PC infecté : demande de nettoyage / désinfection

[ricadette]

Bonjour,

 

Bien sûr je suis ici parceque mon pc est infecté par je ne sais quel virus ou autres parasites!!! Il est lent, rame..

 

Le gros soucis que j'ai présentement est un nombre importants de messages qui n'arrêtent pas d'arriver de avast me signalant "Message suspect"...

De plus mon fournisseur d'accès m'a envoyé un mail stipulant que ma boïte envoyait constamment des mails...

 

Bref...que dois - je faire?

 

Présicion très importante: je suis une néophyte en matière d'informatique... donc un peu de pédagogie serait souhaitable

 

En vous remerciant par avance de l'aide que vous pourrez m'apporter

 

Alors comme les autres personnes je vous soumets l'analyse faite par hijack...

 

Bien sûr je n'y comprends rien du tout!!!

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:17:50, on 05/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Program Files\Analog Devices\SoundMAX\Smax4.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\BroadJump\Client Foundation\CFD.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Club-Internet\Agent Wi-Fi V2\McciTrayApp.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Club-Internet\Lanceur\lanceur.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Java\jre1.5.0_06\bin\jucheck.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [bJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Club-Internet_McciTrayApp] C:\Program Files\Club-Internet\Agent Wi-Fi V2\McciTrayApp.exe

O4 - HKLM\..\Run: [MSRegInfo] C:\WINDOWS\pagefile.sys.vbs

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{22AF19EB-2D81-4C02-ADD4-2DC66CA006E1}: NameServer = 194.117.200.10,194.117.200.15

O18 - Filter hijack: text/html - {9981E09B-C212-4DDF-95BE-EE2AFF81B1F9} - (no file)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O24 - Desktop Component 0: (no name) - http://www.linkelink.nl/images/wallpaper_w...aos_09_1024.jpg

[Zonk]

Allo Ricardette ...bienvenue sur le forum

 

Ce que je te recommande est un minimum demandé par l' "Équipe Sécurité" .....et prend le temps de tout lire avant de commencer . Ça te donnera une idée des étapes (facile ) et des procédures à faire .....et en ayant une idée claire ça te sauvera ,peut être ,de possible dédoublements de manipulations .

 

Suppression des fichiers temporaires

Télécharge ATF Cleaner par Atribune (gratuit)

ATF

 

Double-clique ATF-Cleaner.exe afin de lancer le programme

Petit programme gratuit ne necessitant pas d'installation ,sans danger. Parfois avec les ordis moins performants le nettoyage est lourd ,alors y aller deux cases à la fois. (si tes cookies te sont précieux ,exclu les)

 

Sous l'onglet Main, choisis : Select All (ou deux cases à la fois....mais fait toutes les cases )

 

Si tu utilises le navigateur Firefox :

1. Clique Firefox au haut et choisis : Select All
   
2. Clique le bouton Empty Selected
   

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

 

Si tu utilises le navigateur Opera :

1. Clique Opera au haut et choisis : Select All
   
2. Clique le bouton Empty Selected
   

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

Antivirus Antivir Classic (free)

Le téléchargement est dans le lien du pré-nettoyage...mais ne commence pas tout de suite cette procédure

de pré-nettoyage.....seulement aller chercher le fichier d'installation Antivir et enregistre le sur ton bureau

Téléchargement Antivir et Pré-Nettoyage

Avant d'installer Antivir,désactive ton antivirus durant tout le temps de ces procédures (c'est rare que des conflits majeurs surviennent mais comme exemple ,Antivir et Kaspersky ne font pas bon ménage ...surtout lors d'un redémarrage.

http://forum.zebulon.fr/index.php?showtopi...p;#entry1154506

 

Tutoriel Antivir

 

.....surveille à bien activer la recherche de " rootkits" et "scan master boot sector" (ces fonctions sont souvent oubliées par les gens).....

Cherche à activer le mode "Expert" et à optimiser la recherche des menaces...

(et personnellement dans l'onglet "scanner" j'active tout les items dans "Rootkit search" et "manual selection" )

Aide en image message #184

Aide en image message #113

Enlève les cd ou dvd qui peuvent être dans les lecteurs car ils seront analysés inutilement lors de vérifications

Avast

Selon les infos retrouvées ici ,Avast perd des plumes...malheureusement car foncièrement c'est un bon produit .Donc à toi d'y voir pour ce qui est du destin de celui-ci. (quand tu verras Antivir à l'action tu comprendras )

 

http://forum.zebulon.fr/index.php?showtopic=123053

http://forum.zebulon.fr/index.php?showtopic=127217

 

Demeure que l'un de ces deux antivirus doit obligatoirement disparaitre.

Si Avast et Antivir cohabite quelques instants, pense à désactiver Avast avant d'installer Antivir et garde Avast déactivé tant et aussi longtemps que Antivir sera présent.

 

Si Antivir t'intéresse:

Suppression d'Avast ?

-Désactiver Avast

-Terminer les processus Avast (certains parfois refusent d'être "terminer"...rien de bien grave et tu poursuis la démarche malgré tout

en allant émarrer /Exécuter et tapez taskmgr (processus)

• AshDisp.exe
  
• Asmaisv.exe
  
• ashserv.exe
  
• ashwebsv.exe
  
• aawservice.exe
  
• aswupdsv.exe
  

tu auras un message de Windows t'avisant de la possible pertes de données et d'instabilité, etc....c'est un message normal dans ces circonstances...et sans danger pour le moment car tu ne touche pas à Windows...

Ensuite tu vas tout de go à Ajout /Supp de programmes et tu supprimes Avast antivirus

.......en cas de problème lors de la désinstallation

Outil de désinstallation Avast

 

AVG Antispyware

Si parfois tu aurais un antispyware en temps réel qui m'aurait échapper alors avise nous avant d'installer AVG Antispyware

AVG Antispyware

Tu auras un choix de langues.

 

Tutoriel AVG Antispyware

En version d'essai , la protection en temps réel (bouclier)sera périmée après 30 jours.......alors sans la licence le programme sera encore utile comme "scanner" (normalement encore possibilité de faire les mises à jour)

 

 

Le Pré-Nettoyage de Megataupe

 

Pré-Nettoyage

Imprime le texte car en mode sans échec tu ne pourra avoir accès au net (tu auras les infos pour y aller dans le lien du pré-nettoyage). Parfois démarrer/fermer est plus long en mode sans échec...soit patient. L'affichage sera altéré...c'est normal....ca reviendra normal suite à un redémarrage .

 

Profite du mode sans échec pour passer tout tes logiciels de nettoyage en ce mode (AVG Antipsyware et cie)...

On parle de supprimer Antivir suite à ce nettoyage ,alors prenant pour acquis qu'il est ton antvirus ,tu oublies la suppression de celui-ci ......

 

Si parfois tu gardes Avast ,alors désactive Avast durant le pré-nettoyage et durant tout le temps ou Antivir est activé (si tu désires malgré tout garder Avast ,alors tu devras obligatoirement supprimer Antivir...tu auras la procédure dans le lien du pré-nettoyage).

 

Souvent le pré-nettoyage n'est pas suffisant pour tout supprimer...mais ça peut arriver que ça règle les ennuis...alors ça prendra tous tes rapports et ensuite l'Équipe Sécurité te guidera pour parfaire le travail....ou te confirmer que tout est sain

 

Vérification des logiciels non sécuritaires

 

Quand tu auras quelques minutes:

Secunia Software Inspector

Ce test ne nécessite aucune installation de logiciel

• Va à "Start Now"
  
• Tu devras accepter l'analyse (sans obligation de cocher la petite case "Toujours faire confiance au contenu....." ) et ensuite tu fais "Exécuter"
  

• Ensuite tu dois aller à "Start"
  
• active la petite case à :
  

Enable thorough system inspection.

Enable the Secunia Software Inspector to search for software installed in non-default locations.

....et suit les recommandations....

 

@+

Édit:

Tu auras à te servir de Hijackthis (tu verras dans le lien du pré-nettoyage).....favorise ce téléchargement ici (je crois que la version du lien est encore un tantinet désuette...)

HJT

Modifié le 5 février 2008 par Zonk

[ricadette]

Merci de toutes ces infos...

Je vais appliquer toute cette procédure (ce n'est pas gagné!!)

 

Bon yaka....bonne journée à tous :P

[ricadette]

J'ai fait une grande partie de la manip...

sauf que ...en mode sans echec je n'ai pas d'autre acces qu'un petit ecran noir dans lequel je dois rentrer des données...

genre c:/..........

 

que faire? est-ce grave?

 

 

sinon... j'ai viré avast pour le remplacer par antivir...

le rapport du scan complet donne ceci, qu'en penses-tu?

 

AntiVir PersonalEdition Classic

Report file date: mercredi 6 février 2008 15:33

 

Scanning for 1094707 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Username: SYSTEM

Computer name: ORDOS

 

Version information:

BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00

AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29

AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51

LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47

LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20

ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15

ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 14:20:08

ANTIVIR2.VDF : 7.0.2.49 1339904 Bytes 25/01/2008 14:20:08

ANTIVIR3.VDF : 7.0.2.100 330752 Bytes 06/02/2008 14:20:08

AVEWIN32.DLL : 7.6.0.62 3240448 Bytes 06/02/2008 14:20:10

AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26

AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17

AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24

AVPACK32.DLL : 7.6.0.3 360488 Bytes 06/02/2008 14:20:10

AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06

AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33

AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18

NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42

RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13

RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37

SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

 

Configuration settings for the scan:

Jobname..........................: Complete system scan

Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: on

Scan boot sector.................: on

Boot sectors.....................: H:,

Scan memory......................: on

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: on

Scan all files...................: All files

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,

Macro heuristic..................: on

File heuristic...................: medium

Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR,

 

Start of the scan: mercredi 6 février 2008 15:33

 

Starting search for hidden objects.

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fak32\type

[NOTE] The registry entry is invisible.

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fak32\start

[NOTE] The registry entry is invisible.

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fak32\errorcontrol

[NOTE] The registry entry is invisible.

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fak32\imagepath

[NOTE] The registry entry is invisible.

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fak32\extparamd

[NOTE] The registry entry is invisible.

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fak32\Security\security

[NOTE] The registry entry is invisible.

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fak32\type

[NOTE] The registry entry is invisible.

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fak32\start

[NOTE] The registry entry is invisible.

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fak32\errorcontrol

[NOTE] The registry entry is invisible.

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fak32\imagepath

[NOTE] The registry entry is invisible.

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fak32\extparamd

[NOTE] The registry entry is invisible.

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fak32\Security\security

[NOTE] The registry entry is invisible.

'46422' objects were checked, '12' hidden objects were found.

 

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Scan process 'jucheck.exe' - '1' Module(s) have been scanned

Scan process 'sched.exe' - '1' Module(s) have been scanned

Scan process 'avgnt.exe' - '1' Module(s) have been scanned

Scan process 'avguard.exe' - '1' Module(s) have been scanned

Scan process 'wuauclt.exe' - '1' Module(s) have been scanned

Scan process 'lanceur.exe' - '1' Module(s) have been scanned

Scan process 'GoogleToolbarNotifier.exe' - '1' Module(s) have been scanned

Scan process 'ctfmon.exe' - '1' Module(s) have been scanned

Scan process 'McciTrayApp.exe' - '1' Module(s) have been scanned

Scan process 'qttask.exe' - '1' Module(s) have been scanned

Scan process 'realsched.exe' - '1' Module(s) have been scanned

Scan process 'CFD.exe' - '1' Module(s) have been scanned

Scan process 'jusched.exe' - '1' Module(s) have been scanned

Scan process 'SMax4.exe' - '1' Module(s) have been scanned

Scan process 'SMax4PNP.exe' - '1' Module(s) have been scanned

Scan process 'alg.exe' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'SMAgent.exe' - '1' Module(s) have been scanned

Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned

Scan process 'spoolsv.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

34 processes with 34 modules were scanned

 

Starting master boot sector scan:

Master boot sector HD0

[NOTE] No virus was found!

Master boot sector HD1

[NOTE] No virus was found!

Master boot sector HD2

[NOTE] No virus was found!

[WARNING] The boot sector file could not be read!

[WARNING] Error code: 0x045D

 

Start scanning boot sectors:

Boot sector 'C:\'

[NOTE] No virus was found!

Boot sector 'F:\'

[NOTE] No virus was found!

Boot sector 'G:\'

[NOTE] No virus was found!

Boot sector 'H:\'

[NOTE] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( '32' files ).

 

 

Starting the file scan:

 

Begin scan in 'C:\'

C:\blhhjtpx.exe

[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen

[iNFO] The file was deleted!

C:\kxhacvkl.exe

[DETECTION] Is the Trojan horse TR/Crypt.FSPM.Gen

[iNFO] The file was deleted!

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\urdeuvmj.exe

[DETECTION] Contains detection pattern of the worm WORM/Zhelatin.ow

[iNFO] The file was deleted!

C:\System Volume Information\_restore{5E16ADCC-FDFD-4E34-9E5D-1816141F0604}\RP1075\A1884735.inf

[DETECTION] Contains detection pattern of the VBS script virus VBS/IE.Title!inf.B

[iNFO] The file was deleted!

C:\System Volume Information\_restore{5E16ADCC-FDFD-4E34-9E5D-1816141F0604}\RP1086\A1886079.com

[DETECTION] Is the Trojan horse TR/Hijacker.Gen

[iNFO] The file was deleted!

C:\System Volume Information\_restore{5E16ADCC-FDFD-4E34-9E5D-1816141F0604}\RP1086\A1886090.exe

[DETECTION] Is the Trojan horse TR/Patched.BL.4

[iNFO] The file was deleted!

C:\System Volume Information\_restore{5E16ADCC-FDFD-4E34-9E5D-1816141F0604}\RP1086\A1886094.exe

[DETECTION] Is the Trojan horse TR/Hijacker.Gen

[iNFO] The file was deleted!

C:\System Volume Information\_restore{5E16ADCC-FDFD-4E34-9E5D-1816141F0604}\RP1092\A1887671.exe

[DETECTION] Contains a detection pattern of the (dangerous) backdoor program BDS/Delf.dbu.1 Backdoor server programs

[iNFO] The file was deleted!

C:\System Volume Information\_restore{5E16ADCC-FDFD-4E34-9E5D-1816141F0604}\RP1095\A1888227.exe

[DETECTION] Is the Trojan horse TR/Dldr.Small.D.2

[iNFO] The file was deleted!

C:\System Volume Information\_restore{5E16ADCC-FDFD-4E34-9E5D-1816141F0604}\RP1095\A1888228.dll

[DETECTION] Is the Trojan horse TR/Dldr.Small.D.2

[iNFO] The file was deleted!

C:\System Volume Information\_restore{5E16ADCC-FDFD-4E34-9E5D-1816141F0604}\RP1097\A1888534.exe

[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen

[iNFO] The file was deleted!

C:\System Volume Information\_restore{5E16ADCC-FDFD-4E34-9E5D-1816141F0604}\RP1097\A1888535.exe

[DETECTION] Is the Trojan horse TR/Crypt.FSPM.Gen

[iNFO] The file was deleted!

C:\System Volume Information\_restore{5E16ADCC-FDFD-4E34-9E5D-1816141F0604}\RP1097\A1888536.exe

[DETECTION] Contains detection pattern of the worm WORM/Zhelatin.ow

[iNFO] The file was deleted!

C:\WINDOWS\kohdjzl.exe

[DETECTION] Is the Trojan horse TR/Patched.BL.4

[iNFO] The file was deleted!

C:\WINDOWS\system32\drivers\fak32.sys

[WARNING] The file could not be opened!

Begin scan in 'F:\' <MARIE>

F:\autorun.inf

[DETECTION] Contains detection pattern of the VBS script virus VBS/IE.Title!inf.B

[iNFO] The file was deleted!

F:\System Volume Information\_restore{5E16ADCC-FDFD-4E34-9E5D-1816141F0604}\RP1075\A1884739.inf

[DETECTION] Contains detection pattern of the VBS script virus VBS/IE.Title!inf.B

[iNFO] The file was deleted!

F:\System Volume Information\_restore{5E16ADCC-FDFD-4E34-9E5D-1816141F0604}\RP1097\A1888538.inf

[DETECTION] Contains detection pattern of the VBS script virus VBS/IE.Title!inf.B

[iNFO] The file was deleted!

Begin scan in 'G:\' <JEUX>

G:\autorun.inf

[DETECTION] Contains detection pattern of the VBS script virus VBS/IE.Title!inf.B

[iNFO] The file was deleted!

G:\System Volume Information\_restore{5E16ADCC-FDFD-4E34-9E5D-1816141F0604}\RP1075\A1884741.inf

[DETECTION] Contains detection pattern of the VBS script virus VBS/IE.Title!inf.B

[iNFO] The file was deleted!

G:\System Volume Information\_restore{5E16ADCC-FDFD-4E34-9E5D-1816141F0604}\RP1095\A1888220.vbs

[DETECTION] Contains detection pattern of the VBS script virus VBS/Solow.D

[iNFO] The file was deleted!

G:\System Volume Information\_restore{5E16ADCC-FDFD-4E34-9E5D-1816141F0604}\RP1097\A1888539.inf

[DETECTION] Contains detection pattern of the VBS script virus VBS/IE.Title!inf.B

[iNFO] The file was deleted!

Begin scan in 'H:\' <INTERNET>

H:\WZ81FReval.EXE

[WARNING] The file could not be read!

H:\ie6setup.exe

[WARNING] The file could not be read!

H:\StubInstaller.exe

[WARNING] The file could not be read!

H:\LW\LimeWireWin.exe

[WARNING] The file could not be read!

H:\LW\StubInstaller.exe

[WARNING] The file could not be read!

 

 

End of the scan: mercredi 6 février 2008 16:09

Used time: 36:39 min

 

The scan has been done completely.

 

5013 Scanning directories

172004 Files were scanned

21 viruses and/or unwanted programs were found

0 Files were classified as suspicious:

21 files were deleted

0 files were repaired

0 files were moved to quarantine

0 files were renamed

7 Files cannot be scanned

171983 Files not concerned

1784 Archives were scanned

7 Warnings

0 Notes

46422 Objects were scanned with rootkit scan

12 Hidden objects were found

 

 

Alors quoi de neuf docteur????

 

En tous les cas j'avance grâce à toi, c'est déjà ça...je ne sais pas vers où...

Merci...

[Thanos]

Salut @ vous deux

 

Petite intervention par rapport au résultat du scan avec Antivir : il y a un rootkit dont il faut te débarrasser.

Pour cela, effectue la manipulation suivante >

 

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

***Si le lien ne fonctionne pas, essaie celui-ci : http://download.bleepingcomputer.com/andymanchesta/SDFix.exe ***

 

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
  
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  
• Choisis ton compte.
  

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script.
  
• Appuie sur Y pour commencer le processus de nettoyage.
  
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  
• Appuie sur une touche pour redémarrer le PC.
  
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
  

@++

[ricadette]

suite...

Merci Charles de tes conseils...

j'ai bien suivi la procédure voilà les résultats:

- voilà le rapport de sdfix:

 

 

SDFix: Version 1.137

 

Run by Marie on 07/02/2008 at 12:24

 

Microsoft Windows XP [version 5.1.2600]

 

Running From: C:\DOCUME~1\Marie\Bureau\SDFix

 

Safe Mode:

Checking Services:

 

Name:

fak32

 

Path:

\??\C:\WINDOWS\system32\drivers\fak32.sys

 

fak32 - Deleted

 

 

 

Restoring Windows Registry Values

Restoring Windows Default Hosts File

 

Rebooting...

 

 

Normal Mode:

Checking Files:

 

Trojan Files Found:

 

C:\674716~1 - Deleted

C:\autorun.inf - Deleted

C:\WINDOWS\system32\drivers\fak32.sys - Deleted

 

 

voilà le new hijack:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:21:46, on 07/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Program Files\Analog Devices\SoundMAX\Smax4.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\BroadJump\Client Foundation\CFD.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Club-Internet\Agent Wi-Fi V2\McciTrayApp.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Club-Internet\Lanceur\lanceur.exe

C:\Program Files\Java\jre1.5.0_06\bin\jucheck.exe

C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\MMJB.EXE

C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\MMJB.EXE

C:\WINDOWS\system32\dwwin.exe

C:\WINDOWS\System32\wisptis.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\calc.exe

C:\Documents and Settings\Marie\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [bJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Club-Internet_McciTrayApp] C:\Program Files\Club-Internet\Agent Wi-Fi V2\McciTrayApp.exe

O4 - HKLM\..\Run: [MSRegInfo] C:\WINDOWS\pagefile.sys.vbs

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{22AF19EB-2D81-4C02-ADD4-2DC66CA006E1}: NameServer = 194.117.200.10,194.117.200.15

O18 - Filter hijack: text/html - {9981E09B-C212-4DDF-95BE-EE2AFF81B1F9} - (no file)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O24 - Desktop Component 0: (no name) - http://www.linkelink.nl/images/wallpaper_w...aos_09_1024.jpg

 

--

End of file - 6936 bytes

 

 

évidemment tout ce langage ne me parle pas du tout

 

merci de me traduire le tout...

[ricadette]

Bonjour,

Lors de la mise en route de ce matin antivir a detecté 2 virus...

Je ne sais pas comment ils sont arrivés depuis hier soir!!!

décidemment ce monde est bien mystérieux pour moi ...

je remets donc un nouveau rapport hijack

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 07:16:23, on 08/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Program Files\Analog Devices\SoundMAX\Smax4.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\BroadJump\Client Foundation\CFD.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Club-Internet\Agent Wi-Fi V2\McciTrayApp.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Java\jre1.5.0_06\bin\jucheck.exe

C:\Program Files\Club-Internet\Lanceur\Lanceur.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Marie\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [bJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Club-Internet_McciTrayApp] C:\Program Files\Club-Internet\Agent Wi-Fi V2\McciTrayApp.exe

O4 - HKLM\..\Run: [MSRegInfo] C:\WINDOWS\pagefile.sys.vbs

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{22AF19EB-2D81-4C02-ADD4-2DC66CA006E1}: NameServer = 194.117.200.10,194.117.200.15

O18 - Filter hijack: text/html - {9981E09B-C212-4DDF-95BE-EE2AFF81B1F9} - (no file)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O24 - Desktop Component 0: (no name) - http://www.linkelink.nl/images/wallpaper_w...aos_09_1024.jpg

 

--

End of file - 6728 bytes

 

 

Merci de votre aide et bonne journée

[Thanos]

salut

 

Lors de la mise en route de ce matin antivir a detecté 2 virus...

Oui la désinfection n'est pas terminée!

Est ce que tu peux me dire où les deux malwares ont été détectés ?

On va faire le scan suivant pour nettoyer >

 

Note: il faut que tu désactives le bouclier d'Antivir le temps du scan. (Fais un clic droit sur l'icône d'Antivir dans la barre des tâches et décoche Antivir Guard enable

 

Note2: Branche ta clé usb si tu en possède une ainsi que tes disques durs amovibles.

 

1) Télécharge combofix.exe de sUBs

• Assure toi que tous les programmes sont fermés avant de lancer le fix!
  
• Fait un double clique sur combofix.exe.
  
• Clique sur Oui au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!
  
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  
• Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  

Par la suite, il est possible qu'Antivir fasse une détection sur ce fichier > nircmd.com > clique sur le bouton radio Ignorer puis valide par OK (ce fichier appartient à ComboFix, ce n'est pas un malware!)

 

2) Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien=> Cybersécurité

• Fais un scan en ligne Kaspersky
  
• Clique sur Accept
  
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
  
• clique une nouvelle fois sur "Accept"
  
• Les bases de mises à jour vont s'installer, patiente un moment
  
• Clique sur Next.
  
• Branche ta clé usb si tu en possède une ainsi que tes disques durs amovibles si ce n'est pas fait!
  
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.
  

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

 

Copie/colle la totalité du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

 

Colle ce rapport dans ta réponse sur le forum.

 

Aide en cas de problème :Cybersécurité

 

NOTE: Le scan est à faire avec Internet Explorer.

 

Poste stp les 2 rapports : le rapport ComboFix.txt puis, le rapport de Kaspersky

[ricadette]

salut Charles,

 

vraiment un grand merci de ton aide et de la clarté de tes messages!

voilà le rapport de combo:

 

ComboFix 08-02.05.3 - Marie 2008-02-08 19:20:47.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.280 [GMT 1:00]

Endroit: C:\Documents and Settings\Marie\Bureau\ComboFix.exe

* Création d'un nouveau point de restauration

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

((((((((((((((((((((((((((((( Fichiers créés 2008-01-08 to 2008-02-08 ))))))))))))))))))))))))))))))))))))

.

 

2008-02-08 07:21 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl

2008-02-07 12:22 . 2008-02-07 12:22 <REP> d-------- C:\WINDOWS\ERUNT

2008-02-06 15:16 . 2008-02-06 15:16 <REP> d-------- C:\Program Files\Avira

2008-02-06 15:16 . 2008-02-06 15:16 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira

2008-02-05 21:17 . 2008-02-05 21:17 <REP> d-------- C:\Program Files\Trend Micro

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-02-08 06:21 --------- d-----w C:\Program Files\Java

2008-02-05 06:43 --------- d-----w C:\Program Files\WindowsSA

2008-02-03 14:28 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2008-01-31 19:03 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-01-20 12:36 --------- d-----w C:\Documents and Settings\Marie\Application Data\AdobeUM

2008-01-05 10:48 3,478 --sha-r C:\WINDOWS\pagefile.sys.vbs

2008-01-05 10:48 3,478 --sha-r C:\pagefile.sys.vbs

2007-12-24 09:58 --------- d-----w C:\Documents and Settings\Marie\Application Data\Canon

2006-09-16 20:36 4,548,184 ----a-w C:\Program Files\MsgPlusLive-401.exe

2004-05-19 12:47 18,810,320 ----a-w C:\Program Files\AdbeRdr60_fra_full.exe

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09 15360]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-07 20:23 68856]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMAXPnP"="C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-05-29 15:28 790528]

"SoundMAX"="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" [2003-05-30 08:42 585728]

"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-03-24 09:04 3309568]

"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2004-03-24 09:04 46080]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]

"NeroCheck"="C:\WINDOWS\system32\\NeroCheck.exe" [2001-07-09 11:50 155648]

"nwiz"="nwiz.exe" [2004-03-24 09:04 782336 C:\WINDOWS\system32\nwiz.exe]

"BJCFD"="C:\Program Files\BroadJump\Client Foundation\CFD.exe" [2003-01-27 16:16 376912]

"StandardInstall"="" []

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-03-11 14:03 180269]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-03-30 17:55 155648]

"Club-Internet_McciTrayApp"="C:\Program Files\Club-Internet\Agent Wi-Fi V2\McciTrayApp.exe" [2005-06-02 16:42 543232]

"MSRegInfo"="C:\WINDOWS\pagefile.sys.vbs" [2008-01-05 11:48 3478]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-06 15:20 249896]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

 

R0 Klick;Klick;C:\WINDOWS\system32\drivers\klick.sys [2006-03-21 10:46]

R0 Klin;Klin;C:\WINDOWS\system32\drivers\klin.sys [2006-04-24 15:22]

R1 Klmc;Klmc;C:\WINDOWS\system32\drivers\klmc.sys [2004-11-26 13:38]

R3 DFE528TX;D-Link DFE-528TX PCI Adapter;C:\WINDOWS\system32\DRIVERS\DLKRTL.SYS [2002-06-24 05:30]

S3 ids00026;ids00026;C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids00026.sys []

S3 ids0004C;ids0004C;C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids0004C.sys []

S3 ids0005c;ids0005c;C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids0005c.sys []

S3 SNCT511;VideoCAM Trek;C:\WINDOWS\system32\DRIVERS\snct511.sys [2005-02-03 15:22]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{81dbebc8-66b3-11dc-a498-0050ba2e8018}]

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe pagefile.sys.vbs

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9448092a-acab-11dc-a51e-0050ba2e8018}]

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe pagefile.sys.vbs

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d35a1e23-e440-11db-a3f6-0050ba2e8018}]

\Shell\AutoRun\command - I:\autorun.exe

\Shell\explore\Command - I:\autorun.exe -e

\Shell\open\Command - I:\autorun.exe

 

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-02-08 19:22:43

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cachés ...

 

Balayage caché autostart entries ...

 

Balayage des fichiers cachés ...

 

Scan terminé avec succès

Les fichiers cachés: 2256

 

**************************************************************************

.

Temps d'accomplissement: 2008-02-08 19:23:37

ComboFix-quarantined-files.txt 2008-02-08 18:23:20

.

2008-01-26 19:20:43 --- E O F ---

 

 

Malheureusement je ne peux pas lancer kaspersky!!!

rien ne se produit lorsque je clique sur accept...pourtant j'ai installé les active x...

 

sinon je reviendrai avec ma clé USB un autre jour parceque là pas moyen de mettre la main dessus tête de linotte je suis

 

Je voulais dire aussi que ce site est génial !!!!

 

à+

p.s : je réessaie kaspersky..

[Thanos]

re

 

Très bien: on va utiliser un script avec ComboFix pour nettoyer l'infection, et on va en profiter pour nettoyer les restes de Kaspersky Anti-Virus Personal: après ca tu pourras retenter de faire le scan en ligne.

 

Pour info la seconde infection présente sur le pc est un malware qui se propage via les supports amovibles (via clé usb principalement).

Je te conseille de lire cet excellent article de Gof qui explique comment ca se passe et quelles précautions il faut prendre > http://forum.malekal.com/viewtopic.php?f=45&t=5544

J'attire ton attention sur ce point important lorsque tu retrouveras ta clé usb pour ne pas réinfecter ton pc >

si vous ne double-cliquez pas sur la lettre du volume à ouvrir, mais que vous faites un clic-droit dessus afin de sélectionner Explorer (ou Ouvrir), vous ouvrez l'explorateur windows sur votre volume sans passer par les fonctions définies dans le fichier Autorun.inf. C'est là une observation très importante pour la suite des évènements et pour la désinfection.

Quoiqu'il en soit, il serait bon que tu retrouves cette clé usb avant de faire les manips qui vont suivre!

 

1°) Rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/9qiv0m

pour cela, clique sur le lien en bas de page > Download Link: CFScript

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
  
• Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  
• Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt
  

2°) On élimine les restes de Kaspersky > consulte et suis les informations décrites sur cette page > http://kb.kaspersky.fr/index.php?article=1069&onglet=2

 

3°) Tente de nouveau le scan en ligne Kaspersky.

 

4°) Stp rend toi sur cette page afin de télécharger le fichier look.bat sur ton bureau >

http://www.sendspace.com/file/a5713v

pour cela, clique sur le lien en bas de page > Download Link: look.bat

 

Double clique sur le fichier et poste le rapport qui va s'afficher: si tu ne le vois pas, tu le trouveras sur ton bureau, il se nomme Look.txt

 

Poste les trois rapports demandés stp

Modifié le 8 février 2008 par charles ingals