[Résolu] Rapports Antivir et hijackthis aps pr

horst tappert · le 27 septembre 2008

Bonjour à toutes et a tous

Me revoila pour vous parler de ma dernière vérole. Il semblerait qu un troyen " TR/Spy.Banker.vk.1 Trojan" squatte mon ordi depuis quelques temps; il tourne au ralenti, je suis obligee de cliquer 36 000 fois pour executer ou lancer les taches que je veux quand je surf, mon navigateur Firefox plante ttes les 5 minutes...je fais dc a la lettre la procedure de desinfection epingle ds le forum et bingo il y a bien anguille ss roche Antivir l a detecte :

D:\mes documents\e_mule\transfert\Peintres(partie2)2500 photos(Giacometti,Botticelli,Modigliani,Murillo,Cezanne,Chagall,De Lempicka,Giotto,Klimt,Matisse,Pollock,Vermeer,Le Titien).zip

[0] Archive type: ZIP

--> Peintres/Alessandro Botticelli/Augustin_Botticelli.jpg

[DETECTION] Is the TR/Spy.Banker.vk.1 Trojan

[NOTE] The file was moved to '4946ea4d.qua'!

Il me l a mis en quarantaine et elimine sans souci pour autant je ne pense pas que le problème vienne de la; je m explique: ce dossier foireux je suis presque sure de ne l avoir jamais dezippe dc je ne pense pas avoir libere la verole pour qu elle s installe sur mon disque dur. En + quand j ai eu fini l analyse Antivir qui avait tt nettoye soi disant et que j ai desinstalle Antivir en ajout/suppression de programme ( tjrs en mode sans echec), l ordi a mouline un moment puis s est mis a redemarrer tt seul...j ai attendu de voir ce qui se passait sans toucher a rien et la j ai vu le pc redemarrer en mode normal et le mot de passe d ouverture de cession se taper tt seul! ...j appuie directement sur la tour pour eteindre le pc, il s arrete et redemarre aussi sec et ça recommence idem.Je coupe le modem, plus de connexion net, j eteins a nouveau avc la tour , le doigt appuye un bon moment et la tout s eteint correctement, enfin! Je demarre en mode normal et lance hijackthis...

Le probleme a mon sens ne vient pas du fameux dossier trouve par Antivir , je pense qu il est ailleurs ms aucun antivirus ne me le trouve! depuis debut septembre j ai un contact qui m envoie des mails dont certaines pieces jointes (gif,pps,VideoWindowsMedia) s incrustent sur mon bureau: je ne peux pas les scanner, pas les deplacer, pas les supprimer...rien! je vais bientot avoir une petite collection de merdouilles qui rempliront tt mon bureau je pense que c est plutot la que se trouve la racine de mes problemes ms je ne sais pas comment les virer donc j ai besoin de vous !!!

Voici mes rapports Antivir ( mode sans echec):

Avira AntiVir Personal

Report file date: samedi 27 septembre 2008 09:23

Scanning for 1645581 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows XP

Windows version: (Service Pack 3) [5.1.2600]

Boot mode: Save mode

Username: Utilisateur

Computer name: UTILISAT

Version information:

BUILD.DAT : 8.1.0.331 16934 Bytes 12/08/2008 11:46:00

AVSCAN.EXE : 8.1.4.7 315649 Bytes 26/06/2008 08:57:53

AVSCAN.DLL : 8.1.4.0 40705 Bytes 26/05/2008 07:56:40

LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:19

LUKERES.DLL : 8.1.4.0 12033 Bytes 26/05/2008 07:58:52

ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 10:33:34

ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24/06/2008 13:54:15

ANTIVIR2.VDF : 7.0.6.217 3773440 Bytes 26/09/2008 06:58:36

ANTIVIR3.VDF : 7.0.6.218 2048 Bytes 26/09/2008 06:58:36

Engineversion : 8.1.1.35

AEVDF.DLL : 8.1.0.5 102772 Bytes 25/02/2008 09:58:21

AESCRIPT.DLL : 8.1.0.76 319867 Bytes 27/09/2008 06:58:56

AESCN.DLL : 8.1.0.23 119156 Bytes 10/07/2008 12:44:49

AERDL.DLL : 8.1.1.2 438644 Bytes 27/09/2008 06:58:54

AEPACK.DLL : 8.1.2.3 364918 Bytes 27/09/2008 06:58:51

AEOFFICE.DLL : 8.1.0.25 196986 Bytes 27/09/2008 06:58:49

AEHEUR.DLL : 8.1.0.59 1438071 Bytes 27/09/2008 06:58:48

AEHELP.DLL : 8.1.0.15 115063 Bytes 10/07/2008 12:44:48

AEGEN.DLL : 8.1.0.36 315764 Bytes 27/09/2008 06:58:41

AEEMU.DLL : 8.1.0.7 430452 Bytes 31/07/2008 08:33:21

AECORE.DLL : 8.1.1.11 172406 Bytes 27/09/2008 06:58:38

AEBB.DLL : 8.1.0.1 53617 Bytes 10/07/2008 12:44:48

AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:05

AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:28:01

AVREP.DLL : 8.0.0.2 98344 Bytes 27/09/2008 06:58:37

AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:40

AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:23

AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:49

SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02

SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:40

NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:10

RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12/06/2008 13:48:07

RCTEXT.DLL : 8.0.52.0 86273 Bytes 27/06/2008 13:34:37

Configuration settings for the scan:

Jobname..........................: Complete system scan

Configuration file...............: C:\Program Files\Avira\AntiVir PersonalEdition Classic\sysscan.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: on

Scan boot sector.................: on

Boot sectors.....................: C:, D:, F:,

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: off

Scan all files...................: All files

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,

Macro heuristic..................: on

File heuristic...................: high

Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Start of the scan: samedi 27 septembre 2008 09:23

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

11 processes with 11 modules were scanned

Starting master boot sector scan:

Master boot sector HD0

[iNFO] No virus was found!

Master boot sector HD1

[iNFO] No virus was found!

Start scanning boot sectors:

Boot sector 'C:\'

[iNFO] No virus was found!

Boot sector 'D:\'

[iNFO] No virus was found!

Boot sector 'F:\'

[iNFO] No virus was found!

Starting to scan the registry.

The registry was scanned ( '63' files ).

Starting the file scan:

Begin scan in 'C:\'

C:\pagefile.sys

[WARNING] The file could not be opened!

Begin scan in 'D:\'

D:\mes documents\e_mule\transfert\Peintres(partie2)2500 photos(Giacometti,Botticelli,Modigliani,Murillo,Cezanne,Chagall,De Lempicka,Giotto,Klimt,Matisse,Pollock,Vermeer,Le Titien).zip

[0] Archive type: ZIP

--> Peintres/Alessandro Botticelli/Augustin_Botticelli.jpg

[DETECTION] Is the TR/Spy.Banker.vk.1 Trojan

[NOTE] The file was moved to '4946ea4d.qua'!

Begin scan in 'F:\'

F:\Mes Documents\zouzou\zik\divers french\Gérard Manset - Royaume De Siam (Full Cd Album 1988) Ogg Vorbis 160Kbps Covers.ace

[0] Archive type: ACE

--> Gﾂrard Manset - Royaume de Siam\Gﾂrard Manset - Royaume de Siam_a.jpg

[WARNING] No further files can be extracted from this archive. The archive will be closed

End of the scan: samedi 27 septembre 2008 11:21

Used time: 1:58:28 Hour(s)

The scan has been done completely.

8094 Scanning directories

340921 Files were scanned

1 viruses and/or unwanted programs were found

0 Files were classified as suspicious:

0 files were deleted

0 files were repaired

1 files were moved to quarantine

0 files were renamed

1 Files cannot be scanned

340919 Files not concerned

2105 Archives were scanned

2 Warnings

1 Notes

Mon rapport Hijackthis ( mode normal):

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:57:03, on 27/09/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\CTsvcCDA.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\PROGRA~1\AVG\AVG8\avgrsx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0L2.EXE

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\WINDOWS\system32\Rundll32.exe

C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Logitech\Video\LogiTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\PROGRA~1\Labtec\LABTEC~1\Keyboard.exe

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe

C:\Program Files\SEC\Natural Color Pro\NCProTray.exe

C:\WINDOWS\system32\LVComsX.exe

C:\Program Files\Logitech\Video\FxSvr2.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\hijackthis270908\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL

O4 - HKLM\..\Run: [EPSON Stylus CX6400] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0L2.EXE /P19 "EPSON Stylus CX6400" /O6 "USB001" /M "Stylus CX6400"

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [storageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper

O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [KeyBoard] C:\PROGRA~1\Labtec\LABTEC~1\Keyboard.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe

O4 - HKCU\..\Run: [EPSON Stylus CX6400] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0L2.EXE /P19 "EPSON Stylus CX6400" /M "Stylus CX6400" /EF "HKCU"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: ERUNT AutoBackup.lnk = C:\Program Files\ERUNT\AUTOBACK.EXE

O4 - Global Startup: NCProTray.lnk = ?

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} - http://housecall60.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} - http://housecall65.trendmicro.com/housecal...ivex/hcImpl.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/...lscbase5036.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1144235176410

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1150660540390

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll

O20 - AppInit_DLLs: avgrsstx.dll

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O24 - Desktop Component 0: (no name) - http://www.planetegta3.com/images/haut_logo.jpg

--

End of file - 10902 bytes

C'est grave docteur??? Qu'est-ce que je dois faire maintenant,gloups???

Merci et @ plus tard!

Horst Tappert/

Modifié le 15 octobre 2008 par horst tappert

WawaSeb · le 28 septembre 2008

Bonjour horst tappert !

*** Sois à nouveau la bienvenue dans la partie sécurité de Zebulon ! ***

D:\mes documents\e_mule\

--> A la fin d'une procédure, je donne toujours des recommandations pour éviter de se faire ré-infecter...

--> Certains malware's attaquent les fichiers système ou les données "utilisateur", je ferais vraiment attention à ta place...

--> As-tu exécuté une pièce jointe ou utilisé un programme de p2p ?

il tourne au ralenti

--> Je vois que tu as installé la suite de sécurité d'AVG et ZoneAlarm ; as-tu des lenteurs depuis l'installation de l'un de ces logiciels ?

Imprime cette procédure, tu n'auras pas forcément accès à Internet en mode sans échec...

1) Télécharge SDFix de AndyManchesta et enregistre-le sur ton Bureau.

Double-clique sur SDFix.exe et sélectionne Install pour le décompresser à la racine de ton disque dur ; un fichier texte s'ouvre pour t'avertir que c'est terminé (ferme-le !)

2) Démarre en mode sans échec sur ta session comme indiqué ici (utilise ABSOLUMENT la première solution !)

Ouvre le dossier SDFix qui est apparu à la racine de ton disque dur et double-clique sur RunThis.bat pour lancer le script
Appuie sur Y pour démarrer le nettoyage
SDFix va supprimer les parties de certains malware's trouvés et te demandera d'appuyer sur une touche pour redémarrer
Appuie donc sur une touche pour redémarrer la machine
Ton système sera plus long que d'habitude pour redémarrer car le fix va continuer à travailler pendant le redémarrage
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished
Appuie sur une touche pour terminer le nettoyage et charger les icônes de ton Bureau
Une fois que les icônes du Bureau seront affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera dans le dossier SDFix sous le nom Report.txt
Copie-colle alors le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

3) Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur le Bureau.

Double-clique sur RSIT.exe pour le lancer.
Une première fenêtre s'ouvre, clique alors sur Continue (Disclaimer).

Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence.
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).
Poste le contenu de log.txt (c'est celui qui apparait à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

Je serai peu disponible (submergé par le boulot) dans les jours qui viennent, si un helper veut prendre la suite, c'est bien sûr avec plaisir !

P.S. : Charles Ingals s'appelle maintenant Thanos !

P.S. 2 : Tous les membres "en bleu" ou "en mauve" ont été formés à l'éradication de malwares, tu peux leur faire confiance !

Bonne journée !

horst tappert · le 28 septembre 2008

Rebonjour à toutes et tous

"

--> A la fin d'une procédure, je donne toujours des recommandations pour éviter de se faire ré-infecter...

--> Certains malware's attaquent les fichiers système ou les données "utilisateur", je ferais vraiment attention à ta place...

--> As-tu exécuté une pièce jointe ou utilisé un programme de p2p ? "

Comme je l avais explique ds mon 1er post j ai un contact qui m envoie des mails avc pieces jointes suspectes puisqu elles s incrustent sur mon bureau et je ne peux rien en faire...Pour repondre a WawaSeb j ai malheureusement pu ouvrir une ou deux de ces pieces jointes; quant au P2P des que je sais mon PC infecte je n utilise plus le P2P pour ne pas disseminer mon infection chz tout le monde...je ne connais que trop bien tes recommandations sur le sujet ms comme le disait O.Wilde " je peux resister a tout sauf a la tentation"

"--> Je vois que tu as installé la suite de sécurité d'AVG et ZoneAlarm ; as-tu des lenteurs depuis l'installation de l'un de ces logiciels ?"

Je n ai pas de lenteurs particulieres depuis ms bizzaremnt malgre la mise a jour Zalarm je reçois une notification a intervalle regulier pour une nouvelle mise a jour que je n effectue pas, estimant l avoir deja faite....

Voici donc mes rapports SDFix et RSIT:

SDFix: Version 1.229

Run by Utilisateur on 28/09/2008 at 11:11

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Checking Services :

Restoring Default Security Values

Restoring Default Hosts File

Rebooting

Checking Files :

No Trojan Files Found

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-09-28 11:15:52

Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0011b107a392]

"0005c931d449"=hex:73,8d,6a,3c,b3,ca,06,07,af,9f,cb,b0,f6,73,5c,19

"001e37a95154"=hex:e0,60,db,77,75,44,21,04,b7,a0,23,4e,46,9e,6c,92

"0017d5fff9d4"=hex:a6,54,10,30,b8,10,dc,59,bf,25,38,1d,eb,e4,09,cd

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0011b107a392]

"0005c931d449"=hex:73,8d,6a,3c,b3,ca,06,07,af,9f,cb,b0,f6,73,5c,19

"001e37a95154"=hex:e0,60,db,77,75,44,21,04,b7,a0,23,4e,46,9e,6c,92

"0017d5fff9d4"=hex:a6,54,10,30,b8,10,dc,59,bf,25,38,1d,eb,e4,09,cd

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\WINDOWS\\Temp\\NavBrowser.exe"="C:\\WINDOWS\\Temp\\NavBrowser.exe:*:Disabled:NAVBrowser"

"E:\\eMule\\emule.exe"="E:\\eMule\\emule.exe:*:Disabled:eMule"

"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Disabled:eMule"

"C:\\Program Files\\Cooktop2200\\xcooktop.exe"="C:\\Program Files\\Cooktop2200\\xcooktop.exe:*:Disabled:Cooktop"

"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"

"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:*:Enabled:ActiveSync Connection Manager"

"C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe:*:Enabled:Yahoo! Messenger"

"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server"

"C:\\Documents and Settings\\Utilisateur\\Local Settings\\Temp\\Rar$EX02.718\\eMule0.47b\\emule.exe"="C:\\Documents and Settings\\Utilisateur\\Local Settings\\Temp\\Rar$EX02.718\\eMule0.47b\\emule.exe:*:Enabled:eMule"

"C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"="C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE:*:Enabled:Internet Explorer"

"C:\\WINDOWS\\$NtUninstallKB908531$\\IEXPLORE.EXE"="C:\\WINDOWS\\$NtUninstallKB908531$\\IEXPLORE.EXE:*:Enabled:Internet Explorer"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Electronic Arts\\Battlefield 2142\\BF2142.exe"="C:\\Program Files\\Electronic Arts\\Battlefield 2142\\BF2142.exe:*:Enabled:Battlefield 2"

"C:\\Program Files\\EA GAMES\\Battlefield 2\\BF2.exe"="C:\\Program Files\\EA GAMES\\Battlefield 2\\BF2.exe:*:Enabled:Battlefield 2"

"C:\\Program Files\\Grisoft\\AVG7\\avginet.exe"="C:\\Program Files\\Grisoft\\AVG7\\avginet.exe:*:Enabled:avginet.exe"

"C:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"="C:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe:*:Enabled:avgamsvr.exe"

"C:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"="C:\\Program Files\\Grisoft\\AVG7\\avgcc.exe:*:Enabled:avgcc.exe"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"

"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"

"C:\\Program Files\\AVG\\AVG8\\avgupd.exe"="C:\\Program Files\\AVG\\AVG8\\avgupd.exe:*:Enabled:avgupd.exe"

"C:\\Program Files\\Winamp Remote\\bin\\Orb.exe"="C:\\Program Files\\Winamp Remote\\bin\\Orb.exe:*:Enabled:Orb"

"C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"="C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe:*:Enabled:OrbTray"

"C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"="C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe:*:Enabled:Orb Stream Client"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"

"C:\\WINDOWS\\$NtUninstallKB908531$\\IEXPLORE.EXE"="C:\\WINDOWS\\$NtUninstallKB908531$\\IEXPLORE.EXE:*:Enabled:Internet Explorer"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :

Files with Hidden Attributes :

Wed 1 Aug 2007 24 ..SH. --- "C:\WINDOWS\S86C54066.tmp"

Thu 25 May 2006 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

Thu 11 Jan 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"

Thu 25 May 2006 4,348 ...H. --- "C:\Documents and Settings\Utilisateur\Mes documents\Ma musique\Sauvegarde de la licence\drmv1key.bak"

Thu 25 May 2006 20 A..H. --- "C:\Documents and Settings\Utilisateur\Mes documents\Ma musique\Sauvegarde de la licence\drmv1lic.bak"

Thu 25 May 2006 400 A.SH. --- "C:\Documents and Settings\Utilisateur\Mes documents\Ma musique\Sauvegarde de la licence\drmv2key.bak"

Finished!

Logfile of random's system information tool 1.02 (written by random/random)

Run by Utilisateur at 2008-09-28 11:21:04

Microsoft Windows XP Édition familiale Service Pack 3

System drive C: has 38 GB (48%) free of 80 GB

Total RAM: 2047 MB (76% free)

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:21:20, on 28/09/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\CTsvcCDA.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\AVG\AVG8\avgrsx.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0L2.EXE

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe

C:\WINDOWS\system32\Rundll32.exe

C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Logitech\Video\LogiTray.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\PROGRA~1\Labtec\LABTEC~1\Keyboard.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe

C:\Program Files\SEC\Natural Color Pro\NCProTray.exe

C:\WINDOWS\system32\LVComsX.exe

C:\Program Files\Logitech\Video\FxSvr2.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Documents and Settings\Utilisateur\Bureau\RSIT.exe

C:\Program Files\hijackthis270908\Utilisateur.exe