Grave infection de mon PC !

[OMthebest]

Bonsoir Qc001,

 

Pour ce qui est des fichiers j'en ai essayé 2-3 qui fonctionnent parfaitement c'est donc avec joie que je te poste le rapport de CureIt :

 

 

Annulation d'abonnement.doc.exe C:\Documents and Settings\All Users\Documents Trojan.Encoder.10 Désinfecté.

Adenyum - Toi Et Moi.mp3.exe C:\Documents and Settings\All Users\Documents\Ma musique\Divers Trojan.Encoder.10 Désinfecté.

Christina Aguilera - Hurt.mp3.exe C:\Documents and Settings\All Users\Documents\Ma musique\Divers Trojan.Encoder.10 Désinfecté.

Emilia - Big big world.mp3.exe C:\Documents and Settings\All Users\Documents\Ma musique\Divers Trojan.Encoder.10 Désinfecté.

IAM - L'empire du coté obscure.mp3.exe C:\Documents and Settings\All Users\Documents\Ma musique\Divers Trojan.Encoder.10 Désinfecté.

IAM - Petit Frere.mp3.exe C:\Documents and Settings\All Users\Documents\Ma musique\Divers Trojan.Encoder.10 Désinfecté.

Jean-Jacques Golman - Puisque tu pars.mp3.exe C:\Documents and Settings\All Users\Documents\Ma musique\Divers Trojan.Encoder.10 Désinfecté.

Marc Ribot - Hallelujah.mp3.exe C:\Documents and Settings\All Users\Documents\Ma musique\Divers Trojan.Encoder.10 Désinfecté.

Melissa & Akhenaton - Avec Tout Mon Amour.mp3.exe C:\Documents and Settings\All Users\Documents\Ma musique\Divers Trojan.Encoder.10 Désinfecté.

Miss Sin - Lady's light.mp3.exe C:\Documents and Settings\All Users\Documents\Ma musique\Divers Trojan.Encoder.10 Désinfecté.

01 Piste 01.m4a.exe C:\Documents and Settings\All Users\Documents\Ma musique\Jay-Jay Johanson Trojan.Encoder.10 Désinfecté.

Far away.mp3.exe C:\Documents and Settings\All Users\Documents\Ma musique\Nickelback Trojan.Encoder.10 Désinfecté.

Final Answer.mp3.exe C:\Documents and Settings\All Users\Documents\Ma musique\The Calling Trojan.Encoder.10 Désinfecté.

Process.exe C:\Documents and Settings\Romain\Bureau\SmitfraudFix Tool.Prockill Irréparable.Quarantaine.

restart.exe C:\Documents and Settings\Romain\Bureau\SmitfraudFix Tool.ShutDown.11 Irréparable.Quarantaine.

WinAntiVirusPro2006FreeInstall_fr[1].exe C:\Documents and Settings\Romain\Local Settings\Temporary Internet Files\Content.IE5\RICVZH8D Trojan.DownLoader.10963 Supprimé.

Pensées.doc.exe C:\Documents and Settings\Romain\Mes documents Trojan.Encoder.10 Désinfecté.

Répertoire.xls.exe C:\Documents and Settings\Romain\Mes documents Trojan.Encoder.10 Désinfecté.

Dreyfus.jpg.exe C:\Documents and Settings\Romain\Mes documents\L'OM\South Mars\2006-07\L'équipe dirigeante Trojan.Encoder.10 Désinfecté.

Cisse.jpg.exe C:\Documents and Settings\Romain\Mes documents\L'OM\South Mars\2006-07\Les attaquants Trojan.Encoder.10 Désinfecté.

Ribery.jpg.exe C:\Documents and Settings\Romain\Mes documents\L'OM\South Mars\2006-07\Les milieux Trojan.Encoder.10 Désinfecté.

iTunes Music Library.xml.exe C:\Documents and Settings\Romain\Mes documents\Ma musique\iTunes Trojan.Encoder.10 Désinfecté.

01 Piste 1.m4a.exe C:\Documents and Settings\Romain\Mes documents\Ma musique\iTunes\iTunes Music\Artiste inconnu\Album inconnu (08_10_2006 10_01_1 Trojan.Encoder.10 Désinfecté.

alix.txt.exe C:\Documents and Settings\Romain\Mes documents\Mes fichiers reçus Trojan.Encoder.10 Désinfecté.

explosifsmile_@hotmail.com.html.exe C:\Documents and Settings\Romain\Mes documents\Mes fichiers reçus Trojan.Encoder.10 Désinfecté.

IMG027.JPG.exe C:\Documents and Settings\Romain\Mes documents\Mes fichiers reçus Trojan.Encoder.10 Désinfecté.

IMG_0196.JPG.exe C:\Documents and Settings\Romain\Mes documents\Mes fichiers reçus Trojan.Encoder.10 Désinfecté.

IMG_0203.JPG.exe C:\Documents and Settings\Romain\Mes documents\Mes fichiers reçus Trojan.Encoder.10 Désinfecté.

lg_kg225[1].jpg.exe C:\Documents and Settings\Romain\Mes documents\Mes fichiers reçus Trojan.Encoder.10 Désinfecté.

MOV00003.3gp.exe C:\Documents and Settings\Romain\Mes documents\Mes fichiers reçus Trojan.Encoder.10 Désinfecté.

musikeuuh.txt.exe C:\Documents and Settings\Romain\Mes documents\Mes fichiers reçus Trojan.Encoder.10 Désinfecté.

r&éro jtm plu.JPG.exe C:\Documents and Settings\Romain\Mes documents\Mes fichiers reçus Trojan.Encoder.10 Désinfecté.

rérrooooo.JPG.exe C:\Documents and Settings\Romain\Mes documents\Mes fichiers reçus Trojan.Encoder.10 Désinfecté.

11-09-06_1512.jpg.exe C:\Documents and Settings\Romain\Mes documents\Mes images Trojan.Encoder.10 Désinfecté.

sexy.gif.exe C:\Documents and Settings\Romain\Mes documents\Mes images Trojan.Encoder.10 Désinfecté.

DSCN1280.JPG.exe C:\Documents and Settings\Romain\Mes documents\Mes images\Risoul 2006\Photos de Laurie Trojan.Encoder.10 Désinfecté.

La patinoire.MOV.exe C:\Documents and Settings\Romain\Mes documents\Mes vidéos Trojan.Encoder.10 Désinfecté.

250106-0003.3gp.exe C:\Documents and Settings\Romain\Mes documents\Mes vidéos\Risoul 2006\Mes vidéos Trojan.Encoder.10 Désinfecté.

DSCN0248.MOV.exe C:\Documents and Settings\Romain\Mes documents\Mes vidéos\Risoul 2006\Mes vidéos Trojan.Encoder.10 Désinfecté.

GUERRERO Romain.doc.exe C:\Documents and Settings\Romain\Mes documents\Scolaire Trojan.Encoder.10 Désinfecté.

Part1_R21B.pdf.exe C:\Documents and Settings\Romain\Mes documents\Scolaire\Programation Trojan.Encoder.10 Désinfecté.

essai1.mcp.exe C:\Documents and Settings\Romain\Mes documents\Scolaire\Programation\DataPic Trojan.Encoder.10 Désinfecté.

m16f84.asm.exe C:\Documents and Settings\Romain\Mes documents\Scolaire\Programation\DataPic Trojan.Encoder.10 Désinfecté.

16F84.pdf.exe C:\Documents and Settings\Romain\Mes documents\Scolaire\Programation\fichiers Trojan.Encoder.10 Désinfecté.

Essai1.asm.exe C:\Documents and Settings\Romain\Mes documents\Scolaire\Programation\fichiers Trojan.Encoder.10 Désinfecté.

flaubert.htm.exe C:\Documents and Settings\Rémi\Mes documents Trojan.Encoder.10 Désinfecté.

Fools Garden.doc.exe C:\Documents and Settings\Rémi\Mes documents Trojan.Encoder.10 Désinfecté.

Hamilcar.doc.exe C:\Documents and Settings\Rémi\Mes documents Trojan.Encoder.10 Désinfecté.

Kikou mon amour.doc.exe C:\Documents and Settings\Rémi\Mes documents Trojan.Encoder.10 Désinfecté.

lettre pour Alexine.doc.exe C:\Documents and Settings\Rémi\Mes documents Trojan.Encoder.10 Désinfecté.

Généalogie de Gustave Flaubert.doc.exe C:\Documents and Settings\Rémi\Mes documents\flaubert_fichiers Trojan.Encoder.10 Désinfecté.

roglo.jpg.exe C:\Documents and Settings\Rémi\Mes documents\flaubert_fichiers Trojan.Encoder.10 Désinfecté.

battre son coeur^^.rtf.exe C:\Documents and Settings\Rémi\Mes documents\Mes archives de conversations Trojan.Encoder.10 Désinfecté.

c belle et bien fini...rtf.exe C:\Documents and Settings\Rémi\Mes documents\Mes archives de conversations Trojan.Encoder.10 Désinfecté.

la remise ensembl apre journé magik!.rtf.exe C:\Documents and Settings\Rémi\Mes documents\Mes archives de conversations Trojan.Encoder.10 Désinfecté.

610870278.gif.exe C:\Documents and Settings\Rémi\Mes documents\Mes images Trojan.Encoder.10 Désinfecté.

DSCN0481.JPG.exe C:\Documents and Settings\Rémi\Mes documents\Mes images Trojan.Encoder.10 Désinfecté.

les folles lol.bmp.exe C:\Documents and Settings\Rémi\Mes documents\Mes images Trojan.Encoder.10 Désinfecté.

moi qui pose.bmp.exe C:\Documents and Settings\Rémi\Mes documents\Mes images Trojan.Encoder.10 Désinfecté.

Photo-0120.jpg.exe C:\Documents and Settings\Rémi\Mes documents\Mes images Trojan.Encoder.10 Désinfecté.

IMG_0469.JPG.exe C:\Documents and Settings\Rémi\Mes documents\Mes images\Ac Ma Cherie!! Trojan.Encoder.10 Désinfecté.

amoureu.gif.exe C:\Documents and Settings\Rémi\Mes documents\Mes images\emoticons Trojan.Encoder.10 Désinfecté.

540396715[1].jpeg.exe C:\Documents and Settings\Rémi\Mes documents\Mes images\les vac au VCS Trojan.Encoder.10 Désinfecté.

POSTOOBE.NEC C:\DRIVERS VBS.Generic.331 Supprimé.

P16F84.INC.exe C:\Program Files\Microchip\MPASM Suite Trojan.Encoder.10 Désinfecté.

Process.exe C:\SDFix\apps Tool.Prockill Irréparable.Quarantaine.

 

 

 

 

 

 

Ps : comment voir si le parefeu fonctionne?

[Mark]

Bonsoir OMthebest

 

61 fichiers... ça va te faire un peu de boulot !

 

L'outil CureIt semble avoir bien fait le travail, et il affiche en Français maintenant ? Wow.. Il a détecté/supprimé quelques petites bestioles (très bien), plus quelques fichiers légitimes qui appartiennent à SmitfraudFix et SDFix (pas grave, car tu n'as plus besoin de ces outils de toute façon..).

 

Il nous reste donc quelques fichiers à déplacer, associés à l'infection AWF. Avant d'attaquer, j'aimerais que tu nous dises si ton parefeu fonctionne... et poste un nouveau rapport HijackThis! également, s'il te plaît.

 

[edit]J'avais pas vu ta question pour le parefeu : tu devrais avoir un icône pour celui-ci près de l'horloge (en bas à droite) ; double-clique sur l'icône afin d'ouvrir le programme. Sinon, clique sur "Démarrer" >> "Tous les programmes", puis lance-le (SoftPerfect Personal Firewall). S'il refuse d'être lancé, ça confirmera qu'il est hors service..[/edit]

 

Merci, et à bientôt !

Modifié le 8 janvier 2007 par Qc001

[OMthebest]

Bonjour,

 

Voila le rapport HJ :

 

Logfile of HijackThis v1.99.1

Scan saved at 16:20:15, on 09/01/2007

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Apps\ActivBoard\nhksrv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\atiptaxx.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\eurobarre\eb.exe

C:\WINDOWS\System32\WgaTray.exe

C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Romain\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Planetis

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: BhoApp Class - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - C:\Program Files\WinBudget\bin\matrix.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [softPerfect Personal Firewall] C:\Program Files\SoftPerfect Personal Firewall\fw.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [bitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized

O4 - HKCU\..\Run: [update Service] "C:\Program Files\Fichiers communs\Teknum Systems\update.exe" /startup

O4 - Startup: Eurobarre.lnk = C:\Program Files\eurobarre\eb.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.planetis.com/

O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppD...ap/PhtPkMSN.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Apps\ActivBoard\nhksrv.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe (file missing)

 

Ensuite pour ce qui est de mon parefeu il ne marche pas. Lorsque j'essaie de le lancer il me dit que le fichier ndisapi.dll est introuvable!

[Mark]

Merci pour le rapport, et les explications

 

L'infection AWF a infecté certains exécutables, dont celui du parefeu. Ce même fichier a été détruit par AVG-AS, donc le parefeu ne fonctionne plus. Par contre, l'infection déplace les fichiers sains vers des répertoires adjacents, donc nous pouvons les récupérer sans réinstaller les programmes. Bruce et moi pourrons maintenant regarder ça ensemble et te poster une manip - très bientôt.

 

Je ne connais pas ce parefeu par contre ; est-il bon ?

 

AntiVir fonctionne bien lui ? Son exécutable a été ciblé par AWF également, mais il semble que tu aies fait une MAJ qui a réinstallé un fichier sain..

 

La suite bientôt

[OMthebest]

Re,

 

Ben quoi te répondre à "ton parefeu est-il bon?" a part : heu.................. je sais pas!

Pareil pour ce qui est de AntiVir! Pour la mise à jour étant donné quelle se fait automatiquement quotidiennement je ne suis pas au courant!

[Mark]

Me revoilà

 

Je voulais poster hier, mais le forum était HS. Alors voici la suite, sans plus tarder ;

=========================

 

Lance un nouveau fichier du Bloc-notes ("Démarrer" >> "Tous les programmes" >> "Accessoires" >> "Bloc-notes")

Copie/colle tout le contenu de la boîte "Code" ci-bas dans ce nouveau fichier (n'inclus pas le mot "Code") ;

@echo off

If exist "C:\APPS\ActivBoard\bak\MMKeybd.exe" copy "C:\APPS\ActivBoard\bak\MMKeybd.exe" "C:\APPS\ActivBoard"

If exist "C:\Program Files\SoftPerfect Personal Firewall\bak\fw.exe" copy "C:\Program Files\SoftPerfect Personal Firewall\bak\fw.exe" "C:\Program Files\SoftPerfect Personal Firewall"

If exist "C:\Program Files\Logitech\Video\bak\ISStart.exe" copy "C:\Program Files\Logitech\Video\bak\ISStart.exe" "C:\Program Files\Logitech\Video"

If exist "C:\Program Files\Logitech\Video\bak\LogiTray.exe" copy "C:\Program Files\Logitech\Video\bak\LogiTray.exe" "C:\Program Files\Logitech\Video"

If exist "C:\Program Files\MouseWare\system\bak\EM_EXEC.EXE" copy "C:\Program Files\MouseWare\system\bak\EM_EXEC.EXE" "C:\Program Files\MouseWare\system"

If exist "C:\Program Files\Java\jre1.5.0_06\bin\bak\jusched.exe" copy "C:\Program Files\Java\jre1.5.0_06\bin\bak\jusched.exe" "C:\Program Files\Java\jre1.5.0_06\bin"

 

Ensuite, clique sur le menu "Fichier" (du Bloc-notes) >> "Enregistrer sous..." ;

- Nom du fichier : Fix.bat

- Type : Tous les fichiers

- Enregister dans : (au haut) : Bureau

- Clique "Enregistrer"

 

Lis bien ce qui suit, car tu ne pourras pas accéder au forum du mode Sans Échec (écris ou imprime-le s'il le faut) ;

 

Redémarre l'ordi en mode Sans Échec ; au redémarrage, tapote la touche F8 ; un écran de choix de démarrages apparaîtra. Avec les flèches du clavier, choisis le mode "Sans Échec", puis valide avec "Entrée". Choisis ton compte usuel.

 

Du Bureau, lance le fichier Fix.bat (icône = petite fenêtre avec engrenage dedans). Tout se fera très rapidement.

 

Redémarre en mode Normal.

-----------------------------------

 

Télécharge DelDomains.inf (de Mike Burgess) sur ton Bureau.

**Si tu utilises FireFox : fais un clic droit sur le lien et choisis "Enregistrer la cible du lien sous..." , puis enregistre sur le Bureau.

• Fais un clic droit sur le fichier, puis choisis "Installer" du menu contextuel.
  
• Le script s'installe rapidement et aucune confirmation ne sera affichée à l'écran; ceci est normal.
  

Télécharge ResetProtocolDefaults.reg et enregistre-le sur le Bureau.

**Si tu utilises FireFox : fais un clic droit sur le lien et choisis "Enregistrer la cible du lien sous..." , puis enregistre sur le Bureau.

• Double-clique sur le fichier téléchargé, et accepte de l'exécuter
  
• À l'invite "Voulez-vous vraiment ajouter les informations... au registre ?" : clique "Oui"
  

Redémarre à nouveau pour valider les changements (en mode Normal).

 

Dis-nous si ton parefeu fonctionne maintenant. S'il ne fonctionne toujours pas, alors je te conseille de le désinstaller, puis d'installer Kerio (de Sunbelt), que tu trouveras ici :

 

http://www.01net.com/windows/Internet/inte...ches/22418.html

 

Un très bon tuto ici (merci à Malekal_morte ) :

http://www.malekal.com/kerio_firewall.html

 

Repasse l'outil FindAWF, puis poste son nouveau rapport ici, avec un tout nouveau log HijackThis! s'il te plaît.

 

 

Bon succès

[OMthebest]

Salut,

 

Bon ben mon parefeu ne se lançait toujours pas depuis le menu démarer j'ai donc installé celui que tu m'a conseillé! Voila donc les 2 rapports demandés :

 

 

Find AWF report by noahdfear ©2006

 

 

21504 byte files found

~~~~~~~~~~~~~

 

 

 

21504 byte files sorted with strings

~~~~~~~~~~~~~~~~~~~~~

 

 

 

25600 byte files found

~~~~~~~~~~~~~

 

25600 "C:\Documents and Settings\Romain\usbsermptxp.sys"

 

 

25600 byte files sorted with strings

~~~~~~~~~~~~~~~~~~~~~

 

 

 

26450 byte files found

~~~~~~~~~~~~~

 

 

 

26450 byte files sorted with strings

~~~~~~~~~~~~~~~~~~~~~

 

 

 

bak folders found

~~~~~~~~~~~

 

Le volume dans le lecteur C s'appelle HDD

Le num‚ro de s‚rie du volume est F4E0-90A9

 

R‚pertoire de C:\APPS\ACTIVB~1\BAK

 

28/10/2006 08:50 <REP> .

28/10/2006 08:50 <REP> ..

03/05/2001 17:41 159ÿ744 MMKeybd.exe

1 fichier(s) 159ÿ744 octets

2 R‚p(s) 16ÿ537ÿ653ÿ248 octets libres

Le volume dans le lecteur C s'appelle HDD

Le num‚ro de s‚rie du volume est F4E0-90A9

 

R‚pertoire de C:\PROGRA~1\ANTIVI~1\BAK

 

28/10/2006 08:50 <REP> .

28/10/2006 08:50 <REP> ..

21/09/2006 18:15 241ÿ704 avgnt.exe

1 fichier(s) 241ÿ704 octets

2 R‚p(s) 16ÿ537ÿ653ÿ248 octets libres

Le volume dans le lecteur C s'appelle HDD

Le num‚ro de s‚rie du volume est F4E0-90A9

 

R‚pertoire de C:\PROGRA~1\EZTHEM~1\BAK

 

28/10/2006 08:50 <REP> .

28/10/2006 08:50 <REP> ..

0 fichier(s) 0 octets

2 R‚p(s) 16ÿ537ÿ649ÿ152 octets libres

Le volume dans le lecteur C s'appelle HDD

Le num‚ro de s‚rie du volume est F4E0-90A9

 

R‚pertoire de C:\PROGRA~1\ITUNES\BAK

 

28/10/2006 08:50 <REP> .

28/10/2006 08:50 <REP> ..

25/09/2006 13:54 229ÿ952 iTunesHelper.exe

1 fichier(s) 229ÿ952 octets

2 R‚p(s) 16ÿ537ÿ649ÿ152 octets libres

Le volume dans le lecteur C s'appelle HDD

Le num‚ro de s‚rie du volume est F4E0-90A9

 

R‚pertoire de C:\PROGRA~1\QUICKT~1\BAK

 

28/10/2006 08:50 <REP> .

28/10/2006 08:50 <REP> ..

24/09/2006 02:24 282ÿ624 qttask.exe

1 fichier(s) 282ÿ624 octets

2 R‚p(s) 16ÿ537ÿ649ÿ152 octets libres

Le volume dans le lecteur C s'appelle HDD

Le num‚ro de s‚rie du volume est F4E0-90A9

 

R‚pertoire de C:\PROGRA~1\SOFTPE~1\BAK

 

28/10/2006 08:50 <REP> .

28/10/2006 08:50 <REP> ..

15/07/2005 00:30 1ÿ328ÿ128 fw.exe

1 fichier(s) 1ÿ328ÿ128 octets

2 R‚p(s) 16ÿ537ÿ649ÿ152 octets libres

Le volume dans le lecteur C s'appelle HDD

Le num‚ro de s‚rie du volume est F4E0-90A9

 

R‚pertoire de C:\WINDOWS\SYSTEM32\BAK

 

04/01/2007 23:41 <REP> .

04/01/2007 23:41 <REP> ..

0 fichier(s) 0 octets

2 R‚p(s) 16ÿ537ÿ649ÿ152 octets libres

Le volume dans le lecteur C s'appelle HDD

Le num‚ro de s‚rie du volume est F4E0-90A9

 

R‚pertoire de C:\PROGRA~1\LOGITECH\VIDEO\BAK

 

28/10/2006 08:50 <REP> .

28/10/2006 08:50 <REP> ..

12/02/2004 15:57 188ÿ416 ISStart.exe

12/02/2004 15:59 77ÿ824 LogiTray.exe

2 fichier(s) 266ÿ240 octets

2 R‚p(s) 16ÿ537ÿ649ÿ152 octets libres

Le volume dans le lecteur C s'appelle HDD

Le num‚ro de s‚rie du volume est F4E0-90A9

 

R‚pertoire de C:\PROGRA~1\MOUSEW~1\SYSTEM\BAK

 

28/10/2006 08:50 <REP> .

28/10/2006 08:50 <REP> ..

24/08/2001 08:40 35ÿ328 EM_EXEC.EXE

1 fichier(s) 35ÿ328 octets

2 R‚p(s) 16ÿ537ÿ649ÿ152 octets libres

Le volume dans le lecteur C s'appelle HDD

Le num‚ro de s‚rie du volume est F4E0-90A9

 

R‚pertoire de C:\PROGRA~1\JAVA\JRE15~1.0_0\BIN\BAK

 

28/10/2006 08:50 <REP> .

28/10/2006 08:50 <REP> ..

10/11/2005 12:03 36ÿ975 jusched.exe

1 fichier(s) 36ÿ975 octets

2 R‚p(s) 16ÿ537ÿ649ÿ152 octets libres

 

 

Duplicate files of bak directory contents

~~~~~~~~~~~~~~~~~~~~~~~

 

159744 3 May 2001 "C:\APPS\ActivBoard\MMKeybd.exe"

159744 3 May 2001 "C:\APPS\ActivBoard\bak\MMKeybd.exe"

262184 16 Dec 2006 "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe"

241704 21 Sep 2006 "C:\Program Files\AntiVir PersonalEdition Classic\bak\avgnt.exe"

256576 30 Oct 2006 "C:\Program Files\iTunes\iTunesHelper.exe"

229952 25 Sep 2006 "C:\Program Files\iTunes\bak\iTunesHelper.exe"

102400 5 Nov 2006 "C:\WINDOWS\Installer\{446DBFFA-4088-48E3-8932-74316BA4CAE4}\iTunesIco.exe"

1262600 13 Dec 2006 "C:\Documents and Settings\Romain\Mes documents\Ma musique\iTunes\iTunes Music Library.xml.exe"

108096 30 Oct 2006 "C:\Documents and Settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 7.0.2.16\iTunesSetupAdmin.exe"

1034852 28 Jul 2006 "C:\Documents and Settings\Romain\Local Settings\Temporary Internet Files\Content.IE5\0PAR4YF4\iTunesSetup[1].exe"

282624 25 Oct 2006 "C:\Program Files\QuickTime\qttask.exe"

282624 24 Sep 2006 "C:\Program Files\QuickTime\bak\qttask.exe"

1328128 15 Jul 2005 "C:\Program Files\SoftPerfect Personal Firewall\bak\fw.exe"

188416 12 Feb 2004 "C:\Program Files\Logitech\Video\ISStart.exe"

188416 12 Feb 2004 "C:\Program Files\Logitech\Video\bak\ISStart.exe"

77824 12 Feb 2004 "C:\Program Files\Logitech\Video\LogiTray.exe"

77824 12 Feb 2004 "C:\Program Files\Logitech\Video\bak\LogiTray.exe"

35328 24 Aug 2001 "C:\Program Files\MouseWare\system\EM_EXEC.EXE"

35328 24 Aug 2001 "C:\Program Files\MouseWare\system\bak\EM_EXEC.EXE"

36975 10 Nov 2005 "C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe"

36975 10 Nov 2005 "C:\Program Files\Java\jre1.5.0_06\bin\bak\jusched.exe"

 

 

end of report

 

 

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 14:15:18, on 14/01/2007

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Apps\ActivBoard\nhksrv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

C:\Program Files\Logitech\Video\LogiTray.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\System32\atiptaxx.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\eurobarre\eb.exe

C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\LVComS.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\System32\WgaTray.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\notepad.exe

C:\Documents and Settings\Romain\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Planetis

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: BhoApp Class - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - C:\Program Files\WinBudget\bin\matrix.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [bitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized

O4 - HKCU\..\Run: [update Service] "C:\Program Files\Fichiers communs\Teknum Systems\update.exe" /startup

O4 - Startup: Eurobarre.lnk = C:\Program Files\eurobarre\eb.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.planetis.com/

O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppD...ap/PhtPkMSN.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Apps\ActivBoard\nhksrv.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe (file missing)

[Mark]

Bon Dimanche !, et merci pour les logs

 

Ça semble Ok maintenant. Il semble te rester un petit fichier à renommer par contre (de l'infection CurePCSolutions), qui est celui-ci :

 

C:\Documents and Settings\Romain\Mes documents\Ma musique\iTunes\iTunes Music Library.xml.exe

--------------------------------------------------

 

Ensuite, faisons un peu de ménage dans ces fichiers "en double" résultants de l'infection AWF ; tu peux supprimer les dossiers "bak" suivants, via l'Explorateur Windows :

 

C:\APPS\ActivBoard\bak <<

C:\Program Files\AntiVir PersonalEdition Classic\bak <<

C:\Program Files\iTunes\bak <<

C:\Program Files\QuickTime\bak <<

C:\Program Files\Logitech\Video\bak <<

C:\Program Files\MouseWare\system\bak <<

C:\Program Files\Java\jre1.5.0_06\bin\bak <<

 

Si tu as bien désinstallé "SoftPerfect Personal Firewall" par "Ajout/Supression de programmes" (Panneau de Config), alors tu peux supprimer ce dossier également :

 

C:\Program Files\SoftPerfect Personal Firewall <<

--------------------------------------------------------

 

Nous allons mettre ta machine Java à jour maintenant :

 

Va dans le Panneau de Configuration et double clique sur l'icône Java (tasse de café) ;

 

- Choisis l'onglet "Mise à jour" (au haut)

- Clique sur "Mettre à jour maintenant"

- La nouvelle version te sera proposée (5.0 Update 10) : installe-la s'il te plaît

- Quitte le panneau de config Java

- Du Panneau de Config (de Windows), va dans "Ajout/Suppression de programmes" ;

- Désinstalle/supprime toutes versions de Java antérieures à 5.0 Update 10, qui ressembleront à ceci:

 

J2SE Runtime Environment 5.0 Update 6

 

>> Ne garde que la Update 10

--------------------------------------------------------

 

Un dernier truc, et non le moindre... il faut mettre Windows à jour ! Tu n'as aucun Service Pack donc ton Windows est quasi 6 ans en retard sur les mises à jour critiques. Sans le Service Pack 2, ton ordi est extrêmement vulnérable aux attaques de toutes sortes. Visite donc Windows Update et installe toutes les mises à jour critiques. Sans ces mises à jour, ce n'est qu'une question de temps (très peu de temps..) avant que tu ne sois infecté à nouveau.

 

Dis -nous comment elle tourne ta bécane à présent Dans une dernière étape, je te ferai supprimer quelques outils que nous t'avons fait utiliser (qui ne sont plus nécessaires), et je te donnerai quelques conseils supplémentaires de sécurisation.

 

@+

Modifié le 14 janvier 2007 par Qc001

[OMthebest]

Salut,

 

Bon j'ai bien tout suprimé et mis a jour JAVA.

Pour ce qui est de la mise à jour du service Pack 2 je ne l'ai tout simplement pas installée car je n'ai pas réussit à le faire mais après les réparations que Bruce Lee et toi avez faites sur mon ordi j'ai rééssayé mais toujours le même message d'erreur apparaît après 20min d'instalation : "Erreur du programme d'installation du service Pack 2 Accès refusé", puis "L'installation du service Pack 2 ne s'est pas terminée : Windows XP a été mis à jour partiellement et pourrait ne pas fonctionner correctement."

[bruce lee]

salut OMthebest,

 

Pose cette question ici: http://forum.zebulon.fr/index.php?showforum=12