S'abonner :  Newsletters    Magazines
Avis sur les produits Avis sur les logiciels Avis sur les jeux Actualités A propos de 01net
722 utilisateurs connectés
Forum de 01net / Sécurité / Besoin d'aide. Pc infecté par un ver et des chevaux de troie
page précédente  1 - 2
ou aller à la page
 page suivante

Besoin d'aide. Pc infecté par un ver et des chevaux de troie

kategator le 29 mars 2009 à 11h16
Bonjour,

J'ai besoin d'aide pour désinfecter un pc.
Ver et chevaux de troie.

Merci d'avance,

Kate
répondre
bzhatao le 29 mars 2009 à 11h22
:hello: kategator
Commence par poster un rapport HijackThis stp,
>Télécharge HiJackThis : http://www.commentcamarche.net/telecharger/telecharger-159-hijackthis
- Lance le programme, puis sélectionne < do a system scan and save a logfile >
- Enregistre le rapport sur ton bureau.
Et envoie, par copier/coller, ton log Hijackthis sur le forum,


A+

Tuto : si problème : http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
répondre
kategator le 29 mars 2009 à 11h26
Merci de m'aider.

Voici le rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:25:19, on 29/03/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Belgacom\bin\sprtcmd.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\TRUST\Logiciel Bluetooth\BTTray.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.skynet.be/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.skynet.be/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.skynet.be/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.skynet.be/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Belgacom Skynet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Belgacom] "C:\Program Files\Belgacom\bin\sprtcmd.exe" /P Belgacom
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.belgacom.net
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://colruyt.fujiprint.be/Colruyt/UserControls/Part/Upload/ImageUploader5.c(...)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/m(...)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: cdefs - {B5F329B4-2BBD-48F5-ADAF-9EAF2AFE37B3} - C:\Program Files\Easy Computing\3D Modeltreinen 3.0\monki.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

--
End of file - 7558 bytes
répondre
bzhatao le 29 mars 2009 à 11h38
Re...



Télécharges AD-Remover ( de Cyrildu17 / C_XX ) sur ton bureau :
http://sd-1.archive-host.com/membres/up/16506160323759868/AD-R.exe
! Déconnectes toi et fermes toutes applications en cours !

* Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( le bureau )
* Ouvre le dossier Ad-remover présent sur ton bureau, et double clique sur Ad-remover.bat.
* Au menu principal choisi l'option "A"
--> Postes le rapport qui apparait à la fin .

( le rapport est sauvegardé aussi sous C:\Ad-report.log )

Note :

"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

a+






répondre
kategator le 29 mars 2009 à 11h56
J'ai un problème.
Quand je met le scan en route, la tour émet un bip et ensuite rien.
J'ai bien cherché mais pas de fichier Ad-report.log.
J'ai pourtant désactivé mon anti-virus et déconnecter le pc comme demandé.
Une solution?
Merci,
Cats
répondre
kategator le 29 mars 2009 à 12h12
J'ai bien lu le tutoriel.
Mais quand j'appuie sur A puis enter, la fenêtre marque veuillez patienter puis elle se ferme et plus rien.
Donc, pas de scan. Bizarre.
J'essaye en mode sans echec?
répondre
kategator le 29 mars 2009 à 12h34
Je trouve pas le programme en mode sans échec.
Que faire?
Merci de continuer à m'aider,
Cats
répondre
bzhatao le 29 mars 2009 à 12h44
Essayes en MSE "avec prise en charge reseau"...
Si cela marche postes le rapport...
Sinon laisses tomber (on y reviendra + tard)
FAIS CECI:


Telecharges malwarebytes + tutoriel :

-> http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php

Tu l´installes; mets le a jour...(onglet mise a jour)

Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".

Click maintenant sur l´onglet recherche et coche la case : "executer un examen rapide".
Puis click sur "rechercher".

Laisse le scanner le pc...

Si des elements on ete trouvés > click sur supprimer la selection.

si il t´es demandé de redemarrer > click sur "yes".

A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.

Copie et colle le rapport stp.

a+



répondre
kategator le 29 mars 2009 à 13h06
Voici le rapport :
Malwarebytes' Anti-Malware 1.35
Version de la base de données: 1915
Windows 5.1.2600 Service Pack 3

29/03/2009 13:03:36
mbam-log-2009-03-29 (13-03-36).txt

Type de recherche: Examen rapide
Eléments examinés: 70723
Temps écoulé: 4 minute(s), 38 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

J'ai aussi un rapport de mon anti-virus qui a mis des éléments en quarantaine. Je vous le poste?
Je peux supprimer la quarantaine ou je risque d'endommager des données?
Merci,
Cats
répondre
bzhatao le 29 mars 2009 à 13h28
J'ai aussi un rapport de mon anti-virus qui a mis des éléments en quarantaine. Je vous le poste?

Oui postes le stp...
Je peux supprimer la quarantaine ou je risque d'endommager des données?

Tu ne risques rien..==> supprimes.
Ensuite:
Telecharges GENPROC
lien +tuto :
http://www.genproc.com/tutorial_genproc/tutorial_genproc.htm
Copie et colle le rapport stp...


a+

répondre
kategator le 29 mars 2009 à 13h37
Voici le rapport de mon anti-virus :
4/03/2009 19:52:04 Analyseur au démarrage fichier C:\WINDOWS\fxsteller.exe Win32/AutoRun.KS ver nettoyé par suppression - mis en quarantaine
5/02/2009 19:30:50 Protection en temps réel du système de fichiers fichier C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP394\A0103932.com Win32/IRCBot.AGP cheval de troie supprimé - mis en quarantaine AUTORITE NT\SYSTEM Un événement s'est produit sur un fichier modifié par l'application : C:\WINDOWS\System32\svchost.exe.
5/02/2009 18:14:58 Protection en temps réel du système de fichiers fichier C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP394\A0103931.com Win32/IRCBot.AGP cheval de troie supprimé - mis en quarantaine AUTORITE NT\SYSTEM Un événement s'est produit sur un fichier modifié par l'application : C:\WINDOWS\System32\svchost.exe.
5/02/2009 18:00:20 Protection en temps réel du système de fichiers fichier C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP394\A0103930.exe une variante probable de Win32/Agent cheval de troie nettoyé par suppression - mis en quarantaine AUTORITE NT\SYSTEM Un événement s'est produit sur un fichier modifié par l'application : C:\WINDOWS\System32\svchost.exe.
4/02/2009 20:48:46 Protection en temps réel du système de fichiers fichier C:\Documents and Settings\pc\Mes documents\prepare.exe une variante probable de Win32/Agent cheval de troie nettoyé par suppression - mis en quarantaine AUTORITE NT\SYSTEM Un événement s'est produit sur un fichier modifié par l'application : C:\Program Files\Norton Security Scan\Nss.exe.
4/02/2009 20:26:50 Protection en temps réel du système de fichiers fichier C:\Documents and Settings\pc\Bureau\IMG455.jpg-www.photo.com Win32/IRCBot.AGP cheval de troie supprimé - mis en quarantaine AUTORITE NT\SYSTEM Un événement s'est produit sur un fichier modifié par l'application : C:\Program Files\Norton Security Scan\Nss.exe.
4/02/2009 20:26:50 Protection en temps réel du système de fichiers fichier C:\Documents and Settings\pc\Bureau\IMG455.jpg-www.photo(2).com Win32/IRCBot.AGP cheval de troie supprimé - mis en quarantaine AUTORITE NT\SYSTEM Un événement s'est produit sur un fichier modifié par l'application : C:\Program Files\Norton Security Scan\Nss.exe.
4/02/2009 20:23:48 Protection en temps réel du système de fichiers fichier C:\Belgacom.msi.2.2\prepare.exe une variante probable de Win32/Agent cheval de troie nettoyé par suppression - mis en quarantaine AUTORITE NT\SYSTEM Un événement s'est produit sur un fichier modifié par l'application : C:\Program Files\Norton Security Scan\Nss.exe.
13/01/2009 9:32:18 Protection en temps réel du système de fichiers fichier C:\DOCUME~1\pc\LOCALS~1\Temp\2Leqnazd.exe.part Win32/Toolbar.MyWebSearch application supprimé - mis en quarantaine AUTORITE NT\SYSTEM Un événement s'est produit sur un fichier modifié par l'application : C:\Program Files\Mozilla Firefox\firefox.exe.
7/01/2009 22:30:01 Protection en temps réel du système de fichiers fichier C:\Documents and Settings\pc\Local Settings\Application Data\Mozilla\Firefox\Profiles\db78isb5.default\Cache\E3348D59d01 une variante de Win32/Injector.GX cheval de troie nettoyé par suppression - mis en quarantaine AUTORITE NT\SYSTEM Un événement s'est produit sur un nouveau fichier créé par l'application : C:\Program Files\Mozilla Firefox\firefox.exe.
7/01/2009 22:30:00 Protection en temps réel du système de fichiers fichier C:\DOCUME~1\pc\LOCALS~1\Temp\MI1c0pu+.com.part une variante de Win32/Injector.GX cheval de troie nettoyé par suppression - mis en quarantaine AUTORITE NT\SYSTEM Un événement s'est produit sur un fichier modifié par l'application : C:\Program Files\Mozilla Firefox\firefox.exe.
7/01/2009 22:29:48 Filtre HTTP fichier http://jamespanetta.com/image.php?=lemaire.sarah@hotmail.fr une variante de Win32/Injector.GX cheval de troie connexion arrêtée - mis en quarantaine SN401195990006\pc Une menace a été détectée lors de l'accès au Web par l'application : C:\Program Files\Mozilla Firefox\firefox.exe.

Je fais la suite et je poste.
Merci encore,
Cats
répondre
kategator le 29 mars 2009 à 13h40
Le lien ne fonctionne pas. Not found 404.
répondre
kategator le 29 mars 2009 à 13h47
Rapport GenProc 2.500 [1] - dim. 29/03/2009 à 13:46:07 - Windows XP

Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

# Etape 1/ Télécharge :

- MSNFix http://sosvirus.changelog.fr/MSNFix.zip (!aur3n7) et décompresse-le sur le Bureau.


Redémarre en mode sans échec comme indiqué ici http://www.pcloisirs.eu/mode_sans_echec.htm ; Choisis ta session courante *** pc *** (pour retrouver le rapport, clique sur le raccourci "Rapport GenProc[1]" sur ton bureau).


# Etape 2/

Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
- Exécute l'option R.
- Si l'infection est détectée, exécute l'option N.
- Sauvegarde ce rapport sur ton bureau.


# Etape 3/

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 4/

Redémarre normalement et poste, dans la même réponse :

- Le contenu du rapport msnfix.txt situé dans C:\WINDOWS ;
- Un nouveau rapport HijackThis http://tinyurl.com/GenProc-HijackThis ;

Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

~~ Arguments de la procédure ~~

# Détections [1] GenProc 2.500 dim. 29/03/2009 à 13:45:38
MSNFix:le dim. 29/03/2009 à 13:45:49 "C:\FLIPART.EXE"
répondre
kategator le 29 mars 2009 à 13h55
Problème à l'étape 1 :
C:\Documents and Settings\pc\Bureau\MSNFix.zip.part ne pourra être enregistré car le fichier source ne peut être lu.

Réessayez plus tard ou contactez l'administrateur du serveur.

répondre
kategator le 29 mars 2009 à 14h14
Je n'arrive pas à télécharger msn fix.
Avez-vous un autre lien?
Merci,
Cats
répondre
bzhatao le 29 mars 2009 à 14h31
Re... Cats (je penses que le tutoiement est + convivial)
Le fait qur tu ais des problemes pour charger les logs demandés
n 'est pas normal...
Essayes de telecharger ce fix:
---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\

---> Double-clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
Accepte en cliquant sur "Oui"

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

a+
-->Message édité par bzhatao le 29/03/2009 14:32:47<--
répondre
kategator le 29 mars 2009 à 15h05
Bon réussi à télécharger msn fix.
Je pense que c'est le rapport :
read file error: C:\DOCUME~1\pc\LOCALS~1\Temp\winlogon.exe, Le fichier spécifié est introuvable.
read file error: C:\DOCUME~1\pc\LOCALS~1\Temp\services.exe, Le fichier spécifié est introuvable.
read file error: C:\WINDOWS\system32\cftmon.exe, Le fichier spécifié est introuvable.
Je suis complètement perdue.
Aidez-moi svp :/
Cats
répondre
kategator le 29 mars 2009 à 15h10
Je viens de voir votre message pour combo fix.
Je poste dès qu'il est fini.
Un grand merci pour votre patience,
Cats
répondre
kategator le 29 mars 2009 à 15h31
Voici le rapport :

ComboFix 09-03-28.06 - pc 2009-03-29 15:14:11.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.511.140 [GMT 2:00]
Lancé depuis: c:\documents and settings\pc\Bureau\ComboFix.exe
AV: ESET Smart Security 3.0 *On-access scanning disabled* (Updated)
FW: Pare-feu personnel d'ESET *enabled*
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\MabryObj.dll

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_BOONTY_GAMES
-------\Service_Boonty Games


((((((((((((((((((((((((((((( Fichiers créés du 2009-02-28 au 2009-03-29 ))))))))))))))))))))))))))))))))))))
.

2009-03-29 15:12 . 2009-03-29 15:13 <REP> d-------- C:\32788R22FWJFW
2009-03-29 15:00 . 2009-03-29 15:00 <REP> d-------- c:\documents and settings\pc\belgacom
2009-03-29 14:21 . 2009-03-29 14:21 <REP> d-------- c:\program files\7-Zip
2009-03-29 13:45 . 2009-03-29 13:45 <REP> d-------- C:\GenProc
2009-03-29 11:42 . 2009-03-29 11:42 <REP> d-------- c:\program files\Ad-remover
2009-03-29 11:24 . 2009-03-29 11:24 <REP> d-------- c:\program files\Trend Micro
2009-03-28 20:21 . 2009-03-28 20:21 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-03-28 20:21 . 2009-03-28 20:21 <REP> d-------- c:\documents and settings\pc\Application Data\Malwarebytes
2009-03-28 20:21 . 2009-03-28 20:21 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-03-28 20:21 . 2009-03-26 17:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-28 20:21 . 2009-03-26 17:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-17 19:58 . 2009-03-17 19:58 <REP> d-------- c:\documents and settings\All Users\Application Data\Office Genuine Advantage
2009-03-12 17:50 . 2009-03-12 17:50 <REP> d-------- c:\documents and settings\pc\Application Data\Apple Computer

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-29 12:26 --------- d-----w c:\program files\Spybot - Search & Destroy
2009-03-29 12:02 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard
2009-03-29 11:51 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-03-29 09:57 --------- d-----w c:\program files\CCleaner
2009-03-12 17:01 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help
2009-02-16 16:13 --------- d-----w c:\program files\Fichiers communs\Symantec Shared
2009-02-01 19:57 --------- d-----w c:\program files\Travel Adventure
2009-01-30 18:24 --------- d--h--w c:\program files\InstallShield Installation Information
2009-01-28 19:29 --------- d-----w c:\program files\Easy Computing
2008-05-11 12:52 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008051120080512\index.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 152872]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Belgacom"="c:\program files\Belgacom\bin\sprtcmd.exe" [2006-06-22 192512]
"HP Component Manager"="c:\program files\HP\hpcoretech\hpcmpmgr.exe" [2004-05-12 241664]
"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [2007-03-16 63712]
"egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2008-03-13 1443072]
"SoundMan"="SOUNDMAN.EXE" [2003-08-05 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\documents and settings\All Users\Application Data\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Magentic\\bin\\MgImp.exe"=
"c:\\Program Files\\Magentic\\bin\\Magentic.exe"=
"c:\\Program Files\\Magentic\\bin\\MgApp.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

R1 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [2003-10-31 11264]
R1 vcsmpdrv;vcsmpdrv;c:\windows\system32\drivers\vcsmpdrv.sys [2003-10-31 49024]
R2 ekrn;Eset Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [2008-03-13 472320]
R2 VCSSecS;Virtual CD v4 Security service (SDK - Version);c:\program files\Virtual CD v4 SDK\System\vcssecs.exe [2003-10-31 139264]
S3 cdiskdun;cdiskdun;\??\c:\docume~1\pc\LOCALS~1\Temp\cdiskdun.sys --> c:\docume~1\pc\LOCALS~1\Temp\cdiskdun.sys [?]
S3 se3ebus;Sony Ericsson Device 062 (WDM);c:\windows\system32\drivers\se3ebus.sys [2008-09-21 66656]
S3 se3emdfl;Sony Ericsson Device 062 USB WMC Modem Filter;c:\windows\system32\drivers\se3emdfl.sys [2008-09-21 9392]
S3 se3emdm;Sony Ericsson Device 062 USB WMC Modem Driver;c:\windows\system32\drivers\se3emdm.sys [2008-09-21 100736]
S3 se3emgmt;Sony Ericsson Device 062 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\se3emgmt.sys [2008-09-21 92304]
S3 se3eobex;Sony Ericsson Device 062 USB WMC OBEX Interface;c:\windows\system32\drivers\se3eobex.sys [2008-09-21 90144]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f086dc26-d199-11dc-b54c-000d61222f4d}]
\Shell\AutoRun\command - H:\start.exe
\Shell\FramaKey\command - H:\start.exe
.
Contenu du dossier 'Tâches planifiées'

2009-01-01 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

2008-01-22 c:\windows\Tasks\Rappel d'enregistrement 3.job
- c:\windows\System32\OOBE\oobebaln.exe [2008-04-14 04:34]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.skynet.be/
uInternet Connection Wizard,ShellNext = hxxp://www.skynet.be/
uInternet Settings,ProxyOverride = <local>
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
Handler: cdefs - {B5F329B4-2BBD-48F5-ADAF-9EAF2AFE37B3} - c:\program files\Easy Computing\3D Modeltreinen 3.0\monki.dll
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\pc\Application Data\Mozilla\Firefox\Profiles\db78isb5.default\
FF - component: c:\documents and settings\pc\Application Data\Mozilla\Firefox\Profiles\db78isb5.default\extensions\{39757f01-c5ad-4d4b-8387-b6aa8e929ce0}\components\FFAlert.dll
FF - plugin: c:\program files\Real\RealOne Player\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealOne Player\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealOne Player\Netscape6\nprpjplug.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-29 15:21:32
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-3816970085-689719414-876072145-1007\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@SACL=
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(932)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\msv1_0.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
c:\program files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
c:\program files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2009-03-29 15:27:17 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-03-29 13:27:13

Avant-CF: 40.410.103.808 octets libres
Après-CF: 40,290,881,536 octets libres

Current=4 Default=4 Failed=1 LastKnownGood=5 Sets=1,2,3,4,5
154 --- E O F --- 2009-03-17 21:13:05
répondre
kategator le 29 mars 2009 à 15h52
Rapport msnfix :

MSNFix 1.751

C:\Documents and Settings\pc\Bureau\MSNFix\MSNFix
Fix exécuté le dim. 29/03/2009 - 14:56:26,90 By pc
mode sans échec

************************ Recherche les fichiers présents

... C:\FLIPART.EXE
... C:\GETDRIVE.EXE

************************ Recherche les dossiers présents

Aucun dossier trouvé




************************ Suppression des fichiers

.. OK ... C:\DOCUME~1\pc\LOCALS~1\Temp\winlogon.exe
.. OK ... C:\DOCUME~1\pc\LOCALS~1\Temp\services.exe
.. OK ... C:\WINDOWS\system32\cftmon.exe
.. OK ... C:\FLIPART.EXE
.. OK ... C:\GETDRIVE.EXE



************************ Nettoyage du registre



************************ Hostsclean

Cleanhosts v 0.1.0.7 By Laurent

-- Backup : C:\WINDOWS\system32\drivers\etc\hosts-20090329145742
-- original size 253.42 Kb / 9058 lines
-- Start cleaning Hosts file ....

/!\... antivirus.com ..... Found and removed
/!\... avast.com ..... Found and removed
/!\... ca.com ..... Found and removed
/!\... mcafee.com ..... Found and removed
/!\... spybot.info ..... Found and removed


-- final size 252.06 Kb / 9016 lines
-- entry Found : 5 / Entry check : 310

End .............................. 29.62 Secondes





Les fichiers encore présents seront supprimés au prochain redémarrage


Aucun Fichier trouvé





************************ Hostsclean

Cleanhosts v 0.1.0.7 By Laurent

-- Backup : C:\WINDOWS\system32\drivers\etc\hosts-20090329150014
-- original size 252.06 Kb / 9016 lines
-- Start cleaning Hosts file ....



-- final size 252.06 Kb / 9016 lines
-- entry Found : 0 / Entry check : 310

End .............................. 32.76 Secondes



répondre
bzhatao le 29 mars 2009 à 16h49
---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau :
http://oldtimer.geekstogo.com/OTMoveIt3.exe

---> Double-clique sur OTMoveIt3.exe afin de le lancer.

---> Copie (Ctrl+C) le texte en gras ci-dessous :

:processes
explorer.exe

:files
C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe


:commands
[purity]
[emptytemp]
[start explorer]
[reboot]


---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

a+
-->Message édité par bzhatao le 29/03/2009 16:52:41<--
répondre
kategator le 29 mars 2009 à 17h07
========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe moved successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\pc\LOCALS~1\Temp\etilqs_jwEpC4ls9BbClHktjpQ8 scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat scheduled to be deleted on reboot.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
File delete failed. C:\Documents and Settings\pc\Local Settings\Application Data\Mozilla\Firefox\Profiles\db78isb5.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\pc\Local Settings\Application Data\Mozilla\Firefox\Profiles\db78isb5.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\pc\Local Settings\Application Data\Mozilla\Firefox\Profiles\db78isb5.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\pc\Local Settings\Application Data\Mozilla\Firefox\Profiles\db78isb5.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\pc\Local Settings\Application Data\Mozilla\Firefox\Profiles\db78isb5.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\pc\Local Settings\Application Data\Mozilla\Firefox\Profiles\db78isb5.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.9.0 log created on 03292009_170235

Files moved on Reboot...
File C:\DOCUME~1\pc\LOCALS~1\Temp\etilqs_jwEpC4ls9BbClHktjpQ8 not found!
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat scheduled to be moved on reboot.
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\index.dat scheduled to be moved on reboot.
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat scheduled to be moved on reboot.
C:\Documents and Settings\pc\Local Settings\Application Data\Mozilla\Firefox\Profiles\db78isb5.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\pc\Local Settings\Application Data\Mozilla\Firefox\Profiles\db78isb5.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\pc\Local Settings\Application Data\Mozilla\Firefox\Profiles\db78isb5.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\pc\Local Settings\Application Data\Mozilla\Firefox\Profiles\db78isb5.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\pc\Local Settings\Application Data\Mozilla\Firefox\Profiles\db78isb5.default\urlclassifier3.sqlite moved successfully.
C:\Documents and Settings\pc\Local Settings\Application Data\Mozilla\Firefox\Profiles\db78isb5.default\XUL.mfl moved successfully.
répondre
kategator le 29 mars 2009 à 17h08
========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe moved successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\pc\LOCALS~1\Temp\etilqs_jwEpC4ls9BbClHktjpQ8 scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat scheduled to be deleted on reboot.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
File delete failed. C:\Documents and Settings\pc\Local Settings\Application Data\Mozilla\Firefox\Profiles\db78isb5.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\pc\Local Settings\Application Data\Mozilla\Firefox\Profiles\db78isb5.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\pc\Local Settings\Application Data\Mozilla\Firefox\Profiles\db78isb5.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\pc\Local Settings\Application Data\Mozilla\Firefox\Profiles\db78isb5.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\pc\Local Settings\Application Data\Mozilla\Firefox\Profiles\db78isb5.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\pc\Local Settings\Application Data\Mozilla\Firefox\Profiles\db78isb5.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.9.0 log created on 03292009_170235

Files moved on Reboot...
File C:\DOCUME~1\pc\LOCALS~1\Temp\etilqs_jwEpC4ls9BbClHktjpQ8 not found!
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat scheduled to be moved on reboot.
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\index.dat scheduled to be moved on reboot.
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat scheduled to be moved on reboot.
C:\Documents and Settings\pc\Local Settings\Application Data\Mozilla\Firefox\Profiles\db78isb5.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\pc\Local Settings\Application Data\Mozilla\Firefox\Profiles\db78isb5.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\pc\Local Settings\Application Data\Mozilla\Firefox\Profiles\db78isb5.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\pc\Local Settings\Application Data\Mozilla\Firefox\Profiles\db78isb5.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\pc\Local Settings\Application Data\Mozilla\Firefox\Profiles\db78isb5.default\urlclassifier3.sqlite moved successfully.
C:\Documents and Settings\pc\Local Settings\Application Data\Mozilla\Firefox\Profiles\db78isb5.default\XUL.mfl moved successfully.
répondre
kategator le 29 mars 2009 à 17h13
Désolée pour l'envoi en double.
J'ai un fichier bizarre sur le bureau (SmileyCentralPFSetup2.3.50.22.ZNfox000.exe) et je n'arrive pas à le supprimer.
Risque d'infections sur les périphériques usb comme l'appareil photo numérique?
Merci,
Cats
répondre
bzhatao le 29 mars 2009 à 17h27
J'ai un fichier bizarre sur le bureau (SmileyCentralPFSetup2.3.50.22.ZNfox000.exe) et je n'arrive pas à le supprimer

Donnes le chemin complet de cet exe stp
C:\........ZNfox000.exe
a+
répondre
kategator le 29 mars 2009 à 17h36
Voilà : C:\Documents and Settings\pc\Bureau
Il est vraiment sur le bureau & impossible de le déplacer ni de le supprimer.
Encore merci,
Cats
répondre
bzhatao le 29 mars 2009 à 18h02
Reprends OTmoveIT
et colles ce script:

:processes
explorer.exe

:files
C:\ZNfox000.exe


:commands
[purity]
[emptytemp]
[start explorer]
[reboot]

Colles le rapport
répondre
kategator le 29 mars 2009 à 18h13
========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
File/Folder C:\ZNfox000.exe not found.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\pc\LOCALS~1\Temp\etilqs_F90hrU0nt9X4KT8vqc0e scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat scheduled to be deleted on reboot.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
File delete failed. C:\Documents and Settings\pc\Local Settings\Application Data\Mozilla\Firefox\Profiles\db78isb5.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\pc\Local Settings\Application Data\Mozilla\Firefox\Profiles\db78isb5.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\pc\Local Settings\Application Data\Mozilla\Firefox\Profiles\db78isb5.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\pc\Local Settings\Application Data\Mozilla\Firefox\Profiles\db78isb5.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\pc\Local Settings\Application Data\Mozilla\Firefox\Profiles\db78isb5.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\pc\Local Settings\Application Data\Mozilla\Firefox\Profiles\db78isb5.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.9.0 log created on 03292009_180757

Files moved on Reboot...
File C:\DOCUME~1\pc\LOCALS~1\Temp\etilqs_F90hrU0nt9X4KT8vqc0e not found!
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat scheduled to be moved on reboot.
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\index.dat scheduled to be moved on reboot.
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat scheduled to be moved on reboot.
C:\Documents and Settings\pc\Local Settings\Application Data\Mozilla\Firefox\Profiles\db78isb5.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\pc\Local Settings\Application Data\Mozilla\Firefox\Profiles\db78isb5.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\pc\Local Settings\Application Data\Mozilla\Firefox\Profiles\db78isb5.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\pc\Local Settings\Application Data\Mozilla\Firefox\Profiles\db78isb5.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\pc\Local Settings\Application Data\Mozilla\Firefox\Profiles\db78isb5.default\urlclassifier3.sqlite moved successfully.
C:\Documents and Settings\pc\Local Settings\Application Data\Mozilla\Firefox\Profiles\db78isb5.default\XUL.mfl moved successfully.
répondre
bzhatao le 29 mars 2009 à 18h38
---> Télécharges et installes CCleaner (N'installe pas la Yahoo Toolbar) :

http://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs(...)



* Lances-le. Vas dans Options puis Avancé et décoches la case Effacer uniquement les fichiers etc....
* Vas dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage....
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répares toutes les erreurs tant de fois qu il en trouve a l analyse(Sauvegarde la base de registre).

ENSUITE:
(Ce scan peut prendre beaucoup de temps!!!)

Fais un scan en ligne ici :
http://webscanner.kaspersky.fr/ (A faire avec Internet Explorer)
Sur la page du scan en bas à droite clique sur Démarrer Online-scanner et dans la nouvelle fenêtre qui s'affiche clique sur J'accepte

Acceptes les Contrôle ActivX

Choisis Poste de travail pour le scan. Celui-ci terminé clique sur Enregistrer rapport sous (Choisis fichier texte)

Postes le contenu du rapport

==> tuto pour l'utilisation:
http://forum.pcastuces.com/kaspersky_online_scanner___tutoriel-f31s10.htm
==> tuto si probleme pour l'intallation du controle activx
http://www.inoculer.com/activex.php3

A demain (soir) car demain je bosses tte la journée...

répondre
kategator le 29 mars 2009 à 18h43
Ok & Encore un grand merci pour ton aide. :super:
A demain,
Cats
répondre
kategator le 29 mars 2009 à 22h05
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Sunday, March 29, 2009 10:02:29 PM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)
Kaspersky On-line Scanner version : 5.0.84.2
Dernière mise à jour de la base antivirus Kaspersky : 29/03/2009
Enregistrements dans la base antivirus Kaspersky : 1792614
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
C:\
D:\
E:\
G:\
I:\
J:\
N:\

Statistiques de l'analyse:
Total d'objets analysés: 156346
Nombre de virus trouvés: 1
Nombre d'objets infectés: 1 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 01:43:11

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\All Users\Application Data\ESET\ESET Smart Security\Charon\CACHE.NDB L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\ESET\ESET Smart Security\Logs\epfwlog.dat L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\ESET\ESET Smart Security\Logs\virlog.dat L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\ESET\ESET Smart Security\Logs\warnlog.dat L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\pc\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\pc\Local Settings\Application Data\Ahead\Nero Home\bl.db L'objet est verrouillé ignoré
C:\Documents and Settings\pc\Local Settings\Application Data\Ahead\Nero Home\is2.db L'objet est verrouillé ignoré
C:\Documents and Settings\pc\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\pc\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\pc\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\pc\Local Settings\Application Data\SupportSoft\Belgacom\pc\state\logs\sprtcmd.log L'objet est verrouillé ignoré
C:\Documents and Settings\pc\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\pc\Local Settings\Historique\History.IE5\MSHist012009032920090330\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\pc\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\pc\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\pc\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Program Files\HP\hpcoretech\hpcmerr.log L'objet est verrouillé ignoré
C:\Program Files\Quicksys\RegDefrag\qsdkf.dll Infecté : Trojan-Downloader.Win32.Small.ajie ignoré
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP442\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\ACEEvent.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\DEFAULT L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\ODiag.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\OSession.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SOFTWARE L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SYSTEM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\etc\Hosts.bak L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

Analyse terminée.
répondre
bzhatao le 29 mars 2009 à 22h11
TOUT est propre....
Ou est le problème?

a+
répondre
kategator le 30 mars 2009 à 13h42
Bonjour,

Oui, tout est ok. Merci :youpi:
Juste un détail : le fichier smiley sur le bureau est toujours là et pas moyen de le supprimer. Une idée?

Cats
répondre
bzhatao le 30 mars 2009 à 18h50
Essayes avec ccleaner clic sur OUTILSet ===>
programme de desinstallation..
Ensuite:
Pour desinstaller les outils utilisés:
Telecharge ToolsCleaner2
--> http://pc-system.fr/TC/ToolsCleaner2.exe

-Une fois téléchargé, installe-le et lance-le

-Clique sur Recherche et laisse le scan se terminer

-Clique sur Suppression

-Clique sur Quitter pour que le rapport puisse se créer

-Poste moi le rapport se trouvant ici--> C:\TCleaner.txt
a+
répondre
kategator le 31 mars 2009 à 11h50
Bonjour,

J'ai rendu le pc hier. C'est celui de ma petite soeur.
Je passe chez elle samedi.
Donc, je poste le rapport samedi.
Encore un grand merci et passe une bonne semaine.

Cats
répondre
kategator le 01 avril 2009 à 16h22
[ Rapport ToolsCleaner version 2.3.3 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\Combofix.txt: trouvé !
C:\*.msnfix: trouvé !
C:\GenProc: trouvé !
C:\Qoobox: trouvé !
C:\_OtMoveIt: trouvé !
C:\Documents and Settings\pc\Mes documents\Cats Net\Genproc - Raccourci.lnk: trouvé !
C:\GenProc\outil\HijackThis.exe: trouvé !
C:\GenProc\Page\GenProc
  • .html: trouvé !
    • C:\Program Files\Trend Micro\HijackThis: trouvé !
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
    C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
    C:\WINDOWS\msnfix.txt: trouvé !

    ---------------------------------
    --> Suppression:

    C:\GenProc\outil\HijackThis.exe: supprimé !
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
    C:\Combofix.txt: supprimé !
    C:\*.msnfix: ERREUR DE SUPPRESSION !!
    C:\Documents and Settings\pc\Mes documents\Cats Net\Genproc - Raccourci.lnk: supprimé !
    C:\GenProc\Page\GenProc
  • .html: ERREUR DE SUPPRESSION !!
    • C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
    C:\WINDOWS\msnfix.txt: supprimé !
    C:\GenProc: supprimé !
    C:\Qoobox: supprimé !
    C:\_OtMoveIt: supprimé !
    C:\Program Files\Trend Micro\HijackThis: supprimé !
    répondre
    kategator le 01 avril 2009 à 16h24
    Bonjour,

    Le programme de désinstallation de ccleaner ne détecte pas le fichier smiley sur le bureau.
    Donc, toujours pas moyen de l'enlever.
    Une idée?

    Merci,

    Cats
    répondre
    bzhatao le 01 avril 2009 à 17h47
    Clic droit sur l'icone ==> ouvrir l'emplacement du fichier et supprime ce qui s'y touve...

    a+
    répondre
    larafate le 25 avril 2009 à 16h46
    Bonjour Melle

    Essayez le antivirus familial NO32;

    M.Pereira
    répondre
    page précédente  1 - 2
    ou aller à la page
    		 page suivante


    PRODUITS

    TÉLÉCHARGER - LOGICIELS

    JEUX VIDÉOS

    LOISIRS

    01NET PRO

    AVIS ET COMMENTAIRES

    A PROPOS DE 01NET

    Forum de 01net / Sécurité / Besoin d'aide. Pc infecté par un ver et des chevaux de troie
    publicité
    Bande dessinée
    Astérix entre au musée avec une exposition qui célèbre ses 50 ans.

    Service 01net
    Newsletters 01net
    abonnez vous gratuitement !
    Actus
    Voir le dernier numéro
    Entreprise
    Voir le dernier numéro
      
    01Informatique
    01 INFORMATIQUE
    L'hebdo de référence des décideurs informatiques.
    Micro Hebdo
    MICRO HEBDO
    L'hebdo qui vous simplifie la micro
    et Internet.
    L'Ordinateur Individuel
    L'ORDINATEUR INDIVIDUEL
    Le mensuel informatique qui vous informe et vous conseille.
    Nous contacter  |  Charte de confiance  |  Voir notice légale

    01net.  -  01men  -  RMC  -  BFM Radio  -  BFM TV  -  TousLesPodcasts  -  01informatique.fr  -  Association RMC-BFM
    Tous droits réservés © 1999 - 2009 Internext - 01net.