|
|
Auteur
|
Message
|
1
|
Mais alors, complètement...
|
|
|
Bonjour  ,
Je suis toute nouvelle sur ce forum (qui au demeurant m'a l'air très sympathique, étant moi-même une habituée d'autres forums, il se pourrait que je prenne racine ici aussi  ).
Si je suis là, c'est parce que comme l'indique le titre de mon topic, j'ai des squatteurs sur mon PC... En fait, Braviax est bien installé dans mon System32 avec quelques copains troyens, genre TROJ_ABTV.A, TROJ_RENOS.AAA, TROJ_ROOTKIT.CY... Je suis blindée, quoi. Le premier à se manifester a été TROJ-ROOTKIT.CY, qui sitôt détecté par OfficeScan (oui, je compte en changer...) a fait redémarrer mon ordi et a fait son nid.
J'ai fait une capture d'écran pour vous montrer le bébé si nécessaire, mais je pense que vous connaissez sans doute: un rond rouge orné d'une croix blanche qui s'incruste dans la barre d'état en bas à droite du bureau, et qui lance de temps en temps une bulle disant "your computer is infected!" tout en invitant à télécharger un soi-disant super anti-spyware (non, je ne suis pas tombée dans le panneau  ).
J'ai essayé de suivre les premiers conseils trouvés sur ce fil et j'ai déjà un scan Hijackthis à présenter à qui voudra bien m'aider (mais apparemment les règles du forum disent qu'il ne faut pas poster de rapport dès le premier message pour ne pas surcharger le forum, et sans doute les photos ou captures d'écran non plus?).
Voili, je vais donc attendre que les premières âmes charitables se manifestent... Et un gros gros merci d'avance si vous pouvez m'aider à virer ces hôtes indésirables sans que je ne doive tout reformater et réinstaller! 
N'hésitez pas si vous avez besoin d'autres infos sur ma situation... Et merki bôcoup! 
-->Message édité par LostinPC le 27/06/2008 21:34:16<--
-------
...vraiment complètement!
|
|
Mais alors, complètement...
|
|
|
J'oubliais, il y a aussi un certain ADW_XPSECURITYCE (que je n'ai pas l'honneur de connaître et qui ne paie même pas son loyer  ) dans la liste OfficeScan, au cas où l'info aurait un intérêt...
HS, j'ai du mal à charger les pages de ce forum... A votre avis, est-ce général, ou encore lié à IE éventuellement, ou bien mes squatteurs jouent-ils un rôle là-dedans? 
-------
...vraiment complètement!
|
|
Mais alors, complètement...
|
|
|
|
Houlàlà, je suis mal à ce point?
-------
...vraiment complètement!
|
|
|
|
|
Post le rapport Hijack stp
|
|
Mais alors, complètement...
|
|
|
Enfin un sauveur en puissance , merci!!!
Voici la source de mes malheurs:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:42:35, on 27/06/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINDOWS\System32\braviax.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\VBA42B.EXE
C:\Program Files\Trend Micro\OfficeScan Client\Pop3Trap.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Program Files\Hijackthis\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [braviax] C:\WINDOWS\System32\braviax.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_1_0 -reboot 1
O4 - HKCU\..\Run: [braviax] C:\WINDOWS\System32\braviax.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Scan en temps réel OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pare-feu OfficeScanNT (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
--
End of file - 4942 bytes
C'est grave, docteur? 
-->Message édité par LostinPC le 29/06/2008 18:22:40<--
-------
...vraiment complètement!
|
|
|
|
|
|
quel est ton antivirus (gratuit ou payant)
|
|
Mais alors, complètement...
|
|
|
C'est officeScan, il est payant...
Je pense le remplacer par Antivir, mais comment procéder (je crois savoir qu'il ne faut pas avoir deux anti-virus en même temps)?
-------
...vraiment complètement!
|
|
|
|
|
Oui 1 seul antivirus
je te propose de desinstaller ton antivirus actuel.
ensuite installe Avira fais un scan complet et copie/colle le rapport dans ton prochain message
http://www.malekal.com//tutorial_antivir_security_suite.php
|
|
Mais alors, complètement...
|
|
|
Bon, dernières nouvelles :
- impossible d'afficher ton lien qui fait immédiatement planter IE chez moi (je suis maudite); suite à recherche, impossible d'afficher aussi le PDF du tuto de tutmarks.com, même en essayant de le sauvegarder ("site introuvable"!). Est-ce que:
http://www.pcentraide.com/index.php?showtopic=92016
ou
http://www.tutopat.com/viewtopic.php?t=2417
sont adaptés (pas l'impression que ce soit la même version)?
- j'ai quand même pu télécharger sur mon bureau l'install d'Avira Antivir qui n'attend plus qu'un double clic, mais bien entendu OfficeScan me demande un mot de passe pour le désinstaller  et il va donc falloir que j'attende le retour de l'homme de la maison: c'est lui qui l'a installé sur cet ordinateur, et j'ignore quel est le mot de passe en question...
Je reviendrai donc en temps utile, dès que j'aurai le scan d'Antivir. Un grand merci d'avance pour ton aide et ta patience!!! 
-->Message édité par LostinPC le 30/06/2008 16:59:23<--
-------
...vraiment complètement!
|
|
Mais alors, complètement...
|
|
|
Bon, mon homme n'a pas retrouvé le mot de passe hier mais espère l'avoir peut-être aujourd'hui... Au cas où il ne parviendrait pas à le retrouver, est-il tout de même possible d'installer Antivir si je décoche dans OfficeScan les cases "activer le pare-feu", "activer le système de détection des instrusions" et "activer le message d'alerte", bref, si je le désactive sans le désinstaller? Ou seront-ils en conflit quand même? 
On me suggère sinon de tenter autre chose: "restaurer mon ordinateur à une heure antérieure", ce qui permet d'effacer tous les programmes installés après cette date (sans pour autant toucher aux fichiers texte, photos, etc.). Donc, en remontant à la date juste avant l'installation du programme spyware/virus, il devrait se désinstaller tout seul . Evidemment, ça ne peut marcher que si le virus n'a pas aussi pris le contrôle de cette option, ça me semblerait trop beau d'ailleurs... Est-il vraiment possible que quelque chose d'aussi simple fonctionne, et sans risque pour les fichiers même récents et les programmes plus anciens?
Thanks!!!
-------
...vraiment complètement!
|
|
|
|
|
|
si c'est un bo virus c'est pas la restauration qui changera grand chose
|
|
Mais alors, complètement...
|
|
|
En effet, ce fut inutile (impossible de sélectionner une date antérieure à l'apparition du virus, évidemment).
Bon, j'ai enfin obtenu le mot de passe et réussi à désinstaller OfficeScan (j'écris d'un autre ordinateur d'ailleurs, puisque j'ai déconnecté le mien du coup, histoire de ne pas accueillir encore plus d'hôtes...).
Je viens d'essayer d'installer Avira Antivir, mais ma question est: est-il normal qu'il me demande un code payant à obtenir par SMS pour l'activer ("envoyer DD1 au 81039", puis taper le code reçu et activer)?  C'est 6 euros, et ils disent que l'activation du service n'implique en aucun cas l'achat d'une licence... Mais je n'ai pas confiance en ces trucs-là, je trouve ça louche pour un logiciel soi-disant gratuit et je n'ai pas envie de plomber mon portable avec ça! Et d'ailleurs, si par hasard on n'a pas de téléphone portable, on fait comment?!
Enfin bref, si quelqu'un pouvait me rassurer ou me dire ce que je dois faire... Merci d'avance, je deviens folle là...
-------
...vraiment complètement!
|
|
|
|
Mais alors, complètement...
|
|
|
Super, merci beaucoup Lien rag, tu m'as été d'un très grand secours! 
Je l'ai installé et on a fait le scan, il semblerait qu'il ait réussi à tout mettre en quarantaine (en tous cas, le petit rond à croix blanche a bien disparu, entre autres!), y compris des locataires qu'OfficeScan n'avait pas cités! 
Voici le scan Antivir:
-----------------
Avira AntiVir Personal
Report file date: vendredi 4 juillet 2008 16:52
Scanning for 1378724 virus strains and unwanted programs.
Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (plain) [5.1.2600]
Boot mode: Normally booted
Username: SYSTEM
Computer name: (effacé )
Version information:
BUILD.DAT : 8.1.00.295 16479 Bytes 09/04/2008 16:24:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18/03/2008 09:02:56
AVSCAN.DLL : 8.1.1.0 53505 Bytes 07/02/2008 08:43:37
LUKE.DLL : 8.1.2.9 151809 Bytes 28/02/2008 08:41:23
LUKERES.DLL : 8.1.2.1 12033 Bytes 21/02/2008 08:28:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24/06/2008 14:50:37
ANTIVIR2.VDF : 7.0.5.51 273408 Bytes 04/07/2008 14:50:40
ANTIVIR3.VDF : 7.0.5.52 2048 Bytes 04/07/2008 14:50:40
Engineversion : 8.1.0.64
AEVDF.DLL : 8.1.0.5 102772 Bytes 25/02/2008 09:58:21
AESCRIPT.DLL : 8.1.0.46 283002 Bytes 04/07/2008 14:50:59
AESCN.DLL : 8.1.0.22 119157 Bytes 04/07/2008 14:50:57
AERDL.DLL : 8.1.0.20 418165 Bytes 04/07/2008 14:50:56
AEPACK.DLL : 8.1.1.6 364918 Bytes 04/07/2008 14:50:54
AEOFFICE.DLL : 8.1.0.20 192891 Bytes 04/07/2008 14:50:52
AEHEUR.DLL : 8.1.0.35 1298806 Bytes 04/07/2008 14:50:51
AEHELP.DLL : 8.1.0.15 115063 Bytes 04/07/2008 14:50:46
AEGEN.DLL : 8.1.0.29 307573 Bytes 04/07/2008 14:50:45
AEEMU.DLL : 8.1.0.6 430451 Bytes 04/07/2008 14:50:43
AECORE.DLL : 8.1.0.32 168311 Bytes 04/07/2008 14:50:41
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23/01/2008 17:07:53
AVPREF.DLL : 8.0.0.1 25857 Bytes 18/02/2008 10:37:50
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:26:47
AVREG.DLL : 8.0.0.0 30977 Bytes 23/01/2008 17:07:49
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:23
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28/02/2008 08:31:31
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23/01/2008 17:08:39
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:10
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10/03/2008 14:37:25
RCTEXT.DLL : 8.0.32.0 86273 Bytes 06/03/2008 12:02:11
Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, D:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium
Start of the scan: vendredi 4 juillet 2008 16:52
The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'soffice.bin' - '1' Module(s) have been scanned
Scan process 'soffice.exe' - '1' Module(s) have been scanned
Scan process 'GoogleToolbarNotifier.exe' - '1' Module(s) have been scanned
Scan process 'msmsgs.exe' - '1' Module(s) have been scanned
Scan process 'braviax.exe' - '1' Module(s) have been scanned
Module is infected -> 'C:\WINDOWS\System32\braviax.exe'
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'realsched.exe' - '1' Module(s) have been scanned
Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned
Scan process 'slserv.exe' - '1' Module(s) have been scanned
Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
Process 'braviax.exe' has been terminated
C:\WINDOWS\System32\braviax.exe
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[NOTE] The file was moved to '48cf39c1.qua'!
28 processes with 27 modules were scanned
Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!
Master boot sector HD1
[INFO] No virus was found!
Master boot sector HD2
[INFO] No virus was found!
[WARNING] Le périphérique n'est pas prêt.
Master boot sector HD3
[INFO] No virus was found!
[WARNING] Le périphérique n'est pas prêt.
Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Boot sector 'D:\'
[INFO] No virus was found!
Starting to scan the registry.
The registry was scanned ( '27' files ).
Starting the file scan:
Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\System Volume Information\_restore{36AA46C0-90A6-4EB9-99AD-2AB446DE34EC}\RP386\A0039888.EXE
[0] Archive type: HIDDEN
--> FIL\\\?\C:\System Volume Information\_restore{36AA46C0-90A6-4EB9-99AD-2AB446DE34EC}\RP386\A0039888.EXE
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[NOTE] The file was moved to '489e3faa.qua'!
C:\System Volume Information\_restore{36AA46C0-90A6-4EB9-99AD-2AB446DE34EC}\RP386\A0039889.EXE
[DETECTION] Is the Trojan horse TR/Dropper.Gen
[NOTE] The file was moved to '489e3fb0.qua'!
C:\System Volume Information\_restore{36AA46C0-90A6-4EB9-99AD-2AB446DE34EC}\RP386\A0039890.EXE
[0] Archive type: HIDDEN
--> FIL\\\?\C:\System Volume Information\_restore{36AA46C0-90A6-4EB9-99AD-2AB446DE34EC}\RP386\A0039890.EXE
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[NOTE] The file was moved to '489e3fb3.qua'!
C:\System Volume Information\_restore{36AA46C0-90A6-4EB9-99AD-2AB446DE34EC}\RP386\A0039891.EXE
[DETECTION] Is the Trojan horse TR/Dropper.Gen
[NOTE] The file was moved to '489e3fb9.qua'!
C:\System Volume Information\_restore{36AA46C0-90A6-4EB9-99AD-2AB446DE34EC}\RP386\A0039892.EXE
[DETECTION] Is the Trojan horse TR/Dropper.Gen
[NOTE] The file was moved to '489e3fbc.qua'!
C:\System Volume Information\_restore{36AA46C0-90A6-4EB9-99AD-2AB446DE34EC}\RP386\A0039893.EXE
[0] Archive type: HIDDEN
--> FIL\\\?\C:\System Volume Information\_restore{36AA46C0-90A6-4EB9-99AD-2AB446DE34EC}\RP386\A0039893.EXE
[DETECTION] Is the Trojan horse TR/Dldr.Purity.AR.3
[NOTE] The file was moved to '489e3fc2.qua'!
C:\System Volume Information\_restore{36AA46C0-90A6-4EB9-99AD-2AB446DE34EC}\RP386\A0039894.sys
[0] Archive type: HIDDEN
--> FIL\\\?\C:\System Volume Information\_restore{36AA46C0-90A6-4EB9-99AD-2AB446DE34EC}\RP386\A0039894.sys
[DETECTION] Is the Trojan horse TR/Rootkit.Gen
[NOTE] The file was moved to '489e3fc8.qua'!
C:\System Volume Information\_restore{36AA46C0-90A6-4EB9-99AD-2AB446DE34EC}\RP386\A0039896.exe
[0] Archive type: HIDDEN
--> FIL\\\?\C:\System Volume Information\_restore{36AA46C0-90A6-4EB9-99AD-2AB446DE34EC}\RP386\A0039896.exe
[DETECTION] Is the Trojan horse TR/Agent.52224.30
[NOTE] The file was moved to '489e3fca.qua'!
C:\System Volume Information\_restore{36AA46C0-90A6-4EB9-99AD-2AB446DE34EC}\RP386\A0039897.exe
[DETECTION] Is the Trojan horse TR/Dropper.Gen
[NOTE] The file was moved to '489e3fcd.qua'!
C:\System Volume Information\_restore{36AA46C0-90A6-4EB9-99AD-2AB446DE34EC}\RP389\A0041088.exe
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[NOTE] The file was moved to '489e3fd7.qua'!
Begin scan in 'D:\' <DATA>
End of the scan: vendredi 4 juillet 2008 17:26
Used time: 34:22 min
The scan has been done completely.
4770 Scanning directories
256654 Files were scanned
12 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
11 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
256642 Files not concerned
2996 Archives were scanned
3 Warnings
11 Notes
---------------------
La seule chose qui m'inquiète est le "1 Files cannot be scanned" (je suppose que cela se réfère à "C:\pagefile.sys
[WARNING] The file could not be opened!"), je me demande s'il peut y avoir une lacune du coup... J'ai aussi refait un scan Hijackthis juste après Antivir, qui repère encore Braviax dans System32 bien qu'Antivir indique qu'il est mis en quarantaine. Est-il normal que Hijackthis le détecte quand même? Je suppose néanmoins que cela ne veut pas dire pour autant qu'il est encore actif (au besoin, je peux mettre ce scan aussi, mais je ne veux pas surcharger la page )...
En tous cas, tout va de nouveau bien apparemment, pour l'instant!
-->Message édité par LostinPC le 04/07/2008 17:54:01<--
-------
...vraiment complètement!
|
|
|
|
Mais alors, complètement...
|
|
|
Coucou ,
Voici le log Hijack, que j'ai fait après avoir relancé un scan complet Antivir qui n'a rien détecté. Hijack repère toujours Braviax  , et après m'être renseignée j'ai cru comprendre que même s'il n'est a priori plus actif, la seule solution pour qu'il n'en reste plus aucune trace reste le formatage... Est-ce que je peux quand même avoir confiance et me reconnecter notamment à mes boîtes e-mail sans risque de spam ou d'un quelconque piratage (je n'ai pas encore osé le faire de ce PC avant bénédiction d'un connaisseur ). Et une question sur Antivir: est-il vraiment gratuit en permanence? Car sa fenêtre d'accueil comporte la mention "PersonalEdition Classic Licence, valid 30/11/2008" et à côté "upgrade to premium"... Est-ce que ça veut dire qu'au 30 novembre prochain je devrai payer pour continuer à l'utiliser, ou suffira-t-il de le retélécharger, ou rien de tout ça?
Merci Lien rag pour ton aide , de la lecture pour toi donc:
------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:42:51, on 05/07/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Hijackthis\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/webhp?sourceid=navclient&hl=fr&ie=UTF-8
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [braviax] C:\WINDOWS\System32\braviax.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_1_0 -reboot 1
O4 - HKCU\..\Run: [braviax] C:\WINDOWS\System32\braviax.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
--
End of file - 4756 bytes
-->Message édité par LostinPC le 05/07/2008 12:54:52<--
-------
...vraiment complètement!
|
|
|
|
|
Pour avira c'est bon...la fonction Update Premium c'est pour basculer vers la version payante
Pour Braviax on s'en occupe ensemble :
Télécharge ComboFix (créé par sUBs) sur ton Bureau
Démarre en mode sans échec : http://forum.telecharger.01net.com/telecharger/virus_et_assimiles/failles_de_(...)
Double clique combofix.exe.
Tape sur la touche Y (Yes) pour démarrer le scan.
ComboFix redémarrera ton PC
Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse,et nouveau rapport hijackthis
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
|
|
Mais alors, complètement...
|
|
|
Hello ,
Merci pour tes conseils !!! Voici donc la bête; je me suis juste permis de supprimer les infos perso (nom) et d'autres fichiers perso , c'est remplacé par "(effacé)" à chaque fois (et je suis sûre de n'avoir rien effacé d'essentiel, no souci), et c'est tout. Le scan Hijack arrive aussi.
------------------
ComboFix 08-07-05.1 - Administrateur 2008-07-06 14:11:17.1 - NTFSx86 MINIMAL
Microsoft Windows XP Édition familiale 5.1.2600.0.1252.1.1036.18.840 [GMT 2:00]
Endroit: C:\Documents and Settings\(effacé)\Bureau\ComboFix.exe
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
((((((((((((((((((((((((((((( Fichiers créés 2008-06-06 to 2008-07-06 ))))))))))))))))))))))))))))))))))))
.
2008-07-06 14:08 . 2006-05-16 15:26 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2008-07-06 14:08 . 2006-05-16 15:26 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-07-06 14:08 . 2006-05-16 17:54 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles
2008-07-06 14:08 . 2006-05-16 15:26 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-07-06 14:08 . 2006-05-16 15:26 <REP> dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
2008-07-06 14:08 . 2006-05-16 15:26 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-07-06 14:08 . 2006-05-16 15:26 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-07-06 14:08 . 2008-07-06 14:08 <REP> d-------- C:\Documents and Settings\Administrateur
2008-07-04 16:43 . 2008-07-04 16:43 <REP> d-------- C:\Program Files\Avira
2008-07-04 16:43 . 2008-07-04 16:43 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-06-26 16:26 . 2001-08-17 22:00 24,832 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-06-26 16:26 . 2001-08-17 22:00 24,832 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2008-06-19 11:38 . 2008-06-19 11:38 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-06 12:03 --------- d-----w C:\Documents and Settings\(effacé)\Application Data\OpenOffice.org2
2008-07-03 19:51 --------- d-----w C:\Program Files\Trend Micro
2008-06-13 21:49 --------- d-----w C:\Documents and Settings\(effacé)\Application Data\Skype
2008-06-13 19:44 --------- d-----w C:\Documents and Settings\(effacé)\Application Data\skypePM
2008-06-01 21:11 --------- d-----w C:\Documents and Settings\(effacé)\Application Data\AdobeUM
2008-05-28 10:51 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-04-22 16:08 32 ----a-w C:\Documents and Settings\All Users\Application Data\ezsid.dat
2008-04-22 15:58 22,685,480 ----a-w C:\Program Files\SkypeSetup.exe
2007-06-04 19:11 31,222,085 ----a-w C:\Program Files\OS7-client_autonome_NT-2000-XP_v7.12.07.exe
2006-05-16 20:01 21,254,280 ----a-w C:\Program Files\AdbeRdr707_en_US.exe
2006-05-16 19:52 2,855,080 ----a-w C:\Program Files\aawsepersonal.exe
2006-05-16 19:22 19,318,281 ----a-w C:\Program Files\klcodec271f.exe
2006-05-16 19:13 622,152 ----a-w C:\Program Files\GoogleToolbarInstaller.exe
2006-05-16 18:55 8,282,187 ----a-w C:\Program Files\vlc-0.8.5-win32.exe
2006-02-24 16:42 2,352,887 ----a-w C:\Program Files\openofficeorg4.cab
2006-02-24 16:41 53,468,865 ----a-w C:\Program Files\openofficeorg3.cab
2006-02-24 16:36 14,865,630 ----a-w C:\Program Files\openofficeorg2.cab
2006-02-24 16:35 18,596,564 ----a-w C:\Program Files\openofficeorg1.cab
2006-02-24 16:33 5,228,032 ----a-w C:\Program Files\openofficeorg20.msi
2006-02-24 16:33 217 ----a-w C:\Program Files\setup.ini
2006-02-08 11:01 266,240 ----a-w C:\Program Files\setup.exe
2002-03-11 09:06 1,822,520 ----a-w C:\Program Files\instmsiw.exe
2002-03-11 08:45 1,708,856 ----a-w C:\Program Files\instmsia.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-28 14:00 13312]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-07-20 21:07 7110656]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2005-07-20 21:07 86016]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-02-02 12:07 185896]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2002-10-02 10:47 147968]
"nwiz"="nwiz.exe" [2005-07-20 21:07 1519616 C:\WINDOWS\system32\nwiz.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-28 14:00 13312]
C:\Documents and Settings\(effacé)\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 2.0.lnk - C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe [2006-01-25 18:42:22 61440]
C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 03:38:16 29696]
R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2008-01-21 18:11]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-01-21 18:12]
S3 se57bus;Sony Ericsson Device 087 driver (WDM);C:\WINDOWS\System32\DRIVERS\se57bus.sys [2006-11-30 16:12]
S3 se57mdfl;Sony Ericsson Device 087 USB WMC Modem Filter;C:\WINDOWS\System32\DRIVERS\se57mdfl.sys [2006-11-30 16:12]
S3 se57mdm;Sony Ericsson Device 087 USB WMC Modem Driver;C:\WINDOWS\System32\DRIVERS\se57mdm.sys [2006-11-30 16:12]
*Newly Created Service* - CATCHME
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-06 14:15:29
Windows 5.1.2600 NTFS
Balayage processus cachés ...
Balayage caché autostart entries ...
Balayage des fichiers cachés ...
Scan terminé avec succès
Les fichiers cachés: 0
**************************************************************************
.
Temps d'accomplissement: 2008-07-06 14:16:45
ComboFix-quarantined-files.txt 2008-07-06 12:16:37
Pre-Run: 109,167,722,496 octets libres
Post-Run: 109,633,896,448 octets libres
92 --- E O F --- 2008-05-18 19:10:43
-->Message édité par LostinPC le 06/07/2008 15:03:22<--
-------
...vraiment complètement!
|
|
Mais alors, complètement...
|
|
|
Voici comme promis le log Hijackthis, on dirait que ce n'est pas encore ça ... Qu'en penses-tu?
Merci pour tout!
--------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:35:42, on 06/07/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Hijackthis\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/webhp?sourceid=navclient&hl=fr&ie=UTF-8
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_1_0 -reboot 1
O4 - HKCU\..\Run: [braviax] C:\WINDOWS\System32\braviax.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
--
End of file - 4924 bytes
-------
...vraiment complètement!
|
|
|
|
|
j'assure le ménage d'abord
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
Redémarre ton ordinateur
Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.
Déroule la liste des instructions ci-dessous :
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum.
N.B.:
- Le fichier SDFIX_README.htm (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil.
- Andy fait plusieurs mises à jour, souvent plus d'une par jour... N'hésitez donc pas à demander de télécharger une nouvelle version lorsque le nettoyage dure et que l'outil ne semble pas tout voir.
|
|
Mais alors, complètement...
|
|
|
Un grand merci! C'est chose faite. Là encore, je me suis permis d'effacer des noms de fichiers Word que le rapport avait repris (je travaille dans la traduction, et même les noms de dossiers sont confidentiels ). Voici donc le rapport SDFix, et je vais également refaire un HijackThis pour voir s'il y a d'éventuelles différences (on dirait qu'un Troyen a encore été supprimé, Hélène va apprécier ).
-------------------
SDFix: Version 1.202
Run by Administrateur on 07/07/2008 at 11:27
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
Checking Services :
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
Checking Files :
Trojan Files Found:
C:\Program Files\Setup.exe - Deleted
Removing Temp Files
ADS Check :
Final Check :
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-07 11:40:39
Windows 5.1.2600 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Remaining Services :
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
Remaining Files :
File Backups: - C:\SDFix\backups\backups.zip
Files with Hidden Attributes :
Thu 1 Jun 2006 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Wed 12 Sep 2007 124,416 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL0049.tmp"
Wed 12 Sep 2007 123,904 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL0097.tmp"
Wed 12 Sep 2007 121,344 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL0127.tmp"
Wed 12 Sep 2007 121,344 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL0138.tmp"
Wed 12 Sep 2007 122,880 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL0217.tmp"
Wed 12 Sep 2007 120,320 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL0290.tmp"
Wed 12 Sep 2007 124,928 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL0328.tmp"
Fri 23 Nov 2007 58,880 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL0426.tmp"
Tue 22 Apr 2008 106,496 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL0483.tmp"
Wed 12 Sep 2007 122,880 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL0553.tmp"
Wed 12 Sep 2007 123,904 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL0570.tmp"
Fri 23 Nov 2007 59,904 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL0621.tmp"
Wed 12 Sep 2007 122,880 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL0676.tmp"
Wed 12 Sep 2007 122,880 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL0736.tmp"
Fri 23 Nov 2007 60,416 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL0744.tmp"
Tue 22 Apr 2008 136,192 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL0770.tmp"
Wed 12 Sep 2007 121,344 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL0802.tmp"
Wed 12 Sep 2007 120,832 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL0819.tmp"
Wed 12 Sep 2007 124,416 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL0872.tmp"
Wed 12 Sep 2007 121,856 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL0892.tmp"
Fri 23 Nov 2007 59,904 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL0899.tmp"
Wed 12 Sep 2007 120,320 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL0951.tmp"
Wed 12 Sep 2007 120,320 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL0953.tmp"
Wed 12 Sep 2007 124,928 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL0966.tmp"
Wed 12 Sep 2007 123,392 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL1003.tmp"
Wed 12 Sep 2007 124,416 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL1157.tmp"
Tue 25 Sep 2007 232,448 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL1169.tmp"
Wed 12 Sep 2007 120,320 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL1180.tmp"
Wed 12 Sep 2007 123,904 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL1182.tmp"
Fri 23 Nov 2007 59,904 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL1214.tmp"
Wed 12 Sep 2007 120,320 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL1234.tmp"
Tue 4 Jul 2006 60,928 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL1262.tmp"
Wed 12 Sep 2007 124,928 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL1279.tmp"
Wed 12 Sep 2007 123,904 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL1294.tmp"
Wed 12 Sep 2007 123,904 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL1323.tmp"
Wed 12 Sep 2007 122,368 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL1339.tmp"
Wed 12 Sep 2007 123,904 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL1434.tmp"
Wed 12 Sep 2007 120,320 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL1483.tmp"
Wed 12 Sep 2007 122,368 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL1546.tmp"
Fri 23 Nov 2007 59,392 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL1567.tmp"
Wed 12 Sep 2007 124,416 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL1587.tmp"
Wed 12 Sep 2007 122,880 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL1647.tmp"
Wed 12 Sep 2007 124,928 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL1650.tmp"
Fri 23 Nov 2007 59,904 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL1653.tmp"
Wed 12 Sep 2007 122,880 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL1660.tmp"
Fri 23 Nov 2007 60,416 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL1670.tmp"
Wed 12 Sep 2007 123,904 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL1685.tmp"
Fri 23 Nov 2007 60,416 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL1778.tmp"
Wed 12 Sep 2007 124,416 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL1800.tmp"
Wed 12 Sep 2007 122,368 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL1833.tmp"
Wed 12 Sep 2007 122,880 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL1841.tmp"
Wed 12 Sep 2007 124,416 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL1856.tmp"
Wed 12 Sep 2007 122,368 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL1865.tmp"
Wed 12 Sep 2007 122,880 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL1872.tmp"
Wed 12 Sep 2007 121,856 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL1913.tmp"
Wed 12 Sep 2007 123,904 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL1945.tmp"
Wed 12 Sep 2007 121,344 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL1954.tmp"
Wed 30 Apr 2008 1,293,312 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL1965.tmp"
Wed 12 Sep 2007 122,880 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL2151.tmp"
Fri 23 Nov 2007 59,904 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL2243.tmp"
Wed 12 Sep 2007 122,880 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL2275.tmp"
Wed 12 Sep 2007 122,368 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL2313.tmp"
Wed 12 Sep 2007 120,320 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL2314.tmp"
Wed 12 Sep 2007 121,856 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL2315.tmp"
Wed 12 Sep 2007 122,880 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL2320.tmp"
Wed 12 Sep 2007 122,880 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL2370.tmp"
Wed 12 Sep 2007 120,320 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL2389.tmp"
Wed 12 Sep 2007 121,344 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL2446.tmp"
Fri 23 Nov 2007 60,928 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL2450.tmp"
Wed 12 Sep 2007 120,320 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL2524.tmp"
Sun 25 Nov 2007 59,392 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL2527.tmp"
Wed 12 Sep 2007 122,880 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL2583.tmp"
Wed 12 Sep 2007 121,856 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL2662.tmp"
Wed 12 Sep 2007 119,808 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL2667.tmp"
Wed 12 Sep 2007 119,808 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL2683.tmp"
Wed 12 Sep 2007 123,904 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL2703.tmp"
Wed 12 Sep 2007 121,856 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL2816.tmp"
Wed 30 Apr 2008 1,337,344 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL2827.tmp"
Wed 12 Sep 2007 121,856 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL2872.tmp"
Wed 12 Sep 2007 123,904 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL2890.tmp"
Wed 12 Sep 2007 121,856 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL2968.tmp"
Wed 12 Sep 2007 122,880 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL2987.tmp"
Wed 12 Sep 2007 123,904 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL3007.tmp"
Wed 12 Sep 2007 122,880 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL3079.tmp"
Tue 22 Apr 2008 135,168 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL3114.tmp"
Wed 12 Sep 2007 120,320 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL3138.tmp"
Fri 23 Nov 2007 59,904 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL3259.tmp"
Fri 23 Nov 2007 59,904 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL3272.tmp"
Sun 25 Nov 2007 59,392 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL3288.tmp"
Tue 4 Jul 2006 93,696 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL3327.tmp"
Wed 12 Sep 2007 122,880 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL3348.tmp"
Wed 12 Sep 2007 122,368 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL3378.tmp"
Sun 25 Nov 2007 59,392 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL3433.tmp"
Sun 25 Nov 2007 59,392 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL3467.tmp"
Wed 12 Sep 2007 121,856 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL3489.tmp"
Sun 25 Nov 2007 58,880 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL3565.tmp"
Wed 12 Sep 2007 121,344 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL3625.tmp"
Wed 12 Sep 2007 122,880 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL3653.tmp"
Wed 12 Sep 2007 121,856 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL3706.tmp"
Wed 12 Sep 2007 124,416 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL3715.tmp"
Wed 12 Sep 2007 121,856 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL3755.tmp"
Sun 25 Nov 2007 58,880 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL3770.tmp"
Wed 12 Sep 2007 122,368 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL3786.tmp"
Wed 12 Sep 2007 119,808 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL3801.tmp"
Tue 4 Jul 2006 93,696 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL3820.tmp"
Wed 12 Sep 2007 124,416 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL3915.tmp"
Wed 12 Sep 2007 122,880 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL3953.tmp"
Wed 12 Sep 2007 124,416 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL4057.tmp"
Wed 12 Sep 2007 123,392 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL4058.tmp"
Wed 12 Sep 2007 124,928 ...H. --- "C:\Documents and Settings\(effacé)\Bureau\~WRL4077.tmp"
Wed 18 Oct 2006 100,864 A..H. --- "C:\Documents and Settings\(effacé)\Mes documents\CV\~WRL1105.tmp"
Wed 18 Oct 2006 99,840 A..H. --- "C:\Documents and Settings\(effacé)\Mes documents\CV\~WRL1669.tmp"
Wed 18 Oct 2006 100,352 A..H. --- "C:\Documents and Settings\(effacé)\Mes documents\CV\~WRL2465.tmp"
Wed 18 Oct 2006 100,864 A..H. --- "C:\Documents and Settings\(effacé)\Mes documents\CV\~WRL4001.tmp"
Sat 13 Nov 2004 37,376 ...H. --- "C:\Program Files\Fichiers communs\Adobe\ESD\DLMCleanup.exe"
Wed 17 May 2006 90,624 A..H. --- "C:\Documents and Settings\(effacé)\Mes documents\(effacé)\~WRL0005.tmp"
Wed 17 May 2006 257,024 A..H. --- "C:\Documents and Settings\(effacé)\Mes documents\(effacé)\~WRL0841.tmp"
Mon 25 Dec 2006 96,768 A..H. --- "C:\Documents and Settings\(effacé)\Mes documents\(effacé)\~WRL0641.tmp"
Mon 25 Dec 2006 95,744 A..H. --- "C:\Documents and Settings\(effacé)\Mes documents\(effacé)\~WRL3423.tmp"
Mon 17 Mar 2008 39,936 A..H. --- "C:\Documents and Settings\(effacé)\Mes documents\(effacé)\~WRL0084.tmp"
Tue 18 Mar 2008 40,448 A..H. --- "C:\Documents and Settings\(effacé)\Mes documents\(effacé)\~WRL0414.tmp"
Tue 18 Mar 2008 40,960 A..H. --- "C:\Documents and Settings\(effacé)\Mes documents\(effacé)\~WRL0451.tmp"
Tue 18 Mar 2008 40,960 A..H. --- "C:\Documents and Settings\(effacé)\Mes documents\(effacé)\~WRL2312.tmp"
Tue 18 Mar 2008 40,960 A..H. --- "C:\Documents and Settings\(effacé)\Mes documents\(effacé)\~WRL3806.tmp"
Thu 22 Nov 2007 2,143,232 A..H. --- "C:\Documents and Settings\(effacé)\Mes documents\(effacé)\~WRL1217.tmp"
Sun 2 Dec 2007 2,276,864 A..H. --- "C:\Documents and Settings\(effacé)\Mes documents\(effacé)\~WRL3422.tmp"
Thu 17 Apr 2008 146,944 A..H. --- "C:\Documents and Settings\(effacé)\Mes documents\(effacé)\~WRL0017.tmp"
Thu 17 Apr 2008 148,992 A..H. --- "C:\Documents and Settings\(effacé)\Mes documents\(effacé)\~WRL0187.tmp"
Thu 17 Apr 2008 148,992 A..H. --- "C:\Docum | | |
