsepersonal.exe=]wise0021=]bt41.bmp Protégé par mot de passe Aucune action possible
F:\compilation\adaware\aawsepersonal.exe=]wise0021=]bt42.bmp Protégé par mot de passe Aucune action possible
F:\compilation\adaware\aawsepersonal.exe=]wise0021=]bt43.bmp Protégé par mot de passe Aucune action possible
F:\compilation\adaware\aawsepersonal.exe=]wise0021=]bt51.bmp Protégé par mot de passe Aucune action possible
F:\compilation\adaware\aawsepersonal.exe=]wise0021=]bt52.bmp Protégé par mot de passe Aucune action possible
F:\compilation\adaware\aawsepersonal.exe=]wise0021=]bt53.bmp Protégé par mot de passe Aucune action possible
F:\compilation\adaware\aawsepersonal.exe=]wise0021=]bt61.bmp Protégé par mot de passe Aucune action possible
F:\compilation\adaware\aawsepersonal.exe=]wise0021=]bt62.bmp Protégé par mot de passe Aucune action possible
F:\compilation\adaware\aawsepersonal.exe=]wise0021=]checkbox1.bmp Protégé par mot de passe Aucune action possible
F:\compilation\adaware\aawsepersonal.exe=]wise0021=]checkbox2.bmp Protégé par mot de passe Aucune action possible
F:\compilation\adaware\aawsepersonal.exe=]wise0021=]checkbox3.bmp Protégé par mot de passe Aucune action possible
F:\compilation\adaware\aawsepersonal.exe=]wise0021=]checkbox4.bmp Protégé par mot de passe Aucune action possible
F:\compilation\adaware\aawsepersonal.exe=]wise0021=]defbtn1.bmp Protégé par mot de passe Aucune action possible
F:\compilation\adaware\aawsepersonal.exe=]wise0021=]defbtn2.bmp Protégé par mot de passe Aucune action possible
F:\compilation\adaware\aawsepersonal.exe=]wise0021=]defbtn3.bmp Protégé par mot de passe Aucune action possible
F:\compilation\adaware\aawsepersonal.exe=]wise0021=]glyph1.bmp Protégé par mot de passe Aucune action possible
F:\compilation\adaware\aawsepersonal.exe=]wise0021=]glyph2.bmp Protégé par mot de passe Aucune action possible
F:\compilation\adaware\aawsepersonal.exe=]wise0021=]glyph3.bmp Protégé par mot de passe Aucune action possible
F:\compilation\adaware\aawsepersonal.exe=]wise0021=]glyph4.bmp Protégé par mot de passe Aucune action possible
F:\compilation\adaware\aawsepersonal.exe=]wise0021=]glyph5.bmp Protégé par mot de passe Aucune action possible
F:\compilation\adaware\aawsepersonal.exe=]wise0021=]glyph6.bmp Protégé par mot de passe Aucune action possible
F:\compilation\adaware\aawsepersonal.exe=]wise0021=]glyph7.bmp Protégé par mot de passe Aucune action possible
F:\compilation\adaware\aawsepersonal.exe=]wise0021=]main.bmp Protégé par mot de passe Aucune action possible
F:\compilation\adaware\aawsepersonal.exe=]wise0021=]preview.bmp Protégé par mot de passe Aucune action possible
F:\compilation\adaware\aawsepersonal.exe=]wise0021=]sprite1.bmp Protégé par mot de passe Aucune action possible

| Alerter

Répondre à Chre

Sham_Rock

23 Janvier 2009 19:43:40

Bonsoir

Vu que tu suis notre formation, c'est le moment de t'entraîner.
Relis ces rapports et dis moi ce que tu ferais: (donne des exemples issus de tes logs à chaque fois)
Il y a 3 axes à reconnaître dans ces logs:

1- détections sans danger: quelles sont les actions à entreprendre?
2- détections où il faut faire des recherches: indique tes recherches
3- mise à jour d'un logiciel, lequel? <<------- là je t'aide bien donc tu me donneras un lien de sensibilisation à ce risque.

Citation :

Dans la vie, y'a deux sortes d'hommes : ceux qui creusent, et ceux qui ont un révolver. Toi, tu creuses.

| Alerter

Répondre à Sham_Rock

Chre

24 Janvier 2009 06:31:43

Sham_Rock a dit :

Bonsoir

Bonjour vous,
Bonjour Sham_Rock,

Sham_Rock a dit :

Vu que tu suis notre formation, c'est le moment de t'entraîner.

Wouah, çà va être très chaud pour moi :pt1cable:

Car je suis plus que débutant...

Sham_Rock a dit :

Relis ces rapports et dis moi ce que tu ferais: (donne des exemples issus de tes logs à chaque fois)
Il y a 3 axes à reconnaître dans ces logs:

1- détections sans danger: quelles sont les actions à entreprendre?
2- détections où il faut faire des recherches: indique tes recherches
3- mise à jour d'un logiciel, lequel? <<------- là je t'aide bien donc tu me donneras un lien de sensibilisation à ce risque.

1-Détections sans dangers Je ne suis pas sûr de comprendre la question. S'il s'agit des "détections" liées aux fichiers présents sur l'ordinateur de Spybot S&D ou à Malwerebytes Antimalwares, j'aurais tendance à dire que je ne fais aucune action ?

2-Détection où il faut faire des recherches
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.mini60.com/ : Drôle de site que ce "google", mais je ne trouve pas grand chose à ce propos sur Internet, voir même je reste bredouille...

O2 - BHO: milehighads browser enhancer - {3B1FBD1D-D9BF-71D3-59F9-5A94900607D9} - C:\WINDOWS\system32\ewkwujrondcvxklbn.dll : Celui-ci est plus que suspect à mes yeux, voir ici.

O2 - BHO: (no name) - {5f90c0e3-4c0a-4d54-a8ac-5afe6163a99e} - C:\Program Files\Starware370\bin\Starware370.dll (file missing) : Celui-ci est à éradiquer immédiatement

O2 - BHO: (no name) - {6F282B65-56BF-4BD1-A8B2-A4449A05863D} - (no file) : Idem.

O2 - BHO: milehighads - {f7841d30-43a4-c3ca-2243-d0c654e2f8de} - C:\WINDOWS\system32\nsjB.dll : Infectieux

O3 - Toolbar: Starware Toolbar Musique - {1962c5bc-e475-465b-823b-133e711bceb9} - C:\Program Files\Starware370\bin\Starware370.dll (file missing) : Infectieux

O4 - HKLM\..\Run: [zbkxdmkeovhaiyy] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\ewkwujrondcvxklbn.dll" : Drôle de ligne, même si je n'ai pas trouvé de lien sur Internet ; à cause d'un nom aléatoire je suppose. Je considère cette ligne comme infectieuse ?

O4 - HKCU\..\Run: [17648617940259666287569474313390] C:\Program Files\Antivirus 2009\av2009.exe : Infection antivirus 2009

Voilà, c'est tout ce que j'ai vu pour cette partie. J'ai raté des choses ? :lol:

3- Mise à jour d'un logiciel : Honnêtement, je suis dans le doute là... Je pense bien à Adobe Acrobat Reader ou à Java. Je creuse ! -> Java, c'est sûr il faut que le mette à jour de la version 'update 6' à la dernière 'update 11'.

Sham_Rock a dit :

Citation :

Dans la vie, y'a deux sortes d'hommes : ceux qui creusent, et ceux qui ont un révolver. Toi, tu creuses.

http://img444.imageshack.us/img444/7030/bonbruteni4.th.jpg
:lol:

J'adore cette citation de Clint Eastwood dans Le bon, la brute et le truand même si je n'aime pas être dans la position de celui qui creuse :lol:

Je sens que la vie va être dure :cry:

| Alerter

Répondre à Chre

Sham_Rock

24 Janvier 2009 22:47:40

re

il fallait juste que tu regardes les log de BitDefender... Ne t'occupe pas de HJT, on a tout nettoyé, maintenant, on peaufine.

je vais t'expliquer autrement.

Citation :

1-Détections sans dangers Je ne suis pas sûr de comprendre la question. S'il s'agit des "détections" liées aux fichiers présents sur l'ordinateur de Spybot S&D ou à Malwerebytes Antimalwares, j'aurais tendance à dire que je ne fais aucune action ?

tu dois pouvoir faire un truc pour ça:
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MailSkinnerrtk.zip
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\__.zip=]TDSSpaxt.sys Rootkit.TDss.G Aucune action possible

Citation :

C:\Program Files\Adobe\Acrobat 7.0\Setup Files\Rdrbig710\FRA\Data1.cab=]WebSearchENU.pdf Protégé par mot de passe Aucune action possible

N'y aurait-il pas un problème?

Citation :

C:\System Volume Information\_restore{AA2CE32E-8175-4A59-A163-23E56D2CA5CE}\RP608\A0486134.exe Trojan.Generic.1370199 Supprimé

Que faire par prudence? Vu qu'il est fort possible que ton AV n'ait pas tout détecté...

:hello:

| Alerter

Répondre à Sham_Rock

Chre

25 Janvier 2009 08:24:24

Bonjour à vous,

Sham_Rock a dit :

re

Bonjour Sham_Rock,

Sham_Rock a dit :

tu dois pouvoir faire un truc pour ça:

Citation :

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MailSkinnerrtk.zip
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\__.zip=]TDSSpaxt.sys Rootkit.TDss.G Aucune action possible

Pour Spybot S&D, il suffit d'aller dans le programme et de supprimer les sauvegardes réalisées lors des analyses

Pour 'Qoobox', je ne sais pas. Recherche faite, il s'agit de la quarantaine de Combofix, on peut aussi le lancer pour supprimer la quarantaine.

Une autre façon de faire est d'utiliser un outil de nettoyage comme ToolsCleaner de AceRothstein ?

Sham_Rock a dit :

Citation :

C:\Program Files\Adobe\Acrobat 7.0\Setup Files\Rdrbig710\FRA\Data1.cab=]WebSearchENU.pdf Protégé par mot de passe Aucune action possible

N'y aurait-il pas un problème?

Oui, effectivement, bizarre que les fichiers de Acrobat soient protégés par un mot de passe. Mais je ne trouve rien de flagrant sur Internet...

Sham_Rock a dit :

Citation :

C:\System Volume Information\_restore{AA2CE32E-8175-4A59-A163-23E56D2CA5CE}\RP608\A0486134.exe Trojan.Generic.1370199 Supprimé

Que faire par prudence? Vu qu'il est fort possible que ton AV n'ait pas tout détecté...

Désactiver/réactiver la restauration système.

| Alerter

Répondre à Chre

Sham_Rock

25 Janvier 2009 19:37:17

re

Citation :

# Pour 'Qoobox', je ne sais pas. Recherche faite, il s'agit de la quarantaine de Combofix, on peut aussi le lancer pour supprimer la quarantaine.
# Une autre façon de faire est d'utiliser un outil de nettoyage comme ToolsCleaner de AceRothstein ?

ou plus simplement, supprimer le dossier Qoobox ;O)

Citation :

Oui, effectivement, bizarre que les fichiers de Acrobat soient protégés par un mot de passe. Mais je ne trouve rien de flagrant sur Internet...

hum, ta version est-elle à jour? ça représente-t-il un risque? regarde chez malekal

Citation :

Désactiver/réactiver la restauration système.

vi, à faire en fin de désinfection, ce qui est le cas pour toi.

| Alerter

Répondre à Sham_Rock

Chre

26 Janvier 2009 06:09:06

Bonjour vous,
Bonjour Sham_Rock,

Oui, il faut mettre à jour les programmes Adobe et Java pour éviter l'utilisation des failles de ces logiciels et donc l'infection de la machine. Mais pourtant, est-ce cela qui empêche le l'antivirus de scanner les fichiers PDF ?

Citation :

vi, à faire en fin de désinfection, ce qui est le cas pour toi.

Ce qui veut dire que le nettoyage est fini ?

| Alerter

Répondre à Chre

Sham_Rock

26 Janvier 2009 19:31:47

re
GG

Citation :

Mais pourtant, est-ce cela qui empêche le l'antivirus de scanner les fichiers PDF ?

Je ne sais pas, mais ça te montre l'intérêt de lire la totalité des cans en ligne car parfois le tool butte sur un fichier, et c'est lui qui est infectieux.

Citation :

Ce qui veut dire que le nettoyage est fini ?

Pour moi oui, à moins que tu aies d'autres soucis.

| Alerter

Répondre à Sham_Rock

Chre

27 Janvier 2009 19:35:55

Bonsoir toutes et tous,
Bonsoir Sham_Rock,

Désactivation/Activation de la restauration système faite.
Mises à jour des programmes Adobe et Java à suivre.
Suppression des quarantaines Spybot S&D et 'Qoobox' à suivre également.

D'autres actions à réaliser ?

| Alerter

Répondre à Chre

Chre

28 Janvier 2009 05:49:47

Bonjour à vous,
Bonjour Sham_Rock,

Rah, bonne nouvelle çà. Merci Sham_Rock.

Toutefois, que dois-je penser/faire des fichiers protégés par mot de passe qui n'ont pas pu être scannés par BitDefender ?

Par exemple, pas tout à fait au hasard

:

Citation :

C:\WINDOWS\sporder.zip=]sporder.Dll Protégé par mot de passe Aucune action possible

Si j'en crois ceci, ce n'est pas sans risques ?

| Alerter

Répondre à Chre

Sham_Rock

28 Janvier 2009 16:45:42

re
http://www.bleepingcomputer.com/files/sporder.php

C:\WINDOWS\sporder.zip <<<--- la dll est dans le zip...

| Alerter

Répondre à Sham_Rock

Chre

4 Février 2009 06:25:57

Bonjour toutes et tous,
Bonjour Sham_Rock,

Alors voilà, le nettoyage est fini. Après les mises à jour de sécurité grâce à secunia.com, la suppression des fichiers Adobe6 protégés par mots de passe, la suppression des quarantaine spybot, mbam et combofix, une dernière passe avec BitDefender et MBAM... tout est rentré dans l'ordre.

A nouveau, merci beaucoup pour l'aide apportée Sham_Rock et si le hasard t'amènes sur la région de Nantes ; n'hésites pas, je te dois au moins deux verres de Muscadet à ce compte là

J'ai encore deux machines en réserve dont il faudra que je m'occupe, je vous dis donc à bientôt

! Et je ne suis pas encore assez avancé dans mes cours pour être entièrement autonome dans ces opérations.

Encore merci !

| Alerter

Répondre à Chre

Sham_Rock

4 Février 2009 19:47:04

'soir

Seulement deux verres? Tu veux me faire mourir de soif?

@+

| Alerter

Répondre à Sham_Rock

Tom's guide dans le monde