Virus ou Malware ?

gekbest · le 18 février 2008

Bonjour,

J'ai attrapé une petite bête qui ne veut plus partir. J'ai une fenêtre qui s'ouvre et que je ferme mais qui se ré ouvre etc..La petite bête s'appelle "Winspooler"

Impossible de la faire disparaitre. J'ai essayé avec HijackThis, Ccleaner, AVG anti spyware, Lavasoft, VundoFix et SmitfraudFix.

Je n'y comprends plus rien du tout j'ai essayé aussi OTMoveIt mais là ça n'a pas fonctionné. Je li les sujets qui parle de désinfection et je pensais pouvoir y arriver comme un grand mais ça sera pour plus tard !

J'utilise Norton Internet Sécurity le système d'exploitation est windows Vista Prémium.

Modifié le 19 février 2008 par gekbest

Zonk · le 19 février 2008

Allo Gekbest

Tu seras peut être décu de partir de si loin….mais c’est un minimum requis….

je t'ai mis une procédure pour XP...Vista je ne connais pas beaucoup...ca sera sensiblement la même chose...à toi d'adapter...

1-

Téléchargements

Pour l’instant enregistre seulement ces fichiers sur ton bureau

ATF

http://www.atribune.org/content/view/25/2/]

Antivir Classic Free

http://www.free-av.com

AVG Antispyware

http://free.grisoft.com/doc/download-free-...pyware/us/frt/0

Hijackthis

2-

Paramètrage Antivir /AVG

Antivir :

Note :

Antivir et AVG devront être mis à jour AVANT d'aller en mode sans échec (MSE)

Avant d'installer Antivir, désactive ton antivirus Norton durant tout le temps de ces procédures

http://tutopat.hostonet.org/viewtopic.php?t=2417

Il fut un temps ou Antivir et Vista avaient un problème lors de la tentative de la mise à jour de Antivir...alors si parfois le problème est encore présent

http://forum.zebulon.fr/index.php?showtopic=137314

et va voir la démarche facile de Sacles

http://tutopat.hostonet.org/viewtopic.php?t=2417

.....surveille à bien activer la recherche de " rootkits" et "scan master boot sector"

(ces fonctions sont souvent oubliées par les gens)

Cherche à activer le mode "Expert" et à optimiser la recherche des menaces...

(et personnellement dans l'onglet "scanner" j'active tout les items dans

"Rootkit search" et

"Manual selection"

Aide en image message #184

Aide en image message #113

AVG Antipsyware

AVG Antispyware

Tu auras un choix de langues.

http://www.malekal.com/tutorial_AVG_AntiSpyware.php

Aussitot qu'il sera installé tu dois aller oter la protection "bouclier" du AVG pour au moins les prochains 30 jours....car Windows Defender offre une protection résidente ...jamais deux résident de la même famille en même temps !

En version d'essai , la protection en temps réel (bouclier)sera périmée après 30 jours.......alors sans la licence le programme sera encore utile comme "scanner" (normalement encore possibilité de faire les mises à jour mais seulement manuellement )

3-

Suppression des fichiers temporaires avec ATF

Compatible Vista...dans la même famille que Ccleaner...mais plus performant sur un point en particulier...

Double-clique ATF-Cleaner.exe afin de lancer le programme

Petit programme gratuit ne nécessitant pas d'installation ,sans danger. Parfois avec les ordis moins performants le nettoyage est lourd ,alors y aller deux cases à la fois.

(si tes cookies te sont précieux ,exclu les)

Sous l'onglet Main, choisis : Select All (ou deux cases à la fois....idéalement toutes les cases et fait ton choix pour les cookies )

Si tu utilises le navigateur Firefox :

Clique Firefox au haut et choisis : Select All
Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

Clique Opera au haut et choisis : Select All
Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

4- Incursion en mode sans échec

Note :

Imprime le texte car en mode sans échec tu ne pourra avoir accès au net ....le MSE est parfois lent à démarrer/fermer…...soit patient.

L'affichage sera altéré...c'est normal...ça reviendra normal suite à un redémarrage ....le redémarrage suivant retournera ton ordi en mode normal

Désactive ton antivirus Norton durant tout le temps de ces procédures

http://www.malekal.com/modesansechec.php

Cliques sur Démarrer
Cliques sur Arrêter
Sélectionne Redémarrer
clique sur OK.
Appui sur la touche F8 dès qu'un écran de texte apparaît puis disparaît
Utilise les touches de direction pour sélectionner spécifiquement "mode sans échec" (celui du haut)
, puis appuyez sur ENTRÉE.

Ensuite faire des vérifications complètes avec Antivir et AVG en mode sans échec

Note :

C’est rare que des conflits majeurs surviennent mais 2 antivirus actifs ne font pas bon ménage ...surtout lors d'un redémarrage , alors tente de te défaire de Antivir une fois tout son travail fait avant de redémarrer

........pense à garder tous les rapport

L'un de ces deux antivirus doit obligatoirement disparaitre. …si tu veux faire décoller Norton

http://service1.symantec.com/SUPPORT/tsgen...005033108162039

Suppression d'Antivir

Pour désinstaller Antivir , à la fin de son utilisation……..

Terminer les processus Antivir
Démarrer
Exécuter

et tapez taskmgr (onglet processus)

Pour arrêter un processus Antivir :

-Clic droit sur le processus
-Terminer le processus

AVGUARD.EXE
AVSCHED.EXE
AVWUPSRV.EXE
AVGNT.EXE

tu auras un message de Windows t'avisant de la possible pertes de données et d'instabilité, etc....c'est un message normal dans ces circonstances...et sans danger pour le moment car tu ne touche pas à Windows...

Ensuite tu vas tout de go à Ajout /Supp de programmes et tu supprimes Antivir antivirus

................................Pour sortir du mode sans échec tu n’as qu’a redémarrer……..

5-

Les rapports

Suite à tout cela tu amènes tes rapports d’analyse à la suite de ton sujet ….

Y compris un Hijackthis s'il te plait

Tu fermes tout les programmes ouverts par toi-même ...y compris le(s) navigateur(s). sauf ton anti-virus et pare-feux

Lance HijackThis
Clic sur "Do a system scan and save the log"
Cela va t'ouvrir un bloc note à la fin du scan.
Copie son contenu et poste le dans ton prochain message.

6-

Vérification en ligne

..Si tu veux avoir un regard externe très potable, la vérification avec Kaspersky est de mise.

Parfois les antivirus sont chatouilleux avec ce genre de scan...alors le cas échéant ,pense à désactiver ton antivirus temporairement le temps de la vérification et ensuite réactive le !

-Scan en ligne Kaspersky

-Clique sur Accept

Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.

clique une nouvelle fois sur "Accept"

Les bases de mises à jour vont s'installer, patiente un moment

-Clique sur Next.

-Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

Copie/colle la totalité du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

Colle ce rapport dans ta réponse sur le forum.

NOTE: Le scan est à faire avec Internet Explorer.

7-

Vérification des logiciels non sécuritaires

Quand tu auras quelques minutes:

Secunia Software Inspector

Ce test ne nécessite aucune installation de logiciel mais tu devras avoir préalablement Java de SunSystem

http://www.java.com/fr/

Va à "Start Now"
Tu devras accepter l'analyse (sans obligation de cocher la petite case "Toujours faire confiance au contenu....." ) et ensuite tu fais "Exécuter"

Ensuite tu dois aller à "Start"
active la petite case à :

Enable thorough system inspection.

Enable the Secunia Software Inspector to search for software installed in non-default locations.

....et suit les recommandations....

Bye

Modifié le 19 février 2008 par Zonk

gekbest · le 19 février 2008

Bonjour ou bonsoir,

Merci je viens de tout lire je transpire encore mais heureux de suivre une bonne procédure je me met au travail cet après midi.

Zonk · le 19 février 2008

Bonjour ou bonsoir,

Merci je viens de tout lire je transpire encore mais heureux de suivre une bonne procédure je me met au travail cet après midi.

Bonsoir !!

Quand tu auras fini le pré-nettoyage ,je ne peux te garantir que tu seras désinfecter.......souvent ça ne suffit pas....

mais au moins tu auras fait le chemin que l'Équipe Sécurité recommande....ensuite cette équipe devrait passer pour parfaire le travail.....ou te confirmer que tout est sain...

Tu verras ,c'est assez simple...prend le temps de tout lire....ça évitera de possible dédoublements

@+ et bon travail

Édit: as tu encore tes outils (SmitFraudFix et cies) ?? si oui Antivir te les détectera peut être comme menace (c'est courant et pas dangereux)

...je te recommanderait de les supprimer avant d'aller plus loin »(de toute façon l'Équipe Sécurité te mettra au parfum des outils nécessaire et aussi des dernières versions...important!! )

Modifié le 19 février 2008 par Zonk

gekbest · le 20 février 2008

Bonjour,

Excuse pour ma lenteur j'avais pas mal de chose à faire.

Je n'ai pas réussi à faire tourner ATF-Cleaner mais tu vas voir les autres rapports cela sera peut suffisant pour info dès que j'ai lancé Anti Vir il à détecté dessuite à trois endroits "Winspooler"

Les rapports:

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

+ Créé à: 17:11:13 20/02/2008

+ Résultat de l'analyse:

:mozilla.12:C:\Users\EMILE\AppData\Roaming\Mozilla\Firefox\Profiles\piz71d9y.default\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise.

:mozilla.13:C:\Users\EMILE\AppData\Roaming\Mozilla\Firefox\Profiles\piz71d9y.default\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise.

:mozilla.6:C:\Users\EMILE\AppData\Roaming\Mozilla\Firefox\Profiles\piz71d9y.default\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise.

:mozilla.9:C:\Users\EMILE\AppData\Roaming\Mozilla\Firefox\Profiles\piz71d9y.default\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise.

Fin du rapport

AntiVir PersonalEdition Classic

Report file date: mardi 19 février 2008 20:50

Scanning for 1117323 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows Vista

Windows version: (plain) [6.0.6000]

Username: SYSTEM

Computer name: MARTIX

Version information:

BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00

AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29

AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51

LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47

LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20

ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15

ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 19:43:42

ANTIVIR2.VDF : 7.0.2.113 1673728 Bytes 08/02/2008 19:43:42

ANTIVIR3.VDF : 7.0.2.162 292864 Bytes 19/02/2008 19:43:42

AVEWIN32.DLL : 7.6.0.67 3293696 Bytes 19/02/2008 19:43:42

AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26

AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17

AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24

AVPACK32.DLL : 7.6.0.3 360488 Bytes 19/02/2008 19:43:42

AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06

AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33

AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18

NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42

RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13

RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37

SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

Configuration settings for the scan:

Jobname..........................: Complete system scan

Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: on

Scan boot sector.................: on

Boot sectors.....................: D:,

Scan memory......................: on

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: off

Scan all files...................: All files

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Macro heuristic..................: on

File heuristic...................: medium

Start of the scan: mardi 19 février 2008 20:50

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'SearchFilterHost.exe' - '1' Module(s) have been scanned

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Scan process 'sched.exe' - '1' Module(s) have been scanned

Scan process 'avgnt.exe' - '1' Module(s) have been scanned

Scan process 'avguard.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'VSSVC.exe' - '1' Module(s) have been scanned

Scan process 'SearchProtocolHost.exe' - '1' Module(s) have been scanned

Scan process 'uTorrent.exe' - '1' Module(s) have been scanned

Scan process 'WinSpooler.exe' - '1' Module(s) have been scanned

Module is infected -> 'C:\Windows\System32\WinSpooler.exe'

Scan process 'WinSpooler.exe' - '1' Module(s) have been scanned

Module is infected -> 'C:\Windows\System32\WinSpooler.exe'

Scan process 'emule.exe' - '1' Module(s) have been scanned

Scan process 'usnsvc.exe' - '1' Module(s) have been scanned

Scan process 'WinSpooler.exe' - '1' Module(s) have been scanned

Module is infected -> 'C:\Windows\System32\WinSpooler.exe'

Scan process 'WinSpooler.exe' - '1' Module(s) have been scanned

Module is infected -> 'C:\Windows\System32\WinSpooler.exe'

Scan process 'TosBtHSP.exe' - '1' Module(s) have been scanned

Scan process 'unsecapp.exe' - '1' Module(s) have been scanned

Scan process 'symlcsvc.exe' - '1' Module(s) have been scanned

Scan process 'TosBtHid.exe' - '1' Module(s) have been scanned

Scan process 'TosA2dp.exe' - '1' Module(s) have been scanned

Scan process 'SynToshiba.exe' - '1' Module(s) have been scanned

Scan process 'SynTPEnh.exe' - '1' Module(s) have been scanned

Scan process 'taskeng.exe' - '1' Module(s) have been scanned

Scan process 'WmiPrvSE.exe' - '1' Module(s) have been scanned

Scan process 'wmpnetwk.exe' - '1' Module(s) have been scanned

Scan process 'mobsync.exe' - '1' Module(s) have been scanned

Scan process 'WUDFHost.exe' - '1' Module(s) have been scanned

Scan process 'SearchIndexer.exe' - '1' Module(s) have been scanned

Scan process 'ULCDRSvr.exe' - '1' Module(s) have been scanned

Scan process 'TosBtSrv.exe' - '1' Module(s) have been scanned

Scan process 'TosCoSrv.exe' - '1' Module(s) have been scanned

Scan process 'TODDSrv.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'AluSchedulerSvc.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'IAANTmon.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'ccSvcHst.exe' - '1' Module(s) have been scanned

Scan process 'CFSvcs.exe' - '1' Module(s) have been scanned

Scan process 'guard.exe' - '1' Module(s) have been scanned

Scan process 'TosBtMng.exe' - '1' Module(s) have been scanned

Scan process 'wmpnscfg.exe' - '1' Module(s) have been scanned

Scan process 'AtomicAlarmClock.exe' - '1' Module(s) have been scanned

Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned

Scan process 'rundll32.exe' - '1' Module(s) have been scanned

Scan process 'ccApp.exe' - '1' Module(s) have been scanned

Scan process 'LOGI_MWX.EXE' - '1' Module(s) have been scanned

Scan process 'IAAnotif.exe' - '1' Module(s) have been scanned

Scan process 'TCrdMain.exe' - '1' Module(s) have been scanned

Scan process 'TPwrMain.exe' - '1' Module(s) have been scanned

Scan process 'RtHDVCpl.exe' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'taskeng.exe' - '1' Module(s) have been scanned

Scan process 'dwm.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'spoolsv.exe' - '1' Module(s) have been scanned

Scan process 'upeksvr.exe' - '1' Module(s) have been scanned

Scan process 'aawservice.exe' - '1' Module(s) have been scanned

Scan process 'AppSvc32.exe' - '1' Module(s) have been scanned

Scan process 'ccSvcHst.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'SLsvc.exe' - '1' Module(s) have been scanned

Scan process 'audiodg.exe' - '0' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'PresentationFontCache.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'lsm.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'wininit.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

Process 'WinSpooler.exe' has been terminated

C:\Windows\System32\WinSpooler.exe

[DETECTION] Contains detection pattern of the dropper DR/Agent.VLP.1466

[iNFO] The file was deleted!

85 processes with 81 modules were scanned

Starting master boot sector scan:

Master boot sector HD0

[NOTE] No virus was found!

[WARNING] The boot sector file could not be read!

[WARNING] Error code: 0x0083

[NOTE] Please restart the search with Administrator rights

Master boot sector HD1

[NOTE] No virus was found!

Master boot sector HD2

[NOTE] No virus was found!

Master boot sector HD3

[NOTE] No virus was found!

Start scanning boot sectors:

Boot sector 'C:\'

[NOTE] No virus was found!

Boot sector 'D:\'

[NOTE] No virus was found!

Starting to scan the registry.

The registry was scanned ( '19' files ).

Starting the file scan:

Begin scan in 'C:\' <MATRIX 1Toshiba>

C:\hiberfil.sys

[WARNING] The file could not be opened!

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\$RECYCLE.BIN\S-1-5-21-3851635515-3720109288-2827802919-1000\$RDWDJRS.exe

[DETECTION] Contains detection pattern of the dropper DR/Agent.VLP.1466

[iNFO] The file was deleted!

C:\Documents and Settings\EMILE\AppData\Local\Temp\temp_01.exe

[DETECTION] Is the Trojan horse TR/Agent.fgl.1

[iNFO] The file was deleted!

C:\Documents and Settings\EMILE\AppData\Local\Temp\Rar$EX01.355\Setup+Patch.exe

[DETECTION] Contains detection pattern of the dropper DR/Agent.VLP.1466

[iNFO] The file was deleted!

C:\Documents and Settings\EMILE\Downloads\eMule\Incoming\ACDSee 9 build 108 Vista Compatible_.rar

[0] Archive type: CAB (Microsoft)

--> Setup+Patch.exe

[DETECTION] Contains detection pattern of the dropper DR/Agent.VLP.1466

[iNFO] The file was deleted!

C:\Program Files\ACD Systems\ACDSee\9.0\Setup+Patch.exe

[DETECTION] Contains detection pattern of the dropper DR/Agent.VLP.1466

[iNFO] The file was deleted!

C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcrst.dll

[WARNING] The file could not be opened!

Begin scan in 'D:\' <MATRIX 2 Toshiba>

End of the scan: mardi 19 février 2008 22:34

Used time: 1:44:25 min

The scan has been done completely.

16518 Scanning directories

716977 Files were scanned

10 viruses and/or unwanted programs were found

0 Files were classified as suspicious:

6 files were deleted

0 files were repaired

0 files were moved to quarantine

0 files were renamed

3 Files cannot be scanned

716967 Files not concerned

4232 Archives were scanned

3 Warnings

0 Notes

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:19:00, on 20/02/2008

Platform: Windows Vista (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16609)

Boot mode: Normal

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\RtHDVCpl.exe

C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe

C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe

C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe

C:\Windows\LOGI_MWX.EXE

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\Atomic Alarm Clock\AtomicAlarmClock.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe

c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe

c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe

c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe

C:\Program Files\Synaptics\SynTP\SynToshiba.exe

C:\Windows\system32\wbem\unsecapp.exe

C:\Users\EMILE\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\NppBho.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\UIBHO.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [sVPWUTIL] C:\Program Files\TOSHIBA\Utilities\SVPWUTIL.exe SVPwUTIL

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE

O4 - HKLM\..\Run: [HSON] %ProgramFiles%\TOSHIBA\TBS\HSON.exe

O4 - HKLM\..\Run: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe

O4 - HKLM\..\Run: [iAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [iaNvSrv] C:\Program Files\Intel\Intel Matrix Storage Manager\OROM\IaNvSrv\IaNvSrv.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [synTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe

O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [smoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [skinClock] C:\Program Files\Atomic Alarm Clock\AtomicAlarmClock.exe

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKCU\..\Policies\Explorer\Run: [Windows Printing Driver] WinSpooler.exe

O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'Default user')

O4 - Global Startup: Bluetooth Manager.lnk = ?

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll

O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url.pl?FR (file missing)

O13 - Gopher Prefix:

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/7...can_unicode.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe

O23 - Service: Intel® Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe

O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP1\Win32\RpcDataSrv.exe

O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe

O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe

O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe

O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe

O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

End of file - 9698 bytes

Bon courage là je ne comprend pas grand chose. Si ce n'est que j'ai beaucoup de lignes 04.

Modifié le 20 février 2008 par gekbest

oGu · le 20 février 2008

Yo!

Pas étonnant que tu sois infecté en faisant du peer-to-peer via eMule...

Scan process 'emule.exe' - '1' Module(s) have been scanned

C:\Documents and Settings\EMILE\AppData\Local\Temp\Rar$EX01.355\Setup+Patch.exe

C:\Documents and Settings\EMILE\Downloads\eMule\Incoming\ACDSee 9 build 108 Vista Compatible_.rar

[0] Archive type: CAB (Microsoft)

--> Setup+Patch.exe

C:\Program Files\ACD Systems\ACDSee\9.0\Setup+Patch.exe

Merci donc de relire:

-la charte du forum:

http://forum.zebulon.fr/index.php?act=SR&f=40

-l'article sur les dangers des cracks:

http://forum.zebulon.fr/index.php?showtopic=85544

Va faire un tour sur le forum de désinfection, il y a autant d'infections dûes à MSN qu'au peer-to-peer: merci donc de désinstaller eMule sous peine de nouvelle infection...

Par ailleurs, quel est ton antivirus?? Il y a des traces de Norton et d'Antivir: il te faut faire un choix.

Je te conseille d'imprimer la procédure suivante pour pouvoir la suivre hors connexion internet, une fois en sans échec.

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

***

http://download.bleepingcomputer.com/andymanchesta/SDFix.exe ***

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.

Puis redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

Redémarre ton ordinateur
Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.

Suis la liste des instructions ci-dessous :

Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis

gekbest · le 20 février 2008

Bonjour,

J'ai désinstallé eMule.

Tu trouveras ci dessous les rapports de SDFix et le log Hijackthis.

*SDFix

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-02-21 00:19:54

Windows 6.0.6000 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 20

* log Hijackthis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:30:50, on 21/02/2008

Platform: Windows Vista (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16609)

Boot mode: Safe mode

Running processes:

C:\Windows\Explorer.EXE

C:\Program Files\Microsoft Office\Office12\WINWORD.EXE