Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

rapports de assainte

Thanos

Par Thanos
dans Analyses et éradication malwares

 Partager

Messages recommandés

assainte Member

assainte

Posté(e)
Posté(e)

Aprés 5H52min6sec, le rapport s'est enfin terminé!

"L'Examen s'est terminé normalement. Aucun élément nuisible n'a été détecté..." d'aprés notre ami Malwarebytes.

 

 

 

RAPPORT COMBOFIX (fait avant d'avoir lancé l'analyse Malwarebytes' Anti-Malware 1.10)

Sachant que I:\ est la clé USB

 

ComboFix 08-04-04.1 - JB 2008-04-07 0:39:06.7 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1710 [GMT 2:00]

Endroit: C:\Documents and Settings\JB\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\JB\Bureau\CFScript.txt

* Création d'un nouveau point de restauration

 

FILE ::

C:\Documents and Settings\JB\SOUNDMAN.EXE

C:\sauv registre 022008.reg

E:\eMule2\Incoming\Wellphone v1.5.2.0.Incl.KxExYx_m@ker-PH.zip

I:\autorun.inf

I:\nideiect.com

I:\SOUNDMAN.EXE

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Documents and Settings\JB\SOUNDMAN.EXE

C:\sauv registre 022008.reg

E:\eMule2\Incoming\Wellphone v1.5.2.0.Incl.KxExYx_m@ker-PH.zip

 

.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-03-06 to 2008-04-06 ))))))))))))))))))))))))))))))))))))

.

 

2008-04-06 01:35 . 2008-04-06 01:38 <REP> d-------- C:\Kinarach

2008-04-06 01:19 . 2008-04-06 01:19 <REP> d-------- C:\kav

2008-04-05 20:36 . 2008-04-05 20:36 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Grisoft

2008-04-05 19:19 . 2008-04-05 19:19 <REP> d-------- C:\Documents and Settings\JB\Application Data\Grisoft

2008-04-05 15:21 . 2008-03-29 19:23 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr

2008-04-05 15:21 . 2008-03-29 19:35 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys

2008-04-05 15:21 . 2008-01-17 17:34 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys

2008-04-05 15:21 . 2008-03-29 19:31 75,856 --a------ C:\WINDOWS\system32\drivers\aswSP.sys

2008-04-05 15:21 . 2008-03-29 19:27 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys

2008-04-05 15:21 . 2008-03-29 19:26 26,944 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys

2008-04-05 15:21 . 2008-03-29 19:29 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys

2008-04-05 15:21 . 2008-03-29 19:35 20,560 --a------ C:\WINDOWS\system32\drivers\aswFsBlk.sys

2008-04-05 15:20 . 2008-03-29 19:45 1,146,232 --a------ C:\WINDOWS\system32\aswBoot.exe

2008-04-05 15:20 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx

2008-04-05 00:30 . 2008-04-05 00:30 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Media Player Classic

2008-04-05 00:30 . 2008-04-05 00:30 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\DivX

2008-04-05 00:20 . 2008-04-05 00:20 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MSN6

2008-04-05 00:20 . 2008-04-05 00:20 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\MSN6

2008-04-05 00:16 . 2008-02-09 00:33 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau

2008-04-05 00:16 . 2008-02-09 00:33 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression

2008-04-05 00:16 . 2008-02-09 00:39 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles

2008-04-05 00:16 . 2008-04-05 00:16 <REP> dr------- C:\Documents and Settings\Administrateur\Mes documents

2008-04-05 00:16 . 2008-02-09 00:33 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer

2008-04-05 00:16 . 2008-04-05 00:16 <REP> dr------- C:\Documents and Settings\Administrateur\Favoris

2008-04-05 00:16 . 2008-04-05 20:36 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau

2008-04-05 00:00 . 2008-04-05 23:39 <REP> d-------- C:\Program Files\Yahoo!

2008-04-05 00:00 . 2008-04-05 00:00 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft

2008-04-04 22:20 . 2008-04-06 11:33 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft

2008-04-04 22:17 . 2008-04-06 11:35 <REP> d-------- C:\Program Files\Sophos

2008-04-04 21:45 . 2008-04-04 21:45 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab

2008-04-04 20:24 . 2008-04-04 20:24 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Arovax

2008-04-04 19:01 . 2008-04-04 19:01 <REP> d-------- C:\Program Files\Digital Picture Recovery

2008-04-04 19:01 . 1999-06-25 10:55 149,504 --a------ C:\WINDOWS\UNWISE.EXE

2008-04-04 19:01 . 2002-02-18 18:25 6,197 --a------ C:\WINDOWS\system32\Int2f.vxd

2008-04-04 18:42 . 2008-04-04 18:42 87 --a------ C:\WINDOWS\wininit.ini

2008-04-04 18:20 . 2008-04-04 18:40 <REP> d-------- C:\Program Files\Digital Photo Recovery

2008-04-02 21:03 . 2008-04-02 21:03 <REP> d-------- C:\WINDOWS\system32\Praxisoft

2008-04-02 21:03 . 1997-11-19 15:49 303,616 --a------ C:\WINDOWS\IsUninst.exe

2008-04-02 17:24 . 2008-04-02 17:26 38 --a------ C:\WINDOWS\avisplitter.INI

2008-03-29 19:31 . 2008-04-03 01:07 750 --a------ C:\WINDOWS\CoD.INI

2008-03-29 19:09 . 2008-03-29 19:09 <REP> d--hs---- C:\WINDOWS\ftpcache

2008-03-29 19:09 . 2008-03-29 19:09 259 --a------ C:\WINDOWS\game.ini

2008-03-29 19:02 . 2008-03-29 19:02 <REP> d-------- C:\WINDOWS\system32\AGEIA

2008-03-29 19:02 . 2008-03-29 19:02 <REP> d-------- C:\Program Files\AGEIA Technologies

2008-03-29 19:01 . 2008-04-06 11:33 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard

2008-03-24 15:25 . 2008-03-24 15:25 <REP> d-------- C:\WINDOWS\system32\URTTEMP

2008-03-24 15:23 . 2008-03-24 15:23 <REP> d-------- C:\WINDOWS\system32\Adobe

2008-03-24 15:23 . 2008-03-24 15:23 <REP> d-------- C:\WINDOWS\Profiles

2008-03-24 15:23 . 2008-03-24 15:23 <REP> d-------- C:\Documents and Settings\JB\Application Data\InterTrust

2008-03-24 15:21 . 1997-07-19 18:00 604,432 -r------- C:\WINDOWS\system32\COMCTL32.OCX

2008-03-24 15:21 . 1995-12-04 15:08 26,624 -r------- C:\WINDOWS\system32\CTL3D95.DLL

2008-03-24 15:21 . 1999-04-11 18:44 2,495 -r------- C:\WINDOWS\system32\COMCTL32.DEP

2008-03-24 15:21 . 2008-03-24 15:22 126 --a------ C:\WINDOWS\NAVIGMA.INI

2008-03-24 15:21 . 2008-03-24 15:21 58 --a------ C:\WINDOWS\INTER.INI

2008-03-24 15:20 . 1998-11-13 13:16 308,224 --a------ C:\WINDOWS\IsUn040c.exe

2008-03-24 13:49 . 2006-06-20 10:56 225,280 --a------ C:\WINDOWS\system32\rewire.dll

2008-03-24 13:48 . 2002-07-08 00:14 1,294,336 --a------ C:\WINDOWS\system32\vorbis.acm

2008-03-24 13:47 . 2008-03-24 13:49 <REP> d-------- C:\Program Files\image-line

2008-03-24 13:20 . 2008-03-24 13:20 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll

2008-03-24 13:11 . 2008-03-24 13:11 <REP> d-------- C:\Documents and Settings\JB\Application Data\Leadertech

2008-03-24 12:52 . 2007-05-16 17:45 3,497,832 --a------ C:\WINDOWS\system32\d3dx9_34.dll

2008-03-24 12:43 . 2008-03-24 12:43 <REP> d-------- C:\Documents and Settings\JB\Application Data\Atari

2008-03-22 20:16 . 2008-04-04 18:41 604 --a------ C:\WINDOWS\Sof2.INI

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-04-06 09:35 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-04-04 19:35 --------- d-----w C:\Program Files\Alwil Software

2008-04-04 17:38 908,144 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx

2008-04-04 17:38 87,183,392 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat

2008-03-24 13:23 --------- d-----w C:\Program Files\Fichiers communs\Adobe

2008-03-02 13:47 22 ----a-w C:\Program Files\easyprint.ini

2008-03-02 13:47 --------- d-----w C:\Program Files\Easy-Print-BS

2008-03-02 13:42 --------- d-----w C:\Program Files\Bulit 1_13

2008-03-02 13:15 --------- d-----w C:\Program Files\Calanque

2008-02-24 14:15 --------- d-----w C:\Program Files\Star Downloader

2008-02-23 14:27 --------- d-----w C:\Program Files\SpeedNet 5.1 Trial

2008-02-23 14:17 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP

2008-02-18 23:13 --------- d-----w C:\Program Files\Microsoft.NET

2008-02-15 00:31 --------- d-----w C:\Program Files\PC Inspector File Recovery

2008-02-14 19:13 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared

2008-02-14 19:13 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec

2008-02-14 18:21 --------- d-----w C:\Documents and Settings\JB\Application Data\Symantec

2008-02-14 18:15 --------- d-----w C:\Program Files\MSBuild

2008-02-14 18:14 --------- d-----w C:\Program Files\Reference Assemblies

2008-02-14 18:12 --------- d-----w C:\Program Files\MSXML 6.0

2008-02-14 17:58 --------- d-----w C:\Program Files\Fichiers communs\InstallShield

2008-02-14 17:49 --------- d-----w C:\Program Files\SuperCopier2

2008-02-13 15:18 --------- d-----w C:\Program Files\Photocopier

2008-02-13 13:32 --------- d-----w C:\Program Files\EA GAMES

2008-02-10 19:40 --------- d-----w C:\Documents and Settings\JB\Application Data\vlc

2008-02-10 19:33 --------- d-----w C:\Program Files\Freeplayer

2008-02-10 19:26 --------- d-----w C:\Program Files\K-Lite Codec Pack

2008-02-10 19:13 --------- d-----w C:\Program Files\DAEMON Tools Lite

2008-02-10 19:12 --------- d-----w C:\Documents and Settings\JB\Application Data\DAEMON Tools

2008-02-10 18:56 --------- d-----w C:\Documents and Settings\JB\Application Data\Media Player Classic

2008-02-10 18:53 --------- d-----w C:\Program Files\VideoLAN

2008-02-10 18:50 --------- d-----w C:\Program Files\QuickPar

2008-02-10 18:41 --------- d-----w C:\Documents and Settings\JB\Application Data\GrabIt

2008-02-10 16:14 --------- d-----w C:\Program Files\GrabIt

2008-02-09 20:05 716,272 ----a-w C:\WINDOWS\system32\drivers\sptd.sys

2008-02-09 12:14 1,409 ----a-w C:\WINDOWS\Fonts\sncf09.fot

2008-02-09 12:03 --------- d-----w C:\Program Files\Zone Labs

2008-02-09 12:03 --------- d-----w C:\Documents and Settings\All Users\Application Data\MailFrontier

2008-02-09 11:16 --------- d-----w C:\Program Files\Norton AntiVirus

2008-02-09 02:06 360,064 ----a-w C:\WINDOWS\system32\drivers\TCPIP.SYS.ORIGINAL

2008-02-09 02:06 360,064 ----a-w C:\WINDOWS\system32\drivers\TCPIP.SYS

2008-02-09 00:57 --------- d-----w C:\Documents and Settings\JB\Application Data\ACD Systems

2008-02-09 00:56 --------- d-----w C:\Program Files\Fichiers communs\ACD Systems

2008-02-08 23:52 --------- d-----w C:\Program Files\Realtek AC97

2008-02-08 23:10 --------- d-----w C:\Program Files\ATI Technologies

2008-02-08 22:42 --------- d-----w C:\Program Files\microsoft frontpage

2008-02-08 22:39 --------- d-----w C:\Program Files\Services en ligne

.

 

------- Sigcheck -------

 

2007-10-30 18:53 360832 64798ecfa43d78c7178375fcdd16d8c8 C:\WINDOWS\$hf_mig$\KB941644\SP2QFE\tcpip.sys

2002-08-29 01:58 332928 244a2f9816bc9b593957281ef577d976 C:\WINDOWS\$NtServicePackUninstall$\tcpip.sys

2004-08-04 00:14 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\$NtUninstallKB941644$\tcpip.sys

2004-08-04 00:14 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\ServicePackFiles\i386\TCPIP.SYS

2008-02-09 04:06 360064 ed06c31200714e734118f9a47f5df5ce C:\WINDOWS\system32\dllcache\TCPIP.SYS

2008-02-09 04:06 360064 ed06c31200714e734118f9a47f5df5ce C:\WINDOWS\system32\drivers\TCPIP.SYS

.

((((((((((((((((((((((((((((( snapshot_2008-04-05_23.08.13.92 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-03-25 14:24:53 200,144 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT

+ 2008-04-06 09:38:33 193,776 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 17:09 15360]

"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMan"="SOUNDMAN.EXE" [2006-11-17 06:42 577536 C:\WINDOWS\soundman.exe]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]

"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-04-05 15:07 919016]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 17:09 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.YV12"= yv12vfw.dll

"msacm.ac3acm"= ac3acm.acm

"msacm.lameacm"= lameACM.acm

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"E:\\eMule0.48a\\emule.exe"=

"C:\\Program Files\\Messenger\\msmsgs.exe"=

"E:\\Jeux\\Lost\\Lost Via Domus\\Yeti_Final_Win32.exe"=

"E:\\Jeux\\Lost\\Lost Via Domus\\gu.exe"=

"E:\\Jeux\\Lost\\Lost Via Domus\\detection\\Launcher.exe"=

 

R0 pe3ajbeb;L Ile Noyee Environment Driver (pe3ajbeb);C:\WINDOWS\system32\drivers\pe3ajbeb.sys [2007-08-22 18:31]

R0 ps7ajbeb;L Ile Noyee Synchronization Driver (ps7ajbeb);C:\WINDOWS\system32\drivers\ps7ajbeb.sys [2007-08-22 18:30]

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]

S2 pr2ajbeb;L Ile Noyee Drivers Auto Removal (pr2ajbeb);C:\WINDOWS\system32\pr2ajbeb.exe svc []

S3 scsiscan;Pilote de scanneur SCSI;C:\WINDOWS\system32\DRIVERS\scsiscan.sys [2001-08-17 22:53]

 

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-04-07 00:41:43

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cach‚s ...

 

Balayage cach‚ autostart entries ...

 

Balayage des fichiers cach‚s ...

 

Scan termin‚ avec succŠs

Les fichiers cach‚s: 0

 

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

C:\WINDOWS\system32\wscntfy.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-04-07 0:42:43 - machine was rebooted

ComboFix-quarantined-files.txt 2008-04-06 22:42:34

ComboFix2.txt 2008-04-06 12:14:24

ComboFix3.txt 2008-04-06 10:01:57

ComboFix4.txt 2008-04-05 21:08:27

ComboFix5.txt 2008-04-05 13:16:22

Pre-Run: 13,685,977,088 octets libres

Post-Run: 13,624,537,088 octets libres

.

2008-04-05 20:26:55 --- E O F ---

 

 

 

 

 

 

 

 

 

 

 

 

 

 

RAPPORT Malwarebytes' Anti-Malware 1.10

 

Malwarebytes' Anti-Malware 1.10

Version de la base de données: 597

 

Type de recherche: Examen complet (A:\|C:\|D:\|E:\|I:\|J:\|)

Eléments examinés: 80898

Temps écoulé: 5 hour(s), 52 minute(s), 6 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

Thanos Devil Member !

Thanos

Posté(e)
  • Auteur
Posté(e) (modifié)

salut :P

 

Ok, les deux rapports sont bons. (est ce que tu as bien branché ta clé usb avant de lancer le script ?) Tu vas pouvoir remetrre un antivirus à présent!

Je te conseille de lire ce comparatif très intéressant de Malekal Morte afin de te faire une idée quant à l'efficacité d'Avast et d'Antivir > http://forum.malekal.com/ftopic3528.php

C'est une étude indépendante et sérieuse! Je ne saurais que te conseiller de désinstaller avast et d'installer Antivir afin de protéger ton pc au mieux. Ton parefeu( Zone Alarm) et ton antivirus (Avast) ne fonctionnent plus: il faut les désinstaller puis réinstaller comme ceci >

 

-Télécharge Antivir sur le bureau, mais ne le lance pas encore!

 

-Télécharge aussi Zone Alarm et met le de côté.

 

-Désinstalle Avast et Zone Alarm puis redémarre le pc.

 

-Installe Antivir et Zone Alarm.

 

-Met Antivir à jour et configure le en suivant les indications du Tutoriel de tesgaz

Un scan va se lancer automatiquement: arrête le! il est préférable de le lancer en mode sans échec.

 

-Tuto de Odsen pour la version free de Zone Alarm en cas de besoin: http://benoit.aun.free.fr/securite-facile-php/zonealarm.php

 

1) Redémarre le PC, impérativement en mode sans échec.

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement > Tapote par alternance les touches [F8] et [F5] jusqu'à l'affichage du menu des options avancées de Windows.

Sélectionne "Mode sans échec" et appuie sur la touche [Entrée].

Choisis ton compte usuel, et non Administrateur. En images ici > http://cybersecurite.xooit.com/t88-Demarre...-sans-echec.htm

 

2) Elimine ComboFix comme ceci >

 

Passe par le Menu Démarrer > Exécuter > et tape ceci > ComboFix /u (il ya un espace entre x et / )

Une fenêtre va s'ouvrir et ComboFix sera désinstallé de ton pc.

 

3) Lance Antivir.(tes supports amovibles doivent être branchés)

  • Pour démarrer un scan, il suffit de cliquer sur l'onglet Scanner
  • Choisis les éléments à scanner > choisis Local Drivers
  • Clique sur l'icône antivir_icone_scan.pngpour démarrer le scan.
  • Lorsqu'une infection est détectée, clique sur le bouton Move to quarantine puis coche la case Apply selection to all following detections > cilque sur [ok] pour valider.
  • Une fois le scan terminé, clique sur le bouton report > un rapport va être créé : enregistre le sur le bureau.

Redémarre ton pc et poste stp le rapport d'Antivir ainsi qu'un nouveau rapport hijackthis.

 

Est ce que tu as récupéré ta connexion sur ce pc ? sinon fais ceci >

 

Passe par Démarrer > Executer et saisis cmd puis OK.

Dans la fenêtre MS-DOS : copie/colle ceci >

 

netsh winsock reset catalog => tape sur la touche [Entrée]

Redémarre ton pc et constate si la connexion est rétablie.

 

Dis moi ce qu'il en est :P

Modifié par Thanos
assainte Member

assainte

Posté(e)
Posté(e)

Salut Thanos!

J'ai fait tout ce que tu m'as demandé.

Je te poste les rapports de Hijackthis et d'Antivir (Antivir a mis la nuit à tout scanner...).

Par contre, aprés avoir installé Antivir, et avant de redémarrer en mode sans échec, celui-ci m'a ouvert une fenêtre où il me disait qu'il avait trouvé "TR/Dldr.Bagle.MN" dans le dossier "C:\System Volume Information\_restore{527B042D-CC6B-438D-B18A-09C53F00465C}\RP5\A0001248.EXE".

Je l'ai mis en quarantaine. Qu'est-ce que je dois en faire maintenant? Est-ce que cela signifie que Bagle est toujours là?

Les rapports Antivir et Hijackthis ont été faits aprés cette découverte.

 

 

 

 

 

RAPPORT ANTIVIR

 

 

 

 

AntiVir PersonalEdition Classic

Report file date: lundi 7 avril 2008 21:36

 

Scanning for 1184762 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Username: JB

Computer name: BUREAU

 

Version information:

BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00

AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 12:16:29

AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 11:23:51

LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 14:32:47

LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 11:35:20

ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 13:27:15

ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07/03/2008 12:54:01

ANTIVIR2.VDF : 7.0.3.127 649216 Bytes 07/04/2008 12:54:01

ANTIVIR3.VDF : 7.0.3.128 2048 Bytes 07/04/2008 12:54:01

AVEWIN32.DLL : 7.6.0.81 3424768 Bytes 07/04/2008 12:54:02

AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26

AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 06:39:17

AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24

AVPACK32.DLL : 7.6.0.3 360488 Bytes 07/04/2008 12:54:02

AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 06:17:06

AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 11:26:33

AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 06:10:18

NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42

RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 11:38:13

RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 11:50:37

SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 08:37:21

 

Configuration settings for the scan:

Jobname..........................: Complete system scan

Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: off

Scan boot sector.................: on

Boot sectors.....................: E:,

Scan memory......................: on

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: off

Scan all files...................: All files

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,

Macro heuristic..................: on

File heuristic...................: medium

Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR,

 

Start of the scan: lundi 7 avril 2008 21:36

 

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

11 processes with 11 modules were scanned

 

Start scanning boot sectors:

Boot sector 'C:\'

[NOTE] No virus was found!

Boot sector 'D:\'

[NOTE] No virus was found!

Boot sector 'E:\'

[NOTE] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( '21' files ).

 

 

Starting the file scan:

 

Begin scan in 'C:\'

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\WINDOWS\system32\drivers\sptd.sys

[WARNING] The file could not be opened!

Begin scan in 'D:\' <Données>

Begin scan in 'E:\' <Nouveau nom>

E:\eMule2\Incoming\Album - Eiffel - Abricotine + 4 faces B.ace

[0] Archive type: ACE

--> eiffel - Abricotine - 11 - J'ai pouss trop vite.mp3

[WARNING] Error creating the file

--> eiffel - Abricotine - 04 - te revoir.mp3

[WARNING] No further files can be extracted from this archive. The archive will be closed

[WARNING] No further files can be extracted from this archive. The archive will be closed

 

 

End of the scan: mardi 8 avril 2008 07:05

Used time: 9:28:30 min

 

The scan has been done completely.

 

4946 Scanning directories

267498 Files were scanned

0 viruses and/or unwanted programs were found

0 Files were classified as suspicious:

0 files were deleted

0 files were repaired

0 files were moved to quarantine

0 files were renamed

2 Files cannot be scanned

267498 Files not concerned

2099 Archives were scanned

5 Warnings

228 Notes

 

 

 

 

 

 

 

 

 

 

RAPPORT HIJACKTHIS

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:02:25, on 08/04/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\JB\Bureau\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{F2EE29BF-B537-4118-8EEF-AA5DC563176B}: NameServer = 212.27.54.252,212.27.53.252

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe (file missing)

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: L Ile Noyee Drivers Auto Removal (pr2ajbeb) (pr2ajbeb) - Micro Application - C:\WINDOWS\system32\pr2ajbeb.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

--

End of file - 4961 bytes

assainte Member

assainte

Posté(e)
Posté(e)

Thanos! Quelle horreur! :P

Je croyais que je commençais à voir la fin du tunnel, mais là, par acquis de conscience car je n'étais pas sûr que lors du scan de cette nuit Antivir avait bien scanné la maudite clé USB, j'ai lancé un scan, l'air de rien, pour me rassurer. Et bien ,le résultat n'a pas eu l'effet escompté: en effet, il m'a trouvé deux TR/Dldr.Bagle.MN sur ma clé.

J'ai mis les deux bêbêtes en quarantaine, j'attends ton aide. :P

Voici le rapport.

PS: depuis que tu me l'avais demandé, j'avais toujours laissé la clé USB branchée au PC infecté, sans jamais l'enlever.

 

 

 

RAPPORT ANTIVIR CLE USB

 

 

 

AntiVir PersonalEdition Classic

Report file date: mardi 8 avril 2008 13:25

 

Scanning for 1184762 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Username: JB

Computer name: BUREAU

 

Version information:

BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00

AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 12:16:29

AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 11:23:51

LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 14:32:47

LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 11:35:20

ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 13:27:15

ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07/03/2008 12:54:01

ANTIVIR2.VDF : 7.0.3.127 649216 Bytes 07/04/2008 12:54:01

ANTIVIR3.VDF : 7.0.3.128 2048 Bytes 07/04/2008 12:54:01

AVEWIN32.DLL : 7.6.0.81 3424768 Bytes 07/04/2008 12:54:02

AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26

AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 06:39:17

AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24

AVPACK32.DLL : 7.6.0.3 360488 Bytes 07/04/2008 12:54:02

AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 06:17:06

AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 11:26:33

AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 06:10:18

NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42

RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 11:38:13

RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 11:50:37

SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 08:37:21

 

Configuration settings for the scan:

Jobname..........................: Manual Selection

Configuration file...............: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: off

Scan boot sector.................: on

Boot sectors.....................: J:,

Scan memory......................: on

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: off

Scan all files...................: All files

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,

Macro heuristic..................: on

File heuristic...................: medium

Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR,

 

Start of the scan: mardi 8 avril 2008 13:25

 

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Scan process 'iexplore.exe' - '1' Module(s) have been scanned

Scan process 'msmsgs.exe' - '1' Module(s) have been scanned

Scan process 'ctfmon.exe' - '1' Module(s) have been scanned

Scan process 'zlclient.exe' - '0' Module(s) have been scanned

Scan process 'avgnt.exe' - '1' Module(s) have been scanned

Scan process 'soundman.exe' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'alg.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'sched.exe' - '1' Module(s) have been scanned

Scan process 'avguard.exe' - '1' Module(s) have been scanned

Scan process 'spoolsv.exe' - '1' Module(s) have been scanned

Scan process 'vsmon.exe' - '0' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

23 processes with 23 modules were scanned

 

Start scanning boot sectors:

Boot sector 'J:\'

[NOTE] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( '21' files ).

 

 

Starting the file scan:

 

Begin scan in 'J:\' <UDISK 26X>

J:\nideiect.com

[DETECTION] Is the Trojan horse TR/Dldr.Bagle.MN

[iNFO] The file was moved to '485f58d6.qua'!

J:\SOUNDMAN.EXE

[DETECTION] Is the Trojan horse TR/Dldr.Bagle.MN

[iNFO] The file was moved to '485058bf.qua'!

 

 

End of the scan: mardi 8 avril 2008 13:35

Used time: 10:10 min

 

The scan has been done completely.

 

3 Scanning directories

9659 Files were scanned

2 viruses and/or unwanted programs were found

0 Files were classified as suspicious:

0 files were deleted

0 files were repaired

2 files were moved to quarantine

0 files were renamed

0 Files cannot be scanned

9657 Files not concerned

110 Archives were scanned

0 Warnings

0 Notes

Thanos Devil Member !

Thanos

Posté(e)
  • Auteur
Posté(e)

salut :P

 

Par contre, aprés avoir installé Antivir, et avant de redémarrer en mode sans échec, celui-ci m'a ouvert une fenêtre où il me disait qu'il avait trouvé "TR/Dldr.Bagle.MN" dans le dossier "C:\System Volume Information\_restore{527B042D-CC6B-438D-B18A-09C53F00465C}\RP5\A0001248.EXE".

Ne t'inquiête pas pour ca: c'est un point de restauration infecté que l'on va éliminer très simplement en quelques clics. L'infection n'est pas active tant que tu n'utilise pas la restauration système.

 

Le rapport hijackthis est niquel :P

Et bien ,le résultat n'a pas eu l'effet escompté: en effet, il m'a trouvé deux TR/Dldr.Bagle.MN sur ma clé.

J'ai mis les deux bêbêtes en quarantaine, j'attends ton aide.

L'infection baggle avait aussi installé des fichiers dans les lecteurs I: et J: > le scan avec Antivir a nettoyé l'infection sur ta clé usb (J). A quoi correspond la lettre I: sur ton pc ? un disque dur externe? une autre clé usb? une partition du disque dur principal?

 

Ne double-clique pas sur le lecteur I:\ > fais juste un clic droit dessus > choisis Explorer ou Ouvrir et recherche les fichiers suivants (ils ne doivent plus y figurer) et élimine les (clic droit dessus > supprimer! >

 

I:\autorun.inf

I:\nideiect.com

I:\SOUNDMAN.EXE

 

Passe maintenant par le Menu Démarrer > Exécuter > et tape ceci > ComboFix /u (il ya un espace entre x et / )

Une fenêtre va s'ouvrir et ComboFix sera désinstallé de ton pc.

 

avast! est encore présent sur ton pc même s'il n'est plus actif: est ce que tu as utilisé le petit programme pour le désinstaller > aswClear.exe ? sinon voici le lien et la manière de l'utiliser > http://www.avast.com/fre/avast-uninstall-utility.html

 

Désactive puis réactive la restauration système comme ceci => aide visuelle

Clique sur Démarrer.

Clique avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés.

Clique sur l'onglet «Restauration du système».

Sélectionne «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs»

Clique sur "Appliquer".

Comme le dit le message, ceci supprimera tous les points de restauration existants. Pour faire cela, clique sur Oui.

Clique sur OK.Redémarre ton PC. Fais l'opération inverse, et réactive la restauration:un nouveau point sera automatiquement créé.

 

Je regarde pour ton souci de fichiers cachés....

 

Poste un dernier rapport hijackthis après ca :P

assainte Member

assainte

Posté(e)
Posté(e)

La lettre I:\ correspond actuellement au vieux lecteur CD (il ne fait que lecteur) que j'avais rajouté dans l'urgence afin de mettre sur le PC infecté les fichiers que tu me disais de télécharger. Je gravais les données depuis le PC sain sur un CD-RW et le mettais donc dans le Lecteur CD, ceci afin que le PC infecté ne puisse aucunement graver des vilains virus sur le CD-RW(cela n'avait peut-être aucun intéret de faire tout ça?)...

La lettre J:\ correspond actuellement à la clé USB.

La lettre I:\ correspondait donc avant à la clé USB.

 

J'ai donc fait la démarche de chercher ces 3 voyous sur J:\ (et sur I:\ par acquis de conscience...)

I:\autorun.inf

I:\nideiect.com

I:\SOUNDMAN.EXE

 

Il n'en n'a trouvé aucun, par conséquent, je n'ai donc pas pu les supprimer :P

 

J'avais omis de supprimer proprement, comme tu me l'avais dit Avast. :P C'est chose faite avec aswClear.exe.

 

J'avais déjà désactivé la Restauration Système (depuis 2-3 jours), je l'ai donc réactivée à l'instant.

 

Voici le rapport hijackthis:

 

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:25:04, on 09/04/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\JB\Bureau\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{F2EE29BF-B537-4118-8EEF-AA5DC563176B}: NameServer = 212.27.54.252,212.27.53.252

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: L Ile Noyee Drivers Auto Removal (pr2ajbeb) (pr2ajbeb) - Micro Application - C:\WINDOWS\system32\pr2ajbeb.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

--

End of file - 4610 bytes

 

 

 

 

 

 

Je suis guéri? :P

Thanos Devil Member !

Thanos

Posté(e)
  • Auteur
Posté(e) (modifié)

salut :P

 

Plus rien à signaler :P

 

Je reviens sur ton souci avec l'explorateur et le fait de ne plus avoir les options suivantes >>

 

Afficher/Ne pas Afficher les fichiers et dossiers cachés

 

On va vérifier un élément dans la base de registre de Windows >>

 

Stp rend toi sur cette page afin de télécharger le fichier look.bat: enregistre le sur le bureau > http://www.sendspace.com/file/8o074e

pour cela, clique sur le lien en bas de page > pointright.gifDownload Link: look.bat

 

Double clique sur le fichier et poste le rapport stp: s'il ne s'affiche pas tu le trouvera sur ton bureau > il se nomme search.txt

 

Comment fonctionne ton pc à part ca ?

 

@++

Modifié par Thanos
assainte Member

assainte

Posté(e)
Posté(e)

Voici le rapport demandé.

Sinon, pour l'instant, et depuis tes derniers conseils, il fonctionne à merveille...je commence à relancer toutes les tâches quotidiennes d'utilisation d'un PC...

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden]

"Text"="@shell32.dll,-30499"

"Type"="group"

"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\

00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\

48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\

00

"HelpID"="shell.hlp#51131"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL]

"ValueName"="Hidden"

"CheckedValue"=dword:00000001

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...