Cartier83

Bonjour, Donc pas de solution en dehors du reformatage ? si ce n'est pas un problème de malware, je devrais peut-être déplacer le sujet dans un autre sous-forum, mais je ne sais pas si c'est un problème matériel ou logiciel... Merci pour vos avis

Bonjour, merci pour la réponse J'ai utilisé la console de récupération pour ouvrir le répertoire SYSTEM VOLUME INFORMATION, mais il ne contient aucun sous-répertoire _restore. Il y a juste un fichier tracking.log et MountPointManagerRemoteDatabase.

Bonjour, j'ai un problème avec mon laptop (configuration sur mon profile) sur lequel sont installés : Windows XP pack 2 Antivir Malwarebytes Je suis d'abord allé sur la partie du forum : software, et après avoir lu les FAQ j'ai pensé poster ici car je soupçonne un problème de malware. En mode normal, l'ordinateur démarre sans problème jusqu'à l'écran du choix des utilisateurs. je sélectionne l'utilisateur (il n'y en a qu'un). Le bureau s'affiche et les programmes se chargent. Dès que le logo d'Antivir apparaît, j'ai un écran bleu d'erreur. Les messages ne sont pas tous identiques : 0x000000E3 0x000000F4 0x000000C9 est le plus fréquent. J'ai donc essayé de lancer l'ordinateur en mode sans échec pour supprimer Antivir, mais le système se bloque après la sélection du système d'exploitation. Cet ordinateur est vendu sans CD windows XP, le système étant pré-installé mais j'ai pu graver par ailleurs un CD avec console de récupération. Le setup du BIOS se bloque au bout d'un moment, mais j'ai réussi à faire booter sur le CD et la console est utilisable sans problèmes. Voilà, tout ça m'a l'air trés mal engagé, qu'en pensez-vous ? Merci d'avance pour vos conseils

Les trucs pas "catho" dont tu parles, c'est dans une sauvegarde sur le deuxième disque ("sauvegarde au cas ou") que j'avais effectué avant une manip un peu délicate que tu m'avais proposé en mars 2008, avec un très gros problème à régler (rootkit dans MBR). Je vais donc effacer tout ça et marquer le post comme résolu. Merci encore

ok, j'ai passé Dr Web et maintenant Antivir ne trouve plus rien, avec les deux disques branchés. Je suppose (j'espère) que le problème est réglé. J'attends la confirmation avant de mettre le post [résolu]. Voici le rapport de Dr Web CureIt : Process.exe;C:\Documents and Settings\Administrateur\Bureau\SDFix\apps;Tool.Prockill;; Process.exe;C:\Documents and Settings\Administrateur.AMATEUR\Bureau\SDFix\apps;Tool.Prockill;; Process.exe;C:\Documents and Settings\All Users\Bureau\SDFix\apps;Tool.Prockill;; Process.exe;C:\Documents and Settings\Ed\Bureau\REPARATION ! NE PAS OUVRIR\SDFix\apps;Tool.Prockill;; Process.exe;C:\Documents and Settings\Walter\Bureau\MSNFix\MSNFix\incl;Tool.Prockill;; cleaner.log;C:\Program Files\Microsoft AntiSpyware;Probablement MACRO.SCRIPT.IRC.WORM.Virus;; STEPUP.FRN\INSTALL.BAT;C:\Program Files\Opera7\STEPUP.FRN;Probablement BATCH.Virus;; STEPUP.FRN;C:\Program Files\Opera7;L'archive contient des éléments infectés;Quarantaine.; data017\NHInstall.exe;D:\Programmes exécutables\01Net\setupwavtomp3.exe\data017;Adware.NavHelper;; v2.0.4a.cab\NHelper.dll;D:\Programmes exécutables\01Net\setupwavtomp3.exe\data017\v2.0.4a.cab;Adware.NavHelper;; v2.0.4a.cab\NHUninstaller.exe;D:\Programmes exécutables\01Net\setupwavtomp3.exe\data017\v2.0.4a.cab;Adware.NavHelper;; v2.0.4a.cab\NHUpdater.exe;D:\Programmes exécutables\01Net\setupwavtomp3.exe\data017\v2.0.4a.cab;Adware.NavHelper;; v2.0.4a.cab;D:\Programmes exécutables\01Net\setupwavtomp3.exe\data017;L'archive contient des éléments infectés;; data017;D:\Programmes exécutables\01Net\setupwavtomp3.exe;L'archive contient des éléments infectés;; setupwavtomp3.exe\data018;D:\Programmes exécutables\01Net\setupwavtomp3.exe;Adware.NavHelper;; setupwavtomp3.exe\data019;D:\Programmes exécutables\01Net\setupwavtomp3.exe;Adware.SaveNow;; data020\data002;D:\Programmes exécutables\01Net\setupwavtomp3.exe\data020;Adware.BargainBuddy;; data020\data003;D:\Programmes exécutables\01Net\setupwavtomp3.exe\data020;Adware.BargainBuddy;; data020\data005;D:\Programmes exécutables\01Net\setupwavtomp3.exe\data020;Adware.BargainBuddy;; data020;D:\Programmes exécutables\01Net\setupwavtomp3.exe;L'archive contient des éléments infectés;; setupwavtomp3.exe\data021;D:\Programmes exécutables\01Net\setupwavtomp3.exe;Adware.Ezula;; setupwavtomp3.exe;D:\Programmes exécutables\01Net;L'archive contient des éléments infectés;Quarantaine.; ComboFix.exe\327882R2FWJFW\C.bat;D:\Sauvegarde au cas ou\Ed\Bureau\ComboFix.exe;Probablement BATCH.Virus;; ComboFix.exe\327882R2FWJFW\FIND3M.bat;D:\Sauvegarde au cas ou\Ed\Bureau\ComboFix.exe;Probablement SCRIPT.Virus;; ComboFix.exe\327882R2FWJFW\psexec.cfexe;D:\Sauvegarde au cas ou\Ed\Bureau\ComboFix.exe;Program.PsExec.171;; ComboFix.exe;D:\Sauvegarde au cas ou\Ed\Bureau;L'archive contient des éléments infectés;Quarantaine.; Process.exe;D:\Sauvegarde au cas ou\Ed\Bureau\SDFix\apps;Tool.Prockill;; Process.exe;D:\Sauvegarde au cas ou\Ed\Bureau\SmitfraudFix;Tool.Prockill;; restart.exe;D:\Sauvegarde au cas ou\Ed\Bureau\SmitfraudFix;Tool.ShutDown.11;; data001\webhdll.dll;D:\Sauvegarde au cas ou\Walter\Bureau\Jeux\joecartoon ( 16 an minimum requis !!! )\frogbender.exe\data001;Adware.WebHancer;; data001\whAgent.exe;D:\Sauvegarde au cas ou\Walter\Bureau\Jeux\joecartoon ( 16 an minimum requis !!! )\frogbender.exe\data001;Adware.WebHancer;; data001\whInstaller.exe;D:\Sauvegarde au cas ou\Walter\Bureau\Jeux\joecartoon ( 16 an minimum requis !!! )\frogbender.exe\data001;Adware.WebHancer;; data001;D:\Sauvegarde au cas ou\Walter\Bureau\Jeux\joecartoon ( 16 an minimum requis !!! )\frogbender.exe;L'archive contient des éléments infectés;; frogbender.exe;D:\Sauvegarde au cas ou\Walter\Bureau\Jeux\joecartoon ( 16 an minimum requis !!! );L'archive contient des éléments infectés;Quarantaine.; Process.exe;D:\Sauvegarde au cas ou\Walter\Bureau\MSNFix\MSNFix\incl;Tool.Prockill;;

Bravo ! tu as mis le doigt dessus. Le virus est sur le deuxième disque (IDE esclave sans OS). En fait c'était dans mon premier message, mais j'ai pas réalisé que HD1=disque 2 et je sais que j'ai aucun OS dessus. Désolé... J'ai donc débranché ce deuxième disque et Antivir ne trouve rien. En le rebranchant, voilà ce que ça donne : Starting master boot sector scan: Master boot sector HD0 [iNFO] No virus was found! Master boot sector HD1 [DETECTION] Contains code of the BOO/Sinowal.A boot sector virus [NOTE] The boot sector was not written! Start scanning boot sectors: Boot sector 'C:\' [iNFO] No virus was found! Boot sector 'D:\' [iNFO] No virus was found! Starting to scan the registry. The registry was scanned ( '50' files ). Donc, ce truc est sur un disque de données et je suppose que ça ne risque pas grand chose, mais ça me rend un peu nerveux quand même et j'aimerai bien le virer. En tout cas son arrivée est récente puisque le scan précédent d'Antivir (15 jours) ne l'avais pas trouvé.

"user & kernel MBR OK <<< donc tout est ok!" Je suis preneur de bonnes nouvelles, mais cette mention, on l'a depuis le début... et Antivir continue de signaler le même "problème" dans le master boot sector HD1 : BOO/Sinowal.A. "copy of MBR has been found in sector 62 !<<< tu as plusieurs partoches ? d'autre os dans la config de boot!! tu as d'autres disk sytem? de boot ? je pense que oui " En fait, j'ai deux disques durs avec chacun une seule partition. Un seul est system et XP boot directement, c'est le seul os. lol j'y comprends rien

ok, j'ai fais le FIXMBR avec la console, mais voici le nouveau mbr.log après reboot Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK malicious code @ sector 0x950e4c1 size 0x1e4 ! copy of MBR has been found in sector 62 !

Salut Angélique, Voilà le nouveau rapport mbr.log, mais je vois pas bien la différence : Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK malicious code @ sector 0x950e4c1 size 0x1e4 ! copy of MBR has been found in sector 62 !

voici le rapport de mbr.log : Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK malicious code @ sector 0x950e4c1 size 0x1e4 ! copy of MBR has been found in sector 62 ! A tout hazard, un rapport hijackthis : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:19:18, on 20/09/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe D:\Program Files\LogMeIn\x86\RaMaint.exe C:\WINDOWS\system32\Ati2evxx.exe D:\Program Files\LogMeIn\x86\LogMeIn.exe C:\WINDOWS\Explorer.EXE D:\Program Files\LogMeIn\x86\LMIGuardian.exe C:\ESM2\SAgentNT.exe C:\ESM2\EBRR.EXE C:\WINDOWS\System32\svchost.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe C:\WINDOWS\RTHDCPL.EXE D:\Program Files\LogMeIn\x86\LogMeInSystray.exe C:\WINDOWS\system32\ctfmon.exe D:\Program Files\LogMeIn\x86\LMIGuardian.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\Walter\Bureau\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn3\yt.dll O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn3\yt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [LogMeIn GUI] "D:\Program Files\LogMeIn\x86\LogMeInSystray.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Capturer ! - {47055D63-DFCD-11d3-8406-00500445A7D0} - C:\Program Files\Goto\MemoWeb 4\IEBtn\Launcher (file missing) O9 - Extra 'Tools' menuitem: Capturer ce web - {47055D63-DFCD-11d3-8406-00500445A7D0} - C:\Program Files\Goto\MemoWeb 4\IEBtn\Launcher (file missing) O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/controls/Facebo...toUploader3.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://download.bitdefender.com/resources/scan8/oscan8.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1186846561046 O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://copainsdavant.linternaute.com/frame...geUploader5.cab O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - D:\Program Files\LogMeIn\x86\RaMaint.exe O23 - Service: LogMeIn - LogMeIn, Inc. - D:\Program Files\LogMeIn\x86\LogMeIn.exe O23 - Service: Epson Printer Status Agent (StatusAgent) - SEIKO EPSON CORPORATION - C:\ESM2\SAgentNT.exe -- End of file - 6873 bytes

Bonjour, Lors d'un scan de routine d'Antivir, l'antivirus a signalé un "problème" dans le master boot sector HD1 : BOO/Sinowal.A. Avira AntiVir Removal Tool le retrouve mais n'enlève rien du tout. Ce malware est inconnu de la base d'Avira. Par ailleurs, l'ordinateur fonctionne normalement. même vitesse, pas de pop-up, tous les programmes de sécurité peuvent être mis à jour, etc. Mais je suis d'un naturel inquiet depuis que j'ai eu un rootkit dans le MBR très difficile à supprimer (merci Angélique pour ton aide ) Alors, que faire ? Si vous avez des idées, elles seront les bienvenues. Merci par avance

Bon, ça remarche...jusqu'à la prochaine fois. Sans doute Orange a-t-il modifié quelque chose. En tout cas, le fonctionnement rappelle le bon vieux temps de Wanadoo. Je suppose que ce sujet peut être considéré comme résolu. Merci en tout cas pour vos réponses et propositions

Bonjour, Le mode de transfert par défaut est : "auto" et les fichiers utilisés sont des fichiers ASCII. J'ai forcé le mode sur "ASCII". Sans changements sauf que maintenant il ne se passe vraiment plus rien. Les fichiers sélectionnés apparaissent bien dans la liste des fichiers en cours de transfert et c'est tout : Pas même un message d'erreur pour me réconforter

Bonjour, J'ai des problèmes pour envoyer des fichiers de mon ordinateur vers l'espace hébergé par Orange avec le protocole FTP. J'utilise FTPExpert3 de visicom media qui a toujours fonctionné correctement. J'ai débranché successivement tous les pare-feux (ordinateur et routeur). Le serveur utilisé est perso-ftp.wanadoo.fr, qui fonctionne bien pour les transferts descendants. Les fichiers arrivent tronqués sur le serveur, ou bien n'arrivent pas du tout, sans que j'arrive à repérer une règle. j'ai essayé avec perso-ftp.orange.fr. Même résultat. En fait, je peux manipuler sans problème tout ce qui est déjà en ligne, effacer des répertoires etc. Mais impossible de mettre en lignes de nouveaux fichiers : La barre de téléchargement se bloque au milieu, et au mieux, j'obtient un fichier tronqué. J'ai essayé avec Filezilla. J'ai accès a mon espace et mon arborescence comme avec FTPExpert, mais les fichiers restent dans la file d'attente avec une barre de progression bloquée à 28% ou 100% selon les fichiers. J'ai pensé que peut-être c'était mon espace page perso qui était en cause (arborescence trop importante ou problème technique...). J'ai donc activé (confirmé) un deuxième espace page perso que je n'avais jamais utilisé ( j'ai deux connections Orange: Domicile et bureau) et j'ai tenté d'envoyer une page Html dans ce deuxième espace, sans succès. Donc si je récapitule : Ne semblent pas être en cause : - Les pare-feux: Test avec et sans. - Le client: test avec FTPExpert et Filezilla. - Le serveur : test avec perso-ftp.wanadoo.fr et perso-ftp.orange.fr. - L'espace page perso: Deux espaces ont été testé. - Le type de fichier : test avec .jpg et .html. - Le mode passif ou non : test avec PASV et PORT. Seul le mode ascendant est affecté : Les fichiers descendent correctement dans l'ordinateur, manipulation des répertoires Ok, etc. Merci d'avance pour vos commentaires, et éventuellement, solutions

Super!! Je reviens de loin hehe. Merci à angélique, cauxboy et d'autres qui se sont intéressés à mon problème..et l'ont résolu !

Salut Pang Oui, c'est dans la restauration système que se cachent les derniers petits problèmes, d'après le rapport Karpesky. Mais je ne peux pas les enlever à la main, comme le conseille Angélique. J'ai bien compris que Windows revient de très très loin, et tu as raison, l'obstination paye parfois.

Message d'erreur quand j'essaye d'ouvir le dossier : C:\System volume information n'est pas accessible. Accès refusé ok lol voilà le dernier rapport karpesky : ------------------------------------------------------------------------------- KASPERSKY ONLINE SCANNER REPORT Wednesday, March 26, 2008 6:26:28 PM Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600) Kaspersky Online Scanner version: 5.0.98.0 Kaspersky Anti-Virus database last update: 26/03/2008 Kaspersky Anti-Virus database records: 664400 ------------------------------------------------------------------------------- Scan Settings: Scan using the following antivirus database: extended Scan Archives: true Scan Mail Bases: true Scan Target - My Computer: A:\ C:\ E:\ F:\ Scan Statistics: Total number of scanned objects: 235562 Number of viruses found: 5 Number of infected objects: 15 Number of suspicious objects: 0 Duration of the scan process: 01:55:23 Infected Object Name / Virus Name / Last Action C:\8def5447e99d12bceaf7a3e8ea64\msxml4-KB927978-enu.log Object is locked skipped C:\Documents and Settings\Ed\Cookies\index.dat Object is locked skipped C:\Documents and Settings\Ed\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat Object is locked skipped C:\Documents and Settings\Ed\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped C:\Documents and Settings\Ed\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped C:\Documents and Settings\Ed\Local Settings\Historique\History.IE5\index.dat Object is locked skipped C:\Documents and Settings\Ed\Local Settings\Historique\History.IE5\MSHist012008032620080327\index.dat Object is locked skipped C:\Documents and Settings\Ed\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked skipped C:\Documents and Settings\Ed\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped C:\Documents and Settings\Ed\ntuser.dat Object is locked skipped C:\Documents and Settings\Ed\ntuser.dat.LOG Object is locked skipped C:\Documents and Settings\LocalService.AUTORITE NT\Cookies\index.dat Object is locked skipped C:\Documents and Settings\LocalService.AUTORITE NT\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped C:\Documents and Settings\LocalService.AUTORITE NT\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped C:\Documents and Settings\LocalService.AUTORITE NT\Local Settings\Historique\History.IE5\index.dat Object is locked skipped C:\Documents and Settings\LocalService.AUTORITE NT\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped C:\Documents and Settings\LocalService.AUTORITE NT\NTUSER.DAT Object is locked skipped C:\Documents and Settings\LocalService.AUTORITE NT\ntuser.dat.LOG Object is locked skipped C:\Documents and Settings\NetworkService.AUTORITE NT\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped C:\Documents and Settings\NetworkService.AUTORITE NT\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped C:\Documents and Settings\NetworkService.AUTORITE NT\NTUSER.DAT Object is locked skipped C:\Documents and Settings\NetworkService.AUTORITE NT\ntuser.dat.LOG Object is locked skipped C:\Documents and Settings\Walter\Cookies\index.dat Object is locked skipped C:\Documents and Settings\Walter\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped C:\Documents and Settings\Walter\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped C:\Documents and Settings\Walter\Local Settings\Historique\History.IE5\index.dat Object is locked skipped C:\Documents and Settings\Walter\Local Settings\Historique\History.IE5\MSHist012008032620080327\index.dat Object is locked skipped C:\Documents and Settings\Walter\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped C:\Documents and Settings\Walter\NTUSER.DAT Object is locked skipped C:\Documents and Settings\Walter\ntuser.dat.LOG Object is locked skipped C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped C:\System Volume Information\_restore{2C1B21AA-4B0E-4F49-B842-5BA1CD3171C2}\RP2\A0000090.dll Infected: Email-Worm.Win32.Locksky.da skipped C:\System Volume Information\_restore{2C1B21AA-4B0E-4F49-B842-5BA1CD3171C2}\RP2\A0001562.exe/data0001/regwebh.dll Infected: not-a-virus:AdWare.Win32.WebHancer.16 skipped C:\System Volume Information\_restore{2C1B21AA-4B0E-4F49-B842-5BA1CD3171C2}\RP2\A0001562.exe/data0001/wbhshare.dll Infected: not-a-virus:AdWare.Win32.WebHancer.16 skipped C:\System Volume Information\_restore{2C1B21AA-4B0E-4F49-B842-5BA1CD3171C2}\RP2\A0001562.exe/data0001/webhdll.dll Infected: not-a-virus:AdWare.Win32.WebHancer.16 skipped C:\System Volume Information\_restore{2C1B21AA-4B0E-4F49-B842-5BA1CD3171C2}\RP2\A0001562.exe/data0001/whAgent.exe Infected: not-a-virus:AdWare.Win32.WebHancer.16 skipped C:\System Volume Information\_restore{2C1B21AA-4B0E-4F49-B842-5BA1CD3171C2}\RP2\A0001562.exe/data0001/whiedc.dll Infected: not-a-virus:AdWare.Win32.WebHancer.16 skipped C:\System Volume Information\_restore{2C1B21AA-4B0E-4F49-B842-5BA1CD3171C2}\RP2\A0001562.exe/data0001/whiehlpr.dll Infected: not-a-virus:AdWare.Win32.WebHancer.16 skipped C:\System Volume Information\_restore{2C1B21AA-4B0E-4F49-B842-5BA1CD3171C2}\RP2\A0001562.exe/data0001/whieshm.dll Infected: not-a-virus:AdWare.Win32.WebHancer.16 skipped C:\System Volume Information\_restore{2C1B21AA-4B0E-4F49-B842-5BA1CD3171C2}\RP2\A0001562.exe/data0001/whInstaller.exe Infected: not-a-virus:AdWare.Win32.WebHancer.16 skipped C:\System Volume Information\_restore{2C1B21AA-4B0E-4F49-B842-5BA1CD3171C2}\RP2\A0001562.exe/data0001 Infected: not-a-virus:AdWare.Win32.WebHancer.16 skipped C:\System Volume Information\_restore{2C1B21AA-4B0E-4F49-B842-5BA1CD3171C2}\RP2\A0001562.exe Inno: infected - 9 skipped C:\System Volume Information\_restore{2C1B21AA-4B0E-4F49-B842-5BA1CD3171C2}\RP2\A0001708.exe Infected: not-a-virus:RiskTool.Win32.Reboot.f skipped C:\System Volume Information\_restore{2C1B21AA-4B0E-4F49-B842-5BA1CD3171C2}\RP2\A0001727.EXE/data0146 Infected: not-a-virus:AdWare.Win32.BHO.w skipped C:\System Volume Information\_restore{2C1B21AA-4B0E-4F49-B842-5BA1CD3171C2}\RP2\A0001727.EXE NSIS: infected - 1 skipped C:\System Volume Information\_restore{2C1B21AA-4B0E-4F49-B842-5BA1CD3171C2}\RP2\A0001733.OLD Infected: not-a-virus:AdWare.Win32.MegaSearch.j skipped C:\System Volume Information\_restore{2C1B21AA-4B0E-4F49-B842-5BA1CD3171C2}\RP2\change.log Object is locked skipped C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped C:\WINDOWS\SchedLgU.Txt Object is locked skipped C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped C:\WINDOWS\Sti_Trace.log Object is locked skipped C:\WINDOWS\SYSTEM32\config\ACEEvent.evt Object is locked skipped C:\WINDOWS\SYSTEM32\config\AppEvent.Evt Object is locked skipped C:\WINDOWS\SYSTEM32\config\default Object is locked skipped C:\WINDOWS\SYSTEM32\config\DEFAULT.LOG Object is locked skipped C:\WINDOWS\SYSTEM32\config\Internet.evt Object is locked skipped C:\WINDOWS\SYSTEM32\config\SAM Object is locked skipped C:\WINDOWS\SYSTEM32\config\SAM.LOG Object is locked skipped C:\WINDOWS\SYSTEM32\config\SecEvent.Evt Object is locked skipped C:\WINDOWS\SYSTEM32\config\SECURITY Object is locked skipped C:\WINDOWS\SYSTEM32\config\SECURITY.LOG Object is locked skipped C:\WINDOWS\SYSTEM32\config\software Object is locked skipped C:\WINDOWS\SYSTEM32\config\SOFTWARE.LOG Object is locked skipped C:\WINDOWS\SYSTEM32\config\SysEvent.Evt Object is locked skipped C:\WINDOWS\SYSTEM32\config\system Object is locked skipped C:\WINDOWS\SYSTEM32\config\SYSTEM.LOG Object is locked skipped C:\WINDOWS\SYSTEM32\h323log.txt Object is locked skipped C:\WINDOWS\SYSTEM32\wbem\Repository\FS\INDEX.BTR Object is locked skipped C:\WINDOWS\SYSTEM32\wbem\Repository\FS\INDEX.MAP Object is locked skipped C:\WINDOWS\SYSTEM32\wbem\Repository\FS\MAPPING.VER Object is locked skipped C:\WINDOWS\SYSTEM32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped C:\WINDOWS\SYSTEM32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped C:\WINDOWS\SYSTEM32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped C:\WINDOWS\SYSTEM32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped C:\WINDOWS\wiadebug.log Object is locked skipped C:\WINDOWS\wiaservc.log Object is locked skipped C:\WINDOWS\WindowsUpdate.log Object is locked skipped Scan process completed.

Ok, mais j'ai fait tellement de suppressions, notamment dans les emails, que je préfère refaire un karpesky d'abord. Et ne crois pas que j'y prend goût En faisant mon nettoyage, je me suis rendu compte qu'il y avait un truc qui cloche dans documents et settings : Normalement, il y a deux utilisateurs, Ed et Walter qui ont tous les deux des droits d'administrateur ( je sais, c'est pas bien, j'ai lu Malekal et je modifierai ça quand l'ordinateur sera clean ). Ed est l'utilisateur sur lequel j'ai fait tout le boulot. Or, ses fichiers sont inaccessibles à partir de l'autre session Walter ( qui a aussi les droits admin). En plus, il y a un peu trop de comptes à mon avis : - Administrateur - Administrateur.Amateur - All users - All users.WINDOWS - Default User - Ed - LocalService.AUTORITE NT - NetworkService.AUTORITE NT - Walter Bon, je retourne à Karpesky :P

Spybot a été désinstallé. Il refuse d'être ré-installé. Je ne sais pas où est son fichier de quarantaine... Je suis surpris qu'il y ait des messages dans Outlook, je ne l'avais pas installé. J'ai viré TOUS les messages de Outlook Express. (12 ans de messages!) Voici le log de OTMoveIt2: Je redémarre Karpesky... C:\Documents and Settings\Ed\Bureau\SmitfraudFix\backups moved successfully. C:\Documents and Settings\Ed\Bureau\SmitfraudFix moved successfully. File/Folder C:\Documents and Settings\Walter\Bureau\Jeux\joecartoon ( 16 an minimum requis !!! ) not found. C:\Documents and Settings\Walter Gilpin\Application Data\vmntoolbar\NewCfg moved successfully. C:\Documents and Settings\Walter Gilpin\Application Data\vmntoolbar\downfile moved successfully. C:\Documents and Settings\Walter Gilpin\Application Data\vmntoolbar moved successfully. C:\Program Files\Visicom Media\FTP Expert 3\vmntoolbar moved successfully. C:\Program Files\vmntoolbar\Cache\NewCfg moved successfully. C:\Program Files\vmntoolbar\Cache moved successfully. C:\Program Files\vmntoolbar moved successfully. [Custom Input] < EmptyTemp > Temp folders emptied. IE temp folders emptied. OTMoveIt2 by OldTimer - Version 1.0.21 log created on 03252008_183938

Bon, ce coup-ci j'ai les boules !! ewido s'est treminé et j'ai eu l'idée (mauvaise) de cliquer d'abord sur "remove infection", et ensuite le bouton "save report" est devenu grisé Impossible de récupérer un rapport pfffff désolé. De mémore, il y avait 4 risk medium genre cookies et un risk high : un fichier dans le répertoire c:\WINDOWS\SYSTEM32\ avec un nom composé de lettres aléatoires et une extension DLL. En ce moment, Kapersky tourne. Je poste le rapport dès qu'il est fini.

Ok, la fusion de zou.reg est faite. ewido mouline toujours, mais la jauge le donne pour presque terminé. Je ferais karpersky tout à l'heure. A plus tard :P

Voilà le rapport de RegSearch sur fqhgbiton : Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.5.0 ; Results at 25/03/2008 12:22:46 for strings: ; 'fqhgbiton' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "taskman"="rundll32.exe \"C:\\WINDOWS\\system32\\fqhgbiton.nls\" WLEntryPoint" [HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603] "000"="fqhgbiton.nls " ; End Of The Log...

C:\WINDOWS\SYSTEM32\fqhgbiton.nls n'a pas l'air d'être sur le disque. J'ai lancé une recherche incluant les fichiers cachés et système et j'ai également regardé avec l'explorateur dans le répertoire C:\WINDOWS\SYSTEM32\ Les options des dossiers étaient déjà "ouvertes". Je l'avais fait à la demande d'un post précédent, mais c'est vrai que parfois ça se modifie. Tu disais tout à l'heure que peut être l'erreur venait des points de restauration système. faudrait sans doute vérifier lors d'un re-démarrage...

Voilà le rapport HiJackThis : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:47:54, on 25/03/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16608) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartService.exe C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE C:\ESM2\SAgentNT.exe C:\WINDOWS\System32\svchost.exe C:\ESM2\EBRR.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Ed\Bureau\ewido_micro.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn3\yt.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn3\yt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\npjpi160_03.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\npjpi160_03.dll O9 - Extra button: Capturer ! - {47055D63-DFCD-11d3-8406-00500445A7D0} - C:\Program Files\Goto\MemoWeb 4\IEBtn\Launcher (file missing) O9 - Extra 'Tools' menuitem: Capturer ce web - {47055D63-DFCD-11d3-8406-00500445A7D0} - C:\Program Files\Goto\MemoWeb 4\IEBtn\Launcher (file missing) O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/controls/Facebo...toUploader3.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1186846561046 O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartService.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE O23 - Service: Epson Printer Status Agent (StatusAgent) - SEIKO EPSON CORPORATION - C:\ESM2\SAgentNT.exe -- End of file - 6123 bytes

Bonjour ! bon, fin des fêtes de Pâques, on va pouvoir reprendre le boulot... Pas d'inquiétudes. Depuis le début des problèmes et jusqu'à nouvel ordre, cet ordi est déclaré INDISPONIBLE pour tout le monde. C'est l'ordi commun de la maison et j'ai compris la leçon, je vais "resserrer les boulons" ! J'ai lu pas mal de trucs sur le site de Malekal qui sont très édifiants Mon deuxième disque physique n'est toujours pas rebranché. J'ai fait 2 scan avec Antivir. Le premier en mode sans échec et le second en mode normal. Les rapports sont ci-dessous. A chaque démarrage de l'ordi, après avoir cliqué sur l'utilisateur, j'a le message suivant : RUNDLL: X : Erreur de chargement de C:\WINDOWS\SYSTEM32\fqbgbiton.nls Le module spécifié est introuvable. En ce moment je fais un scan avec ewido... AntiVir PersonalEdition Classic Report file date: dimanche 23 mars 2008 20:14 Scanning for 1163542 virus strains and unwanted programs. Licensed to: Avira AntiVir PersonalEdition Classic Serial number: 0000149996-ADJIE-0001 Platform: Windows XP Windows version: (Service Pack 2) [5.1.2600] Username: Ed Computer name: AMATEUR Version information: BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00 AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29 AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51 LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47 LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15 ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07/03/2008 19:02:05 ANTIVIR2.VDF : 7.0.3.62 337408 Bytes 21/03/2008 19:02:05 ANTIVIR3.VDF : 7.0.3.65 36864 Bytes 23/03/2008 19:02:05 AVEWIN32.DLL : 7.6.0.75 3334656 Bytes 23/03/2008 19:02:05 AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26 AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17 AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24 AVPACK32.DLL : 7.6.0.3 360488 Bytes 23/03/2008 19:02:05 AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06 AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33 AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18 NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42 RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13 RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37 SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21 Configuration settings for the scan: Jobname..........................: Local Hard Disks Configuration file...............: c:\program files\avira\antivir personaledition classic\alldiscs.avp Logging..........................: low Primary action...................: interactive Secondary action.................: ignore Scan master boot sector..........: on Scan boot sector.................: on Boot sectors.....................: C:, Scan memory......................: on Process scan.....................: on Scan registry....................: on Search for rootkits..............: off Scan all files...................: Intelligent file selection Scan archives....................: on Recursion depth..................: 20 Smart extensions.................: on Macro heuristic..................: on File heuristic...................: medium Start of the scan: dimanche 23 mars 2008 20:14 The scan of running processes will be started Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'avcenter.exe' - '1' Module(s) have been scanned Scan process 'ctfmon.exe' - '1' Module(s) have been scanned Scan process 'rundll32.exe' - '1' Module(s) have been scanned Scan process 'explorer.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'guard.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'lsass.exe' - '1' Module(s) have been scanned Scan process 'services.exe' - '1' Module(s) have been scanned Scan process 'winlogon.exe' - '1' Module(s) have been scanned Scan process 'csrss.exe' - '1' Module(s) have been scanned Scan process 'smss.exe' - '1' Module(s) have been scanned 15 processes with 15 modules were scanned Starting master boot sector scan: Master boot sector HD0 [NOTE] No virus was found! Start scanning boot sectors: Boot sector 'C:\' [NOTE] No virus was found! Starting to scan the registry. The registry was scanned ( '20' files ). Starting the file scan: Begin scan in 'C:\' C:\pagefile.sys [WARNING] The file could not be opened! C:\Documents and Settings\Administrateur\Bureau\SDFix\backups\backups.zip [0] Archive type: ZIP --> backups/cftmon.exe [DETECTION] Is the Trojan horse TR/Drop.Agent.22528 [iNFO] The file was moved to '4849ac74.qua'! C:\Documents and Settings\Administrateur.AMATEUR\Bureau\SDFix\backups_old\backups.zip [0] Archive type: ZIP --> backups/cftmon.exe [DETECTION] Is the Trojan horse TR/Drop.Agent.22528 [iNFO] The file was moved to '4849ac8e.qua'! C:\Documents and Settings\All Users\Bureau\SDFix\backups\backups.zip [0] Archive type: ZIP --> backups/cftmon.exe [DETECTION] Is the Trojan horse TR/Drop.Agent.22528 [iNFO] The file was moved to '4849ac97.qua'! C:\Documents and Settings\All Users.WINDOWS\Bureau\SDFix\backups_old\backups.zip [0] Archive type: ZIP --> backups/cftmon.exe [DETECTION] Is the Trojan horse TR/Drop.Agent.22528 [iNFO] The file was moved to '4849acc1.qua'! C:\Documents and Settings\Ed\Bureau\SmitfraudFix.exe [DETECTION] Contains detection pattern of the dropper DR/Tool.Reboot.F.66 [iNFO] The file was moved to '484fad09.qua'! C:\Documents and Settings\Ed\Bureau\SDFix\backups_old\backups.zip [0] Archive type: ZIP --> backups/cftmon.exe [DETECTION] Is the Trojan horse TR/Drop.Agent.22528 [iNFO] The file was moved to '4849ad39.qua'! C:\QooBox\Quarantine\C\WINDOWS\SYSTEM32\aiqcodo.drv.vir [DETECTION] Contains detection pattern of the worm WORM/Locksky.CM.1 [iNFO] The file was moved to '4857c7eb.qua'! C:\QooBox\Quarantine\C\WINDOWS\SYSTEM32\cegegsiagl.drv.vir [DETECTION] Contains detection pattern of the worm WORM/Locksky.CM.1 [iNFO] The file was moved to '484dc7e8.qua'! C:\QooBox\Quarantine\C\WINDOWS\SYSTEM32\ojclpcsdlqi.sys.vir [DETECTION] Contains detection pattern of the worm WORM/Locksky.CM.1 [iNFO] The file was moved to '4849c7ed.qua'! C:\WINDOWS\SYSTEM32\BluetoothAuthorizationAgent.exe [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen [iNFO] The file was moved to '485bce0c.qua'! C:\WINDOWS\SYSTEM32\fqhgbiton.nls [DETECTION] Contains detection pattern of the worm WORM/Locksky.CM.1 [WARNING] An error has occurred and the file was not deleted. ErrorID: 16003 [WARNING] The file could not be deleted! C:\WINDOWS\TEMP\cegegsiagl.drv [DETECTION] Contains detection pattern of the worm WORM/Locksky.CM.1 [iNFO] The file was moved to '484ddb1f.qua'! End of the scan: dimanche 23 mars 2008 23:36 Used time: 3:22:12 min The scan has been done completely. 13949 Scanning directories 406546 Files were scanned 12 viruses and/or unwanted programs were found 0 Files were classified as suspicious: 0 files were deleted 0 files were repaired 11 files were moved to quarantine 0 files were renamed 1 Files cannot be scanned 406534 Files not concerned 5981 Archives were scanned 9 Warnings 0 Notes AntiVir PersonalEdition Classic Report file date: lundi 24 mars 2008 19:16 Scanning for 1163542 virus strains and unwanted programs. Licensed to: Avira AntiVir PersonalEdition Classic Serial number: 0000149996-ADJIE-0001 Platform: Windows XP Windows version: (Service Pack 2) [5.1.2600] Username: SYSTEM Computer name: AMATEUR Version information: BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00 AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29 AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51 LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47 LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15 ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07/03/2008 19:02:05 ANTIVIR2.VDF : 7.0.3.62 337408 Bytes 21/03/2008 19:02:05 ANTIVIR3.VDF : 7.0.3.65 36864 Bytes 23/03/2008 19:02:05 AVEWIN32.DLL : 7.6.0.75 3334656 Bytes 23/03/2008 19:02:05 AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26 AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17 AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24 AVPACK32.DLL : 7.6.0.3 360488 Bytes 23/03/2008 19:02:05 AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06 AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33 AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18 NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42 RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13 RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37 SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21 Configuration settings for the scan: Jobname..........................: Complete system scan Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp Logging..........................: low Primary action...................: interactive Secondary action.................: ignore Scan master boot sector..........: on Scan boot sector.................: on Boot sectors.....................: C:, Scan memory......................: on Process scan.....................: on Scan registry....................: on Search for rootkits..............: off Scan all files...................: Intelligent file selection Scan archives....................: on Recursion depth..................: 20 Smart extensions.................: on Macro heuristic..................: on File heuristic...................: medium Start of the scan: lundi 24 mars 2008 19:16 The scan of running processes will be started Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'avcenter.exe' - '1' Module(s) have been scanned Scan process 'ctfmon.exe' - '1' Module(s) have been scanned Scan process 'avgnt.exe' - '1' Module(s) have been scanned Scan process 'realsched.exe' - '1' Module(s) have been scanned Scan process 'avgas.exe' - '1' Module(s) have been scanned Scan process 'alg.exe' - '1' Module(s) have been scanned Scan process 'explorer.exe' - '1' Module(s) have been scanned Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned Scan process 'EBRR.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'SAgentNT.exe' - '1' Module(s) have been scanned Scan process 'NOPDB.exe' - '1' Module(s) have been scanned Scan process 'NPROTECT.EXE' - '1' Module(s) have been scanned Scan process 'GhostStartService.exe' - '1' Module(s) have been scanned Scan process 'guard.exe' - '0' Module(s) have been scanned Scan process 'sched.exe' - '1' Module(s) have been scanned Scan process 'avguard.exe' - '1' Module(s) have been scanned Scan process 'spoolsv.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned Scan process 'lsass.exe' - '1' Module(s) have been scanned Scan process 'services.exe' - '1' Module(s) have been scanned Scan process 'winlogon.exe' - '1' Module(s) have been scanned Scan process 'csrss.exe' - '1' Module(s) have been scanned Scan process 'smss.exe' - '1' Module(s) have been scanned 29 processes with 29 modules were scanned Starting master boot sector scan: Master boot sector HD0 [NOTE] No virus was found! Start scanning boot sectors: Boot sector 'C:\' [NOTE] No virus was found! Starting to scan the registry. The registry was scanned ( '16' files ). Starting the file scan: Begin scan in 'C:\' C:\pagefile.sys [WARNING] The file could not be opened! C:\System Volume Information\_restore{2C1B21AA-4B0E-4F49-B842-5BA1CD3171C2}\RP5\A0003803.dll [DETECTION] Is the Trojan horse TR/Drop.Small.bgx [iNFO] The file was moved to '48180050.qua'! C:\System Volume Information\_restore{2C1B21AA-4B0E-4F49-B842-5BA1CD3171C2}\RP5\A0003807.exe [DETECTION] Is the Trojan horse TR/Shell.Eviell [iNFO] The file was moved to '49655c89.qua'! C:\System Volume Information\_restore{2C1B21AA-4B0E-4F49-B842-5BA1CD3171C2}\RP5\A0003809.EXE [DETECTION] Contains detection pattern of the dropper DR/NavExcel.D.10 [iNFO] The file was moved to '48180051.qua'! C:\System Volume Information\_restore{2C1B21AA-4B0E-4F49-B842-5BA1CD3171C2}\RP5\A0003810.DRV [DETECTION] Contains detection pattern of the worm WORM/Locksky.CM.1 [iNFO] The file was moved to '49655c8a.qua'! C:\System Volume Information\_restore{2C1B21AA-4B0E-4F49-B842-5BA1CD3171C2}\RP5\A0003811.sys [DETECTION] Contains detection pattern of the worm WORM/Locksky.CM.1 [iNFO] The file was moved to '48180052.qua'! C:\System Volume Information\_restore{2C1B21AA-4B0E-4F49-B842-5BA1CD3171C2}\RP5\A0003812.DLL [DETECTION] Contains detection pattern of the worm WORM/Locksky.CM.1 [iNFO] The file was moved to '49655c8b.qua'! C:\System Volume Information\_restore{2C1B21AA-4B0E-4F49-B842-5BA1CD3171C2}\RP6\A0003828.sys [DETECTION] Contains detection pattern of the worm WORM/Locksky.CM.1 [iNFO] The file was moved to '48180053.qua'! C:\System Volume Information\_restore{2C1B21AA-4B0E-4F49-B842-5BA1CD3171C2}\RP7\A0003953.drv [DETECTION] Contains detection pattern of the worm WORM/Locksky.CM.1 [iNFO] The file was moved to '48180059.qua'! C:\System Volume Information\_restore{2C1B21AA-4B0E-4F49-B842-5BA1CD3171C2}\RP7\A0003954.drv [DETECTION] Contains detection pattern of the worm WORM/Locksky.CM.1 [iNFO] The file was moved to '4818005a.qua'! C:\System Volume Information\_restore{2C1B21AA-4B0E-4F49-B842-5BA1CD3171C2}\RP8\A0004089.exe [DETECTION] Contains detection pattern of the dropper DR/Tool.Reboot.F.66 [iNFO] The file was moved to '48180062.qua'! C:\System Volume Information\_restore{2C1B21AA-4B0E-4F49-B842-5BA1CD3171C2}\RP8\A0004090.exe [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen [iNFO] The file was moved to '49655cbb.qua'! End of the scan: lundi 24 mars 2008 20:49 Used time: 1:33:02 min The scan has been done completely. 14233 Scanning directories 436303 Files were scanned 11 viruses and/or unwanted programs were found 0 Files were classified as suspicious: 0 files were deleted 0 files were repaired 11 files were moved to quarantine 0 files were renamed 1 Files cannot be scanned 436292 Files not concerned 5974 Archives were scanned 8 Warnings 0 Notes