Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[RESOLU] Plus d'antivirus et d'antispywares: infection Bagle

Dersou1

Par Dersou1
dans Analyses et éradication malwares

 Partager

Messages recommandés

Dersou1 Member

Dersou1

Posté(e)
  • Auteur
Posté(e)

Bonsoir.

 

Fichier pi2srv.exe, toujours introuvable, même avec les options de recherches que tu indiques.

La clef existe bien là où l'indique le scan de ComboFix mais je ne vois pas le fichier.

Je croyais que Ccleaner nettoyait ce genre de clef orpheline ???

La recherche sur Google ne donne absolument rien.

Je laisse la clef ? Je la vire ? Je change le nom du fichier en pi2srv.exe2 ?

 

- - - - - - - - - -

 

Log HijackThis :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:43, on 12/01/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Utilities\Security\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Utilities\Security\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\Internet\No-IP\DUC20.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Internet\RA\RaMaint.exe

C:\Program Files\Internet\RA\RemotelyAnywhere.exe

C:\Program Files\Internet\sambar70\bin\ntserver.exe

C:\Program Files\Spyware Terminator\sp_rsser.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Internet\UltraVNC\WinVNC.exe

C:\Program Files\Canon\CAL\CALMAIN.exe

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\PROGRA~1\UTILIT~1\MImpPRO\MIProHst.exe

C:\Program Files\Peripheriques\Logitech\iTouch\iTouch.exe

C:\Program Files\Internet\RA\RAGui.exe

C:\Program Files\Internet\FTP\Full Présence\full_presence.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe

C:\WINDOWS\system32\RunDLL32.exe

C:\Program Files\Utilities\Unlocker\UnlockerAssistant.exe

C:\Program Files\Audio\Winamp\winampa.exe

C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe

C:\Program Files\Utilities\Security\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Utilities\Security\Ashampoo FireWall\FireWall.exe

C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Program Files\Internet\FTP\CuteFTP\TE\ftpte.exe

C:\Program Files\Internet\ICQ\ICQ.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Utilities\WinBar\WinBar.exe

C:\Program Files\Utilities\Xplorer²\xplorer2_UC.exe

C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Internet\Firefox\firefox.exe

C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrobat.exe

C:\Program Files\Internet\FTP\FileZilla Server\FileZilla Server Interface.exe

C:\Program Files\Internet\FTP\FileZilla Server\FileZilla Server.exe

C:\Program Files\Internet\FTP\BPFTP Server\bpftpserver.exe

C:\Program Files\Internet\FTP\CuteFTP\cftppro.exe

C:\WINDOWS\system32\taskmgr.exe

C:\WINDOWS\regedit.exe

C:\HijackThis\HijackThis.exe

 

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll

O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: (no name) - {724d43a0-0d85-11d4-9908-00400523e39a} - (no file)

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install

O4 - HKLM\..\Run: [sW20] C:\WINDOWS\system32\sw20.exe

O4 - HKLM\..\Run: [sW24] C:\WINDOWS\system32\sw24.exe

O4 - HKLM\..\Run: [MImpPro] C:\PROGRA~1\UTILIT~1\MImpPRO\MIProHst.exe

O4 - HKLM\..\Run: [NeroFilterCheck] "C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe"

O4 - HKLM\..\Run: [zBrowser Launcher] "C:\Program Files\Peripheriques\Logitech\iTouch\iTouch.exe"

O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\Internet\UltraVNC\WinVNC.exe" -servicehelper

O4 - HKLM\..\Run: [RemotelyAnywhere GUI] "C:\Program Files\Internet\RA\RAGui.exe"

O4 - HKLM\..\Run: [full_presence] "C:\Program Files\Internet\FTP\Full Présence\full_presence.exe"

O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM

O4 - HKLM\..\Run: [NvMediaCenter] "RunDLL32.exe" NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Utilities\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Audio\Winamp\winampa.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Utilities\Security\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Program Files\Utilities\Security\Ashampoo FireWall\FireWall.exe" -TRAY

O4 - HKLM\..\Run: [spywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [FileZilla Server Interface] "C:\Program Files\Internet\FTP\FileZilla Server\FileZilla Server Interface.exe"

O4 - HKCU\..\Run: [CuteFTP Pro TE] "C:\Program Files\Internet\FTP\CuteFTP\TE\ftpte.exe"

O4 - HKCU\..\Run: [iCQ] "C:\Program Files\Internet\ICQ\ICQ.exe" silent

O4 - HKCU\..\Run: [RoboForm] "C:\Program Files\Internet\RoboForm\RoboTaskBarIcon.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: Raccourci vers winampa.lnk = C:\Program Files\Audio\Winamp\winampa.exe

O4 - Startup: WinBar.lnk = C:\Program Files\Utilities\WinBar\WinBar.exe

O4 - Startup: xplorer2.lnk = ?

O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Internet\RoboForm\RoboFormComShowToolbar.html

O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://c:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Internet\RoboForm\RoboFormComSavePass.html

O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Internet\RoboForm\RoboFormComCustomizeIEMenu.html

O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Internet\RoboForm\RoboFormComFillForms.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Internet\RoboForm\RoboFormComFillForms.html

O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Internet\RoboForm\RoboFormComFillForms.html

O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Internet\RoboForm\RoboFormComSavePass.html

O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Internet\RoboForm\RoboFormComSavePass.html

O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Internet\RoboForm\RoboFormComShowToolbar.html

O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Internet\RoboForm\RoboFormComShowToolbar.html

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\Internet\ICQ\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\Internet\ICQ\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: http://www.msi.com.tw

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1195324487484

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1195324150015

O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab

O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://xyz-p:2000/activex/RACtrl.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{FEEF3D11-B89E-4957-A97D-3B23809FF073}: NameServer = 200.118.2.66,200.118.2.85,63.245.1.3

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Utilities\Security\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Utilities\Security\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: BPFTPServer - Unknown owner - C:\Program Files\Internet\FTP\BPFTP Server\bpftpserver-service.exe (file missing)

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe

O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Program Files\Internet\FTP\FileZilla Server\FileZilla Server.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Audio\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

O23 - Service: NoIPDUCService - Vitalwerks LLC - C:\Program Files\Internet\No-IP\DUC20.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: RemotelyAnywhere Maintenance Service (RAMaint) - LogMeIn, Inc. - C:\Program Files\Internet\RA\RaMaint.exe

O23 - Service: RemotelyAnywhere - LogMeIn, Inc. - C:\Program Files\Internet\RA\RemotelyAnywhere.exe

O23 - Service: Sambar Server - Unknown owner - C:\Program Files\Internet\sambar70\bin\ntserver.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

O23 - Service: VNC Server (winvnc) - www.ultravnc.fr - C:\Program Files\Internet\UltraVNC\WinVNC.exe

 

--

End of file - 13057 bytes

 

- - - - - - - -

 

BulletProof FTP Serveur, supprimé et remplacé par FileZillaServer

 

- - - - - - - - - -

 

Scan Antivir :

 

 

 

AntiVir PersonalEdition Classic

Report file date: samedi 12 janvier 2008 16:44

 

Scanning for 1027920 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Username: SYSTEM

Computer name: XYZ-P

 

Version information:

BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00

AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 19:16:29

AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 18:23:51

LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 21:32:47

LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 18:35:20

ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 20:27:15

ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 13:57:47

ANTIVIR2.VDF : 7.0.1.205 620544 Bytes 08/01/2008 13:56:12

ANTIVIR3.VDF : 7.0.1.227 161280 Bytes 11/01/2008 00:32:22

AVEWIN32.DLL : 7.6.0.46 3084800 Bytes 05/01/2008 13:57:47

AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 16:36:26

AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 13:39:17

AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 19:16:24

AVPACK32.DLL : 7.6.0.2 360488 Bytes 05/01/2008 13:57:47

AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 13:17:06

AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 18:26:33

AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 13:10:18

NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 17:09:42

RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 18:38:13

RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 18:50:37

SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 15:37:21

 

Configuration settings for the scan:

Jobname..........................: Complete system scan

Configuration file...............: c:\program files\utilities\security\avira\antivir personaledition classic\sysscan.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: on

Scan boot sector.................: on

Boot sectors.....................: M:,

Scan memory......................: on

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: on

Scan all files...................: Intelligent file selection

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,

Macro heuristic..................: on

File heuristic...................: medium

Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR,

 

Start of the scan: samedi 12 janvier 2008 16:44

 

Starting search for hidden objects.

'41481' objects were checked, '0' hidden objects were found.

 

The scan of running processes will be started

Scan process 'regedit.exe' - '1' Module(s) have been scanned

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'taskmgr.exe' - '1' Module(s) have been scanned

Scan process 'cftppro.exe' - '1' Module(s) have been scanned

Scan process 'bpftpserver.EXE' - '1' Module(s) have been scanned

Scan process 'FileZilla server.exe' - '1' Module(s) have been scanned

Scan process 'FileZilla Server Interface.exe' - '1' Module(s) have been scanned

Scan process 'Acrobat.exe' - '1' Module(s) have been scanned

Scan process 'firefox.exe' - '1' Module(s) have been scanned

Scan process 'wuauclt.exe' - '1' Module(s) have been scanned

Scan process 'FNPLicensingService.exe' - '1' Module(s) have been scanned

Scan process 'xplorer2_UC.exe' - '1' Module(s) have been scanned

Scan process 'WinBar.exe' - '1' Module(s) have been scanned

Scan process 'ctfmon.exe' - '1' Module(s) have been scanned

Scan process 'ICQ.exe' - '1' Module(s) have been scanned

Scan process 'ftpte.exe' - '1' Module(s) have been scanned

Scan process 'jusched.exe' - '1' Module(s) have been scanned

Scan process 'Spywareterminatorshield.Exe' - '1' Module(s) have been scanned

Scan process 'FireWall.exe' - '1' Module(s) have been scanned

Scan process 'avgnt.exe' - '1' Module(s) have been scanned

Scan process 'acrotray.exe' - '1' Module(s) have been scanned

Scan process 'winampa.exe' - '1' Module(s) have been scanned

Scan process 'UnlockerAssistant.exe' - '1' Module(s) have been scanned

Scan process 'rundll32.exe' - '1' Module(s) have been scanned

Scan process 'fpdisp5a.exe' - '1' Module(s) have been scanned

Scan process 'full_presence.exe' - '1' Module(s) have been scanned

Scan process 'ragui.exe' - '1' Module(s) have been scanned

Scan process 'iTouch.exe' - '1' Module(s) have been scanned

Scan process 'MIProHst.exe' - '1' Module(s) have been scanned

Scan process 'soundman.exe' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'rundll32.exe' - '1' Module(s) have been scanned

Scan process 'alg.exe' - '1' Module(s) have been scanned

Scan process 'CALMAIN.exe' - '1' Module(s) have been scanned

Scan process 'winvnc.exe' - '1' Module(s) have been scanned

Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'sp_rsser.exe' - '1' Module(s) have been scanned

Scan process 'ntserver.exe' - '1' Module(s) have been scanned

Scan process 'RemotelyAnywhere.exe' - '1' Module(s) have been scanned

Scan process 'ramaint.exe' - '1' Module(s) have been scanned

Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned

Scan process 'DUC20.exe' - '1' Module(s) have been scanned

Scan process 'mDNSResponder.exe' - '1' Module(s) have been scanned

Scan process 'sched.exe' - '1' Module(s) have been scanned

Scan process 'avguard.exe' - '1' Module(s) have been scanned

Scan process 'spoolsv.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

57 processes with 57 modules were scanned

 

Starting master boot sector scan:

Master boot sector HD0

[NOTE] No virus was found!

Master boot sector HD1

[NOTE] No virus was found!

Master boot sector HD2

[NOTE] No virus was found!

Master boot sector HD3

[NOTE] No virus was found!

 

Start scanning boot sectors:

Boot sector 'C:\'

[NOTE] No virus was found!

Boot sector 'D:\'

[NOTE] No virus was found!

Boot sector 'E:\'

[NOTE] No virus was found!

Boot sector 'F:\'

[NOTE] No virus was found!

Boot sector 'M:\'

[NOTE] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( '25' files ).

 

 

Starting the file scan:

 

Begin scan in 'C:\'

C:\Muestras.rar

[0] Archive type: RAR

--> Muestras\SROSA.SYS.Muestra EliBagle v10.81

[DETECTION] Is the Trojan horse TR/Rootkit.Gen

[iNFO] The file was moved to '47ee35ad.qua'!

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\WINDOWS\NirCmd.exe

[DETECTION] Contains detection pattern of the application APPL/NirCmd.3

[iNFO] The file was moved to '47fb3ebc.qua'!

Begin scan in 'D:\' <D>

D:\Ce-Jour\ComboFix.exe

[0] Archive type: RAR SFX (self extracting)

--> nircmd.exe

[DETECTION] Contains detection pattern of the application APPL/NirCmd.3

--> nircmd.cfexe

[DETECTION] Contains detection pattern of the application APPL/NirCmd.3

[iNFO] The file was moved to '47f64022.qua'!

D:\ProgSave\Utilities\Security\Avast\Avast.4.7.1043_keygen.rar

[0] Archive type: RAR

--> keygen.exe

[DETECTION] Contains detection pattern of the worm WORM/SdBot.136192.A

[iNFO] The file was moved to '47ea4e68.qua'!

D:\ProgSave\Utilities\Security\Avast\Avast.Pro.v4.7.1043.Incl.Keymaker-CORE.rar

[0] Archive type: RAR

--> keygen.exe

[DETECTION] Contains detection pattern of the worm WORM/SdBot.136192.A

[iNFO] The file was moved to '47ea4e74.qua'!

Begin scan in 'E:\' <eMule>

E:\RECYCLER\S-1-5-21-1960408961-1788223648-725345543-1003\De2.ace

[0] Archive type: ACE

--> Video voir en premier.avi

[WARNING] Error creating the file

--> Le concept.doc

[WARNING] No further files can be extracted from this archive. The archive will be closed

[WARNING] No further files can be extracted from this archive. The archive will be closed

E:\Zique\Graeme Allwright - Masterseries - 3Cd Mp3 Full Album Covers.ace

[0] Archive type: ACE

--> [mas][graeme_allwright.masterseries_3cd][vbr_mp3_full_album_covers]\cd11 - Emmne-moi.mp3

[WARNING] Error creating the file

--> [mas][graeme_allwright.masterseries_3cd][vbr_mp3_full_album_covers]\cd32 - Vagabondage.mp3

[WARNING] No further files can be extracted from this archive. The archive will be closed

[WARNING] No further files can be extracted from this archive. The archive will be closed

Begin scan in 'F:\' <F>

Begin scan in 'M:\' <M>

 

 

End of the scan: samedi 12 janvier 2008 22:06

Used time: 5:21:45 min

 

The scan has been done completely.

 

24347 Scanning directories

1247002 Files were scanned

6 viruses and/or unwanted programs were found

0 Files were classified as suspicious:

0 files were deleted

0 files were repaired

5 files were moved to quarantine

0 files were renamed

1 Files cannot be scanned

1246996 Files not concerned

12737 Archives were scanned

16 Warnings

80 Notes

41481 Objects were scanned with rootkit scan

0 Hidden objects were found

 

 

=> J'ai supprimé tout ce que j'avais d'Avast

=> Antivir n'aime décidement pas ComboFix....

 

- - - - - - - - - - -

 

Scan Ewido :

 

__________________________________________________

ewido anti-spyware online scanner

http://www.ewido.net

__________________________________________________

 

 

Name: TrackingCookie.Adviva

Path: :mozilla.21:C:\Documents and Settings\Papa\Application Data\Mozilla\Firefox\Profiles\edw9uyqk.default\cookies.txt

Risk: Medium

 

Name: TrackingCookie.Smartadserver

Path: :mozilla.22:C:\Documents and Settings\Papa\Application Data\Mozilla\Firefox\Profiles\edw9uyqk.default\cookies.txt

Risk: Medium

 

Name: TrackingCookie.Smartadserver

Path: :mozilla.32:C:\Documents and Settings\Papa\Application Data\Mozilla\Firefox\Profiles\edw9uyqk.default\cookies.txt

Risk: Medium

 

Name: TrackingCookie.Smartadserver

Path: :mozilla.33:C:\Documents and Settings\Papa\Application Data\Mozilla\Firefox\Profiles\edw9uyqk.default\cookies.txt

Risk: Medium

 

Name: TrackingCookie.Smartadserver

Path: :mozilla.34:C:\Documents and Settings\Papa\Application Data\Mozilla\Firefox\Profiles\edw9uyqk.default\cookies.txt

Risk: Medium

 

Name: TrackingCookie.Statcounter

Path: :mozilla.38:C:\Documents and Settings\Papa\Application Data\Mozilla\Firefox\Profiles\edw9uyqk.default\cookies.txt

Risk: Medium

 

- - - - - - - - -

 

Scan de BlackLight :

 

01/13/08 08:02:46 [info]: BlackLight Engine 1.0.67 initialized

01/13/08 08:02:46 [info]: OS: 5.1 build 2600 (Service Pack 2)

01/13/08 08:02:46 [Note]: 7019 4

01/13/08 08:02:46 [Note]: 7005 0

01/13/08 08:06:10 [Note]: 7006 0

01/13/08 08:06:12 [Note]: 7011 2720

01/13/08 08:06:13 [Note]: 7026 0

01/13/08 08:06:14 [Note]: 7026 0

01/13/08 08:06:16 [Note]: FSRAW library version 1.7.1024

01/13/08 08:08:05 [Note]: 2000 1012

01/13/08 08:08:05 [Note]: 2000 1012

01/13/08 08:23:05 [Note]: 7006 0

01/13/08 08:23:07 [Note]: 7011 2720

01/13/08 08:23:09 [Note]: 7026 0

01/13/08 08:23:09 [Note]: 7026 0

01/13/08 08:23:11 [Note]: FSRAW library version 1.7.1024

01/13/08 08:23:22 [Note]: 7007 0

 

- - - - - - - -

 

Voila :P

 

J'attends tes instructions pour la suite.

Merci encore.

oGu Godlike Member

oGu

Posté(e)
Posté(e) (modifié)

Salut!

 

Fichier pi2srv.exe, toujours introuvable, même avec les options de recherches que tu indiques.

 

Je croyais que Ccleaner nettoyait ce genre de clef orpheline ???

La recherche sur Google ne donne absolument rien.Je laisse la clef ? Je la vire ? Je change le nom du fichier en pi2srv.exe2 ?

 

On va la supprimer, CCleaner (comme tout les nettoyeurs de registre) ne détecte pas toutes les clés orphelines:

  • Copie ce code:
    Windows Registry Editor Version 5.00

 [-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{DB749F5C-4E5A-9303-73E5-529067FD290B}]


  • Colle-le dans ton bloc-note
  • Enregistre-le sous le nom: pi2srv.reg

  • Clic-droit sur ce fichier
  • Sélectionner "Fusionner"
  • Répondre "Oui" au message d'alerte.

-----------------------------------------------------------------------------------------------------------------------------------------

 

 

Ton log Hijackthis est propre, il ne manque plus que quelques corrections:

  • Relancer HijackThis
  • Sélectionner "do a system scan only"
  • Cocher les lignes suivantes:
     
    O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - (no file)
     
    O3 - Toolbar: (no name) - {724d43a0-0d85-11d4-9908-00400523e39a} - (no file)
     

  • Cliquer sur "Fix Checked"
  • Redémarrer.
     
     
    Puis
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    Le log Antivir est bon également (malgré les faux-positifs sur ComboFix !!) maintenant que tu as viré les cracks et keygens divers; il reste néanmoins un dossier eMule, méfie-toi du peer-to-peer!
     
    Supprime tout de même la quarantaine ainsi que la corbeille:
     
     
    -----------------------------------------------------------------------------------------------------------------------------------------
     
    Ok également pour le rapport Ewido: il n' atrouvé que des cookies traceurs (sans danger): les as-tu supprimés?
     
    Si non, relance le scan et termine-le après la détection en cliquant sur "Remove infections"
     
     
    -----------------------------------------------------------------------------------------------------------------------------------------
     
    Le rapport BlackLight est propre lui aussi!
     
    -----------------------------------------------------------------------------------------------------------------------------------------
     
     
    Je crois qu'on en a terminé avec tes infections:
    • Dans ton premier message, modifie le titre du topic en [RESOLU] Plus d'antivirus et d'antispywares: infection Bagle

    • Je vois que tu as tiré les leçons de tes erreurs en abandonnant les cracks au profit du gratuit et de l'open-source; merci ! Fais passer le message autour de toi.
    • Tu es maintenant mieux sécurisé avec le trio Antivir/Pare-feu/Spyware Terminator, plus des softs propres et ThunderBird; mais reste vigileant !

    -----------------------------------------------------------------------------------------------------------------------------------------

    • Je te conseille d'installer un fichier hosts, par exemple celui de Spybot:le fichier hosts (un simple fichier texte) recense les adresses de sites dangereux/piégés/infectés et empêche tes navigateurs de s'y connecter:
    • Lancer Spybot
    • Sélectionner l'onglet "Vaccination"
    • Décocher TOUTES les cases Firefox (sous peine de ralentissements du surf)
    • Cocher TOUTES les cases Internet Explorer
    • Cocher la case: "Windows: Global Hosts" qui va installer un fichier hosts
    • Cliquer sur le bouton "Vacciner"
       
       
      Puis:
    • Menu "démarrer"
    • Cliquer sur "exécuter"
    • Saisir "services.msc" puis "ok"
    • La console des services s'ouvre: chercher le service correspondant à :
      Client DNS
       

    • Double-cliquer dessus
    • Chercher dans la fenêtre qui s'ouvre la ligne "Type de démarrage"
    • Régler le démarrage sur "désactivé"

    • Valider avec "appliquer" puis "ok"
    • Redémarrer
       
      Nota: en cas de dysfonctionnements (hautement improbable!), remettre le réglage du Client DNS sur "automatique" puis redémarrer.
    • Pour terminer de sécuriser ton PC, restreint les droits de ton navigateur (SAUF INTERNET EXPLORER) et de ta messagerie en suivant mon peiti tuto sur StripMyRights:
       
      http://www.libellules.ch/phpBB2/strip-my-rights-t26176.html

    -----------------------------------------------------------------------------------------------------------------------------------------

     

    N'hésite pas si tu as besoin de conseils ou si tu as des questions.

     

    A+, bonne année en Colombie !

Modifié par ogu
Dersou1 Member

Dersou1

Posté(e)
  • Auteur
Posté(e) (modifié)

Bon, je suis content de voir que la machine refonctionne.

 

J'ai fais tous les derniers points sauf la partie restriction de droits qui me semble difficulter également le surf.

 

Je souhaite avoir également ton avis sur les protections installées.

J'ai maintenant :

 

- Antivir

- Spyware Terminator

- Ashampoo Firewall (Windows me signale que ma machine n'est pas protégée par un FireWall...)

 

J'ai vu sur des sites consacrés à la protection que l'on recommandait en sus :

- Spyware Blaster

- Win Patrol

- ...

 

Tres bon antivirus...si votre systeme est stable...alors rendez le clean...faite un mixage de plusieurs logiciel gratuit et blinder votre pc a bloc...prenez Antivir 7 + Spyware terminator (avec protection en temps reel..et enlevé de la black-list donc reconnu officiellement) + avg anti-rootkit + win patrol + spywareguard + Spyareblaster + Ashampoo firewall (ou votre box modem en mode routeur comme firewall"top du top...) vous détenez alors une protection en beton armée,avec aucun conflit ni ralentissement puisque le tout est tres leger en ressources memoire...(a noter que "spybot-search and destroy",est aussi essentiel au cas ou...) ce mixage de protection est tres tres efficace et je le confirme "SANS CONFLICT"...pour l'avoir utiliser a mainte reprise sur bcp d'ordinateurs deffaillants de type zombie...legèreté et efficacité garantie.votre systeme restera stable et a l'abrit de tout type de "malware,spyware,trojan,root et autre keylogger"..a vous de juger et de choisir...de la part d'un technicien en maintenance informatique de 3° niveau

 

J'ai également vu des désinstalleurs qui permettent de revenir à la situation d'avant...

 

J'ai réinstallé SpyBot avec les réglages que tu m'as recommandé, mais je n'ai pas installé le TeaTimer qui, si j'ai bien compris, fais la même chose que Spyware Terminator.

 

De toutes façons, J'ai téléchargé Kubuntu et vais l'installer sur mon PC.

Je crois que cela ne vas pas être facile, mais je vais essayer...

Je dois passer aux logiciels libres, mais qu'il est difficile de changer d'habitudes :P

 

Merci encore pour ton aide précieuse.

Modifié par Dersou1
oGu Godlike Member

oGu

Posté(e)
Posté(e) (modifié)

Salut!

 

J'ai fais tous les derniers points sauf la partie restriction de droits qui me semble difficulter également le surf.

 

?? Que veux-tu dire??

 

Limiter les droits ne restreint en rien le surf et est sans doute la meilleure protection en terme de rapport efficacité/légéreté. TOUT les sites sérieux de sécurité le conseillent (en général avec l'outil Drop my Rights).

 

 

Je souhaite avoir également ton avis sur les protections installées.

J'ai maintenant :

 

- Antivir

- Spyware Terminator

- Ashampoo Firewall (Windows me signale que ma machine n'est pas protégée par un FireWall...)

 

 

La première sécurité c'est la méfiance face aux sites, aux mails, aux clics intempestifs, au warez, au porno et au peer-to-peer.D'aucun appelle cela le logiciel Brain 1.0 (mise à jour automatique!) :P

Donc, si l'anglais ne te fais pas peur, que tu souhaites un contrôleur d'intégrité plus performant que Spyware Terminator et que tu souhaites un pare-feu bi-directionnel meilleur que Ashampoo, désinstalle ST et Ashampoo et tourne-toi vers le très bon Comodo Firewall (qui fait à la fois pare-feu et contrôleur d'intégrité), gratuit.

 

Téléchargement:

 

http://www.personalfirewall.comodo.com/

 

Tutos:

 

http://infomars.fr/forum/index.php?showtopic=389

 

http://gsyka.blogspot.com/2007/01/comodo-firewall.html

 

J'ai vu sur des sites consacrés à la protection que l'on recommandait en sus :

- Spyware Blaster

- Win Patrol

- ...

 

Spyware Blaster est quasi inutile si tu surfes avec Firefox, et Win Patrol est un simili-HIPS bien moins performant que Comodo ou Spyware Terminator.

 

 

Tres bon antivirus...si votre systeme est stable...alors rendez le clean...faite un mixage de plusieurs logiciel gratuit et blinder votre pc a bloc...prenez Antivir 7 + Spyware terminator (avec protection en temps reel..et enlevé de la black-list donc reconnu officiellement) + avg anti-rootkit + win patrol + spywareguard + Spyareblaster + Ashampoo firewall (ou votre box modem en mode routeur comme firewall"top du top...) vous détenez alors une protection en beton armée,avec aucun conflit ni ralentissement puisque le tout est tres leger en ressources memoire...(a noter que "spybot-search and destroy",est aussi essentiel au cas ou...) ce mixage de protection est tres tres efficace et je le confirme "SANS CONFLICT"...pour l'avoir utiliser a mainte reprise sur bcp d'ordinateurs deffaillants de type zombie...legèreté et efficacité garantie.votre systeme restera stable et a l'abrit de tout type de "malware,spyware,trojan,root et autre keylogger"..a vous de juger et de choisir...de la part d'un technicien en maintenance informatique de 3° niveau

 

Qui a écrit ceci?? Cela ressemble plus à un avis perso ("je l'ai utilisé blablabla") qu'à un avis argumenté...

 

-Blacklight est supérieur à AVG Antirootkit (les deux ont stricto sensu la même fonction): BL est utilisé par les helper, pas AVG Antirootkit.

 

- Spybot peut-être utile (pour le hosts entre autre) mais n'est en rien "indispensable": pas de protection résidente de haut niveau, et il ne scanne que certains emplacements du disque, et non le disque en totalité.

 

- Spyware Terminator n'est pas léger en ressources: 90 MO au maximum, c'est tout de même élevé:

 

http://infomars.fr/forum/index.php?showtopic=298

- Spyware Guard est un outil correct du peu que j'en connais, mais ferait doublon avec Spyware Terminator ou Comodo:

 

Rappel: UNE SEULE protection par type de menace: JAMAIS 2 antivirus, 2 antispywares, 2 firewall ...

 

 

J'ai également vu des désinstalleurs qui permettent de revenir à la situation d'avant...

 

Oui, c'est assez efficace, en particulier Total Uninstall: une ancienne version lente mais foncionnelle est toujours gratuite:

 

http://assiste.com.free.fr/p/logitheque/total_uninstall.html

 

J'ai réinstallé SpyBot avec les réglages que tu m'as recommandé, mais je n'ai pas installé le TeaTimer qui, si j'ai bien compris, fais la même chose que Spyware Terminator.

 

C'est ça: Tea-Timer fait la même chose que Spyware Terminator en beaucoup (beaucoup...) moins bien...Encore une fois, Comodo Firewall fait lui encore mieux que Spyware Terminator.

 

De toutes façons, J'ai téléchargé Kubuntu et vais l'installer sur mon PC.

 

Ok, bon courage avec Unix, c'est déroutant au départ !

 

Merci encore pour ton aide précieuse.

 

De rien!

 

A+

Modifié par ogu

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...