Infection par WMA:Wimad[Drp]

[hhenri]

Bonjour,

 

Je viens d'être infecté par le virus WMA:Wimad[Drp]. Ce virus est détecté par Avast qui ne peut le corriger.

 

Pour avancer j'ai téléchargé Hijackthis. Mais je ne trouve pas de mode d'emploi pour faire un log.

 

Pouvez vous m'indiquer les précautions à prendre avant de lancer Hijackthis.

 

 

Merci de votre aide

[Thanos]

salut

 

On va faire un scan un peu plus complêt >>

 

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

• Double-clique sur RSIT.exe afin de lancer RSIT.
  
• Clique Continue à l'écran Disclaimer.
  
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
  
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
  ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
  
• Si tu ne vois pas ces deux rapports, tu les trouveras dans le dossier C:\rsit
  

[hhenri]

Ok merci, je m'y met tout de suite.

[hhenri]

Bonjour Thanos,

 

Ci-joint les 2 fichiers

 

1/ lig.txt

 

Logfile of random's system information tool 1.04 (written by random/random)

Run by HenriAd at 2008-12-10 17:00:01

Microsoft Windows XP Édition familiale Service Pack 1

System drive C: has 22 GB (40%) free of 55 GB

Total RAM: 511 MB (57% free)

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:00:03, on 10/12/2008

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

C:\Program Files\Avast4\aswUpdSv.exe

C:\Program Files\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\PROGRA~1\Avast4\ashDisp.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe

C:\HFAPPS\SuperCop\SuperCopier2\SuperCopier2.exe

C:\APPS\ActivBoard\MMKeybd.exe

C:\Program Files\SEC\Natural Color\NaturalColorLoad.exe

C:\WINDOWS\system32\spoolsv.exe

C:\APPS\ActivBoard\TrayMon.exe

C:\Apps\ActivBoard\OSD.exe

C:\Apps\ActivBoard\nhksrv.exe

C:\hfapps\AVG\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\System32\dllhost.exe

C:\WINDOWS\System32\CTsvcCDA.EXE

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

C:\WINDOWS\System32\nvsvc32.exe

c:\Program Files\Fichiers communs\Protexis\License Service\PsiService_2.exe

C:\Program Files\Packard Bell\Packard Bell Software Suite\PowerSave\HDPBSSS.exe

C:\WINDOWS\system32\slserv.exe

C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\Program Files\Avast4\setup\avast.setup

C:\Program Files\UltraEdit\UEDIT32.EXE

C:\Documents and Settings\HenriAd\Bureau\RSIT.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe

C:\HFAPPS\Hijackhis\HenriAd.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\HFAPPS\Spybot\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O3 - Toolbar: (no name) - {8E718888-423F-11D2-876E-00A0C9082467} - (no file)

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe /autorun

O4 - HKCU\..\Run: [superCopier2.exe] C:\HFAPPS\SuperCop\SuperCopier2\SuperCopier2.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: MMKeybd.exe.lnk = C:\APPS\ActivBoard\MMKeybd.exe

O4 - Global Startup: NaturalColorLoad.lnk = ?

O8 - Extra context menu item: Ouvrir dans WordPerfect - c:\HFAPPS\WPerfect\WordPerfect Office X4\WordPerfect Office X4\Programs\WPLauncher.hta

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1141040577656

O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} - http://www.neufsecurite.com/Ols/fscax.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: C:\WINDOWS\System32\CTPmsWma32.dll

O20 - Winlogon Notify: 74156de5511 - C:\WINDOWS\System32\CTPmsWma32.dll

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Avast4\ashWebSv.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\hfapps\AVG\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Apps\ActivBoard\nhksrv.exe

O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe (file missing)

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Program Files\Fichiers communs\Protexis\License Service\PsiService_2.exe

O23 - Service: Packard Bell Software Suite Service 1 (Service1) - Packard Bell Services - C:\Program Files\Packard Bell\Packard Bell Software Suite\PowerSave\HDPBSSS.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

--

End of file - 6631 bytes

 

======Scheduled tasks folder======

 

C:\WINDOWS\tasks\GoogleUpdateTaskUser.job

C:\WINDOWS\tasks\Rappel d'enregistrement 1.job

 

======Registry dump======

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]

Spybot-S&D IE Protection - C:\HFAPPS\Spybot\SDHelper.dll [2007-08-31 1122128]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]

SSVHelper Class - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll [2008-06-10 509328]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

{8E718888-423F-11D2-876E-00A0C9082467}

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"=C:\WINDOWS\System32\NvCpl.dll [2003-10-06 5058560]

"KernelFaultCheck"=C:\WINDOWS\system32\dumprep 0 -k []

"SunJavaUpdateSched"=C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe [2008-06-10 144784]

"avast!"=C:\PROGRA~1\Avast4\ashDisp.exe [2008-11-26 81000]

"ZoneAlarm Client"=C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe [2007-12-13 919016]

"Samsung PanelMgr"=C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe [2006-02-14 507904]

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"SuperCopier2.exe"=C:\HFAPPS\SuperCop\SuperCopier2\SuperCopier2.exe [2006-07-07 1052672]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Packard Bell Software Suite]

C:\Program Files\Packard Bell\Packard Bell Software Suite\Launcher.exe [2008-08-28 1934144]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickFinder Scheduler]

c:\HFAPPS\WPerfect\WordPerfect Office X4\WordPerfect Office X4\Programs\QFSCHD140.EXE [2008-03-21 83232]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]

C:\Program Files\Skype\Phone\Skype.exe [2008-04-23 22058792]

 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage

MMKeybd.exe.lnk - C:\APPS\ActivBoard\MMKeybd.exe

NaturalColorLoad.lnk - C:\Program Files\SEC\Natural Color\NaturalColorLoad.exe

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLS"="C:\WINDOWS\System32\CTPmsWma32.dll"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\74156de5511]

C:\WINDOWS\System32\CTPmsWma32.dll [2008-12-09 135168]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"= []

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AVG Anti-Spyware Driver]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AVG Anti-Spyware Guard]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\aawservice]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\AVG Anti-Spyware Driver]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\AVG Anti-Spyware Guard]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"dontdisplaylastusername"=0

"legalnoticecaption"=

"legalnoticetext"=

"shutdownwithoutlogon"=1

"undockwithoutlogon"=1

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"NoDriveTypeAutoRun"=145

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"NoDrives"=

"NoDriveAutoRun"=

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

 

======File associations======

 

.ini - open - notepad.exe %1

.js - edit -

.js - open - "C:\Program Files\UltraEdit\UEDIT32.EXE" "%1"

.txt - open - notepad.exe %1

.vbs - edit -

.vbs - open -

 

======List of files/folders created in the last 1 months======

 

2063-09-19 06:50:50 ----A---- C:\WINDOWS\System32\rtclmg32.dll

2008-12-10 17:00:01 ----D---- C:\rsit

2008-12-10 16:58:00 ----SHD---- C:\WINDOWS\System32\GroupPolicyManifest

2008-12-09 16:31:33 ----ASH---- C:\WINDOWS\System32\E.tmp

2008-12-09 15:15:15 ----A---- C:\WINDOWS\System32\CTPmsWma32.dll

2008-12-07 19:19:15 ----D---- C:\Documents and Settings\HenriAd\Application Data\Corel

2008-12-07 18:57:19 ----D---- C:\Program Files\Fichiers communs\Protexis

2008-12-07 18:57:18 ----D---- C:\Documents and Settings\All Users\Application Data\Corel

2008-12-07 18:56:09 ----D---- C:\WINDOWS\ShellNew

2008-12-07 18:55:33 ----D---- C:\Program Files\Fichiers communs\Borland Shared

2008-12-07 18:55:33 ----D---- C:\Documents and Settings\All Users\Application Data\Borland

2008-12-07 18:54:30 ----D---- C:\Program Files\Fichiers communs\Corel

2008-12-07 02:35:37 ----D---- C:\Documents and Settings\HenriAd\Application Data\OpenOffice.org

2008-12-07 02:31:57 ----D---- C:\Program Files\JRE

2008-12-07 02:31:48 ----D---- C:\Program Files\OpenOffice.org 3

2008-12-07 01:38:32 ----D---- C:\Tribunal

 

======List of files/folders modified in the last 1 months======

 

2008-12-10 17:00:03 ----D---- C:\WINDOWS\Prefetch

2008-12-10 16:58:00 ----D---- C:\WINDOWS\system32

2008-12-10 16:48:54 ----A---- C:\WINDOWS\UEDIT32.INI

2008-12-10 16:47:13 ----D---- C:\HFAPPS

2008-12-10 16:22:34 ----D---- C:\WINDOWS\Internet Logs

2008-12-10 15:57:40 ----D---- C:\DIVTOOLS

2008-12-10 15:41:09 ----D---- C:\WINDOWS\Temp

2008-12-10 15:40:14 ----D---- C:\WINDOWS\Registration

2008-12-09 22:22:29 ----A---- C:\WINDOWS\SchedLgU.Txt

2008-12-09 20:11:47 ----D---- C:\Program Files\Avast4

2008-12-09 19:07:30 ----D---- C:\Documents and Settings\HenriAd\Application Data\XnView

2008-12-09 17:46:40 ----D---- C:\WINDOWS

2008-12-09 16:55:11 ----D---- C:\WINDOWS\Minidump

2008-12-07 19:10:40 ----RSD---- C:\WINDOWS\assembly

2008-12-07 19:10:40 ----D---- C:\WINDOWS\Microsoft.NET

2008-12-07 19:03:25 ----SHD---- C:\WINDOWS\Installer

2008-12-07 19:03:25 ----SHD---- C:\Config.Msi

2008-12-07 19:03:12 ----A---- C:\WINDOWS\System32\PerfStringBackup.INI

2008-12-07 19:00:05 ----D---- C:\WINDOWS\WinSxS

2008-12-07 18:59:23 ----HD---- C:\WINDOWS\inf

2008-12-07 18:59:22 ----D---- C:\Program Files\Fichiers communs\Microsoft Shared

2008-12-07 18:59:09 ----D---- C:\WINDOWS\System32\mui

2008-12-07 18:59:09 ----D---- C:\Program Files\Internet Explorer

2008-12-07 18:57:19 ----AD---- C:\Program Files\Fichiers communs

2008-12-07 18:54:34 ----RSD---- C:\WINDOWS\Fonts

2008-12-07 18:54:09 ----AD---- C:\Program Files

2008-12-07 12:52:52 ----D---- C:\Documents and Settings\HenriAd\Application Data\LimeWire

2008-12-07 12:35:18 ----D---- C:\Program Files\LimeWire

2008-12-07 02:21:52 ----D---- C:\Documents and Settings\HenriAd\Application Data\OpenOffice.org2

2008-12-07 01:03:27 ----D---- C:\46255ec5016c0273b211a55c2bbea6

2008-11-30 17:31:44 ----D---- C:\WINDOWS\System32\CatRoot2

2008-11-26 18:21:30 ----A---- C:\WINDOWS\System32\aswBoot.exe

2008-11-26 11:49:24 ----D---- C:\Program Files\UltraEdit

 

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

 

R1 Aavmker4;avast! Asynchronous Virus Monitor; C:\WINDOWS\System32\drivers\Aavmker4.sys [2008-11-26 26944]

R1 AmdK7;Pilote de processeur AMD K7; C:\WINDOWS\System32\DRIVERS\amdk7.sys [2003-01-23 35328]

R1 aswSP;avast! Self Protection; C:\WINDOWS\System32\drivers\aswSP.sys [2008-11-26 111184]

R1 aswTdi;avast! Network Shield Support; C:\WINDOWS\System32\drivers\aswTdi.sys [2008-11-26 50864]

R1 AVG Anti-Spyware Driver;AVG Anti-Spyware Driver; \??\C:\hfapps\AVG\AVG Anti-Spyware 7.5\guard.sys []

R1 AvgAsCln;AVG Anti-Spyware Clean Driver; C:\WINDOWS\System32\DRIVERS\AvgAsCln.sys [2006-09-05 3968]

R1 kbdhid;Pilote HID de clavier; C:\WINDOWS\System32\DRIVERS\kbdhid.sys [2001-08-28 14080]

R1 msikbd2k;Multimedia Keyboard Filter Driver; C:\WINDOWS\System32\DRIVERS\msikbd2k.sys [2001-12-20 6656]

R1 PQNTDrv;PQNTDrv; C:\WINDOWS\System32\drivers\PQNTDrv.sys [2002-09-16 4228]

R1 vcsmpdrv;vcsmpdrv; C:\WINDOWS\System32\DRIVERS\vcsmpdrv.sys [2002-06-07 49232]

R1 vsdatant;vsdatant; C:\WINDOWS\System32\vsdatant.sys [2007-12-13 394952]

R2 aswMon2;avast! Standard Shield Support; C:\WINDOWS\System32\drivers\aswMon2.sys [2008-11-26 94032]

R2 DgiVecp;Team MFP Comm Driver; C:\WINDOWS\System32\Drivers\DgiVecp.sys [2004-08-11 41984]

R2 PfModNT;PfModNT; \??\C:\WINDOWS\System32\drivers\PfModNT.sys []

R3 fhlppppoe;PPPOE/ADSL miniport; C:\WINDOWS\System32\DRIVERS\fhlpppoe.sys [2002-11-21 49264]

R3 hidusb;Pilote de classe HID Microsoft; C:\WINDOWS\System32\DRIVERS\hidusb.sys [2001-08-28 9600]

R3 IPFilter;Microsoft IntelliPoint Features driver; C:\WINDOWS\System32\DRIVERS\IPFilter.sys [2001-08-23 10192]

R3 LKbdFlt2;Logitech Keyboard Class Filter Driver; C:\WINDOWS\System32\DRIVERS\LKbdFlt2.sys [2002-01-28 5842]

R3 LMouFlt2;Logitech Mouse Class Filter Driver; C:\WINDOWS\System32\DRIVERS\LMouFlt2.sys [2002-01-28 67698]

R3 mouhid;Pilote HID de souris; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-28 12288]

R3 NPDriver;Norton Unerase Protection Driver; \??\C:\WINDOWS\System32\Drivers\NPDRIVER.SYS []

R3 nv;nv; C:\WINDOWS\System32\DRIVERS\nv4_mini.sys [2003-10-06 1550043]

R3 nvax;Service for NVIDIA® nForce Audio Enumerator; C:\WINDOWS\system32\drivers\nvax.sys [2002-04-29 28288]

R3 NVENET;NVIDIA nForce MCP Networking Adapter Driver; C:\WINDOWS\System32\DRIVERS\NVENET.sys [2002-01-13 96256]

R3 nvmpu401;NVIDIA MIDI UART Driver; C:\WINDOWS\system32\drivers\nvmpu401.sys [2002-04-29 10240]

R3 nvnforce;Service for NVIDIA® nForce Audio; C:\WINDOWS\system32\drivers\nvapu.sys [2002-04-29 212736]

R3 pfc;Padus ASPI Shell; C:\WINDOWS\system32\drivers\pfc.sys [2005-04-14 9856]

R3 SymEvent;SymEvent; \??\C:\Program Files\Symantec\SYMEVENT.SYS []

R3 usbccgp;Pilote parent générique USB Microsoft; C:\WINDOWS\System32\DRIVERS\usbccgp.sys [2003-07-03 28160]

R3 usbehci;Pilote miniport de contrôleur hôte amélioré USB 2.0 Microsoft; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2003-07-03 25216]

R3 usbhub;Pilote de concentrateur standard USB Microsoft; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2003-07-03 53120]

R3 usbohci;Pilote miniport de contrôleur hôte ouvert USB Microsoft; C:\WINDOWS\System32\DRIVERS\usbohci.sys [2003-07-03 16000]

R3 usbprint;Classe d'imprimantes USB Microsoft; C:\WINDOWS\System32\DRIVERS\usbprint.sys [2002-08-29 24960]

R3 usbscan;Pilote de scanneur USB; C:\WINDOWS\System32\DRIVERS\usbscan.sys [2002-08-29 14208]

S3 aswRdr;aswRdr; C:\WINDOWS\System32\drivers\aswRdr.sys [2008-11-26 23152]

S3 Jukebox3;Jukebox3; C:\WINDOWS\System32\DRIVERS\ctpdusb.sys [2004-05-18 16880]

S3 l8042pr2;Logitech PS/2 Mouse Filter Driver; C:\WINDOWS\System32\DRIVERS\L8042Pr2.sys [2002-01-28 50994]

S3 LHidFlt2;Logitech HID/USB Mouse Filter Driver; C:\WINDOWS\System32\DRIVERS\LHidFlt2.sys [2002-01-28 22210]

S3 ms_mpu401;Pilote UART MIDI MPU-401 Microsoft; C:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-17 2944]

S3 Mtlmnt5;Mtlmnt5; C:\WINDOWS\System32\DRIVERS\Mtlmnt5.sys [2001-11-29 172708]

S3 Mtlstrm;Mtlstrm; C:\WINDOWS\System32\DRIVERS\Mtlstrm.sys [2001-11-29 2383460]

S3 NETMDSHA;MDSHA031; C:\WINDOWS\System32\Drivers\MDSHA031.sys [2003-05-19 35331]

S3 NtMtlFax;NtMtlFax; C:\WINDOWS\System32\DRIVERS\NtMtlFax.sys [2001-11-29 607732]

S3 Slntamr;SmartLink AMR_PCI Driver; C:\WINDOWS\System32\DRIVERS\slntamr.sys [2001-12-31 390016]

S3 SlNtHal;SlNtHal; C:\WINDOWS\System32\DRIVERS\Slnthal.sys [2001-11-29 175160]

S3 SlWdmSup;SlWdmSup; C:\WINDOWS\System32\DRIVERS\SlWdmSup.sys [2001-11-29 33028]

S3 SmartCd;SmartCd; C:\WINDOWS\System32\Drivers\SmartCd.sys []

S3 SONYPVU1;Pilote de filtrage Sony USB (SONYPVU1); C:\WINDOWS\System32\DRIVERS\SONYPVU1.SYS [2001-08-17 7552]

S3 USBSTOR;Pilote de stockage de masse USB; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2002-08-29 21760]

S3 V90drv;v90drv; C:\WINDOWS\System32\DRIVERS\v90drv.sys [2001-11-29 1432836]

S4 mchInjDrv;mchInjDrv; \??\C:\DOCUME~1\HenriAd\LOCALS~1\Temp\mc21.tmp []

S4 WS2IFSL;Environnement de prise en charge de Fournisseur de services non-IFS Windows Sockets 2.0; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2001-08-28 12032]

 

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

 

R2 aawservice;Lavasoft Ad-Aware Service; C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe [2008-07-07 611664]

R2 aswUpdSv;avast! iAVS4 Control Service; C:\Program Files\Avast4\aswUpdSv.exe [2008-11-26 18752]

R2 avast! Antivirus;avast! Antivirus; C:\Program Files\Avast4\ashServ.exe [2008-11-26 155160]

R2 AVG Anti-Spyware Guard;AVG Anti-Spyware Guard; C:\hfapps\AVG\AVG Anti-Spyware 7.5\guard.exe [2007-10-04 312880]

R2 Creative Service for CDROM Access;Creative Service for CDROM Access; C:\WINDOWS\System32\CTsvcCDA.EXE [1999-12-13 44032]

R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe [2004-09-23 38912]

R2 MDM;Machine Debug Manager; C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe [2001-02-23 270336]

R2 nhksrv;Netropa NHK Server; C:\Apps\ActivBoard\nhksrv.exe [2001-08-06 28672]

R2 NProtectService;Norton Unerase Protection; C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE [2002-08-20 139264]

R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\System32\nvsvc32.exe [2003-10-06 81920]

R2 PSI_SVC_2;Protexis Licensing V2; c:\Program Files\Fichiers communs\Protexis\License Service\PsiService_2.exe [2007-07-24 185632]

R2 Service1;Packard Bell Software Suite Service 1; C:\Program Files\Packard Bell\Packard Bell Software Suite\PowerSave\HDPBSSS.exe [2008-06-18 987456]

R2 SLService;SmartLinkService; C:\WINDOWS\system32\slserv.exe [2001-11-29 45056]

R2 Speed Disk service;Speed Disk service; C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe [2002-08-19 172065]

R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\System32\wdfmgr.exe [2004-09-22 38912]

R2 vsmon;TrueVector Internet Monitor; C:\WINDOWS\system32\ZoneLabs\vsmon.exe [2007-12-13 75304]

S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]

S3 avast! Mail Scanner;avast! Mail Scanner; C:\Program Files\Avast4\ashMaiSv.exe [2008-11-26 254040]

S3 avast! Web Scanner;avast! Web Scanner; C:\Program Files\Avast4\ashWebSv.exe [2008-11-26 352920]

S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]

S3 IDriverT;InstallDriver Table Manager; C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632]

S3 Ip6FwHlp;Pare-feu de connexion Internet IPv6; C:\WINDOWS\System32\svchost.exe [2001-08-28 12800]

S3 NMIndexingService;NMIndexingService; C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe []

S4 ASEService;Aluria Spyware Eliminator Service; C:\Program Files\Aluria Software\ASE\ASEServ.exe []

S4 VCSSecS;Virtual CD v4 Security service (SDK - Version); C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe [2002-05-16 139264]

 

-----------------EOF-----------------

 

 

2/ info.txt

 

info.txt logfile of random's system information tool 1.04 2008-12-10 17:00:08

 

======Uninstall list======

 

ABBYY FineReader 4.0 Sprint-->C:\WINDOWS\bitdeins.exe C:\PROGRA~1\ABBYYF~1.0SP\bitdeins.ini

Ad-Aware-->MsiExec.exe /I{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}

Adobe Flash Player Plugin-->C:\WINDOWS\System32\Macromed\Flash\uninstall_plugin.exe

avast! Antivirus-->C:\Program Files\Avast4\aswRunDll.exe "C:\Program Files\Avast4\Setup\setiface.dll",RunSetup

CCleaner (remove only)-->"C:\HFAPPS\CCleaner\uninst.exe"

DeepBurner v1.9.0.228-->"C:\HFAPPS\DeepBurn\Uninstall.exe" "C:\HFAPPS\DeepBurn\install.log" -u

eMule-->"C:\HFAPPS\EMule\Uninstall.exe"

Foxit Reader-->C:\HFAPPS\FoxiPdf\Foxit Reader\Uninstall.exe

Google Earth-->MsiExec.exe /I{97C0EA4A-1A0B-4C53-ACEB-49984DA79C90}

HijackThis 2.0.2-->"C:\HFAPPS\Hijackhis\HijackThis.exe" /uninstall

Java 6 Update 4-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160040}

Java 6 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}

Java 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}

Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe

Mozilla Firefox (3.0)-->C:\HFAPPS\Firefox\uninstall\helper.exe

OpenOffice.org 3.0-->MsiExec.exe /I{6860B340-530D-46B3-91F8-1AE1F70F7C33}

Packard Bell Software Suite-->C:\Program Files\Packard Bell\Packard Bell Software Suite\Uninstall.exe

PDFCreator-->C:\Program Files\PDFCreator\unins000.exe

Samsung ML-2510 Series-->C:\Program Files\Samsung\Samsung ML-2510 Series\Install\Setup.exe /R

Shockwave-->C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log

Skype™ 3.8-->MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}

Spybot - Search & Destroy-->"C:\HFAPPS\Spybot\unins000.exe"

SuperCopier2-->"C:\HFAPPS\SuperCop\SuperCopier2\SC2Uninst.exe"

VideoLAN VLC media player 0.8.6h-->C:\HFAPPS\VideoLAN\VLC\uninstall.exe

WordPerfect Office X4 - Common-->MsiExec.exe /I{DCDAB2ED-5741-4C30-A1A4-0FCB8A529010}

WordPerfect Office X4 - Content-->MsiExec.exe /I{DCDAB2ED-5741-4C30-A1A4-0FCB8A529014}

WordPerfect Office X4 - Filters-->MsiExec.exe /I{DCDAB2ED-5741-4C30-A1A4-0FCB8A529017}

WordPerfect Office X4 - FR-->MsiExec.exe /I{DCDAB2ED-5741-4C30-A1A4-0FCB8A529300}

WordPerfect Office X4 - Graphics FR-->MsiExec.exe /I{DCDAB2ED-5741-4C30-A1A4-0FCB8A529018}

WordPerfect Office X4 - ICA-->MsiExec.exe /I{DCDAB2ED-5741-4C30-A1A4-0FCB8A529005}

WordPerfect Office X4 - IPM FR-->MsiExec.exe /I{DCDAB2ED-5741-4C30-A1A4-0FCB8A529040}

WordPerfect Office X4 - IPM T FR-->MsiExec.exe /I{DCDAB2ED-5741-4C30-A1A4-0FCB8A529047}

WordPerfect Office X4 - Migration Manager-->MsiExec.exe /I{DCDAB2ED-5741-4C30-A1A4-0FCB8A529032}

WordPerfect Office X4 - PerfectExperts-->MsiExec.exe /I{DCDAB2ED-5741-4C30-A1A4-0FCB8A529054}

WordPerfect Office X4 - PR-->MsiExec.exe /I{DCDAB2ED-5741-4C30-A1A4-0FCB8A529013}

WordPerfect Office X4 - QP-->MsiExec.exe /I{DCDAB2ED-5741-4C30-A1A4-0FCB8A529012}

WordPerfect Office X4 - Skins FR-->MsiExec.exe /I{DCDAB2ED-5741-4C30-A1A4-0FCB8A529016}

WordPerfect Office X4 - System-->MsiExec.exe /I{DCDAB2ED-5741-4C30-A1A4-0FCB8A529023}

WordPerfect Office X4 - WP-->MsiExec.exe /I{DCDAB2ED-5741-4C30-A1A4-0FCB8A529011}

WordPerfect Office X4-->c:\HFAPPS\WPerfect\WordPerfect Office X4\WordPerfect Office X4\Setup\SetupARP.exe /arp

WordPerfect Office X4-->MsiExec.exe /I{000AB2ED-5741-4C30-A1A4-0FCB8A529000}

XnView 1.93.4-->"C:\Program Files\XnView\unins000.exe"

ZoneAlarm-->C:\Program Files\Zone Labs\ZoneAlarm\zauninst.exe

 

======Environment variables======

 

"ComSpec"=%SystemRoot%\system32\cmd.exe

"Path"=C:\orant\bin;C:\ADA\GNAT\bin;C:\PROGRA~1\ADA\GNAT\bin;C:\DIVTOOLS\bin;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\PROGRA~1\FICHIE~1\TVNAVI~1;C:\PROGRA~1\ULTRAE~1;"C:\Program Files\Zone Labs\ZoneAlarm\MailFrontier"

"windir"=%SystemRoot%

"OS"=Windows_NT

"PROCESSOR_ARCHITECTURE"=x86

"PROCESSOR_LEVEL"=6

"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 8 Stepping 0, AuthenticAMD

"PROCESSOR_REVISION"=0800

"NUMBER_OF_PROCESSORS"=1

"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH

"TEMP"=%SystemRoot%\TEMP

"TMP"=%SystemRoot%\TEMP

"tvdumpflags"=8

 

-----------------EOF-----------------

[Thanos]

salut

 

Ok, on va scanner ton pc à l'aide d'un programme que tu pourras conserver >>

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Branche tous les supports amovibles que tu possèdes avant de faire ce scan (clé usb/disque dur externe etc)

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen rapide"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

[hhenri]

Bonjour,

 

J'ai fait les 2 logs mais j'ai plus urgent car j'ai fait une mauvaise manip. J'ai installé MBAM avec un compte administrateur (fils) qui n'a pas tous les privilèges. J'ai eu un échec d'instal et j'ai fait "exécuter sous (nom du bon administrateur)".

 

Tout s'est bien passé mais après analyse MBAM m'a demandé de rebooter. Au reboot et au boot (j'ai fait plusieurs essais) il se bloque avec le message :>

 

<<Erreur d'exécution '339'

Le composant vbalsgrid6.ocx ou une de ses dépendances n'est pas correctement enregistré : un fichier est absent ou incorrect.>>

 

Je pense que c'est dû au pb ci-dessus car il se remet d'office dans l'environnement du 1er compte.

 

Je suis passé en mode sans échec :

-- J'ai désinstallé MBAM. Mais quand je relance en mode normal j'ai le même message plus d'autres puisqu'il manque des composants

(tache programmée tj active ?) Malwarebytes et MBAM.exe sont demandés et je reste bloqué.

 

-- J'ai ensuite essayé une restoration qui n'a pas marché et a déstabilisé le compte administrateur dont l'explorateur ne marche plus.

 

-- j'ai un compte utilisateur avec des privilèges administrateur qui fonctionne correctement. J'ai désactivé le service de planification mais cela ne change rien. En mode normal je suis tj bloqué.

 

==> J'ai décidé d'arrêter mes inepties pendant qu'il est encore temps. Comment annuler la demande de MBAM par windows ?

Sachant que :

- je dispose d'un compte utilisateur à droits étendus (administrateur mais pas celui du mode sans échec) et que je vois la clé usb.

- la console de récupération ne s'installe pas, j'ai le message : fichier INF txtsetup.sif endommagé ou manquant.

 

Désolé pour cette suite d'énormités.

[hhenri]

Salut Thanos,

 

Après quelques mésaventures j'ai récupéré ma machine. Il suffisait d'un peu de calme et de réflexion.

 

J'ai donc réinstallé MBAM dans les règles et refait le nettoyage. Ce dernier a eu lieu en 2 temps. Je poste les 2 logs dans l'ordre chronologique.

 

Tout a l'air propre maintenant et je n'ai plus d'alertes de l'anti-vitus.

 

Merci de ton aide, ci-dessous les logs

 

 

1/ log du 11/12/08

 

Malwarebytes' Anti-Malware 1.31

Version de la base de données: 1483

Windows 5.1.2600 Service Pack 1

 

11/12/2008 01:08:30

mbam-log-2008-12-11 (01-08-30).txt

 

Type de recherche: Examen rapide

Eléments examinés: 73785

Temps écoulé: 8 minute(s), 55 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 1

Clé(s) du Registre infectée(s): 2

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 1

Fichier(s) infecté(s): 5

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

C:\WINDOWS\system32\E.tmp (Trojan.Agent) -> Delete on reboot.

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\c:/windows/downloaded program files/uninst.bat (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RUNTIME2 (Rootkit.Agent) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\Downloaded Program Files\uninst.bat (Trojan.Agent) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

C:\WINDOWS\system32\T5QaSQ (Unknown.Malware) -> Quarantined and deleted successfully.

 

Fichier(s) infecté(s):

C:\WINDOWS\Downloaded Program Files\uninst.bat (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\E.tmp (Trojan.Agent) -> Delete on reboot.

C:\WINDOWS\system32\mit.bat (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\ldinfo.ldr (Malware.Trace) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\3_exception.nls (Trojan.Tibs) -> Quarantined and deleted successfully.

 

2/ log du 13/12/08

Malwarebytes' Anti-Malware 1.31

Version de la base de données: 1496

Windows 5.1.2600 Service Pack 1

 

13/12/2008 16:31:17

mbam-log-2008-12-13 (16-31-17).txt

 

Type de recherche: Examen rapide

Eléments examinés: 74382

Temps écoulé: 8 minute(s), 37 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\WINDOWS\system32\1.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

[Thanos]

salut,

 

Désolé pour l'attente! Je vois que tu as réussi à régler le problème avec MBAM

 

J'aimerai stp que tu fasses analyser un fichier pour lequel je n'ai aucune info >

 

Rend toi à cette adresse => http://www.virustotal.com/

 

Tu as une case nommée "Parcourir": tu cliques dessus et une fenêtre s'ouvre=> copie/colle ceci dans le champs à droite de "Nom du Fichier" en bas de page >> C:\WINDOWS\System32\CTPmsWma32.dll

 

Clique maintenant sur "ouvrir" en bas de la fenêtre puis sur "Envoyer le fichier". Le scan de ce fichier va débuter. Tu n'as plus qu'à sélectionner puis copier /coller l'analyse dans ton prochain message.

Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité! patiente (un message t'indique le temps que ca prendra pour faire analyser)

 

Poste un dernier rapport RSIT avec ca.

 

Note: je viens de voir que tu avais déjà posté le même topic ici...>>> http://www.commentcamarche.net/forum/affic...r-wma-wimad-drp

Si d'aventure tu as de nouveau recours à un forum pour désinfecter ton pc, reste sur le meme forum stp

Chaque "helper" a sa technique de désinfection et le fait de poster des deux côtés rend la désinfection difficile voire impossible (s'il s'agit d'une grosse infection)....

Pense à retourner sur l'autre forum afin d'avertir le helper stp

Modifié le 13 décembre 2008 par Thanos

[hhenri]

salut Thanos,

 

J'ai un autre pb à résoudre puis je fais la dernière action et je poste.

 

Pour ccm je m'en occupe.

[hhenri]

Salut Thanos

 

1/ J'ai posté sur CCM pour signaler que le pb est traité ici.

 

2/

2.1/ Bloqué avec accès en mode sans échec je ne peux faire de RSIT pour l'instant. Mais j'ai récupéré le fichier CTPmsWma32.dll sur ma clé usb et je l'ai soumis à Virustotal (Trojan). Le scan de Virustotal est joint en fin de message. Je vais essayer de détruire ou déplacer le fichier.

 

2.2/ J'ai examiné les rapports de l'observateur d'événements windows pour l'antivirus. Le dernier rapport est lui aussi relatif à CTPmsWma32.dll. Sa date correspond à la fin de la décontamination. Ce rapport est mis à la suite de celui de Virus total.

 

3/ Blocage : Après nettoyage du virus j'ai fait une défragmentation et depuis je suis bloqué. J'ai mis un post sur le forum "Sofware" pour essayer de résoudre ce problème. Pour l'instant je n'ai pas de réponse, mais j'ai récupéré des codes d'erreur et je vais essayer d'être plus explicite.

 

Merci pour ton aide dans le nettoyage du virus.

 

NB : Voir logs ci-après

 

 

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

2.1bis/ Rapport Virustotal

------------------------------

 

L'analyse donne la réponse suivante

 

<<<<<<<<<<<<<<<<<<<<<<<<

Le fichier a déjà été analysé:

MD5: 3972ed9825c910f321c86c367422e1fd

First received: 2008.12.17 02:38:08 (CET)

Date 2008.12.17 02:38:08 (CET) [+1D]

Résultats 24/38

Permalink: analisis/d093f443f67182e54a7df2babba15078

>>>>>>>>>>>>>>>>>>>>>>>>

 

 

Affichage du rapport

<<<<<<<<<<<<<<<<<<<<<<<<

Fichier imeshare32.dll reçu le 2008.12.17 02:36:35 (CET)

Situation actuelle: terminé

Résultat: 24/38 (63.16%)

Formaté Formaté

Impression des résultats Impression des résultats

Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 2008.12.17.0 2008.12.17 -

AntiVir 7.9.0.45 2008.12.16 TR/Spy.Gen

Authentium 5.1.0.4 2008.12.17 W32/Heuristic-KPP!Eldorado

Avast 4.8.1281.0 2008.12.16 Win32:Spyware-gen

AVG 8.0.0.199 2008.12.16 PSW.OnlineGames.BIYW

BitDefender 7.2 2008.12.17 Trojan.Generic.1221950

CAT-QuickHeal 10.00 2008.12.16 TrojanDownloader.Agent.atko

ClamAV 0.94.1 2008.12.17 -

Comodo 764 2008.12.16 TrojWare.Win32.TrojanDownloader.Agent.~AVB

DrWeb 4.44.0.09170 2008.12.17 DLOADER.Trojan

eSafe 7.0.17.0 2008.12.16 -

eTrust-Vet 31.6.6264 2008.12.17 -

Ewido 4.0 2008.12.16 -

F-Prot 4.4.4.56 2008.12.16 W32/Heuristic-KPP!Eldorado

F-Secure 8.0.14332.0 2008.12.17 Trojan-Downloader.Win32.Agent.atko

Fortinet 3.117.0.0 2008.12.16 W32/Agent.ATKO!tr.dldr

GData 19 2008.12.17 Trojan.Generic.1221950

Ikarus T3.1.1.45.0 2008.12.17 Trojan-Dropper.Agent

K7AntiVirus 7.10.555 2008.12.16 -

Kaspersky 7.0.0.125 2008.12.17 Trojan-Downloader.Win32.Agent.atko

McAfee 5466 2008.12.16 Generic Downloader.x

McAfee+Artemis 5466 2008.12.16 Generic Downloader.x

Microsoft 1.4205 2008.12.16 TrojanDownloader:Win32/Tracur.A

NOD32 3697 2008.12.17 Win32/Agent.OAF

Norman 5.80.02 2008.12.16 -

Panda 9.0.0.4 2008.12.17 Trj/Downloader.MDW

PCTools 4.4.2.0 2008.12.16 -

Prevx1 V2 2008.12.17 Cloaked Malware

Rising 21.08.12.00 2008.12.16 Trojan.Win32.Undef.upp

SecureWeb-Gateway 6.7.6 2008.12.16 Trojan.Spy.Gen

Sophos 4.36.0 2008.12.17 Mal/Behav-027

Sunbelt 3.2.1801.2 2008.12.11 -

Symantec 10 2008.12.17 -

TheHacker 6.3.1.4.189 2008.12.16 -

TrendMicro 8.700.0.1004 2008.12.16 -

VBA32 3.12.8.10 2008.12.16 Trojan-Downloader.Win32.Agent.atko

ViRobot 2008.12.16.1521 2008.12.16 -

VirusBuster 4.5.11.0 2008.12.16 -

Information additionnelle

File size: 135168 bytes

MD5...: 3972ed9825c910f321c86c367422e1fd

SHA1..: 16468cc03afe904397562f331e572ee03128d8f5

SHA256: d37178cb6760f7955ae065368dd386e7ff0482b8e09109a22847e8f57310feab

SHA512: 53332968e24886fee632e554f081874ad40a489162d9e4471791da6ed88e2932

12f14f98859cc8958c72e58f2316fc7bcbb4ef61785588931940397473202fcf

ssdeep: 3072:f+UoWJchAdvNIF4ktORakv3nOY3TBfCeZeTdw/gQjVI:RKAdK4JXx3TBqHC

/3RI

PEiD..: -

TrID..: File type identification

Win32 Executable Generic (42.3%)

Win32 Dynamic Link Library (generic) (37.6%)

Generic Win/DOS Executable (9.9%)

DOS Executable Generic (9.9%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

PEInfo: PE Structure information

 

( base data )

entrypointaddress.: 0x10001ff0

timedatestamp.....: 0x493d0c5e (Mon Dec 08 12:00:30 2008)

machinetype.......: 0x14c (I386)

 

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x153b4 0x16000 6.46 6c1b50062c4f0eaca15c55e1d21b1665

.rdata 0x17000 0x6319 0x7000 6.29 3adb86d85b3f9365d60d43abfd597307

.data 0x1e000 0x16b0 0x1000 2.09 b2714bbd3a7a58ba91be207c03f6a624

.reloc 0x20000 0x1aec 0x2000 5.90 67245f74a2039610718bde9acb8b38b6

 

( 11 imports )

> ntdll.dll: _snprintf, _strnicmp, strlen, strstr, _stricmp, memcmp, atoi, _itoa, memcpy, _ultoa, tolower, memset, _chkstk, _allmul, _alldiv

> msvcrt.dll: strtok

> WS2_32.dll: WSASocketW, -, WSASend, -, WSAWaitForMultipleEvents, WSAIoctl, -, -, -, WSARecv, WSACreateEvent, WSAGetOverlappedResult, -, -, -, -, -, -

> WININET.dll: HttpOpenRequestA, HttpSendRequestA, HttpQueryInfoA, InternetOpenA, InternetReadFile, InternetOpenUrlA, InternetCloseHandle, InternetConnectA, InternetSetOptionA, HttpAddRequestHeadersA

> OLEAUT32.dll: -, -

> SHLWAPI.dll: PathFileExistsA

> KERNEL32.dll: WaitForMultipleObjects, GetVolumeInformationA, GetWindowsDirectoryA, GetFileTime, RemoveDirectoryA, TransactNamedPipe, HeapSetInformation, HeapCreate, FindFirstFileA, HeapDestroy, HeapFree, WaitNamedPipeA, FindNextFileA, SetNamedPipeHandleState, HeapAlloc, GetSystemDirectoryA, GetVersionExA, FindClose, FreeLibrary, UnmapViewOfFile, MapViewOfFile, CreateFileMappingA, OpenFileMappingA, ExitProcess, GetFileAttributesExA, SetFileAttributesA, CreateDirectoryA, TlsSetValue, TlsGetValue, TlsAlloc, InterlockedExchange, CreateEventA, ProcessIdToSessionId, Process32Next, Process32First, WriteProcessMemory, VirtualAllocEx, Thread32Next, GetModuleHandleA, Thread32First, CreateToolhelp32Snapshot, InterlockedIncrement, InterlockedDecrement, GetCurrentThreadId, GetProcAddress, CloseHandle, OpenThread, GetCurrentProcessId, GetFileSize, lstrcpyA, ReadFile, GetModuleFileNameA, GetModuleFileNameW, InitializeCriticalSection, ResetEvent, lstrcatA, GetLocalTime, WaitForSingleObject, OpenMutexA, InterlockedCompareExchange, lstrlenA, CreateMutexA, SetEvent, TerminateThread, Sleep, OutputDebugStringA, DuplicateHandle, GetExitCodeThread, FlushFileBuffers, ReleaseMutex, OpenEventA, SetUnhandledExceptionFilter, LeaveCriticalSection, GetCurrentThread, VirtualFree, GetLastError, GetFileInformationByHandle, SystemTimeToFileTime, lstrcmpiA, GetSystemTime, GetCurrentProcess, WriteFile, EnterCriticalSection, CreateFileA, CreateThread, VirtualFreeEx, DisconnectNamedPipe, CreateNamedPipeA, ConnectNamedPipe, PeekNamedPipe, lstrcmpA, SetFilePointer, SetEndOfFile, GetTempFileNameA, DeleteCriticalSection, GetTempPathA, FlushInstructionCache, VirtualQuery, VirtualAlloc, SuspendThread, ResumeThread, GetThreadContext, SetThreadContext, VirtualProtect, SetLastError, lstrcmpW, MultiByteToWideChar, DeleteFileA, CreateProcessA, GetTickCount, GetFileAttributesA, LoadLibraryA, CreateRemoteThread, OpenProcess

> USER32.dll: SetForegroundWindow, ShowWindow, PeekMessageA, WaitForInputIdle, MsgWaitForMultipleObjects, GetSystemMetrics, wsprintfA, DispatchMessageA

> ADVAPI32.dll: OpenSCManagerA, CloseServiceHandle, OpenServiceA, ControlService, ChangeServiceConfigA, RegDeleteKeyA, RegQueryValueExA, RegCreateKeyExA, RegQueryInfoKeyA, RegEnumKeyExA, RegSetValueExA, RegCloseKey, RegOpenKeyExA

> SHELL32.dll: ShellExecuteA, SHGetFolderPathA

> ole32.dll: CoUninitialize, CoInitializeEx, CoCreateInstance

 

( 2 exports )

DllGetClassObject, EventStartup

Prevx info: http://info.prevx.com/aboutprogramtext.asp...F73B700EA043218

CWSandbox info: http://research.sunbelt-software.com/partn...1c86c367422e1fd

>>>>>>>>>>>>>>>>>>>>>>>>

 

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

 

2.2bis/ Rapport de l'observateur d'événements windows pour l'antivirus.

 

<<<<<<<<<<<<<<<<<<<<<<<

13/12/2008 -- 15h40 -- source : Avast

 

Sign of "Win32:Spyware-gen [Trj]" has been found in "C:\WINDOWS\System32\CTPmsWma32.dll" file.

>>>>>>>>>>>>>>>>>>>>>>>