S'abonner :

Newsletters

Magazines

01men.

Avis sur les produits

Avis sur les logiciels

Avis sur les jeux

Actualités

A propos de 01net

304 utilisateurs connectés

Forum de 01net / Sécurité / Virus BV:Autorun-J [Wrm] [résolu]

Virus BV:Autorun-J [Wrm] [résolu]

larve1664 le 12 janvier 2009 à 14h33

Bonjour,

C'est la 1ère fois que je viens sur ce site, j'espère que vous pourrez m'aider.
J'ai AVAST qui me signale un virus (environ toutes les 30s).
J'ai beau le mettre en quarantaine ou le supprimer, il revient toujours...
Pouvez vous m'indiquer comment m'en débarrasser ?
Merci.

-->Message édité par larve1664 le 19/01/2009 21:43:55<--

répondre

kmisol le 12 janvier 2009 à 23h07

larve1664

et ...

-----
Télécharge et installe SmitFraudFix (par S!Ri)

Double-clique sur SmitfraudFix.exe
Dans le menu, fais le choix 1 et appuie sur "Entrée" pour créer un
rapport que tu trouveras à la racine du disque système C:\rapport.txt

Poste-le.

-->Message édité par kmisol le 12/01/2009 23:14:14<--

-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !"

Jules Renard / La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/ - http://www.malampe.org/

répondre

larve1664 le 12 janvier 2009 à 23h24

Tout d'abord, merci pour ton accueil chaleureux. :super:

Depuis mon premier message, j'ai un cheval de troie (Win32 : Fasec [Trj]) qui s'est rajouté à mon cher petit virus d'origine. J'espère que tu pourras m'aider pour ça aussi.

Ci-dessous le rapport que tu m'as demandé.

SmitFraudFix v2.388

Scan done at 23:19:41,99, 12/01/2009
Run from C:\Users\Administrateur\Desktop\SmitfraudFix
OS: Microsoft Windows [version 6.0.6000] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Windows\System32\rundll32.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Users\Administrateur\AppData\Roaming\Microsoft\Live Search\Notification-LiveSearch.exe
C:\Users\Administrateur\AppData\Roaming\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\PnkBstrA.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Users\ADMINI~1\AppData\Local\Temp\matrix30472.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

C:\resycled\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Administrateur

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\ADMINI~1\AppData\Local\Temp

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Administrateur\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\ADMINI~1\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, following keys are not inevitably infected!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{E31004D1-A431-41B8-826F-E902F9D95C81}"="Windows DreamScene"

[HKEY_CLASSES_ROOT\CLSID\{E31004D1-A431-41B8-826F-E902F9D95C81}\InProcServer32]
@="%SystemRoot%\System32\DreamScene.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E31004D1-A431-41B8-826F-E902F9D95C81}\InProcServer32]
@="%SystemRoot%\System32\DreamScene.dll"

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000000

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\Windows\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Your computer may be victim of a DNS Hijack: 85.255.x.x detected !

Description: NVIDIA nForce 10/100/1000 Mbps Ethernet
DNS Server Search Order: 85.255.114.14
DNS Server Search Order: 85.255.112.88

HKLM\SYSTEM\CCS\Services\Tcpip\..\{71677ED8-8C81-4566-BC08-E2555C72F5EA}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{71677ED8-8C81-4566-BC08-E2555C72F5EA}: NameServer=85.255.114.14,85.255.112.88
HKLM\SYSTEM\CS1\Services\Tcpip\..\{71677ED8-8C81-4566-BC08-E2555C72F5EA}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{71677ED8-8C81-4566-BC08-E2555C72F5EA}: NameServer=85.255.114.14,85.255.112.88
HKLM\SYSTEM\CS3\Services\Tcpip\..\{71677ED8-8C81-4566-BC08-E2555C72F5EA}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.114.14,85.255.112.88
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.114.14,85.255.112.88
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

répondre

kmisol le 12 janvier 2009 à 23h28

...

Redémarre le PC en mode sans échec …
(méthode F8 de préférence)

Double-clique sur SmitfraudFix.exe
Dans le menu, fais le choix 2 et appuie sur "Entrée".
Puis, aux deux questions qui te seront posées, réponds O (oui) et appuie
sur "Entrée" ....
Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage.
Le rapport se trouve à la racine du disque système C:\rapport.txt

Poste-le.

---
Ensuite, ...

Télécharge, installe et mets à jour Malwarebytes Anti-malware ;
puis, fais un scan complet et poste le rapport.

Si MalwareByte's a détecté des infections, clique sur Afficher les résultats,
puis sur Supprimer la sélection.

-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !"

Jules Renard / La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/ - http://www.malampe.org/

répondre

larve1664 le 12 janvier 2009 à 23h45

J'ai bien un dossier Smitfraudfix sur le bureau,avec plusieurs executables dedans mais je n'ai pas SmitfraudFix.exe.
Lequel je dois lancer.

répondre

kmisol le 12 janvier 2009 à 23h57

...

Si tu vois ce logo, ci-dessous, sur fond jaune et en forme de
losange, clique dessus ...

< inclued picture >

-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !"

Jules Renard / La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/ - http://www.malampe.org/

répondre

larve1664 le 13 janvier 2009 à 00h08

Je vois pas ce logo, c'est peut-etre à cause de l'affichage avec Vista ??
Dans le dossier SmitfraudFix sur le bureau, j'ai les fichiers ci-dessous :

- 404Fix.exe
- Agent.OMZ.Fix.exe
- dumphive.exe
- exit.exe
- GenericRenosFix.exe
- HostsChk.exe
- IEDFix.C.exe
- IEDFix.exe
- o4Patch.exe
- Policies.exe
- Process.exe
- Reboot.exe
- restart.exe
- SmiUpdate.exe
- SrchSTS.exe
- swreg.exe
- swsc.exe
- swxcacls.exe
- UIFix.exe
- unzip.exe
- VACFix.exe
- VCCLSID.exe
- Ws2Fix.exe
- beep_2K_original.sys
- beep_XP_original.sys
- SmitfraudFix.cmd

Si tu peux me dire lequel lancer :??:

Merci.

répondre

kmisol le 13 janvier 2009 à 00h12

...

Celui avec la roue crantée : SmitFraudFix.

-->Message édité par kmisol le 13/01/2009 22:44:18<--

-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !"

Jules Renard / La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/ - http://www.malampe.org/

répondre

larve1664 le 13 janvier 2009 à 00h25

Première étape, voici le rapport :

mitFraudFix v2.388

Scan done at 0:16:31,57, 13/01/2009
Run from C:\Users\Administrateur\Desktop\SmitfraudFix
OS: Microsoft Windows [version 6.0.6000] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{E31004D1-A431-41B8-826F-E902F9D95C81}"="Windows DreamScene"

[HKEY_CLASSES_ROOT\CLSID\{E31004D1-A431-41B8-826F-E902F9D95C81}\InProcServer32]
@="%SystemRoot%\System32\DreamScene.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E31004D1-A431-41B8-826F-E902F9D95C81}\InProcServer32]
@="%SystemRoot%\System32\DreamScene.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost
::1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\autorun.inf Deleted
C:\resycled\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{71677ED8-8C81-4566-BC08-E2555C72F5EA}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{71677ED8-8C81-4566-BC08-E2555C72F5EA}: NameServer=85.255.114.14,85.255.112.88
HKLM\SYSTEM\CS1\Services\Tcpip\..\{71677ED8-8C81-4566-BC08-E2555C72F5EA}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{71677ED8-8C81-4566-BC08-E2555C72F5EA}: NameServer=85.255.114.14,85.255.112.88
HKLM\SYSTEM\CS3\Services\Tcpip\..\{71677ED8-8C81-4566-BC08-E2555C72F5EA}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{71677ED8-8C81-4566-BC08-E2555C72F5EA}: NameServer=85.255.114.14,85.255.112.88
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.114.14,85.255.112.88
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.114.14,85.255.112.88
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=85.255.114.14,85.255.112.88

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{E31004D1-A431-41B8-826F-E902F9D95C81}"="Windows DreamScene"

[HKEY_CLASSES_ROOT\CLSID\{E31004D1-A431-41B8-826F-E902F9D95C81}\InProcServer32]
@="%SystemRoot%\System32\DreamScene.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E31004D1-A431-41B8-826F-E902F9D95C81}\InProcServer32]
@="%SystemRoot%\System32\DreamScene.dll"

»»»»»»»»»»»»»»»»»»»»»»»» End

Je passe à la deuxième étape...
To be continued ...

répondre

kmisol le 13 janvier 2009 à 00h30

...

Bonne nuit :sleep:

...

-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !"

Jules Renard / La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/ - http://www.malampe.org/

répondre

larve1664 le 13 janvier 2009 à 00h30

Je n'arrive pas à télécharger Malwarebytes Anti-malware à partir du lien que tu m'as indiqué... lorsque je clique sur télécharger, internet ne veut pas ouvrir la page...
Deuxième étape en stand-by, j'attends tes instructions, chef...

répondre

larve1664 le 13 janvier 2009 à 00h33

Bonne nuit à toi aussi...
je me reconnecte demain soir après le taf, en espérant que tu sois dispo.
En tout cas, merci pour ce début de désinfection...
:sleep:

A bientot.

répondre

larve1664 le 13 janvier 2009 à 00h51

En plus, j'ai peur de le télécharger d'ailleurs, parceque

télécharger >>Malwaresbytes' Anti-malware<<

Ne pas télécharger MBAM ailleurs que sur le site de l'éditeur : Voir ceci

répondre

larve1664 le 13 janvier 2009 à 14h15

Hey, bonjour.

Pour info :
J'ai fait un scan complet avec Avast ce matin.
Il m'a trouvé :
- Win32 : Fasec
- Win32 : SQL.sqlammer

J'ai réessayé de télécharger Malwaresbytes' Anti-malware, mais ça marche pas à partir de la page que tu m'as donnée.

A +

répondre

kmisol le 13 janvier 2009 à 22h49

larve1664

Essaie avec ce lien ...

http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php

---
Fais un scan en ligne avec Kaspersky
Clique sur > Accept.
Il est possible qu’ une barre jaune te demande d’ installer le
Kavwebscan_Unicode.cab (ActiveX) ; installe-le.
Clique une nouvelle fois sur > Accept.
Les mises à jour vont s’ installer. Patiente un moment.
Clique sur > Next.
Clique sur > My Computer. Le scan va commencer.
Attends la fin du scan (ne ferme pas la fenêtre, sinon il va stopper).
Une fois le scan achevé, poste le rapport.

Utilise Internet Explorer pour le scan et en session "Administrateur".

-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !"

Jules Renard / La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/ - http://www.malampe.org/

répondre

larve1664 le 13 janvier 2009 à 23h00

Salut,

MalwareBytes ne marche toujours pas à partir de ce lien !?!
Pour Kapersky, je clique sur Accept, mais ça bloque au bout de quelques instant avec le message suivant (j'ai essayé plusieurs fois, et je n'ai à priori pas de souci avec ma connexion internet, puisque je peux écrire sur ce forum) :

Update has failed. Program has failed to start. Close the Kaspersky Online Scanner 7.0 window and open it again to install the program. You must be online to update the Kaspersky Online Scanner 7 database. With the latest database updates, you can find new viruses and other threats. Please go online to use Kaspersky Online Scanner 7. [ERROR: Failed to connect to update source]

répondre

kmisol le 13 janvier 2009 à 23h09

...

Clique droit sur > FindyKill < (par Chiquitine29)
Choisis > Enregistrer la cible sous ... le Bureau !

Double-clique sur le raccourci FindyKill sur ton bureau.
Exécute-le ...
Il faut lancer l'installation avec les paramètres par défaut.
Laisse toi guider : Next > I agree > Next, etc ...

Double-clique sur le 2 ème raccourci FindyKill sur ton bureau.

Au menu principal, choisis l'option 1 (Recherche).
Patiente le temps du scan ...

Un rapport va s ouvrir ; poste-le dans ta prochaine réponse.

Note : le rapport FindyKill.txt est aussi conservé à
la racine du disque dur (C:\).

-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !"

Jules Renard / La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/ - http://www.malampe.org/

répondre

larve1664 le 13 janvier 2009 à 23h13

Rapport demandé ci-dessous. stop.
En attente de prochaines instructions . stop.

----------------- FindyKill V4.711 ------------------

* User : Administrateur - LH-M0DVUFYTIEVV
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 05/01/09 par Chiquitine29
* Recherche effectuée à 23:11:46 le 13/01/2009
* Windows Vista - Internet Explorer 7.0.6000.16546

((((((((((((((((( *** Recherche *** ))))))))))))))))))

--------------- [ Processus actifs ] ----------------

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\rundll32.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Windows\System32\rundll32.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Users\Administrateur\AppData\Roaming\Microsoft\Live Search\Notification-LiveSearch.exe
C:\Users\Administrateur\AppData\Roaming\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\PnkBstrA.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Windows\system32\conime.exe

--------------- [ Fichiers/Dossiers infectieux ] ----------------

»»»» Presence des fichiers dans C:

»»»» Presence des fichiers dans C:\Windows

»»»» Presence des fichiers dans C:\Windows\Prefetch

Found ! - C:\Windows\Prefetch\O4PATCH.EXE-802211B7.pf

»»»» Presence des fichiers dans C:\Windows\system32

»»»» Presence des fichiers dans C:\Windows\system32\drivers

»»»» Presence des fichiers dans C:\Users\Administrateur\AppData\Roaming

»»»» Presence des fichiers dans C:\Users\ADMINI~1\AppData\Local\Temp

»»»» Presence des fichiers dans C:\Users\Administrateur\Local Settings\Temporary Internet Files\Content.IE5

--------------- [ Registre / Startup ] ----------------

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
Sidebar=C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
DAEMON Tools="C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
GrooveMonitor="C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
DAEMON Tools="%ProgramFiles%\DAEMON Tools\daemon.exe\" -lang 1033
JMB36X IDE Setup=C:\Windows\RaidTool\xInsIDE.exe
NvCplDaemon=RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
NvMediaCenter=RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
RtHDVCpl=RtHDVCpl.exe
avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
NoChange=1
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1
<NO NAME>=

[HKEY_CURRENT_USER\software\local appwizard-generated applications\SkyTel]

--------------- [ Registre / Clés infectieuses ] ----------------

--------------- [ Etat / Services ] ----------------

+- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

Ndisuio - Type de démarrage = 3

EapHost - Type de démarrage = 3

Wlansvc - Type de démarrage = 3

/!\ SharedAccess - Type de démarrage = 4

wuauserv - Type de démarrage = 2

/!\ wscsvc - Type de démarrage = 4

/!\ WinDefend - Type de démarrage = 4

/!\ UAC is Disable

--------------- [ Recherche dans supports amovibles] ----------------

+- Informations :

C: - Lecteur fixe
D: - Lecteur fixe
E: - Lecteur fixe
F: - Lecteur de CD-ROM

+- Contenu de l'autorun : F:\autorun.inf

[autorun]
OPEN=AutoStarter.exe
ICON=stalker.ico,0

[AutoStarter]
RequiredDLLs=

[BackgroundImage]
SectionType=Image
Rect=0 0 640 536
String=autostarter\autostart.bmp

[PlayBtn]
SectionType=Text
Rect=45 25 320 75
String=Play
Font=BoldFont
Color=0x007799A3
HighlightColor=0x00BDDDF4
DisabledColor=0x00AAAAAA
Align=Center

[InstallBtn]
SectionType=Text
Rect=45 97 320 147
String=
Font=TextFont
Color=0x007799A3
HighlightColor=0x00BDDDF4
DisabledColor=0x00AAAAAA
Align=Center

[UpdateBtn]
SectionType=Text
Rect=45 169 320 219
String=Update
Font=TextFont
Color=0x007799A3
HighlightColor=0x00BDDDF4
DisabledColor=0x00AAAAAA
Align=Center

[WebBtn]
SectionType=Text
Rect=45 243 320 293
String=Web
Font=TextFont
Color=0x007799A3
HighlightColor=0x00BDDDF4
DisabledColor=0x00888888
Align=Center

[ExitBtn]
SectionType=Text
Rect=45 308 320 358
String=Exit
Font=TextFont
Color=0x007799A3
HighlightColor=0x00BDDDF4
DisabledColor=0x00888888
Align=Center

[ConfigBtn]
SectionType=Text
Rect=0 0 0 0
String=Config
Font=TextFont
Color=0x00FFFFFF
HighlightColor=0x0018AED6
DisabledColor=0x00AAAAAA
Align=Center

[DirectXBtn]
SectionType=Text
Rect=0 0 0 0
String=DirectX
Font=TextFont
Color=0x00FFFFFF
HighlightColor=0x0018AED6
DisabledColor=0x00888888
Align=Center

[TextLang]
SectionType=Text
Rect=20 505 90 529
String=Language
Font=SmallFont
Align=Center
Color=0x00FFFFFF
HighlightColor=0x00FFFFFF
DisabledColor=0x00AAAAAA

[LocaleBtn09]
SectionType=Text
Rect=92 505 172 529
String=LocaleEN
Font=SmallFont
Align=Center
Color=0x00FFFFFF
HighlightColor=0x001B3BDD
DisabledColor=0x00AAAAAA

[LocaleBtn07]
SectionType=Text
Rect=174 505 254 529
String=LocaleDE
Font=SmallFont
Align=Center
Color=0x00FFFFFF
HighlightColor=0x001B3BDD
DisabledColor=0x00AAAAAA

[LocaleBtn0C]
SectionType=Text
Rect=256 505 336 529
String=LocaleFR
Font=SmallFont
Align=Center
Color=0x00FFFFFF
HighlightColor=0x001B3BDD
DisabledColor=0x00AAAAAA

[LocaleBtn10]
SectionType=Text
Rect=338 505 418 529
String=LocaleIT
Font=SmallFont
Align=Center
Color=0x00FFFFFF
HighlightColor=0x001B3BDD
DisabledColor=0x00AAAAAA

[LocaleBtn0A]
SectionType=Text
Rect=410 505 500 529
String=LocaleES
Font=SmallFont
Align=Center
Color=0x00FFFFFF
HighlightColor=0x001B3BDD
DisabledColor=0x00AAAAAA

[TextFont]
SectionType=Font
File=
Face=Arial
Size=28
Bold=1
Italic=0

[SmallFont]
SectionType=Font
File=
Face=Arial
Size=16
Bold=1
Italic=1

[BoldFont]
SectionType=Font
File=
Face=Arial
Size=28
Bold=1
Italic=0

[Localization]
; see http://msdn.microsoft.com/library/default.asp?url=/library/en-us/intl/nls_238(...)
Default=09
09=autostarter/autostart.en
07=autostarter/autostart.de
0C=autostarter/autostart.fr
10=autostarter/autostart.it
0A=autostarter/autostart.es

+- presence des fichiers :

Found ! [04/08/2008 09:33][-r-------] - F:\autorun.inf

--------------- [ Registre / Mountpoint2 ] ----------------

-> Not found !

------------------- ! Fin du rapport ! --------------------

répondre

kmisol le 13 janvier 2009 à 23h25

...

Clique droit sur > ComboFix < (par sUBs).

Choisis "Enregistrer sous" (dans IE c'est "Enregistrer la cible/le lien sous..")
et sauvegarde-le (Enregistrer dans) sur le Bureau.

Important : dans "Nom du fichier" enregistre (renomme) "combofix" en comdo-fix.exe

Ferme toutes les fenêtres et applications.
Déconnectes-toi du net et désactive tes protections résidentes
(antivirus, antispy, etc ...) :
http://forum.pcastuces.com/desactiver_les_protections_residentes-f31s4.htm

Double clique combo-fix.exe.
Tape sur la touche Y (Yes) pour démarrer le scan.
ComboFix redémarrera ton PC.
Lorsque le scan sera complété, un rapport apparaîtra.
Copie/colle ce rapport dans ta prochaine réponse et nouveau rapport hijackthis

PS : Le rapport se trouve également ici : C:\Combofix.txt

-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !"

Jules Renard / La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/ - http://www.malampe.org/

répondre

larve1664 le 13 janvier 2009 à 23h37

Heu, j'ai bien lancé combo-fix.exe, mais il n'a pas redémarré mon PC. Est ce normal ? :??:

Je te mets le rapport ci-dessous.
Par contre, je sais pas ce que c'est un "nouveau rapport hijackthis" ... Est ce que c'est le premier rapport que j'ai fait avec S!ri ?

Rapport ComboFix :

ComboFix 09-01-13.03 - Administrateur 2009-01-13 23:30:11.1 - NTFSx86
Microsoft® Windows Vista™ Édition Intégrale 6.0.6000.0.1252.1.1036.18.2046.1341 [GMT 1:00]
Lancé depuis: c:\users\Administrateur\Desktop\combo-fix.exe
AV: avast! antivirus 4.8.1229 [VPS 090113-1] *On-access scanning disabled* (Outdated)
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\dumphive.exe
c:\windows\system32\hpowiav1.dll
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe
D:\resycled
E:\resycled

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-12-13 au 2009-01-13 ))))))))))))))))))))))))))))))))))))
.

2009-01-13 23:11 . 2009-01-13 23:12 <REP> d-------- c:\program files\FindyKill
2009-01-13 00:16 . 2009-01-13 00:16 691 --a------ c:\users\Administrateur\AppData\Roaming\GetValue.vbs
2009-01-13 00:16 . 2009-01-13 00:16 35 --a------ c:\users\Administrateur\AppData\Roaming\SetValue.bat
2008-12-14 14:32 . 2008-12-14 14:32 <REP> d-------- c:\program files\Hewlett-Packard
2008-12-14 14:32 . 2008-12-14 14:32 <REP> d-------- c:\program files\Common Files\HP
2008-12-14 14:32 . 2008-12-14 14:32 <REP> d-------- c:\program files\Common Files\Hewlett-Packard
2008-12-14 14:30 . 2008-12-14 14:30 <REP> d-------- c:\program files\HP
2008-12-14 14:28 . 2008-12-14 14:32 164,303 --a------ c:\windows\hpoins19.dat
2008-12-14 14:26 . 2008-12-14 14:32 <REP> d-------- c:\users\All Users\HP
2008-12-14 14:26 . 2008-12-14 14:32 <REP> d-------- c:\programdata\HP
2008-12-14 14:26 . 2006-12-16 07:19 897,024 --a------ c:\windows\System32\hpotiop1.dll
2008-12-14 14:26 . 2006-12-16 07:19 303,104 --a------ c:\windows\System32\hpovst01.dll
2008-12-14 14:26 . 2006-11-20 22:36 258,048 --a------ c:\windows\System32\hpzids01.dll
2008-12-14 14:26 . 2007-03-13 20:27 26,952 --a------ c:\windows\hpomdl19.dat
2008-12-14 14:11 . 2008-12-14 14:11 <REP> d-------- c:\users\Administrateur\AppData\Roaming\HP
2008-12-13 13:46 . 2009-01-11 16:29 244 --ah----- C:\sqmnoopt19.sqm
2008-12-13 13:46 . 2009-01-11 16:29 232 --ah----- C:\sqmdata19.sqm
2008-12-13 13:40 . 2008-12-13 13:41 <REP> d-------- C:\UsinePreparations

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-23 18:12 --------- d-----w c:\programdata\2DBoy
2008-11-23 04:12 66,872 ----a-w c:\windows\System32\PnkBstrA.exe
2008-11-23 04:12 22,328 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2008-11-23 04:12 103,736 ----a-w c:\windows\System32\PnkBstrB.exe
2008-11-22 23:47 --------- d-----w c:\program files\Common Files\Blizzard Entertainment
2008-08-19 19:01 22,328 ----a-w c:\users\Administrateur\AppData\Roaming\PnkBstrK.sys
2008-07-28 20:14 174 --sha-w c:\program files\desktop.ini
2008-09-04 20:37 16,384 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
2008-09-04 20:37 32,768 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
2008-09-04 20:37 16,384 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2006-11-02 1196032]
"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2007-08-16 167368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2007-08-16 167368]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-16 13535776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-16 92704]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]
"RtHDVCpl"="RtHDVCpl.exe" [2008-07-03 c:\windows\RtHDVCpl.exe]

c:\users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Outil de notification Live Search.lnk - c:\users\Administrateur\AppData\Roaming\Microsoft\Live Search\Notification-LiveSearch.exe [2008-11-03 143360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableInstallerDetection"= 0 (0x0)
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.ffds"= c:\progra~1\COMBIN~1\Filters\FFDShow\ff_vfw.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSIServer]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"="0x00000000"
"UpdatesDisableNotify"="0x00000000"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
"DisableNotifications"= 1 (0x1)
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile\AuthorizedApplications\List]
"c:\\Program Files\\FlashFXP\\FlashFXP.exe"= c:\program files\FlashFXP\FlashFXP.exe:*:Enabled:FlashFXP v3

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{1D2F6CA8-65F2-44AA-AE46-3A096F78B5C6}"= TCP:6004|c:\program files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{16222347-E4B4-4753-9531-3F8C368EABEC}"= UDP:c:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{040037F0-1137-4308-9E30-9F014DDBE48B}"= TCP:c:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{0284E8D0-4EF0-480A-9BEE-2A0696232DD6}"= UDP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{1C820141-A0D1-41E0-9A6F-434DC662C733}"= TCP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"DisableNotifications"= 1 (0x1)
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"DisableNotifications"= 1 (0x1)
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"c:\\Program Files\\FlashFXP\\FlashFXP.exe"= c:\program files\FlashFXP\FlashFXP.exe:*:Enabled:FlashFXP v3

R1 aswSP;avast! Self Protection;c:\windows\System32\drivers\aswSP.sys [2008-09-01 78416]
R4 aswFsBlk;aswFsBlk;c:\windows\System32\drivers\aswFsBlk.sys [2008-09-01 20560]
R4 aswMonFlt;aswMonFlt;c:\windows\System32\drivers\aswMonFlt.sys [2008-09-01 51280]

--- Other Services/Drivers In Memory ---

*Deregistered* - sptd

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]
\shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe pagefile.sys.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{25f53d8b-5ce1-11dd-adc2-806e6f6e6963}]
\shell\AutoRun\command - F:\AutoStarter.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{467d8a34-8f0f-11dd-9251-001fc6111bfa}]
\shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe pagefile.sys.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9a7be4f7-5ce4-11dd-9da5-001fc6111bfa}]
\shell\AutoRun\command - G:\Setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9a7be4f9-5ce4-11dd-9da5-001fc6111bfa}]
\shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe pagefile.sys.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dc5330ec-8727-11dd-9399-001fc6111bfa}]
\shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe pagefile.sys.vbs
.
Contenu du dossier 'Tâches planifiées'

2009-01-13 c:\windows\Tasks\User_Feed_Synchronization-{9D2C9BB4-6A54-4BC9-95FA-E34EFE1291D7}.job
- c:\windows\system32\msfeedssync.exe [2006-11-02 10:45]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
LSP: %SYSTEMROOT%\system32\nvLsp.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-13 23:31:06
Windows 6.0.6000 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

c:\users\ADMINI~1\AppData\Local\Temp\catchme.dll 53248 bytes executable

Scan terminé avec succès
Fichiers cachés: 1

**************************************************************************
.
Heure de fin: 2009-01-13 23:32:19
ComboFix-quarantined-files.txt 2009-01-13 22:32:17

Avant-CF: 81 393 360 896 octets libres
Après-CF: 82,087,473,152 octets libres

154

répondre

kmisol le 13 janvier 2009 à 23h45

...

Autant pour moi !

--> HijackThis

Comment se comporte le PC ?

-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !"

Jules Renard / La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/ - http://www.malampe.org/

répondre

larve1664 le 13 janvier 2009 à 23h51

Rapport Hijackthis ci dessous :
Sinon, le PC fonctionne normalement de ce que je peux voir.
Faut-il que je réactive mes protections résidentes ?
Faut-il que je lance un scan complet avec Avast ?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:47:55, on 13/01/2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16546)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Users\Administrateur\AppData\Roaming\Microsoft\Live Search\Notification-LiveSearch.exe
C:\Users\Administrateur\AppData\Roaming\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe
C:\Windows\system32\conime.exe
C:\Windows\Explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "%ProgramFiles%\DAEMON Tools\daemon.exe\" -lang 1033
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - Startup: Outil de notification Live Search.lnk = C:\Users\Administrateur\AppData\Roaming\Microsoft\Live Search\Notification-LiveSearch.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O13 - Gopher Prefix:
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe (file missing)
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe

--
End of file - 5838 bytes

répondre

larve1664 le 14 janvier 2009 à 00h14

T'es encore là ??
Tu es parti faire :sleep:

répondre

kmisol le 14 janvier 2009 à 00h34

...

Faut-il que je réactive mes protections résidentes ?

Oui.

Faut-il que je lance un scan complet avec Avast ?

Oui.

-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !"

Jules Renard / La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/ - http://www.malampe.org/

répondre

larve1664 le 14 janvier 2009 à 00h36

N'ayant pas de réponse, je considère que le marchand de sable t'as fait une petite visite...
Ah, j'entend quelqu'un qui viens de sonner chez moi, je pense que ça doit être lui. Je m'en vais donc de ce pas me coucher.
Tiens moi au courant pour me dire si la désinfection est terminée.
Merci pour ton aide. :super:

A+. Bonne nuit ... :hello:

répondre

larve1664 le 14 janvier 2009 à 00h37

réponses croisées.
Je fais un scan et je te tiens au courant demain.
Un grand merci.

répondre

larve1664 le 14 janvier 2009 à 21h13

Salut,

J'ai fait un scan dans la nuit : pas de problème, aucun virus ou autres détectés.
Un grand merci à toi et à toute l'équipe du forum pour cette désinfection que je n'aurai jamais pu faire tout seul. :super:

Une dernière question (et oui, tu vois, j'aime bien ce forum et ca va me manquer. :pleure:

Je me demande si je ne vais pas télécharger un virus exprès... :lol:

) : Que dois je faire de tous les fichiers qui sont en quarantaine dans Avast ? les supprimer ?

répondre

kmisol le 15 janvier 2009 à 22h18

larve1664

Que dois je faire de tous les fichiers qui sont en quarantaine
dans Avast ? les supprimer ?

Oui.

---
Télécharge JavaRA

[:Poulbot:6]

Aide en images

PS : Clique droit sur setup et choisis "Exécuter en tant qu'administrateur"
si tu es sous Vista.

---
Télécharge ToolsCleaner (par A.Rothstein et dj QUIOU) sur ton bureau.

Clique sur Recherche et laisse le scan agir ...

Clique sur Suppression pour finaliser.

Tu peux, si tu le souhaites, te servir des Options facultatives.

Clique sur Quitter pour obtenir le rapport.

Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

PS : si tu as un problème lors de son utilisation, désactive l'UAC

---
Puis, si tu estimes que ton problème est réglé,
replaces-toi sur ton 1er message et clique sur < inclued picture >

.
Une fois dans le message, inscris (copie/colle) en titre, ce qui est cadré …

Virus BV:Autorun-J [Wrm] [résolu]

… et clique sur > Poster ce message.

---
Des conseils :

- Windows Update parfaitement à jour
(catégories critique, Services Pack et Services Release) ;
- pare-feu bien paramétré ;
- antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec
un scan complet régulier (voire, journalier).
- une attitude prudente vis-à-vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis-à-vis de la messagerie
(les fichiers joints aux messages seront scannés avant d'être ouverts) ;
- pas de téléchargement illégal, qui est le principal facteur d’infection (µTorrent, BitTorrent, eMule, Limewire, etc..) Le danger des cracks !
- une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système) ;
- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defragmenter)
- scan hebdomadaire antispyware ;
- un contrôle régulier de la console Java pour s'assurer qu'elle est à jour ;
- un scan de vulnérabilités afin de vérifier que tes logiciels sont à jour et sans faille(s) de sécurités.

-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !"

Jules Renard / La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/ - http://www.malampe.org/

répondre

larve1664 le 19 janvier 2009 à 21h42

Hey, bonjour,

Voici le rapport Toolscleaner :
[ Rapport ToolsCleaner version 2.3.0 (par A.Rothstein & dj QUIOU) ]

-->- Recherche:

C:\Combofix.txt: trouvé !
C:\FindyKill.txt: trouvé !
C:\Qoobox: trouvé !
C:\Program Files\FindyKill: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\FindyKill: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FindyKill: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programmes\FindyKill: trouvé !
C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FindyKill: trouvé !
C:\Users\Administrateur\Desktop\HijackThis.lnk: trouvé !
C:\Users\Administrateur\Desktop\HJTInstall.exe: trouvé !
C:\Users\Administrateur\Desktop\SmitFraudfix: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programmes\FindyKill: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\FindyKill: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !

---------------------------------
-->- Suppression:

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: supprimé !
C:\Users\Administrateur\Desktop\HijackThis.lnk: supprimé !
C:\Users\Administrateur\Desktop\HJTInstall.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\FindyKill.txt: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Qoobox: supprimé !
C:\Program Files\FindyKill: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: ERREUR DE SUPPRESSION !!
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\FindyKill: ERREUR DE SUPPRESSION !!
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FindyKill: supprimé !
C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programmes\FindyKill: ERREUR DE SUPPRESSION !!
C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FindyKill: supprimé !
C:\Users\Administrateur\Desktop\SmitFraudfix: supprimé !

Je pense que c'est fini : mon ordi marche correctement.

Merci.

répondre

kmisol le 19 janvier 2009 à 22h18