[Résolu] Infection par le faux anti-spyware CurePCSolution

[WILLIAM13]

voici le rapport HijackThis

 

Logfile of HijackThis v1.99.1

Scan saved at 14:48:42, on 12/01/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\system32\sysvx.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Fichiers communs\DataViz\DvzIncMsgr.exe

C:\WINDOWS\system32\basfipm.exe

C:\Program Files\Palm\Hotsync.exe

C:\Program Files\Dell\OpenManage\Client\Iap.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe

C:\WINDOWS\downloaded program files\EUS_QueueMgr.exe

C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe

C:\Program Files\RealVNC\WinVNC\WinVNC.exe

C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe

C:\WINDOWS\TEMP\FE5F5.EXE

C:\Documents and Settings\dessin\Bureau\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Microsoft Explorer - {3756900C-91CD-8645-BCA1-A735810F4101} - C:\WINDOWS\system\swtctl32.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\RealVNC\WinVNC\WinVNC.exe" -servicehelper

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sysvx.exe] C:\WINDOWS\system32\sysvx.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\Winsos\WINSOS.EXE" MINI

O4 - Startup: EUS_QueueMgr.lnk = ?

O4 - Startup: HotSync Manager.LNK = C:\Program Files\Palm\Hotsync.exe

O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe

O4 - Global Startup: DataViz Inc Messenger.lnk = C:\Program Files\Fichiers communs\DataViz\DvzIncMsgr.exe

O4 - Global Startup: HotSync Manager.lnk = C:\Program Files\Palm\Hotsync.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office Outlook 2003.lnk = ?

O4 - Global Startup: MS_update_0610_KB72306.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=67633

O16 - DPF: {51F428EC-EAA5-483F-86AE-AD9CE3A51C79} (EU-supply Upload Utility) - https://www.eu-supply.com/java/EUS_UploadMgr/EUS.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{784F665A-75D9-4442-8F2B-DAFB31B23FCD}: NameServer = 194.183.223.119,194.183.223.120

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Broadcom ASF IP monitoring service v6.0.4 (BAsfIpM) - Broadcom Corp. - C:\WINDOWS\system32\basfipm.exe

O23 - Service: Iap - Dell Inc - C:\Program Files\Dell\OpenManage\Client\Iap.exe

O23 - Service: Scan en temps réel OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe

O23 - Service: Pare-feu OfficeScanNT (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe

O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe

O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\RealVNC\WinVNC\WinVNC.exe" -service (file missing)

 

que dois je en penser

 

William

[regis56]

Bonsoir WILLIAM13 !

 

Ton infection est pour l'instant assez rare.

 

Je me renseigne auprès des pros pour te donner la meilleure marche à suivre !

 

A plus.

[WILLIAM13]

Bonsoir WILLIAM13 !

 

Ton infection est pour l'instant assez rare.

 

Je me renseigne auprès des pros pour te donner la meilleure marche à suivre !

 

A plus.

 

merci c'est sympa

a+ pour de bonnes nouvelles j'espère

[regis56]

Re

 

On va commencer comme ceci STP

 

Télécharge FindAWF.exe (par Noahdfear) sur ton Bureau.

 

- Double-clique FindAWF.exe

- Un fichier texte sera produit et s'affichera à l'écran (awf.txt)

- Copie/colle le contenu du fichier dans ta prochaine réponse.

 

A plus.

[WILLIAM13]

Re

 

On va commencer comme ceci STP

 

Télécharge FindAWF.exe (par Noahdfear) sur ton Bureau.

 

- Double-clique FindAWF.exe

- Un fichier texte sera produit et s'affichera à l'écran (awf.txt)

- Copie/colle le contenu du fichier dans ta prochaine réponse.

 

A plus.

voila le résultat :

 

 

Find AWF report by noahdfear ©2006

 

 

21504 byte files found

~~~~~~~~~~~~~

 

21504 "C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\MS_update_0610_KB72306.exe"

 

 

21504 byte files sorted with strings

~~~~~~~~~~~~~~~~~~~~~

 

 

 

25600 byte files found

~~~~~~~~~~~~~

 

 

 

25600 byte files sorted with strings

~~~~~~~~~~~~~~~~~~~~~

 

 

 

26450 byte files found

~~~~~~~~~~~~~

 

 

 

26450 byte files sorted with strings

~~~~~~~~~~~~~~~~~~~~~

 

 

 

bak folders found

~~~~~~~~~~~

 

Le volume dans le lecteur C n'a pas de nom.

Le num‚ro de s‚rie du volume est 2037-4CEE

 

R‚pertoire de C:\DOCUME~1\DESSIN\MESDOC~1\DESSINS\DOEWUL~1\PLANSD~1\PLANS.BAK

 

26/04/2005 17:16 <REP> .

26/04/2005 17:16 <REP> ..

28/02/2005 13:58 334ÿ111 Bat C rue Cdt Rolland.bak

25/01/2005 16:36 138ÿ337 Cartouche Wulfram Puget.bak

07/11/2004 18:44 112ÿ805 d‚tail d‚bitage.bak

10/09/2004 16:47 248ÿ472 Pignons Ouest chainages bt A.bak

15/02/2005 10:38 662ÿ857 Soubassement bat. C.bak

26/04/2005 17:01 929ÿ977 Wulfram Puget fa‡ade arriŠre batiment C.bak

28/02/2005 13:34 686ÿ485 Wulfram Puget fa‡ade haute rue Wulfram Puget.bak

28/02/2005 13:40 635ÿ432 Wulfram Puget facades hautes bat A et B.bak

28/02/2005 13:49 496ÿ746 Wulfram Puget Hall A.bak

09/03/2005 17:23 372ÿ298 Wulfram Puget Hall B.bak

21/03/2005 07:14 503ÿ469 Wulfram Puget Hall C.bak

26/04/2005 17:05 753ÿ591 Wulfram Puget soubassement bat A et B.bak

12 fichier(s) 5ÿ874ÿ580 octets

2 R‚p(s) 71ÿ054ÿ708ÿ736 octets libres

 

 

Duplicate files of bak directory contents

~~~~~~~~~~~~~~~~~~~~~~~

 

334111 28 Feb 2005 "C:\Documents and Settings\dessin\Mes documents\DESSINS\DOE Wulfram Puget\Plans DWG\plans.bak\Bat C rue Cdt Rolland.bak"

153358 23 Jun 2005 "C:\Documents and Settings\dessin\Mes documents\DESSINS\DOE Wulfram Puget\Plans DWG\Cartouche Wulfram Puget pour DOE.bak"

1134622 21 Nov 2005 "C:\Documents and Settings\dessin\Mes documents\DESSINS\Viaduc LOUBAT\Divers\Cartouche LOUBAT Rocamat.bak"

138337 25 Jan 2005 "C:\Documents and Settings\dessin\Mes documents\DESSINS\DOE Wulfram Puget\Plans DWG\plans.bak\Cartouche Wulfram Puget.bak"

112805 7 Nov 2004 "C:\Documents and Settings\dessin\Mes documents\DESSINS\DOE Wulfram Puget\Plans DWG\plans.bak\d‚tail d‚bitage.bak"

248472 10 Sep 2004 "C:\Documents and Settings\dessin\Mes documents\DESSINS\DOE Wulfram Puget\Plans DWG\plans.bak\Pignons Ouest chainages bt A.bak"

662857 15 Feb 2005 "C:\Documents and Settings\dessin\Mes documents\DESSINS\DOE Wulfram Puget\Plans DWG\plans.bak\Soubassement bat. C.bak"

496746 28 Feb 2005 "C:\Documents and Settings\dessin\Mes documents\DESSINS\DOE Wulfram Puget\Plans DWG\plans.bak\Wulfram Puget Hall A.bak"

372298 9 Mar 2005 "C:\Documents and Settings\dessin\Mes documents\DESSINS\DOE Wulfram Puget\Plans DWG\plans.bak\Wulfram Puget Hall B.bak"

503469 21 Mar 2005 "C:\Documents and Settings\dessin\Mes documents\DESSINS\DOE Wulfram Puget\Plans DWG\plans.bak\Wulfram Puget Hall C.bak"

753591 26 Apr 2005 "C:\Documents and Settings\dessin\Mes documents\DESSINS\DOE Wulfram Puget\Plans DWG\plans.bak\Wulfram Puget soubassement bat A et B.bak"

929977 26 Apr 2005 "C:\Documents and Settings\dessin\Mes documents\DESSINS\DOE Wulfram Puget\Plans DWG\plans.bak\Wulfram Puget fa‡ade arriŠre batiment C.bak"

686485 28 Feb 2005 "C:\Documents and Settings\dessin\Mes documents\DESSINS\DOE Wulfram Puget\Plans DWG\plans.bak\Wulfram Puget fa‡ade haute rue Wulfram Puget.bak"

635432 28 Feb 2005 "C:\Documents and Settings\dessin\Mes documents\DESSINS\DOE Wulfram Puget\Plans DWG\plans.bak\Wulfram Puget facades hautes bat A et B.bak"

 

 

end of report

[regis56]

Re

 

J'attend une confirmation avant de poursuivre.

 

A plus.

[regis56]

Re

 

Fais ceci maintenant STP

 

Télécharge Dr.Web CureIt sur ton Bureau:

ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

• Double clique drweb-cureit.exe et accepte le lancement du "Express Scan"
  
• Ce scan rapide permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, clique le bouton "Yes" à l'invite.
  
• Lorsque le scan rapide est terminé, Clique sur Options >> Change settings;
  
• Choisis l'onglet "Scan", et décoche "Heuristic analysis".
  
• De retour à la fenêtre principale : active (coche) les lecteurs qui doivent être scannés;
  
• Choisis tous les lecteurs. Un point rouge t'indiquera les lecteurs sélectionnés.
  
• Clique la flèche verte sur la droite, et le scan débutera.
  
• Clique Yes to all à l'invite de "cure/move" le fichier détecté.
  
• Lorsque le scan sera complété, regarde si tu peux cliquer sur cet icône, adjacent aux fichiers détectés :
  
• Si oui, alors clique dessus et ensuite clique sur l'icône "Next", au dessous, et choisis Move incurable, tel que présenté dans cette image:
  
  
• Du menu principal de l'outil, au haut à gauche, clique sur le menu File et choisis Save report list
  
• Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
  
• Ferme Dr.Web Cureit
  
• Redémarre ton ordi (*très important*), car certains fichiers peuvent être déplacés/réparés au redémarrage.
  
• Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse.
  

Un tuto en images complet est disponible ici (merci à Malekal_morte):

http://www.malekal.com/tutorial_DrWebCureIt.php

 

A plus.

[WILLIAM13]

Re

 

Fais ceci maintenant STP

 

Télécharge Dr.Web CureIt sur ton Bureau:

ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

• Double clique drweb-cureit.exe et accepte le lancement du "Express Scan"
  
• Ce scan rapide permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, clique le bouton "Yes" à l'invite.
  
• Lorsque le scan rapide est terminé, Clique sur Options >> Change settings;
  
• Choisis l'onglet "Scan", et décoche "Heuristic analysis".
  
• De retour à la fenêtre principale : active (coche) les lecteurs qui doivent être scannés;
  
• Choisis tous les lecteurs. Un point rouge t'indiquera les lecteurs sélectionnés.
  
• Clique la flèche verte sur la droite, et le scan débutera.
  
• Clique Yes to all à l'invite de "cure/move" le fichier détecté.
  
• Lorsque le scan sera complété, regarde si tu peux cliquer sur cet icône, adjacent aux fichiers détectés :
  
• Si oui, alors clique dessus et ensuite clique sur l'icône "Next", au dessous, et choisis Move incurable, tel que présenté dans cette image:
  
  
• Du menu principal de l'outil, au haut à gauche, clique sur le menu File et choisis Save report list
  
• Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
  
• Ferme Dr.Web Cureit
  
• Redémarre ton ordi (*très important*), car certains fichiers peuvent être déplacés/réparés au redémarrage.
  
• Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse.
  

Un tuto en images complet est disponible ici (merci à Malekal_morte):

http://www.malekal.com/tutorial_DrWebCureIt.php

 

A plus.

voila le rapport :

ms_update_0610_kb72306.exe c:\documents and settings\all users\menu démarrer\programmes\démarrage Trojan.DownLoader.16941 Supprimé.

winvnc.exe c:\program files\realvnc\winvnc Program.RemoteAdmin Irréparable.Sera déplacé en quarantaine après le redémarrage de l'ordinateur.

fe5f5.exe c:\windows\temp Probablement BACKDOOR.Trojan Irréparable.Sera déplacé en quarantaine après le redémarrage de l'ordinateur.

ETUDE DE PRIX COGEDIM DEFINITIF.xls.exe C:\Documents and Settings\dessin\Mes documents\fichiers infectes Trojan.Encoder.10 Désinfecté.

ETUDE DE PRIX HOTEL IBIS MARTIGUES.xls.exe C:\Documents and Settings\dessin\Mes documents\fichiers infectes Trojan.Encoder.10 Désinfecté.

ETUDE DE PRIX MAISON DE L'ENTREPRISE CLERMONT L'HERAULT.xls.exe C:\Documents and Settings\dessin\Mes documents\fichiers infectes Trojan.Encoder.10 Désinfecté.

ETUDE DE PRIX PIERRES ET VACANCES.xls.exe C:\Documents and Settings\dessin\Mes documents\fichiers infectes Trojan.Encoder.10 Désinfecté.

ETUDE DE PRIX SIEGE CAOEB MARTIGUES.xls.exe C:\Documents and Settings\dessin\Mes documents\fichiers infectes Trojan.Encoder.10 Désinfecté.

ETUDE DE PRIX SIFER.xls.exe C:\Documents and Settings\dessin\Mes documents\fichiers infectes Trojan.Encoder.10 Désinfecté.

ETUDE DE PRIX VILLA DAUNOU EXTERIEUR 2.xls.exe C:\Documents and Settings\dessin\Mes documents\fichiers infectes Trojan.Encoder.10 Désinfecté.

MEMOTECHNIQUE Immeuble de bureaux Montpellier en VALREUIL.doc.exe C:\Documents and Settings\dessin\Mes documents\fichiers infectes Trojan.Encoder.10 Désinfecté.

MEMOTECHNIQUE MEUNIER PROMOTION.doc.exe C:\Documents and Settings\dessin\Mes documents\fichiers infectes Trojan.Encoder.10 Désinfecté.

RECAO LEOUBE.xls.exe C:\Documents and Settings\dessin\Mes documents\fichiers infectes Trojan.Encoder.10 Désinfecté.

TEMMER-OFFER.eml.exe C:\Documents and Settings\dessin\Mes documents\fichiers infectes Trojan.Encoder.10 Désinfecté.

vncviewer.exe C:\Program Files\RealVNC Program.RemoteAdmin Irréparable.Quarantaine.

vnchooks.dll C:\Program Files\RealVNC\WinVNC Program.RemoteAdmin Irréparable.Quarantaine.

winvnc.exe C:\Program Files\RealVNC\WinVNC Program.RemoteAdmin Irréparable.Quarantaine.

A0000652.exe C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP6 Trojan.Encoder.10 Désinfecté.

A0000667.exe C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP6 Trojan.Encoder.10 Désinfecté.

A0000668.exe C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP6 Trojan.Encoder.10 Désinfecté.

A0000669.exe C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP6 Trojan.Encoder.10 Désinfecté.

A0000670.exe C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP6 Trojan.Encoder.10 Désinfecté.

A0000671.exe C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP6 Trojan.Encoder.10 Désinfecté.

A0000672.exe C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP6 Trojan.Encoder.10 Désinfecté.

A0000673.exe C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP6 Trojan.Encoder.10 Désinfecté.

A0000674.exe C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP6 Trojan.Encoder.10 Désinfecté.

A0000675.exe C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP6 Trojan.Encoder.10 Désinfecté.

A0000676.exe C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP6 Trojan.Encoder.10 Désinfecté.

A0000677.exe C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP6 Trojan.Encoder.10 Désinfecté.

A0001111.exe C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP9 Trojan.DownLoader.16941 Supprimé.

vajsdaaa.exe C:\WINDOWS\system32 Trojan.DownLoader.17087 Supprimé.

[WILLIAM13]

voila le rapport :

ms_update_0610_kb72306.exe c:\documents and settings\all users\menu démarrer\programmes\démarrage Trojan.DownLoader.16941 Supprimé.

winvnc.exe c:\program files\realvnc\winvnc Program.RemoteAdmin Irréparable.Sera déplacé en quarantaine après le redémarrage de l'ordinateur.

fe5f5.exe c:\windows\temp Probablement BACKDOOR.Trojan Irréparable.Sera déplacé en quarantaine après le redémarrage de l'ordinateur.

ETUDE DE PRIX COGEDIM DEFINITIF.xls.exe C:\Documents and Settings\dessin\Mes documents\fichiers infectes Trojan.Encoder.10 Désinfecté.

ETUDE DE PRIX HOTEL IBIS MARTIGUES.xls.exe C:\Documents and Settings\dessin\Mes documents\fichiers infectes Trojan.Encoder.10 Désinfecté.

ETUDE DE PRIX MAISON DE L'ENTREPRISE CLERMONT L'HERAULT.xls.exe C:\Documents and Settings\dessin\Mes documents\fichiers infectes Trojan.Encoder.10 Désinfecté.

ETUDE DE PRIX PIERRES ET VACANCES.xls.exe C:\Documents and Settings\dessin\Mes documents\fichiers infectes Trojan.Encoder.10 Désinfecté.

ETUDE DE PRIX SIEGE CAOEB MARTIGUES.xls.exe C:\Documents and Settings\dessin\Mes documents\fichiers infectes Trojan.Encoder.10 Désinfecté.

ETUDE DE PRIX SIFER.xls.exe C:\Documents and Settings\dessin\Mes documents\fichiers infectes Trojan.Encoder.10 Désinfecté.

ETUDE DE PRIX VILLA DAUNOU EXTERIEUR 2.xls.exe C:\Documents and Settings\dessin\Mes documents\fichiers infectes Trojan.Encoder.10 Désinfecté.

MEMOTECHNIQUE Immeuble de bureaux Montpellier en VALREUIL.doc.exe C:\Documents and Settings\dessin\Mes documents\fichiers infectes Trojan.Encoder.10 Désinfecté.

MEMOTECHNIQUE MEUNIER PROMOTION.doc.exe C:\Documents and Settings\dessin\Mes documents\fichiers infectes Trojan.Encoder.10 Désinfecté.

RECAO LEOUBE.xls.exe C:\Documents and Settings\dessin\Mes documents\fichiers infectes Trojan.Encoder.10 Désinfecté.

TEMMER-OFFER.eml.exe C:\Documents and Settings\dessin\Mes documents\fichiers infectes Trojan.Encoder.10 Désinfecté.

vncviewer.exe C:\Program Files\RealVNC Program.RemoteAdmin Irréparable.Quarantaine.

vnchooks.dll C:\Program Files\RealVNC\WinVNC Program.RemoteAdmin Irréparable.Quarantaine.

winvnc.exe C:\Program Files\RealVNC\WinVNC Program.RemoteAdmin Irréparable.Quarantaine.

A0000652.exe C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP6 Trojan.Encoder.10 Désinfecté.

A0000667.exe C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP6 Trojan.Encoder.10 Désinfecté.

A0000668.exe C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP6 Trojan.Encoder.10 Désinfecté.

A0000669.exe C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP6 Trojan.Encoder.10 Désinfecté.

A0000670.exe C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP6 Trojan.Encoder.10 Désinfecté.

A0000671.exe C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP6 Trojan.Encoder.10 Désinfecté.

A0000672.exe C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP6 Trojan.Encoder.10 Désinfecté.

A0000673.exe C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP6 Trojan.Encoder.10 Désinfecté.

A0000674.exe C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP6 Trojan.Encoder.10 Désinfecté.

A0000675.exe C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP6 Trojan.Encoder.10 Désinfecté.

A0000676.exe C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP6 Trojan.Encoder.10 Désinfecté.

A0000677.exe C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP6 Trojan.Encoder.10 Désinfecté.

A0001111.exe C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP9 Trojan.DownLoader.16941 Supprimé.

vajsdaaa.exe C:\WINDOWS\system32 Trojan.DownLoader.17087 Supprimé.

par contre mes fichiers ne sont toujours pas utilisables !!!!!!

[Mark]

Bonsoir William,

 

C'est normal que tu ne puisses ouvrir les fichiers à ce stade-ci. Il reste une manip à faire afin de les récupérer. Régis est absent pour l'instant, mais il te postera ce qu'il faut faire. L'outil CureIt a bien bossé.

 

Pourrais-tu poster un nouveau log HijackThis! en attente de Régis s'il te plaît ? Merci...

 

Bonne continuation.