× Aidez la recherche contre le COVID-19 avec votre ordi ! Rejoignez l'équipe PC Astuces Folding@home
 > Tous les forums > Forum Sécurité
 Infection par le virus "Virut"Sujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
alma1978
  Posté le 22/09/2009 @ 13:55 
Aller en bas de la page 
Petite astucienne

Je me permets d'ouvrir un nouveau sujet en complément de ce que j'ai posté ici jusqu'à présent.

Ce qui ne me semblait être au début qu'un problème avec Windows résulterait semble-t-il d'une infection par le virus Virut.

Si quelques bonnes âmes pouvaient compléter les avis donnés par mimi32140 et Ardwen en analysant les différents rapports que j'ai postés dans le sujet précédent ça serait super.

Je n'ai pas encore pu m'occuper de mon portable, je voulais tenter les procédures de décontamination avant de me lancer dans un formatage. Par contre je viens d'apprendre que mon DD LaCie ethernet tournait sur Linux et que donc à priori il ne risquait rien avec les virus développés pour windows. Dans le cas d'un formatage du DD de mon portable je devrais donc pouvoir copier mes documents de l'un à l'autre sans soucis d'infection à priori... Qu'en pensez-vous ? Merci

Publicité
pear
 Posté le 22/09/2009 à 14:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour,

Le ver Virut infecte tous les fichiers exécutables qui se trouvent sur la machine, bien tranquillement, tel un cancer. Il attaque même les fichiers système ; . Il n'arrive jamais seul et permet l'installation d'une porte dérobée en plus d'un rootkit coriace. Tenter une désinfection via les forums est une partie quasiment perdue d'avance, alors pas de temps à perdreà tenter 36 manipulations.
Sauvegardez vos données et formatez.
Lors des sauvegardes, vous ne devez surtout pas conserver les programmes, les fichiers .exe et .scr, les archives pouvant contenir des exécutables ou programmes ainsi que les fichiers .htm, .html et .php.
Conserver les documents perso et autres fichiers de suites bureautiques (Office, Open Office), les photos, la musique, les clips perso (pas téléchargés), les mails, les favoris


Télécharger CureIt ! sur un ordinateur "sain" pour le sauvegarder ensuite sur un support amovible qui sera ouvert en lecture seule sur le poste infecté.
il est nécessaire de déconnecter les ordinateurs infectés du réseau local et/ou d’Internet, de désactiver le service Restauration du système
Vous devez désactiver la protection en temps réel de votre Antivirus qui peut considérer certains composants de ce logiciel comme néfastes.
* Pour cela, faites un clic droit sur l'icône de l'antivirus en bas à droite à côté de l'horloge puis Disable Guard ou Shield ou Résident...

Si vous utilisez Spybot
Pour désactiver TeaTimer qui ne sert à rien et peut faire échouer une désinfection:!
Afficher d'abord le Mode Avancé dans SpyBot
->Options Avancées :
- >menu Mode, Mode Avancé.
Une colonne de menus apparaît dans la partie gauche :
- >cliquer sur Outils,
- >cliquer sur Résident,
Dans Résident :
- >décocher Résident "TeaTimer" pour le désactiver.

Désinstallez la Restauration Système.
Poste de Travail->Propriétés->Restauration Système.
Cocher la case "Désactiver la Restauration sur tous les lecteurs".
Vous la décocherez par la suite, après désinfection.
Un nouveau point de restauration sera créé au redémarrage.

Attention, par défaut, Firefox ne permet pas le renommage avant sauvegarde, utiliser plutôt IE
Pour le renommer:
Téléchargez Dr.Web CureIt sur le Bureau:
Clic droit sur
Choisir "Enregistrer la cible du lien..sous....
Choisir le bureau, à gauche
En bas, à Nom du Fichier:
launch.com
Cliquez enfin sur -> Enregistrer

Redémarrez en mode sans échec.
Pour cela: Au redémarrage de l'ordinateur,Tapotez en alternance les touches [F8] et[F5] jusqu'à l'affichage du menu des options avancées de Windows.
* Sélectionnez "Mode sans échec" et validez].
* Choisir votre compte usuel,.

* Double cliquez launch.compuis sur Analyse ;
* Cliquez Ok à l'invite de l'analyse rapide.
Ce scan analyse les processus chargés en mémoire ;
Si des processus infectés sont trouvés, cliquez sur Oui pour tout".
une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" ; quitter en cliquant le "X"
* Lorsque le scan rapide est terminé, Cliquez sur le menu Options ->Changer la configuration ;
* Choisissez l'onglet Scanner, et décochez Analyse heuristique Cliquez "Ok"
* De retour à la fenêtre principale : cliquez pour activer Analyse complète;
* Cliquez le bouton avec flèche vertesur la droite,:le scan débutera.
* A l'invite "Désinfecter ?" lorsqu'un fichier est détecté,Cliquez Oui pour tout puis cliquez Désinfecter.
* Lorsque le scan sera complété, cliquez sur cette icône, à côté des fichiersdétectés:http://users.telenet.be/bluepatchy/miekiemoes/images/check.gif
* puis sur l'icône "Suivant", au dessous, et choisissez Déplacer en quarantaine l'objet indésirable
* Au menu principal de l'outil, au haut à gauche, cliquez sur le menu Fichier et choisissez Enregistrer le rapport qui se nommera DrWeb.csv
* Sauvegardez le rapport sur le Bureau.
* Fermez Dr.Web Cureit
* Redémarrez impérativement, car certains fichiers peuvent être déplacés/réparés au redémarrage.
* Copiez/Collez le contenu du rapport de Dr.Web dans la prochaine réponse.


alma1978
 Posté le 22/09/2009 à 14:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Pardon mais je n'ai pas saisi...

Il faut d'abord que je formate et qu'ensuite je fasse ces manips ?

pear
 Posté le 22/09/2009 à 15:17 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Non,

Sauvegardez les données,

ensuite Dr Web pour voir à quel point vous êtes infectée et tenter une réparation si ce n'est pas trop tard.

Vous formaterez après si Virut a fait trop de dégats.

alma1978
 Posté le 23/09/2009 à 09:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Il me semble que ce n'est pas trop désespéré, j'ai semble-t-il peu d'applications infectées. Je lance donc une autre appli AVPTools avant de partir bosser.

Dites moi ce que vous en pensez svp. Par contre je vois TightVNC un logiciel de contrôle à distance, ce qui m'inquiète un peu plus :s

Voici le rapport:

RegUBP2b-Amandine.reg C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2 Trojan.StartPage.1505 Supprimé.
UsbFix.exe\Tools\Kill_P.exe C:\Documents and Settings\A. T.\Mes documents\Temp telecharg\UsbFix.exe Tool.Prockill
UsbFix.exe C:\Documents and Settings\A. T.\Mes documents\Temp telecharg L'archive contient des éléments infectés Quarantaine.
DisplayPlus.exe.VIR C:\Program Files\Dell\QuickSet Win32.Virut.56 Désinfecté.
setup.exe C:\Program Files\ESET\Install Win32.Virut.56 Désinfecté.
WinVNC.exe C:\Program Files\TightVNC Program.WinVnc Irréparable.Quarantaine. A0005165.exe C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP18 Win32.Virut.56 Désinfecté.
A0005202.reg C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP19 Trojan.StartPage.1505 Supprimé.
A0005203.exe C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP19 Win32.Virut.56 Désinfecté.
Kill_P.exe C:\UsbFix\Tools Tool.Prockill Irréparable.Quarantaine.



Modifié par alma1978 le 23/09/2009 23:57
pear
 Posté le 23/09/2009 à 10:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Je lance donc une autre appli AVPTools avant de partir bosser

Pourquoi me demander mon avis si vous n'en faites qu'à votre tête?

Je ne vous l'ai pas demandé, j'en conclus que vous envisagez de vous débrouiller seule ou en suivant d'autres conseils.

Pour ne pas interférer, je me retire donc.



Modifié par pear le 23/09/2009 10:12
alma1978
 Posté le 23/09/2009 à 10:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Pardon pear, je suis désolée je ne pensais sincèrement pas mal faire mais le scan a duré presque 6h et comme je ne peux m'en occuper que le soir en rentrant chez moi je pensais simplement gagner du temps en attendant votre réponse... J'ai vraiment besoin d'aide SVP

pear
 Posté le 23/09/2009 à 11:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Ok

Mais retenez qu'il ne faut pas d'initiative qui puisse interférer dans une procédure de désinfection.

Vous allez télécharger Combofix.
Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.
Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous allez charger sera obsolète dans quelques jours.
Avant de l'installer,vous pourriez utilement lire ce
,Mode opératoire:

Télécharger combofix.exe de sUBs

Vous devriez avoir une fenêtre vous avertissant que vous téléchargez Combofix depuis un site non-autorisé.
N'en tenez pas compte


Lancez Combofix en double cliquant

Tout d'abord, Combofix vérifie si la Console de récupération est installée et vous propose de le faire dans le cas contraire.
Certaines infections comme braviax empêcheront son installation.
Les utilisateurs de Windows Vista peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Environnement de réparation Vista)
La Console de récupération Windows vous permettra de démarrer dans un mode spécial de récupération (réparation).
Elle peut être nécessaire si votre ordinateur rencontre un problème après une tentative de nettoyage.
C'est une procédure simple, qui ne vous prendra que peu de temps et pourra peut-être un jour vous sauver la mis

Certaines infections (Rootkit en Mbr)ne peuvent être traitées qu'en utilisant la Console de Récupération,
D'importantes procédures que Combofix est susceptible de lancer ne fonctionneront qu'à la condition que la console de récupération(Sous Xp) soit installée
C'est pourquoi il vous est vivement conseillé d' installer d'abord la Console de Récupération sur le pc .

Cela permettra de réparer le système au cas ou le pc ne redémarrerait plus suite à la désinfection.
* Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:
cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau:
Ne modifiez pas le nom du fichier
Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2
* Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe

image

* Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.
Après installation,vous devriez voir ce message:
The Recovery Console was successfully installed.

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs ,Teatimer de Spybot car ils pourraient perturber le fonctionnement de cet outil
* Pour cela, faites un clic droit sur l'icône de l'antivirus en bas à droite à côté de l'horloge puis Disable Guard ou Shield ou Résident...
Pour éviter leur réactivation après un redémarrage, décochez les dans les options de démarrage ->Msconfig
Si vous utilisez Spybot
Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!
Afficher d'abord le Mode Avancé dans SpyBot
->Options Avancées :
- >menu Mode, Mode Avancé.
Une colonne de menus apparaît dans la partie gauche :
- >cliquer sur Outils,
- >cliquer sur Résident,
Dans Résident :
- >décocher Résident "TeaTimer" pour le désactiver.


Cela est absolument nécessaire au succès de la procédure.
Bien évidemment, vous les rétablirez ensuite.
Connecter tous les disques amovibles (disque dur externe, clé USB…).
*Double cliquer sur combofix.exe ou votrenom .exe pour le lancer.


Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!
Pour lancer le scan

* Taper sur la touche 1 pour démarrer le scan.
Si pour une raison quelconque, Vista par exemple, combofix ne se lançait pas,
Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix
Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

* Le scan pourrait prendre un certain temps:
Patientez au moins 30 minutes pendant l'analyse. Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.
A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.
* Si le rapport est trop long, postez le en deux fois.
Il se trouve à c:\combofix.txt

alma1978
 Posté le 23/09/2009 à 13:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Merci pear !

Quelques petites questions tout de même avant de ma lancer ce soir:

1/

"* Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:

cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau:
Ne modifiez pas le nom du fichier
Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2
* Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe"

A quel moment je vais avoir ce lien où je devrais choisir ma version de windows ?

2/ Je suppose qu'il n'est pas nécessaire de connecter mon DD ethernet puisque la connexion internet est désactivée par combofix ?

3/ La procédure n'est pas à faire en mode sans échec si j'ai bien suivi ?


Publicité
pear
 Posté le 23/09/2009 à 13:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

A quel moment je vais avoir ce lien où je devrais choisir ma version de windows ?

Au moment d'installer la console qui correspond à votre OS.

2/ Je suppose qu'il n'est pas nécessaire de connecter mon DD ethernet puisque la connexion internet est désactivée par combofix ?

Non

3/ La procédure n'est pas à faire en mode sans échec si j'ai bien suivi ?

Vous avez bien lu.


alma1978
 Posté le 23/09/2009 à 23:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

J'ai rencontré pas mal de difficultés.

D'abord Combofix m'a prévenue qu'un antivirus n'était pas désactivé. Je me suis aperçu que le centre de sécurité considerait tjs NOD32 comme actif. Mais comme il est vérolé impossible de le désinstaller. J'ai supprimé un max de fichiers de ce programme et tenté de rafraichir le centre de sécurité... sans succès.

Ensuite Combofix n'a pas pu installer la console de restauration car ma connexion n'était pas active mais il a tout de même lancé le scan. j'avoue avoir eu un peu peur mais au final ça a fonctionné ! Voici le rapport:

ComboFix 09-09-22.03 - A. T. 23/09/2009 23:26.1.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2046.1468 [GMT 2:00]
Lancé depuis: c:\documents and settings\A. T.\Bureau\87142-CF.exe
* Un antivirus résident est actif


AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\INSTALL.LOG
c:\windows\Installer\191d884.msi
c:\windows\Installer\212346.msp
c:\windows\Installer\439739.msp

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-08-23 au 2009-09-23 ))))))))))))))))))))))))))))))))))))
.

2009-09-22 18:21 . 2009-09-22 18:25 -------- d-----w- c:\documents and settings\Administrateur\DoctorWeb
2009-09-22 18:13 . 2009-09-23 06:32 -------- d-----w- C:\Outils virus
2009-09-22 18:10 . 2009-09-22 18:10 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Sony Ericsson
2009-09-20 10:04 . 2009-07-19 13:29 6067200 -c----w- c:\windows\system32\dllcache\ieframe.dll
2009-09-20 10:04 . 2009-06-29 15:57 52224 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll
2009-09-20 10:04 . 2009-06-29 15:57 459264 -c----w- c:\windows\system32\dllcache\msfeeds.dll
2009-09-20 10:04 . 2009-06-29 15:57 268288 -c----w- c:\windows\system32\dllcache\iertutil.dll
2009-09-20 10:04 . 2009-06-29 15:57 380928 -c----w- c:\windows\system32\dllcache\ieapfltr.dll
2009-09-20 10:04 . 2009-06-29 11:07 13824 -c----w- c:\windows\system32\dllcache\ieudinit.exe
2009-09-20 10:04 . 2009-06-29 15:57 63488 -c----w- c:\windows\system32\dllcache\icardie.dll
2009-09-20 10:04 . 2009-06-29 08:33 2452872 -c----w- c:\windows\system32\dllcache\ieapfltr.dat
2009-09-20 09:03 . 2009-06-25 08:26 54272 -c----w- c:\windows\system32\dllcache\wdigest.dll
2009-09-20 09:03 . 2009-06-25 08:26 136192 -c----w- c:\windows\system32\dllcache\msv1_0.dll
2009-09-20 09:03 . 2009-06-25 08:26 301568 -c----w- c:\windows\system32\dllcache\kerberos.dll
2009-09-20 09:03 . 2009-06-24 11:18 92928 -c----w- c:\windows\system32\dllcache\ksecdd.sys
2009-09-20 08:52 . 2009-09-20 09:09 -------- d-----w- C:\UsbFix
2009-09-19 21:38 . 2009-09-19 21:39 -------- d-----w- c:\documents and settings\A. T.\Local Settings\Application Data\Deployment
2009-09-19 12:19 . 2009-09-19 13:01 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-09-19 12:19 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-09-19 12:19 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-09-19 12:19 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-09-19 12:18 . 2009-09-19 12:18 -------- d-----w- c:\program files\Avira
2009-09-19 12:18 . 2009-09-19 12:18 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2009-09-19 07:57 . 2009-09-19 12:12 -------- d-----w- c:\program files\Panda Security
2009-09-19 07:37 . 2009-08-13 15:20 512000 -c----w- c:\windows\system32\dllcache\jscript.dll
2009-09-18 22:57 . 2008-06-17 19:02 8517632 -c----w- c:\windows\system32\dllcache\shell32.dll
2009-09-18 22:53 . 2008-04-14 02:33 8192 -c--a-w- c:\windows\system32\dllcache\wshirda.dll
2009-09-18 22:53 . 2008-04-14 02:33 8192 ----a-w- c:\windows\system32\wshirda.dll
2009-09-18 22:53 . 2008-04-14 02:33 29184 -c--a-w- c:\windows\system32\dllcache\irmon.dll
2009-09-18 22:53 . 2008-04-14 02:33 29184 ----a-w- c:\windows\system32\irmon.dll
2009-09-18 22:53 . 2008-04-14 02:34 153088 -c--a-w- c:\windows\system32\dllcache\irftp.exe
2009-09-18 22:53 . 2008-04-14 02:34 153088 ----a-w- c:\windows\system32\irftp.exe
2009-09-18 21:54 . 2008-04-14 02:33 1306624 -c----w- c:\windows\system32\dllcache\msxml6.dll
2009-09-18 21:54 . 2008-04-14 02:04 93184 -c----w- c:\windows\system32\dllcache\msxml6r.dll
2009-09-17 17:16 . 2009-09-17 17:16 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Mozilla
2009-09-17 15:55 . 2009-09-17 15:55 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2009-09-17 15:40 . 2009-09-19 20:10 -------- d-----w- C:\HiJackThis
2009-09-17 07:00 . 2009-06-10 07:21 2066432 -c----w- c:\windows\system32\dllcache\mstscax.dll
2009-09-17 07:00 . 2008-06-14 17:33 272768 -c----w- c:\windows\system32\dllcache\bthport.sys
2009-09-17 06:54 . 2009-09-17 06:54 -------- d-----w- c:\documents and settings\A. T.\Application Data\Malwarebytes
2009-09-17 06:54 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-17 06:54 . 2009-09-17 07:09 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-09-17 06:54 . 2009-09-17 06:54 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-09-17 06:54 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-17 06:50 . 2008-05-08 14:02 203136 -c----w- c:\windows\system32\dllcache\rmcast.sys
2009-09-17 06:50 . 2008-10-24 11:21 455296 -c----w- c:\windows\system32\dllcache\mrxsmb.sys
2009-09-17 06:50 . 2008-12-11 10:57 333952 -c----w- c:\windows\system32\dllcache\srv.sys
2009-09-17 06:50 . 2008-05-01 14:36 331776 -c----w- c:\windows\system32\dllcache\msadce.dll
2009-09-17 06:50 . 2009-07-10 13:27 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll
2009-09-17 06:49 . 2008-04-11 19:05 691712 -c----w- c:\windows\system32\dllcache\inetcomm.dll
2009-09-17 06:49 . 2008-12-16 12:31 354304 -c----w- c:\windows\system32\dllcache\winhttp.dll
2009-09-17 06:49 . 2008-10-03 10:17 247326 -c----w- c:\windows\system32\dllcache\strmdll.dll
2009-09-17 06:49 . 2008-10-15 16:35 337408 -c----w- c:\windows\system32\dllcache\netapi32.dll
2009-09-17 06:49 . 2008-09-04 16:45 1106944 -c----w- c:\windows\system32\dllcache\msxml3.dll
2009-09-16 23:58 . 2009-09-16 23:58 -------- d-----w- c:\windows\dell
2009-09-16 23:44 . 2009-06-21 22:06 153088 -c----w- c:\windows\system32\dllcache\triedit.dll
2009-09-16 23:02 . 2009-09-20 15:20 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-09-16 23:02 . 2009-09-16 23:05 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-09-16 22:12 . 2004-08-05 12:00 24661 ----a-w- c:\windows\system32\spxcoins.dll
2009-09-16 22:12 . 2004-08-05 12:00 13312 ----a-w- c:\windows\system32\irclass.dll
2009-09-16 17:06 . 2009-09-16 17:06 -------- d-----w- c:\documents and settings\Administrateur\Application Data\WTablet
2009-09-13 16:08 . 2009-09-13 16:08 -------- d-----w- c:\program files\Fichiers communs\xing shared
2009-09-09 20:41 . 2009-09-09 20:41 -------- d-----w- c:\program files\iPod
2009-09-09 20:40 . 2009-09-09 20:42 -------- d-----w- c:\program files\iTunes
2009-09-09 20:40 . 2009-09-09 20:42 -------- d-----w- c:\documents and settings\All Users\Application Data\{755AC846-7372-4AC8-8550-C52491DAA8BD}
2009-09-09 20:37 . 2009-09-09 20:38 -------- d-----w- c:\program files\QuickTime
2009-09-09 20:22 . 2009-09-09 20:30 -------- d-----w- c:\documents and settings\A. T.\Application Data\Gestionnaire de Téléchargements Qobuz
2009-09-03 18:24 . 2009-09-23 20:29 -------- d-----w- c:\documents and settings\A. T.\Tracing
2009-09-03 18:23 . 2009-09-09 19:16 -------- d-----w- c:\program files\Microsoft Silverlight
2009-09-03 18:21 . 2009-09-03 18:21 -------- d-----w- c:\program files\Microsoft
2009-09-03 18:21 . 2009-09-03 18:21 -------- d-----w- c:\program files\Windows Live SkyDrive
2009-09-03 18:16 . 2009-09-03 18:16 -------- d-----w- c:\program files\Fichiers communs\Windows Live
2009-09-03 17:44 . 2009-09-03 17:44 -------- d-sh--w- c:\documents and settings\A. T.\PrivacIE
2009-08-30 18:56 . 2009-08-30 18:56 -------- d-----w- c:\program files\SystemRequirementsLab
2009-08-30 18:56 . 2009-08-30 18:56 -------- d-----w- c:\documents and settings\A. T.\Application Data\SystemRequirementsLab
2009-08-29 14:15 . 2009-08-29 14:15 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
2009-08-29 14:14 . 2009-08-29 14:14 -------- d-sh--w- c:\documents and settings\A. T.\IETldCache
2009-08-29 09:04 . 2009-08-29 09:06 -------- d-----w- c:\windows\ie8updates
2009-08-29 09:01 . 2009-08-29 09:03 -------- dc-h--w- c:\windows\ie8

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-23 21:19 . 2009-02-08 17:19 -------- d-----w- c:\program files\ESET
2009-09-23 20:29 . 2008-09-07 12:17 -------- d-----w- c:\documents and settings\A. T.\Application Data\WTablet
2009-09-23 06:40 . 2004-08-19 12:03 87650 ----a-w- c:\windows\system32\perfc00C.dat
2009-09-23 06:40 . 2004-08-19 12:03 516900 ----a-w- c:\windows\system32\perfh00C.dat
2009-09-23 06:30 . 2007-07-12 20:30 -------- d-----w- c:\program files\TightVNC
2009-09-19 13:29 . 2006-05-18 14:52 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-09-19 12:12 . 2007-10-24 14:51 -------- d-----w- c:\program files\Lavasoft
2009-09-16 22:51 . 2006-05-23 08:18 73248 ----a-w- c:\documents and settings\A. T.\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-09-16 22:27 . 2004-08-19 12:15 23756 ----a-w- c:\windows\system32\emptyregdb.dat
2009-09-16 22:23 . 2006-05-18 14:37 39932 ----a-w- c:\windows\system32\nvModes.dat
2009-09-14 21:53 . 2008-09-01 20:49 -------- d-----w- c:\documents and settings\A. T.\Application Data\BitTorrent
2009-09-14 21:40 . 2007-06-30 22:04 -------- d-----w- c:\program files\Fichiers communs\Apple
2009-09-13 16:08 . 2007-03-13 19:38 -------- d-----w- c:\program files\Fichiers communs\Real
2009-09-13 16:07 . 2003-03-18 17:14 499712 ----a-w- c:\windows\system32\msvcp71.dll
2009-09-13 16:07 . 2003-02-21 01:42 348160 ----a-w- c:\windows\system32\msvcr71.dll
2009-09-11 07:13 . 2007-08-04 23:08 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2009-09-09 05:34 . 2007-07-10 17:06 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2009-09-05 18:58 . 2009-05-30 15:03 -------- d-----w- c:\documents and settings\A. T.\Application Data\Spotify
2009-09-03 18:23 . 2008-03-02 17:28 -------- d-----w- c:\program files\Windows Live
2009-08-29 09:36 . 2007-02-06 19:42 -------- d-----w- c:\program files\GameShadow
2009-08-29 09:19 . 2006-08-18 13:15 -------- d-----w- c:\program files\DivX
2009-08-22 20:52 . 2009-08-22 18:48 -------- d-----w- c:\documents and settings\A. T.\Application Data\BSplayer
2009-08-22 19:42 . 2009-08-22 19:42 -------- d-----w- c:\program files\Fichiers communs\DivX Shared
2009-08-22 18:48 . 2009-08-22 18:48 -------- d-----w- c:\documents and settings\A. T.\Application Data\BSplayer Pro
2009-08-21 08:40 . 2007-10-09 18:49 -------- d-----w- c:\documents and settings\A. T.\Application Data\MyPhoneExplorer
2009-08-14 06:14 . 2009-08-14 06:14 -------- d-----w- c:\program files\MSBuild
2009-08-14 06:14 . 2009-08-14 06:14 -------- d-----w- c:\program files\Reference Assemblies
2009-08-05 09:00 . 2004-08-05 12:00 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-08-02 11:00 . 2009-08-02 11:00 -------- d-----w- c:\program files\Fichiers communs\Nikon
2009-07-29 04:35 . 2004-08-05 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-07-29 04:35 . 2004-08-05 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-07-26 14:44 . 2009-07-26 14:44 48448 ----a-w- c:\windows\system32\sirenacm.dll
2009-07-17 18:56 . 2004-08-05 12:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 08:08 . 2004-08-05 12:00 286720 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-10 11:01 . 2009-07-10 11:01 307560 ----a-w- c:\windows\WLXPGSS.SCR
2009-06-29 15:57 . 2004-08-05 12:00 827392 ----a-w- c:\windows\system32\wininet.dll
2009-06-29 15:57 . 2004-08-05 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-06-29 15:57 . 2004-08-05 12:00 17408 ----a-w- c:\windows\system32\corpol.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
2007-08-03 18:50 . 2007-08-03 18:50 11270 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-03-08 761947]
"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2005-09-08 122940]
"IntelliPoint"="c:\program files\Microsoft IntelliPoint\ipoint.exe" [2007-08-31 1037736]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-02-13 7700480]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-09-04 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-09-08 305440]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2009-09-13 198160]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SigmatelSysTrayApp"="stsystra.exe" - c:\windows\stsystra.exe [2006-02-10 282624]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-02-13 1622016]
"NVHotkey"="nvHotkey.dll" - c:\windows\system32\nvhotkey.dll [2007-02-13 73728]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"áN@"="e14e4000" [X]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Sony Ericsson\\Update Service\\Update Service.exe"=
"c:\\Program Files\\ArchiCAD 8.1\\ArchiCAD.exe"=
"c:\\Program Files\\HipServ Desktop Applications\\DesktopMirror\\rsync.exe"=
"c:\\Program Files\\HipServ Desktop Applications\\DesktopMirror\\ssh.exe"=
"c:\\Program Files\\HipServ Desktop Applications\\QuickConnect\\AxentraPicturesWizard.exe"=
"c:\\Program Files\\HipServ Desktop Applications\\QuickConnect\\AxentraSmartShortcut.exe"=
"c:\\Program Files\\HipServ Desktop Applications\\HipServAgent\\HipServAgent.exe"=
"c:\\Program Files\\DNA\\btdna.exe"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Spotify\\spotify.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\HomePlayer\\HomePlayer.exe"=
"c:\\Program Files\\HomePlayer\\VLC\\vlc.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"64916:TCP"= 64916:TCP:Port Bit Torrent

R1 nod32drv;nod32drv;c:\windows\system32\drivers\nod32drv.sys [08/02/2009 19:20 15424]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [19/09/2009 14:18 108289]
R2 TabletServiceWacom;TabletServiceWacom;c:\windows\system32\Wacom_Tablet.exe [07/09/2008 14:16 1373480]
S3 w550obex;Sony Ericsson W550 USB WMC OBEX Interface Drivers;c:\windows\system32\DRIVERS\w550obex.sys --> c:\windows\system32\DRIVERS\w550obex.sys [?]
S3 Wibukey2;Wibukey2;c:\windows\system32\drivers\wibukey2.sys [23/05/2006 12:24 17408]
S4 Bdsiop;Bdsiop;c:\windows\system32\drivers\ndproxy.sys [05/08/2004 14:00 40576]
.
Contenu du dossier 'Tâches planifiées'

2009-08-20 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
LSP: c:\windows\system32\imon.dll
TCP: {7783B05C-FAC5-4B03-A34D-C22FC4954CCD} = 212.27.53.252,212.27.54.252
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\A. T.\Application Data\Mozilla\Firefox\Profiles\ob08777x.default\
FF - prefs.js: browser.startup.homepage - hxxp://fr.mg40.mail.yahoo.com/dc/launch?.rand=bemvn4i8sdldr|http://www.ipernity.com/|http://fr.msn.com/?ocid=iehp
FF - component: c:\documents and settings\A. T.\Application Data\Mozilla\Firefox\Profiles\ob08777x.default\extensions\piclens@cooliris.com\components\coolirisstub.dll
FF - component: c:\program files\real\realplayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll
FF - plugin: c:\documents and settings\A. T.\Application Data\Mozilla\Firefox\Profiles\ob08777x.default\extensions\piclens@cooliris.com\plugins\npcoolirisplugin.dll
FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NPAdbESD.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npbittorrent.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npmozax.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npvirtools.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-23 23:34
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'lsass.exe'(916)
c:\windows\system32\imon.dll
c:\program files\Eset\pr_imon.dll
.
Heure de fin: 2009-09-23 23:36
ComboFix-quarantined-files.txt 2009-09-23 21:36

Avant-CF: 3 163 082 752 octets libres
Après-CF: 3 370 528 768 octets libres

243 --- E O F --- 2009-09-21 06:57

pear
 Posté le 24/09/2009 à 09:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour,

Ce n'est pas mal!

Désinstallez Nod32 avec un de ces outils:

Outils de désinstallation Antivirus

Relancez Combofix .

et faites un scan en ligne:

Scan en ligne
NOTE: Le scan en ligne sera à faire avec Internet Explorer.
Désactiver l'antivirus actuel
Kaspersky
Sous Vista,il faut désactiver l'UAC, et cliquer droit sur Internet Explorer / Exécuter en tant qu'administrateur et coller l'URL de Kaspersky
http://www.kaspersky.com/kos/eng/partner/default/kavwebscan.html
Vider la corbeille.
* Cliquer sur Accept
* Une barre jaune va demander d'accepter l'installation de Kavwebscan_Unicode.cab, installer l'Active X.
* cliquer une nouvelle fois sur "Accept"
* Les bases de mises à jour vont s'installer, patienter un moment
* Cliquer sur Next.
* Cliquer sur My Computer, le scan se met en route;
attendre la fin du scan sans fermer la fenêtre sinon il s'arrêtera.
A la fin du scan, si des objets infectés sont découverts, cliquer sur Save report as...
Choisir bureau et nommer le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisir "fichiers texte" enregistrer le rapport.
Copier/coller l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.
Coller ce rapport dans la réponse sur le forum.

alma1978
 Posté le 24/09/2009 à 18:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Hello Pear,

je n'ai pas de chance le lien pour la désinstall de Nod32 n'est plus valable

Il me reste des "bouts" de cet antivirus vérolé un peu partout et même Ccleaner ne veut pas me les supprimer :(

Une idée pour y parvenir ?

Et sinon, question bête, le scan en ligne, je le lance après avoir refait une procédure Combofix ou pendant ?

Je ne suis pas sous Vista mais sous XP pro, l'UAC c'est quoi ?

alma1978
 Posté le 24/09/2009 à 21:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

J'ai fini par trouver un désinstalleur manuel, j'espère qu'il aura tout éliminé.

Je te poste le second rapport combofix:

ComboFix 09-09-23.02 - A. T. 24/09/2009 20:38.3.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2046.1576 [GMT 2:00]
Lancé depuis: c:\documents and settings\A. T.\Bureau\87142-CF.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((( Fichiers créés du 2009-08-24 au 2009-09-24 ))))))))))))))))))))))))))))))))))))
.

2009-09-23 21:24 . 2009-09-23 21:36 -------- d-----w- C:\87142-CF
2009-09-23 21:24 . 2009-09-23 21:24 -------- d-----w- c:\windows\system32\wbem\Repository
2009-09-22 18:21 . 2009-09-22 18:25 -------- d-----w- c:\documents and settings\Administrateur\DoctorWeb
2009-09-22 18:13 . 2009-09-23 06:32 -------- d-----w- C:\Outils virus
2009-09-22 18:10 . 2009-09-22 18:10 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Sony Ericsson
2009-09-20 10:04 . 2009-07-19 13:29 6067200 -c----w- c:\windows\system32\dllcache\ieframe.dll
2009-09-20 10:04 . 2009-06-29 15:57 52224 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll
2009-09-20 10:04 . 2009-06-29 15:57 459264 -c----w- c:\windows\system32\dllcache\msfeeds.dll
2009-09-20 10:04 . 2009-06-29 15:57 268288 -c----w- c:\windows\system32\dllcache\iertutil.dll
2009-09-20 10:04 . 2009-06-29 15:57 380928 -c----w- c:\windows\system32\dllcache\ieapfltr.dll
2009-09-20 10:04 . 2009-06-29 11:07 13824 -c----w- c:\windows\system32\dllcache\ieudinit.exe
2009-09-20 10:04 . 2009-06-29 15:57 63488 -c----w- c:\windows\system32\dllcache\icardie.dll
2009-09-20 10:04 . 2009-06-29 08:33 2452872 -c----w- c:\windows\system32\dllcache\ieapfltr.dat
2009-09-20 09:03 . 2009-06-25 08:26 54272 -c----w- c:\windows\system32\dllcache\wdigest.dll
2009-09-20 09:03 . 2009-06-25 08:26 136192 -c----w- c:\windows\system32\dllcache\msv1_0.dll
2009-09-20 09:03 . 2009-06-25 08:26 301568 -c----w- c:\windows\system32\dllcache\kerberos.dll
2009-09-20 09:03 . 2009-06-24 11:18 92928 -c----w- c:\windows\system32\dllcache\ksecdd.sys
2009-09-20 08:52 . 2009-09-24 17:40 -------- d-----w- C:\UsbFix
2009-09-19 21:38 . 2009-09-19 21:39 -------- d-----w- c:\documents and settings\A. T.\Local Settings\Application Data\Deployment
2009-09-19 12:19 . 2009-09-19 13:01 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-09-19 12:19 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-09-19 12:19 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-09-19 12:19 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-09-19 12:18 . 2009-09-19 12:18 -------- d-----w- c:\program files\Avira
2009-09-19 12:18 . 2009-09-19 12:18 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2009-09-19 07:57 . 2009-09-19 12:12 -------- d-----w- c:\program files\Panda Security
2009-09-19 07:37 . 2009-08-13 15:20 512000 -c----w- c:\windows\system32\dllcache\jscript.dll
2009-09-18 22:57 . 2008-06-17 19:02 8517632 -c----w- c:\windows\system32\dllcache\shell32.dll
2009-09-18 22:53 . 2008-04-14 02:33 8192 -c--a-w- c:\windows\system32\dllcache\wshirda.dll
2009-09-18 22:53 . 2008-04-14 02:33 8192 ----a-w- c:\windows\system32\wshirda.dll
2009-09-18 22:53 . 2008-04-14 02:33 29184 -c--a-w- c:\windows\system32\dllcache\irmon.dll
2009-09-18 22:53 . 2008-04-14 02:33 29184 ----a-w- c:\windows\system32\irmon.dll
2009-09-18 22:53 . 2008-04-14 02:34 153088 -c--a-w- c:\windows\system32\dllcache\irftp.exe
2009-09-18 22:53 . 2008-04-14 02:34 153088 ----a-w- c:\windows\system32\irftp.exe
2009-09-18 21:54 . 2008-04-14 02:33 1306624 -c----w- c:\windows\system32\dllcache\msxml6.dll
2009-09-18 21:54 . 2008-04-14 02:04 93184 -c----w- c:\windows\system32\dllcache\msxml6r.dll
2009-09-17 17:16 . 2009-09-17 17:16 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Mozilla
2009-09-17 15:55 . 2009-09-17 15:55 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2009-09-17 15:40 . 2009-09-19 20:10 -------- d-----w- C:\HiJackThis
2009-09-17 07:00 . 2009-06-10 07:21 2066432 -c----w- c:\windows\system32\dllcache\mstscax.dll
2009-09-17 07:00 . 2008-06-14 17:33 272768 -c----w- c:\windows\system32\dllcache\bthport.sys
2009-09-17 06:54 . 2009-09-17 06:54 -------- d-----w- c:\documents and settings\A. T.\Application Data\Malwarebytes
2009-09-17 06:54 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-17 06:54 . 2009-09-17 07:09 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-09-17 06:54 . 2009-09-17 06:54 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-09-17 06:54 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-17 06:50 . 2008-05-08 14:02 203136 -c----w- c:\windows\system32\dllcache\rmcast.sys
2009-09-17 06:50 . 2008-10-24 11:21 455296 -c----w- c:\windows\system32\dllcache\mrxsmb.sys
2009-09-17 06:50 . 2008-12-11 10:57 333952 -c----w- c:\windows\system32\dllcache\srv.sys
2009-09-17 06:50 . 2008-05-01 14:36 331776 -c----w- c:\windows\system32\dllcache\msadce.dll
2009-09-17 06:50 . 2009-07-10 13:27 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll
2009-09-17 06:49 . 2008-04-11 19:05 691712 -c----w- c:\windows\system32\dllcache\inetcomm.dll
2009-09-17 06:49 . 2008-12-16 12:31 354304 -c----w- c:\windows\system32\dllcache\winhttp.dll
2009-09-17 06:49 . 2008-10-03 10:17 247326 -c----w- c:\windows\system32\dllcache\strmdll.dll
2009-09-17 06:49 . 2008-10-15 16:35 337408 -c----w- c:\windows\system32\dllcache\netapi32.dll
2009-09-17 06:49 . 2008-09-04 16:45 1106944 -c----w- c:\windows\system32\dllcache\msxml3.dll
2009-09-16 23:58 . 2009-09-16 23:58 -------- d-----w- c:\windows\dell
2009-09-16 23:44 . 2009-06-21 22:06 153088 -c----w- c:\windows\system32\dllcache\triedit.dll
2009-09-16 23:02 . 2009-09-20 15:20 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-09-16 23:02 . 2009-09-16 23:05 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-09-16 22:12 . 2004-08-05 12:00 24661 ----a-w- c:\windows\system32\spxcoins.dll
2009-09-16 22:12 . 2004-08-05 12:00 13312 ----a-w- c:\windows\system32\irclass.dll
2009-09-16 17:06 . 2009-09-16 17:06 -------- d-----w- c:\documents and settings\Administrateur\Application Data\WTablet
2009-09-13 16:08 . 2009-09-13 16:08 -------- d-----w- c:\program files\Fichiers communs\xing shared
2009-09-09 20:41 . 2009-09-09 20:41 -------- d-----w- c:\program files\iPod
2009-09-09 20:40 . 2009-09-09 20:42 -------- d-----w- c:\program files\iTunes
2009-09-09 20:40 . 2009-09-09 20:42 -------- d-----w- c:\documents and settings\All Users\Application Data\{755AC846-7372-4AC8-8550-C52491DAA8BD}
2009-09-09 20:37 . 2009-09-09 20:38 -------- d-----w- c:\program files\QuickTime
2009-09-09 20:22 . 2009-09-09 20:30 -------- d-----w- c:\documents and settings\A. T.\Application Data\Gestionnaire de Téléchargements Qobuz
2009-09-03 18:24 . 2009-09-24 18:36 -------- d-----w- c:\documents and settings\A. T.\Tracing
2009-09-03 18:23 . 2009-09-09 19:16 -------- d-----w- c:\program files\Microsoft Silverlight
2009-09-03 18:21 . 2009-09-03 18:21 -------- d-----w- c:\program files\Microsoft
2009-09-03 18:21 . 2009-09-03 18:21 -------- d-----w- c:\program files\Windows Live SkyDrive
2009-09-03 18:16 . 2009-09-03 18:16 -------- d-----w- c:\program files\Fichiers communs\Windows Live
2009-09-03 17:44 . 2009-09-03 17:44 -------- d-sh--w- c:\documents and settings\A. T.\PrivacIE
2009-08-30 18:56 . 2009-08-30 18:56 -------- d-----w- c:\program files\SystemRequirementsLab
2009-08-30 18:56 . 2009-08-30 18:56 -------- d-----w- c:\documents and settings\A. T.\Application Data\SystemRequirementsLab
2009-08-29 14:15 . 2009-08-29 14:15 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
2009-08-29 14:14 . 2009-08-29 14:14 -------- d-sh--w- c:\documents and settings\A. T.\IETldCache
2009-08-29 09:04 . 2009-08-29 09:06 -------- d-----w- c:\windows\ie8updates
2009-08-29 09:01 . 2009-08-29 09:03 -------- dc-h--w- c:\windows\ie8

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-24 18:35 . 2008-09-07 12:17 -------- d-----w- c:\documents and settings\A. T.\Application Data\WTablet
2009-09-24 17:52 . 2004-08-19 12:03 87650 ----a-w- c:\windows\system32\perfc00C.dat
2009-09-24 17:52 . 2004-08-19 12:03 516900 ----a-w- c:\windows\system32\perfh00C.dat
2009-09-23 06:30 . 2007-07-12 20:30 -------- d-----w- c:\program files\TightVNC
2009-09-19 13:29 . 2006-05-18 14:52 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-09-19 12:12 . 2007-10-24 14:51 -------- d-----w- c:\program files\Lavasoft
2009-09-16 22:51 . 2006-05-23 08:18 73248 ----a-w- c:\documents and settings\A. T.\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-09-16 22:27 . 2004-08-19 12:15 23756 ----a-w- c:\windows\system32\emptyregdb.dat
2009-09-16 22:23 . 2006-05-18 14:37 39932 ----a-w- c:\windows\system32\nvModes.dat
2009-09-14 21:53 . 2008-09-01 20:49 -------- d-----w- c:\documents and settings\A. T.\Application Data\BitTorrent
2009-09-14 21:40 . 2007-06-30 22:04 -------- d-----w- c:\program files\Fichiers communs\Apple
2009-09-13 16:08 . 2007-03-13 19:38 -------- d-----w- c:\program files\Fichiers communs\Real
2009-09-13 16:07 . 2003-03-18 17:14 499712 ----a-w- c:\windows\system32\msvcp71.dll
2009-09-13 16:07 . 2003-02-21 01:42 348160 ----a-w- c:\windows\system32\msvcr71.dll
2009-09-11 07:13 . 2007-08-04 23:08 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2009-09-09 05:34 . 2007-07-10 17:06 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2009-09-05 18:58 . 2009-05-30 15:03 -------- d-----w- c:\documents and settings\A. T.\Application Data\Spotify
2009-09-03 18:23 . 2008-03-02 17:28 -------- d-----w- c:\program files\Windows Live
2009-08-29 09:36 . 2007-02-06 19:42 -------- d-----w- c:\program files\GameShadow
2009-08-29 09:19 . 2006-08-18 13:15 -------- d-----w- c:\program files\DivX
2009-08-22 20:52 . 2009-08-22 18:48 -------- d-----w- c:\documents and settings\A. T.\Application Data\BSplayer
2009-08-22 19:42 . 2009-08-22 19:42 -------- d-----w- c:\program files\Fichiers communs\DivX Shared
2009-08-22 18:48 . 2009-08-22 18:48 -------- d-----w- c:\documents and settings\A. T.\Application Data\BSplayer Pro
2009-08-21 08:40 . 2007-10-09 18:49 -------- d-----w- c:\documents and settings\A. T.\Application Data\MyPhoneExplorer
2009-08-14 06:14 . 2009-08-14 06:14 -------- d-----w- c:\program files\MSBuild
2009-08-14 06:14 . 2009-08-14 06:14 -------- d-----w- c:\program files\Reference Assemblies
2009-08-05 09:00 . 2004-08-05 12:00 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-08-02 11:00 . 2009-08-02 11:00 -------- d-----w- c:\program files\Fichiers communs\Nikon
2009-07-29 04:35 . 2004-08-05 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-07-29 04:35 . 2004-08-05 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-07-26 14:44 . 2009-07-26 14:44 48448 ----a-w- c:\windows\system32\sirenacm.dll
2009-07-17 18:56 . 2004-08-05 12:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 08:08 . 2004-08-05 12:00 286720 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-10 11:01 . 2009-07-10 11:01 307560 ----a-w- c:\windows\WLXPGSS.SCR
2009-06-29 15:57 . 2004-08-05 12:00 827392 ------w- c:\windows\system32\wininet.dll
2009-06-29 15:57 . 2004-08-05 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-06-29 15:57 . 2004-08-05 12:00 17408 ----a-w- c:\windows\system32\corpol.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
2007-08-03 18:50 . 2007-08-03 18:50 11270 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( SnapShot@2009-09-23_21.34.08 )))))))))))))))))))))))))))))))))))))))))
.
+ 2004-08-19 12:03 . 2009-09-24 17:52 73750 c:\windows\system32\perfc009.dat
- 2004-08-19 12:03 . 2009-09-23 06:40 73750 c:\windows\system32\perfc009.dat
+ 2004-08-19 12:03 . 2009-09-24 17:52 447138 c:\windows\system32\perfh009.dat
- 2004-08-19 12:03 . 2009-09-23 06:40 447138 c:\windows\system32\perfh009.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-03-08 761947]
"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2005-09-08 122940]
"IntelliPoint"="c:\program files\Microsoft IntelliPoint\ipoint.exe" [2007-08-31 1037736]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-02-13 7700480]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-09-04 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-09-08 305440]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2009-09-13 198160]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SigmatelSysTrayApp"="stsystra.exe" - c:\windows\stsystra.exe [2006-02-10 282624]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-02-13 1622016]
"NVHotkey"="nvHotkey.dll" - c:\windows\system32\nvhotkey.dll [2007-02-13 73728]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"áN@"="e14e4000" [X]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Sony Ericsson\\Update Service\\Update Service.exe"=
"c:\\Program Files\\ArchiCAD 8.1\\ArchiCAD.exe"=
"c:\\Program Files\\HipServ Desktop Applications\\DesktopMirror\\rsync.exe"=
"c:\\Program Files\\HipServ Desktop Applications\\DesktopMirror\\ssh.exe"=
"c:\\Program Files\\HipServ Desktop Applications\\QuickConnect\\AxentraPicturesWizard.exe"=
"c:\\Program Files\\HipServ Desktop Applications\\QuickConnect\\AxentraSmartShortcut.exe"=
"c:\\Program Files\\HipServ Desktop Applications\\HipServAgent\\HipServAgent.exe"=
"c:\\Program Files\\DNA\\btdna.exe"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Spotify\\spotify.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\HomePlayer\\HomePlayer.exe"=
"c:\\Program Files\\HomePlayer\\VLC\\vlc.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"64916:TCP"= 64916:TCP:Port Bit Torrent

R1 nod32drv;nod32drv;c:\windows\system32\drivers\nod32drv.sys [08/02/2009 19:20 15424]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [19/09/2009 14:18 108289]
R2 TabletServiceWacom;TabletServiceWacom;c:\windows\system32\Wacom_Tablet.exe [07/09/2008 14:16 1373480]
S3 w550obex;Sony Ericsson W550 USB WMC OBEX Interface Drivers;c:\windows\system32\DRIVERS\w550obex.sys --> c:\windows\system32\DRIVERS\w550obex.sys [?]
S3 Wibukey2;Wibukey2;c:\windows\system32\drivers\wibukey2.sys [23/05/2006 12:24 17408]
S4 Bdsiop;Bdsiop;c:\windows\system32\drivers\ndproxy.sys [05/08/2004 14:00 40576]
.
Contenu du dossier 'Tâches planifiées'

2009-08-20 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
LSP: c:\windows\system32\imon.dll
TCP: {7783B05C-FAC5-4B03-A34D-C22FC4954CCD} = 212.27.53.252,212.27.54.252
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\A. T.\Application Data\Mozilla\Firefox\Profiles\ob08777x.default\
FF - prefs.js: browser.startup.homepage - hxxp://fr.mg40.mail.yahoo.com/dc/launch?.rand=bemvn4i8sdldr|http://www.ipernity.com/|http://fr.msn.com/?ocid=iehp
FF - component: c:\documents and settings\A. T.\Application Data\Mozilla\Firefox\Profiles\ob08777x.default\extensions\piclens@cooliris.com\components\coolirisstub.dll
FF - component: c:\program files\real\realplayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll
FF - plugin: c:\documents and settings\A. T.\Application Data\Mozilla\Firefox\Profiles\ob08777x.default\extensions\piclens@cooliris.com\plugins\npcoolirisplugin.dll
FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NPAdbESD.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npbittorrent.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npmozax.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npvirtools.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-24 20:45
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'lsass.exe'(924)
c:\windows\system32\imon.dll

- - - - - - - > 'explorer.exe'(2892)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\imon.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\eappprxy.dll
.
Heure de fin: 2009-09-24 20:48
ComboFix-quarantined-files.txt 2009-09-24 18:48
ComboFix2.txt 2009-09-24 18:02
ComboFix3.txt 2009-09-23 21:36

Avant-CF: 3 386 912 768 octets libres
Après-CF: 3 344 310 272 octets libres

250 --- E O F --- 2009-09-21 06:57

Je lance Kapersky et je te donne des nouvelles. J'espère faire les choses correctement

alma1978
 Posté le 25/09/2009 à 10:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

J'ai encore eu quelques soucis...

Internet Explorer ne fonctionnait pas, impossible de le lancer.

J'ai donc démarré le scan sur Mozilla Firefox et il n'a absolument rien détecté. Ca me parait presque louche :s

Du coup j'ai fait une mise à jour d'IE vers la V8 directement sur le site de microsoft et ça a marché.

Est-il nécessaire que je relance un scan depuis IE ?

pear
 Posté le 25/09/2009 à 11:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Est-il nécessaire que je relance un scan depuis IE ?

Oui, c'est indispensable.Ne serait-ce que pour s'assurer que tout fonctionne.

alma1978
 Posté le 25/09/2009 à 21:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Ca y est j'ai refait le scan sur IE et il n'a rien détecté non plus !

Est-ce que ça veut dire que le problème est réglé ?

Publicité
alma1978
 Posté le 26/09/2009 à 07:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Un petit mot pour prévenir que je m'absente pour le we {#}

alma1978
 Posté le 28/09/2009 à 10:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Re !

J'attends la suite de tes intructions pear

J'espère qu'on a réussi à avoir la bestiole !

pear
 Posté le 28/09/2009 à 11:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

J'espère qu'on a réussi à avoir la bestiole !

Il semblerait bien

Vous avez la chance de l'avoir détectée au tout début, avant qu'elle s'installe profondément.

Si vous estimez votre problème résolu cliquez sur Marquer comme résolu, à gauche, en bas de la page ou dans la barre de titre de votre sujet pour que ceux qui la recherchent y trouvent une solution.
image

alma1978
 Posté le 28/09/2009 à 12:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Génial ! Un grand MERCI pour ton aide !

Je peux quand même poster un rapport HiJack ce soir, juste pour me rassurer et être certaine que c'est réglé ?

Par contre existe-t-il un moyen de savoir exactement d'où est partie l'infection, je ne voudrais pas que cela recommence... :s

pear
 Posté le 28/09/2009 à 14:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

moyen de savoir exactement d'où est partie l'infection

C'est , le plus souvent , dù aux cracks.

Il ne vous servirait à rien de garder des outils de désinfection qui sont constamment mis à jours et seraient obsolètes en quelques jours.

Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.
Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous allez charger sera obsolète dans quelques jours.
Pour supprimer Combofix:
Démarrer > Exécuter ->combofix.exe /u
Valider par OK
ComboFix démarre et affiche un message disant que ComboFix est bien éliminé: cliquer sur
OK.
Supprimez C:\qoobox si vous le trouvez


Pour enlever les programmes utilisés pendant la procédure.
Télécharger ToolsCleaner2 de A.Rothstein
* Enregistrer ToolsCleaner2.exe sur le Bureau.
Sous Vista,Clic-droit > Exécuter en tant que Administrateur
* Double-cliquer dessus, puis cliquer sur Recherche --> Le programme va chercher les utilitaires installés
------> Il se peut que la fenêtre devienne blanche pendant le scan, c'est normal !
L'outil supprimera sans que vous ayez à intervenir.

Je peux quand même poster un rapport HiJack ce soir, juste pour me rassurer et être certaine que c'est réglé ?

Oui, bien sùr.



Modifié par pear le 28/09/2009 14:15
alma1978
 Posté le 28/09/2009 à 23:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Je vais m'occuper du nettoyage ;)

En attendant voici mon rapport HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:37:11, on 28/09/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\stsystra.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
c:\Program Files\Microsoft IntelliPoint\dpupdchk.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Wacom_Tablet.exe
C:\WINDOWS\system32\WTablet\Wacom_TabletUser.exe
C:\WINDOWS\system32\Wacom_Tablet.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\HiJackThis\HiJackThis.exe
C:\Program Files\Mozilla Firefox\firefox.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - c:\program files\real\realplayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [IntelliPoint] "c:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [áN@] áN@
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1148415468969
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.ipernity.com/E/Applets/Uploader/ImageUploader4.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://www.ipernity.com/E/Applets/Uploader/ImageUploader4.cab?v4.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{7783B05C-FAC5-4B03-A34D-C22FC4954CCD}: NameServer = 212.27.53.252,212.27.54.252
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TabletServiceWacom - Wacom Technology, Corp. - C:\WINDOWS\system32\Wacom_Tablet.exe

--
End of file - 9081 bytes

Des choses suspectes ?

Ca me parait curieux qu'il reste des traces de Nod32 que je pensais avoir complètement supprimé...

pear
 Posté le 29/09/2009 à 10:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour,

Il n'y a pas de lignes suspectes mais ceci n'est pas nécessaire et donc à cocher dans Hijacthis puis clic sur fix checked:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://www.ipernity.com/E/Applets/Uploader/ImageUploader4.cab?v4.7
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe (file missing
Supprimer Ctfmon
Suppression des fonctionnalités Modes d'entrée utilisateur complémentaires des Services de texte
Démarrer-> Panneau de configuration.
-> Options régionales, date, heure et langue,
-> Options régionales et linguistiques.
Sous l'onglet Langues, cliquez sur Détails.
Sous Services installés, sélectionnez chaque élément d'entrée répertorié,
->cliquez sur Supprimer pour supprimer l'élément en question.
Tous les éléments doivent être supprimés, un par un, à l'exception du service d'entrée suivant :
Français (France) – clavier : Français
Ensuite
Copiez collez ce qui suit dans le bloc notes.
Enregistrez sur le bureau sous ctf.bat.
Double cliquez sur le fichier.

@echo off
start /wait regsvr32 /u msimtf.dll /s
start /wait regsvr32 /u msctf.dll /s
Pause

@echo Suppression du Service
sc stop "Bonjour Service"
sc delete "Bonjour Service"
cd c:\
cd Program files
del /f /s /q C:\Program Files\Bonjour

echo Termine
exit




alma1978
 Posté le 30/09/2009 à 22:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Merci pour ton aide !!! :) C'est bon tout est réglé !

Sauf l'entrée O23 - Service: NOD32 Kernel Service (NOD32krn)...

J'espère que cela ne reviendra pas...


Publicité
Page : [1] 
Page 1 sur 1

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Les bons plans du moment PC Astuces

Tous les Bons Plans
29,99 €Clavier sans fil Logitech Wireless Desktop K400 Plus avec pavé tactile à 29,99 €
Valable jusqu'au 14 Juillet

Amazon fait une promotion sur le clavier sans fil Logitech Wireless Desktop K400 Plus à 29,99 € livré gratuitement. Ce clavier sans fil dispose d'un large pavé tactile de 9 cm avec navigation multipoint pour un pointage à un doigt simplifié et un défilement vertical à deux doigts. Idéal pour contrôler votre ordinateur à distance, s'il est connecté à une TV par exemple. On le trouve ailleurs à partir de 40 €. 


> Voir l'offre
144,80 €Mini PC Acute Angle AA-B4 (Celeron N3450, 8Go RAM, 64Go+SSD 128Go) à 144,80 € avec le code GBCNSJXPC
Valable jusqu'au 13 Juillet

Gearbest fait une promotion sur l'ordinateur Acute Angle AA - B4 qui passe à 144,80 € au lieu de 180 € grâce au code promo GBCNSJXPC. Ce mini PC au design atypique et au corps en bois, intègre un processeur Intel Celeron N3450 (4 coeurs de 1,1 à 2,2 GHz), 8 Go de RAM, un espace de stockage de 64 Go EMMC ainsi qu'un SSD de 128 Go. Il possède également le WiFi5, le Bluetooth 5.0, une prise Ethernet Gigabit, 3 ports USB 3.0, une sortie HDMI. L'ordinateur est livré avec une prise électrique européenne. Il est accompagné de Windows 10 Familial. Avec ce PC, vous pourrez réaliser sans soucis toutes vos tâches courantes : internet, bureautique, multimédia.

Ce marchand sérieux se trouvant en Chine, la livraison peut prendre une quinzaine de jours. Comptez une dizaine d'euros pour la livraison en France et l'assurance pour le transport. Vous pouvez payer par carte bancaire ou par Paypal (conseillé pour bénéficier de la garantie Paypal).


> Voir l'offre
95,89 €Ecran 24 pouces Samsung S24F354 (Full HD, PLS, 4 ms, FreeSync) à 95,89 €
Valable jusqu'au 16 Juillet

Amazon propose actuellement l'écran 24 pouces Samsung S24F354 à 95,89 € livré gratuitement alors qu'on le trouve ailleurs à partir de 120 €. Cet écran dispose d'une dalle PLS Full HD (1920x1080) et offre un temps de réponse de 4 ms. Il possède des entrées VGA et HDMI. Il possède des fonctions d'anti scintillement et anti lumière bleue. 


> Voir l'offre

Sujets relatifs
nettoyage d'ordi après infection par virus "Bubble dock" / Nosibay
virus - infection pc
Infection virus avis
possible infection virus.
Infection par virus jsstatis
Panne de mise a jour : Infection virus ?..saison 2 !
Panne de mises jour : infection virus ?..
infection virus gendarmerie nationale
Infection W3i.IQ5.fraud et autres virus ...
Infection virus ukash police nationale
Plus de sujets relatifs à Infection par le virus "Virut"
 > Tous les forums > Forum Sécurité