Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Dom83

des virus à chaque redémarrage...

Messages recommandés

Bonjour

 

Depuis quelques temps, à chaque démarrage de windows, mon antivirus détecte Win32-Small-gen2. Je l'efface mais il revient à chaque fois. Même juste après un passage de Avast, Spybot, Ewido, et Ad-aware. :P

 

J'ai suivi "Pré-Nettoyage d'un PC infecté, procédure pré-HijackThis". J'ai donc installé Antivir en mode sans echec et il m'a trouvé une vingtaine de fichiers infectés... J'ai décidé de garder Antivir et de désinstaller Avast.

 

Et ça continue, à chaque démarrage, à part que maintenant Antivir en trouve plusieurs et plus seulement Win32-Small-gen2 comme le faisait Avast. :P

 

Merci de me venir en aide car je ne sais plus quoi faire pour me débarrasser de cette cochonnerie.

 

Voici le rapport de Hijackthis :

 

Logfile of HijackThis v1.99.1

Scan saved at 17:29:10, on 03/10/2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

H:\WINNT\System32\smss.exe

H:\WINNT\system32\winlogon.exe

H:\WINNT\system32\services.exe

H:\WINNT\system32\lsass.exe

H:\WINNT\system32\svchost.exe

H:\WINNT\system32\spoolsv.exe

H:\Program Files\AntiVir PersonalEdition Classic\sched.exe

H:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

H:\WINNT\system32\DRIVERS\CDANTSRV.EXE

H:\WINNT\system32\svchost.exe

H:\WINNT\Explorer.EXE

H:\Program Files\Unlocker\UnlockerAssistant.exe

H:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

H:\WINNT\CTHELPER.EXE

H:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

H:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

H:\WINNT\system32\WTablet\TabUserW.exe

H:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\MSWin.exe

H:\Program Files\_Internet\Antipub\antipub.exe

H:\WINNT\system32\NOTEPAD.EXE

H:\Program Files\Creative Professional\E-MU PatchMix DSP\EmuPatchMixDSP.exe

H:\WINNT\system32\nvsvc32.exe

H:\WINNT\system32\regsvc.exe

H:\WINNT\system32\MSTask.exe

H:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

H:\WINNT\system32\stisvc.exe

H:\WINNT\system32\Tablet.exe

H:\WINNT\system32\ZONELABS\vsmon.exe

H:\WINNT\System32\WBEM\WinMgmt.exe

H:\WINNT\system32\svchost.exe

H:\Program Files\Internet Explorer\IEXPLORE.EXE

H:\Program Files\Outlook Express\msimn.exe

H:\Program Files\Spybot - Search & Destroy\SpybotSD.exe

L:\Downloads\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.neuf.fr/ie/default.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/advanced_search?hl=fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Program Files\Adobe Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - H:\Program Files\_Internet\Free Download Manager\iefdmcks.dll

O2 - BHO: (no name) - {DFE5BB48-5F27-9207-BEC7-81BA92493349} - (no file)

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - H:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [unlockerAssistant] "H:\Program Files\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [Zone Labs Client] "H:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [avgnt] "H:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [MSConfig] H:\WINNT\msconfig.exe /auto

O4 - HKCU\..\Run: [spybotSD TeaTimer] H:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Startup: Anti-Pub.lnk = H:\Program Files\_Internet\Antipub\antipub.exe

O4 - Startup: Raccourci vers todo.txt.lnk = H:\Documents and Settings\Administrateur\Bureau\todo.txt

O4 - Global Startup: TabUserW.exe.lnk = H:\WINNT\system32\WTablet\TabUserW.exe

O4 - Global Startup: MSWin.exe

O8 - Extra context menu item: Download all with Free Download Manager - file://H:\Program Files\_Internet\Free Download Manager\dlall.htm

O8 - Extra context menu item: Download selected with Free Download Manager - file://H:\Program Files\_Internet\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Download with Free Download Manager - file://H:\Program Files\_Internet\Free Download Manager\dllink.htm

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - H:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - H:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: C-DillaSrv - C-Dilla Ltd - H:\WINNT\system32\DRIVERS\CDANTSRV.EXE

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - H:\WINNT\System32\dmadmin.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - H:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - H:\WINNT\system32\nvsvc32.exe

O23 - Service: Speed Disk service - Symantec Corporation - H:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

O23 - Service: TabletService - Wacom Technology, Corp. - H:\WINNT\system32\Tablet.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - H:\WINNT\system32\ZONELABS\vsmon.exe

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir Dom83 !

 

Si tu as fait la procédure peut tu mettre le rapport antivir STP ?

 

Ensuite fais ceci :

 

Télécharge AVG Anti-Spyware

  1. Lance AVG Anti-Spyware et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.
     
  2. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"
     
  3. Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

  • Du mode Sans Échec, lance AVG Anti-Spyware et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.
     
  • AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. AVG Anti-Spyware affichera "All actions have been applied" du côté droit.
     
  • Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).
     
  • Redémarre ton ordi en mode Normal.

.

 

Je te fais passer un autre outil :

 

Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Prière de poster les rapports suivant dans ta prochaine réponse :

 

1) AVG Anti-Spyware

2) BlackLight

3) Nouveau rapport HijackThis!

 

Bon courage, et @+

Partager ce message


Lien à poster
Partager sur d’autres sites

Merci de ton aide.

 

 

 

 

Rapport Antivir : (j'ai re-scanné en branchant tous mes disques cette fois)

 

AntiVir PersonalEdition Classic

Report file date: mardi 3 octobre 2006 21:13

 

Scanning for 495093 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-WURGE-0001

Platform: Windows 2000

Windows version: (Service Pack 4) [5.0.2195]

Username: Administrateur

Computer name: BART

 

Version information:

AVSCAN.EXE : 7.0.0.47 200744 21/08/2006 10:06:58

AVSCAN.DLL : 7.0.0.45 41000 07/09/2006 10:56:34

LUKE.DLL : 7.0.0.47 118824 07/09/2006 10:32:34

LUKERES.DLL : 7.0.0.47 9256 07/09/2006 10:56:34

ANTIVIR0.VDF : 6.35.0.1 7371264 31/05/2006 10:35:28

ANTIVIR1.VDF : 6.36.0.9 1424384 06/09/2006 07:12:24

ANTIVIR2.VDF : 6.36.0.10 2048 06/09/2006 07:12:26

ANTIVIR3.VDF : 6.36.0.11 2048 06/09/2006 07:12:28

AVEWIN32.DLL : 7.2.0.14 1827328 04/09/2006 14:23:26

AVPREF.DLL : 7.0.0.2 23592 24/07/2006 12:36:06

AVREP.DLL : 6.36.0.3 794664 06/09/2006 08:04:08

AVRPBASE.DLL : 7.0.0.0 2162728 30/03/2006 08:43:32

AVPACK32.DLL : 7.2.0.0 368680 21/07/2006 06:00:30

AVREG.DLL : 6.31.0.90 27688 28/07/2005 10:06:36

NETNT.DLL : 6.32.0.0 6696 27/09/2005 07:56:50

NETNW.DLL : 7.0.0.0 9768 24/07/2006 12:35:56

RCIMAGE.DLL : 7.0.0.74 1642536 01/08/2006 11:22:58

RCTEXT.DLL : 7.0.0.107 77864 07/09/2006 10:56:34

 

Configuration settings for the scan:

Jobname.......................: Local Drives

Configuration file............: H:\Program Files\AntiVir PersonalEdition Classic\alldrives.avp

Boot sectors..................: C,D,E,F,G,H,I,K,L,M,N,O,P,S,T,A,R,U,V,W,J

Scan memory...................: 1

Process scan..................: 1

Scan all files................: 2

Scan archives.................: 1

Recursion depth...............: 20

Smart extensions..............: 1

Macro heuristic...............: 1

File heuristic................: 0

Primary action................: 1

Secondary action..............: 0

 

Start of the scan: mardi 3 octobre 2006 21:13

 

 

The scan of running processes will be started

5 Processes were scanned

 

Start scanning boot sectors:

 

Boot sector 'C:\'

[NOTE] No virus was found!

Boot sector 'D:\'

[NOTE] No virus was found!

Boot sector 'E:\'

[NOTE] No virus was found!

Boot sector 'F:\'

[NOTE] No virus was found!

Boot sector 'G:\'

[NOTE] No virus was found!

Boot sector 'H:\'

[NOTE] No virus was found!

Boot sector 'I:\'

[NOTE] No virus was found!

Boot sector 'K:\'

[NOTE] No virus was found!

Boot sector 'L:\'

[NOTE] No virus was found!

Boot sector 'M:\'

[NOTE] No virus was found!

Boot sector 'N:\'

[NOTE] No virus was found!

Boot sector 'O:\'

[NOTE] No virus was found!

Boot sector 'P:\'

[NOTE] No virus was found!

Boot sector 'S:\'

[NOTE] No virus was found!

Boot sector 'T:\'

[NOTE] No virus was found!

Boot sector 'A:\'

[NOTE] In the drive 'A:\' no data medium is inserted!

Boot sector 'R:\'

[NOTE] In the drive 'R:\' no data medium is inserted!

Boot sector 'U:\'

[NOTE] In the drive 'U:\' no data medium is inserted!

Boot sector 'V:\'

[NOTE] In the drive 'V:\' no data medium is inserted!

Boot sector 'W:\'

[NOTE] In the drive 'W:\' no data medium is inserted!

 

Starting to scan the registry.

The registry was scanned ( 16 files ).

 

 

Starting the file scan:

 

G:\pagefile.sys

[WARNING] The file could not be opened!

H:\WINNT\system32\ntio256.sys

[DETECTION] Is the Trojan horse TR/Rootkit.Gen

[iNFO] The file was deleted!

H:\WINNT\system32\config\software.LOG

[WARNING] The file could not be opened!

H:\WINNT\system32\config\default.LOG

[WARNING] The file could not be opened!

H:\WINNT\system32\config\SECURITY

[WARNING] The file could not be opened!

H:\WINNT\system32\config\SECURITY.LOG

[WARNING] The file could not be opened!

H:\WINNT\system32\config\SYSTEM.ALT

[WARNING] The file could not be opened!

H:\WINNT\system32\config\SAM

[WARNING] The file could not be opened!

H:\WINNT\system32\config\SAM.LOG

[WARNING] The file could not be opened!

H:\WINNT\system32\config\SYSTEM

[WARNING] The file could not be opened!

H:\WINNT\system32\config\SOFTWARE

[WARNING] The file could not be opened!

H:\WINNT\system32\config\DEFAULT

[WARNING] The file could not be opened!

H:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20061003-211304-15B1F4E3\AVSCAN-20061003-213824-81C327F2.AV$

[WARNING] The file could not be opened!

H:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20061003-211304-15B1F4E3\AVSCAN-20061003-212932-5BFE58D7.AV$

[WARNING] The file could not be opened!

H:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20061003-211304-15B1F4E3\AVSCAN-20061003-215342-C3155D7B.AV$

[WARNING] The file could not be opened!

H:\Documents and Settings\Administrateur\NTUSER.DAT

[WARNING] The file could not be opened!

H:\Documents and Settings\Administrateur\ntuser.dat.LOG

[WARNING] The file could not be opened!

H:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

H:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

P:\_ _ _ à foutre ailleurs\disque image\+ free 3d objects\www.graphique3d.republika.pl\12.rar

[DETECTION] Contains signature of the VBS script virus VBS/Redlof.a.3

[iNFO] The file was deleted!

P:\_ _ _ à foutre ailleurs\disque image\+ free 3d objects\www.graphique3d.republika.pl\10.rar

[DETECTION] Contains signature of the VBS script virus VBS/Redlof.a.3

[iNFO] The file was deleted!

The path A:\ could not be found!

Le périphérique n'est pas prêt.

 

The path R:\ could not be found!

Le périphérique n'est pas prêt.

 

The path U:\ could not be found!

Le périphérique n'est pas prêt.

 

The path V:\ could not be found!

Le périphérique n'est pas prêt.

 

The path W:\ could not be found!

Le périphérique n'est pas prêt.

 

The path J:\ could not be found!

Le périphérique n'est pas prêt.

 

 

 

End of the scan: mercredi 4 octobre 2006 01:37

Used time: 4:24:38 min

 

The scan has been done completely.

 

30726 Scanning directories

796987 Files were scanned

3 viruses and/or unwanted programs were found

3 files were deleted

0 files were repaired

0 files were moved to quarantine

0 files were renamed

15620 Archives were scanned

33 Warnings

70 Notes

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Rapport AVG Anti-Spyware

 

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 10:02:28 04/10/2006

 

+ Résultat de l'analyse:

 

 

 

M:\_ à trier\portscan.exe -> Not-A-Virus.NetTool.Win32.Scan.11 : Nettoyé.

M:\_ à trier\PWLHACKO.EXE -> Not-A-Virus.PSWTool.Win32.PwlHack : Nettoyé.

H:\Documents and Settings\Administrateur\Cookies\administrateur@adtech[2].txt -> TrackingCookie.Adtech : Nettoyé.

H:\Documents and Settings\Administrateur\Cookies\administrateur@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyé.

H:\Documents and Settings\Administrateur\Cookies\administrateur@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyé.

H:\Documents and Settings\Administrateur\Cookies\administrateur@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.

 

 

Fin du rapport

 

 

 

 

 

 

 

 

 

 

 

 

Rapport Blacklight :

 

10/04/06 14:54:05 [info]: BlackLight Engine 1.0.47 initialized

10/04/06 14:54:05 [info]: OS: 5.0 build 2195 (Service Pack 4)

10/04/06 14:54:05 [Note]: 7019 4

10/04/06 14:54:05 [Note]: 7005 0

10/04/06 14:55:15 [Note]: 7006 0

10/04/06 14:55:15 [Note]: 7011 1044

10/04/06 14:55:15 [Note]: 7026 0

10/04/06 14:55:15 [Note]: 7026 0

10/04/06 14:55:47 [Note]: FSRAW library version 1.7.1020

10/04/06 14:56:02 [info]: Hidden file: h:\WINNT\DDQHD1.DLL

10/04/06 14:56:03 [info]: Hidden file: h:\WINNT\SYSTEM32\LPT1.BVP

10/04/06 14:56:03 [Note]: 7002 0

10/04/06 14:56:03 [Note]: 7003 1

10/04/06 14:56:04 [Note]: 2000 1012

10/04/06 14:57:12 [Note]: 7007 0

 

 

 

 

 

 

 

 

 

 

 

 

Nouveau rapport HiJackThis :

 

Logfile of HijackThis v1.99.1

Scan saved at 15:00:33, on 04/10/2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

H:\WINNT\System32\smss.exe

H:\WINNT\system32\winlogon.exe

H:\WINNT\system32\services.exe

H:\WINNT\system32\lsass.exe

H:\WINNT\system32\svchost.exe

H:\WINNT\system32\spoolsv.exe

H:\Program Files\AntiVir PersonalEdition Classic\sched.exe

H:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

H:\Program Files\AVG Anti-Spyware 7.5\guard.exe

H:\WINNT\system32\DRIVERS\CDANTSRV.EXE

H:\WINNT\system32\svchost.exe

H:\WINNT\system32\nvsvc32.exe

H:\WINNT\system32\regsvc.exe

H:\WINNT\system32\MSTask.exe

H:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

H:\WINNT\system32\stisvc.exe

H:\WINNT\system32\Tablet.exe

H:\WINNT\system32\ZONELABS\vsmon.exe

H:\WINNT\Explorer.EXE

H:\Program Files\Unlocker\UnlockerAssistant.exe

H:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

H:\WINNT\CTHELPER.EXE

H:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

H:\Program Files\Creative Professional\E-MU PatchMix DSP\EmuPatchMixDSP.exe

H:\WINNT\System32\WBEM\WinMgmt.exe

H:\Program Files\AVG Anti-Spyware 7.5\avgas.exe

H:\WINNT\system32\svchost.exe

H:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

H:\WINNT\system32\WTablet\TabUserW.exe

H:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\MSWin.exe

H:\Program Files\_Internet\Antipub\antipub.exe

H:\WINNT\system32\NOTEPAD.EXE

H:\Program Files\Internet Explorer\iexplore.exe

H:\PROGRA~1\_INTER~1\FREEDO~1\fdm.exe

L:\Downloads\blbeta.exe

H:\WINNT\system32\NOTEPAD.EXE

H:\WINNT\system32\NOTEPAD.EXE

H:\WINNT\system32\NOTEPAD.EXE

L:\Downloads\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.neuf.fr/ie/default.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/advanced_search?hl=fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Program Files\Adobe Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - H:\Program Files\_Internet\Free Download Manager\iefdmcks.dll

O2 - BHO: (no name) - {DFE5BB48-5F27-9207-BEC7-81BA92493349} - (no file)

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - H:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [unlockerAssistant] "H:\Program Files\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [Zone Labs Client] "H:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [avgnt] "H:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "H:\Program Files\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [spybotSD TeaTimer] H:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Startup: Anti-Pub.lnk = H:\Program Files\_Internet\Antipub\antipub.exe

O4 - Startup: Raccourci vers todo.txt.lnk = H:\Documents and Settings\Administrateur\Bureau\todo.txt

O4 - Global Startup: TabUserW.exe.lnk = H:\WINNT\system32\WTablet\TabUserW.exe

O4 - Global Startup: MSWin.exe

O8 - Extra context menu item: Download all with Free Download Manager - file://H:\Program Files\_Internet\Free Download Manager\dlall.htm

O8 - Extra context menu item: Download selected with Free Download Manager - file://H:\Program Files\_Internet\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Download with Free Download Manager - file://H:\Program Files\_Internet\Free Download Manager\dllink.htm

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - H:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - H:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - H:\Program Files\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: C-DillaSrv - C-Dilla Ltd - H:\WINNT\system32\DRIVERS\CDANTSRV.EXE

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - H:\WINNT\System32\dmadmin.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - H:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - H:\WINNT\system32\nvsvc32.exe

O23 - Service: Speed Disk service - Symantec Corporation - H:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

O23 - Service: TabletService - Wacom Technology, Corp. - H:\WINNT\system32\Tablet.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - H:\WINNT\system32\ZONELABS\vsmon.exe

 

 

 

 

 

 

 

 

 

Autre chose, je ne sais pas si ça a un rapport mais depuis peu ce système met cent mille ans à s'éteindre, restant bloqué sur "Enregistrement de vos paramètres...", et en mode sans échec il reste bloqué une éternité sur "Windows est en cours de démarrage...".

Ca vient des virus ou c'est une coincidence que ça arrive en même temps ?

Modifié par Dom83

Partager ce message


Lien à poster
Partager sur d’autres sites

Re

 

Autre chose, je ne sais pas si ça a un rapport mais depuis peu ce système met cent mille ans à s'éteindre, restant bloqué sur "Enregistrement de vos paramètres...", et en mode sans échec il reste bloqué une éternité sur "Windows est en cours de démarrage...".

Ca vient des virus ou c'est une coincidence que ça arrive en même temps ?

 

C'est clair que ca aide pas quand on est infecté ! :P

 

 

J'ai besoind'info sur les fichers détecté par Blacklight

h:\WINNT\DDQHD1.DLL

h:\WINNT\SYSTEM32\LPT1.BVP

 

 

Fais ceci STP

 

Assure toi d'avoir accès à tous les fichiers, certains fichiers/dossiers sont cachés!!

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer l'option : Afficher les fichiers et dossiers cachés

Désactiver l'option : Masquer les extensions des fichiers dont le type est connu

Désactiver l'option : Masquer les fichiers protégés du système d'exploitation

Puis cliquer sur "Appliquer à tous les dossiers"

 

Fais soumettre le fichier en gras ici =>

1- http://virusscan.jotti.org/

2- http://www.virustotal.com/flash/index_en.html

 

Lorsque tu cliques sur ces deux adresses, tu as une case nommée "Parcourir", tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur

Recherche le fichier en cause

Clique une fois sur le fichier (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "submit"(soumettre)

Pour le virusscan de jotti et "send" pour virustotal.

Le scan de ce fichier va débuter.

Tu n'as plus qu'à sélectionner puis copier /coller l’analyse. Il est possible que tu reçoives ce message =>

"Server is extremely busy at the moment. Please try again later."Auquel cas il faut retenter le coup plus tard!

communiquer les 2 rapports pour chaque fichiers STP

 

A plus.

Partager ce message


Lien à poster
Partager sur d’autres sites

C'est bizarre, impossible de les trouver... :P Ni avec le Parcourir du site, ni dans l'explorateur, ni en faisant une recherche.

Pourtant l'affichage des fichiers est réglé comme tu as précisé.

J'ai lancé Blacklight pour voir s'il les trouve encore, et il les trouve...

J'ai donc vérifié si Antivir ne les aurait pas mis en quarantaine et m'en bloquerait l'acces, mais apparement non,ils ne sont pas dans sa liste de quarantaine.

Modifié par Dom83

Partager ce message


Lien à poster
Partager sur d’autres sites

RE

 

Au lieu de faire parcourir copie le nom du chemin en faisant copier/coller directement dans la fenètre blanche du site.

 

On sait jamais.

 

A plus.

Partager ce message


Lien à poster
Partager sur d’autres sites

Non plus.

Pour DDQHD1.DLL j'ai juste "Fichier non trouvé".

Pour LPT1.BVP j'ai "Ce nom de fichier est un nom de périphérique réservé. Veuillez utiliser un nom de fichier différent".

Partager ce message


Lien à poster
Partager sur d’autres sites

Re

 

Bon on va tenter autre chose :

 

Télécharge Gmer ici :

http://gmer.net/gmer110.zip

 

Ensuite du decompresse l'archive et tu clique sur l'icone Gmer

 

Clique sur l'onglet Rootkit

Vérifie que tout soit coché à droite :

  1. System
  2. Devices
  3. Proceses
  4. Libraries
  5. Modules
  6. Services
  7. Registry
  8. Files

Ensuite clique sur scan et laisse le faire son travail.

 

A la fin du scan clique sur copy

Dans ton prochain message fais clique droit/copier

 

Enuite

 

Télécharge SpySweeper - Télécharge SpySweeper - Aide SpySweeper

- Clic sur sur le lien "Free Trial" pour le télécharger tout à droite

- Installe le et démare le

- Il va te demander de télécharger la dernière définition, accepte

- Ensuite, clic sur le bouton Options à gauche

- Clic sur l'onglet Options

- Assure toi que les options suivantes sont cochées :

o Windows Registery

o Memory Object

o Cookies

o System Restore Folder

o Plus bas :

o Sweep all users accounts

o Sweep for rootkis

 

-- Redémarre en mode sans échec, si tu sais pas comment on fait lis ceci

- Démarre SpySweeper

- Clic sur "Sweep Now" à gauche

- Clic sur le bouton "Start"

- Quand le scan est terminé, clic sur le bouton "Next"

- Assure toi que tout est coché et clic sur le bouton "Next"

- Lorsque tous les éléments trouvés ont été supprimés

- Clic sur "Session Log" en haut à droite, copie tous les élements du log.

- Ferme les fenêtres et colle tout le log ici ainsi qu'un log HijackThis

 

 

Aide : N'hésite pas à consulter l'Aide de SpySweeper

 

A plus.

Modifié par regis56

Partager ce message


Lien à poster
Partager sur d’autres sites

J'ai essayé quatre fois et chaque fois après quelques minutes de scan j'ai : "gmer.exe a généré des erreurs et sera fermé par Windows. Vous devrez redémarrer le programme. Un journal des erreurs est en cours de création." :P

Il est où ce "journal des erreurs" ?

Modifié par Dom83

Partager ce message


Lien à poster
Partager sur d’autres sites

Voilà le rapport Spy Sweeper :

 

20:36: Removal process completed. Elapsed time 00:01:06

20:36: A reboot was required but declined.

20:35: Quarantining All Traces: adtech cookie

20:35: Quarantining All Traces: bluestreak cookie

20:35: Quarantining All Traces: xiti cookie

20:35: Quarantining All Traces: cydoor peer-to-peer dependency

20:35: potentially rootkit-masked files is in use. It will be removed on reboot.

20:34: Quarantining All Traces: potentially rootkit-masked files

20:34: Quarantining All Traces: key copy

20:34: Quarantining All Traces: trojan-downloader-ruin

20:34: Quarantining All Traces: inlook express

20:34: Removal process initiated

20:10: Traces Found: 25

20:10: Full Sweep has completed. Elapsed time 01:37:54

20:10: File Sweep Complete, Elapsed Time: 01:36:53

20:09: Found System Monitor: potentially rootkit-masked files

20:09: Warning: Failed to access drive W:

20:09: Warning: Failed to access drive V:

20:09: Warning: Failed to access drive U:

20:02: Warning: Failed to access drive R:

19:44: Found System Monitor: key copy

19:29: K:\WINDOWS\SYSTEM\certcclie.exe (ID = 198954)

19:29: K:\WINDOWS\SYSTEM\ccfgmnt.exe (ID = 198954)

19:29: Found Trojan Horse: trojan-downloader-ruin

19:29: K:\WINDOWS\SYSTEM\cd_clint.dll (ID = 57300)

19:29: Found Adware: cydoor peer-to-peer dependency

19:28: Warning: Failed to access drive J:

19:26: I:\PROGRAMMATION\prog vb du net\hook key and mouse\TheHook.dll (ID = 63650)

19:26: Found System Monitor: inlook express

19:14: Warning: Failed to open file "h:\program files\webroot\spy sweeper\settings.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus

19:05: Warning: Failed to open file "h:\documents and settings\administrateur\local settings\application data\microsoft\windows\usrclass.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus

19:05: Warning: Failed to open file "h:\documents and settings\administrateur\local settings\application data\microsoft\windows\usrclass.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus

19:05: Warning: Failed to open file "h:\documents and settings\administrateur\ntuser.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus

19:05: Warning: Failed to open file "h:\documents and settings\administrateur\ntuser.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus

19:03: Warning: Failed to open file "h:\winnt\system32\config\default". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus

19:03: Warning: Failed to open file "h:\winnt\system32\config\software". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus

19:03: Warning: Failed to open file "h:\winnt\system32\config\system". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus

19:03: Warning: Failed to open file "h:\winnt\system32\config\sam.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus

19:03: Warning: Failed to open file "h:\winnt\system32\config\sam". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus

19:03: Warning: Failed to open file "h:\winnt\system32\config\system.alt". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus

19:03: Warning: Failed to open file "h:\winnt\system32\config\security.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus

19:03: Warning: Failed to open file "h:\winnt\system32\config\security". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus

19:03: Warning: Failed to open file "h:\winnt\system32\config\default.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus

19:03: Warning: Failed to open file "h:\winnt\system32\config\software.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus

19:02: Warning: Failed to open file "g:\pagefile.sys". Accès refusé

18:33: Starting File Sweep

18:33: Warning: Failed to access drive A:

18:33: Cookie Sweep Complete, Elapsed Time: 00:00:00

18:33: h:\documents and settings\administrateur\cookies\administrateur@adtech[2].txt (ID = 2155)

18:33: Found Spy Cookie: adtech cookie

18:33: h:\documents and settings\administrateur\cookies\administrateur@bluestreak[1].txt (ID = 2314)

18:33: Found Spy Cookie: bluestreak cookie

18:33: h:\documents and settings\administrateur\cookies\administrateur@xiti[1].txt (ID = 3717)

18:33: Found Spy Cookie: xiti cookie

18:33: Starting Cookie Sweep

18:33: Registry Sweep Complete, Elapsed Time:00:00:05

18:33: Starting Registry Sweep

18:33: Memory Sweep Complete, Elapsed Time: 00:00:52

18:32: Starting Memory Sweep

18:32: Sweep initiated using definitions version 691

18:32: Spy Sweeper 5.0.5.1286 started

18:32: | Start of Session, mercredi 4 octobre 2006 |

********

18:32: | End of Session, mercredi 4 octobre 2006 |

Keylogger Shield: On

BHO Shield: On

IE Security Shield: On

Alternate Data Stream (ADS) Execution Shield: On

Startup Shield: On

Common Ad Sites Shield: Off

Hosts File Shield: On

Spy Communication Shield: On

ActiveX Shield: On

Windows Messenger Service Shield: On

IE Favorites Shield: On

Spy Installation Shield: On

Memory Shield: On

IE Hijack Shield: On

IE Tracking Cookies Shield: Off

18:27: Shield States

18:27: Spyware Definitions: 691

18:27: Spy Sweeper 5.0.5.1286 started

18:26: | End of Session, mercredi 4 octobre 2006 |

18:26: Program Version 5.0.5.1286 Using Spyware Definitions 691

18:26: Spy Sweeper 5.0.5.1286 started

18:26: | Start of Session, mercredi 4 octobre 2006 |

********

18:26: Memory Sweep Complete, Elapsed Time: 00:00:21

18:26: Sweep Canceled

18:26: Starting Memory Sweep

18:26: Sweep initiated using definitions version 691

18:26: Spy Sweeper 5.0.5.1286 started

18:26: | Start of Session, mercredi 4 octobre 2006 |

********

 

 

 

 

 

 

 

 

 

Rapport de Hijackthis :

 

Logfile of HijackThis v1.99.1

Scan saved at 20:39:02, on 04/10/2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

H:\WINNT\System32\smss.exe

H:\WINNT\system32\winlogon.exe

H:\WINNT\system32\services.exe

H:\WINNT\system32\lsass.exe

H:\WINNT\system32\svchost.exe

H:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

H:\WINNT\System32\WBEM\WinMgmt.exe

H:\WINNT\Explorer.EXE

H:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe

H:\Program Files\Webroot\Spy Sweeper\SSU.EXE

L:\Downloads\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.neuf.fr/ie/default.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/advanced_search?hl=fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Program Files\Adobe Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - H:\Program Files\_Internet\Free Download Manager\iefdmcks.dll

O2 - BHO: (no name) - {DFE5BB48-5F27-9207-BEC7-81BA92493349} - (no file)

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - H:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [unlockerAssistant] "H:\Program Files\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [Zone Labs Client] "H:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [synchronization Manager] "mobsync.exe" /logon

O4 - HKLM\..\Run: [avgnt] "H:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "H:\Program Files\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [spySweeper] "H:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray

O4 - HKCU\..\Run: [spybotSD TeaTimer] "H:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"

O4 - Startup: Anti-Pub.lnk = H:\Program Files\_Internet\Antipub\antipub.exe

O4 - Startup: Raccourci vers todo.txt.lnk = H:\Documents and Settings\Administrateur\Bureau\todo.txt

O4 - Global Startup: TabUserW.exe.lnk = H:\WINNT\system32\WTablet\TabUserW.exe

O4 - Global Startup: MSWin.exe

O8 - Extra context menu item: Download all with Free Download Manager - file://H:\Program Files\_Internet\Free Download Manager\dlall.htm

O8 - Extra context menu item: Download selected with Free Download Manager - file://H:\Program Files\_Internet\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Download with Free Download Manager - file://H:\Program Files\_Internet\Free Download Manager\dllink.htm

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O20 - Winlogon Notify: WRNotifier - H:\WINNT\SYSTEM32\WRLogonNTF.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - H:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - H:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - H:\Program Files\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: C-DillaSrv - C-Dilla Ltd - H:\WINNT\system32\DRIVERS\CDANTSRV.EXE

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - H:\WINNT\System32\dmadmin.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - H:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - H:\WINNT\system32\nvsvc32.exe

O23 - Service: Speed Disk service - Symantec Corporation - H:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

O23 - Service: TabletService - Wacom Technology, Corp. - H:\WINNT\system32\Tablet.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - H:\WINNT\system32\ZONELABS\vsmon.exe

O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - H:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

 

 

 

 

Au fait, au démarrage, cette fois-ci, je n'ai pas eu de message de détection de virus, donc c'est bon signe. :P

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×