[Résolu] Les fichiers se copient tout seuls

flo13 · le 24 décembre 2008

Bonjour,

Je me suis aperçu que les images que j'ai dans mes dossiers se copiaient tout seul.
Lorsque que je les supprime, ils se recopient automatiquement par 3 ou 4!! Je pète un câble là car je bloque!!
Merci de me venir en aide.

Je suis sous win XP

Falkra · le 24 décembre 2008

Bonjour, bienvenue.

Messages : 1

Si jamais tu as besoin de quelques infos :

Comment participer à un forum

Retrouver ses messages

Pas sûr que ce soit un virus ça, même... logiquement ce n'en est pas un.

On va quand même regarder, pour en trouver d'autres (on ne sait jamais) et voir si tu n'aurais pas un logiciel de bakcup qui recopierait ça pour toi tout seul.

--------

Poste un rapport HijackThis dans ta prochaine réponse stp.

Clique sur ce lien pour télécharger HijackThis 2.0.2 :

http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe

Cette version est sans installateur ou Zip à décompresser, choisis de l'enregistrer sur le bureau.

Double-clique sur l'icône HijackThis :

HijackThis démarre, c'est le premier bouton qui nous intéresse "Do a system scan and save a logfile" (le fichier "log" est le rapport).

Clique dessus.

Copie-colle le contenu du rapport qui va s'afficher dans le Bloc-notes dans ta prochaine réponse.

flo13 · le 24 décembre 2008

Merci pour votre accueil et pour la réponse rapide!!

Voilà le scan:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:16:10, on 24/12/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\a-squared Free\a2service.exe

C:\Documents and Settings\All Users.WINDOWS\Application Data\EPSON\EPW!3 SSRP\E_S30RP1.EXE

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\vphc710.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Windows Live\Device Manager\msgrdvmn.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\Philips\Philips SPC710NC Webcam\TrayMin710.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Stardock\ObjectDock\ObjectDock.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\Windows Live\Contacts\wlcomm.exe

C:\Program Files\Windows Live\Messenger\wlcsdk.exe

C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll (file missing)

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe

O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [sW20] C:\WINDOWS\system32\sw20.exe

O4 - HKLM\..\Run: [sW24] C:\WINDOWS\system32\sw24.exe

O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [phc710] C:\WINDOWS\vphc710.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [WindowsLivePhone] C:\Program Files\Windows Live\Device Manager\msgrdvmn.exe /AutoRun

O4 - HKCU\..\Run: [EPSON Stylus DX6000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBIE.EXE /FU "C:\WINDOWS\TEMP\E_SD7.tmp" /EF "HKCU"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [EPSON Stylus DX6000 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBIE.EXE /FU "C:\WINDOWS\TEMP\E_S32.tmp" /EF "HKCU"

O4 - HKCU\..\Run: [WindowsLivePhone] "C:\Program Files\Windows Live\Device Manager\msgrdvmn.exe" /AutoRun

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Logitech . Enregistrement du produit.lnk = C:\Program Files\Fichiers communs\Logishrd\eReg\SetPoint\eReg.exe

O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe

O4 - Global Startup: TrayMin710.exe.lnk = ?

O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1208687358187

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shock...ash/swflash.cab

O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://signin9.valueactive.com/Register/Br...018/flashax.cab

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Documents and Settings\All Users.WINDOWS\Application Data\EPSON\EPW!3 SSRP\E_S30RP1.EXE

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logishrd\Bluetooth\LBTServ.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--

End of file - 8964 bytes

Falkra · le 24 décembre 2008

Il n'y a rien d'anormal, on va juste vérifier un fichier, mais tout est ok a priori.

Ce ne serait pas un de tes logiciels qui fait ces recopiages ? C'est dans un dossier précis que ça se passe ?

Ce fichier a un homonyme virus (mais qui ne reocipe pas de fichiers).

Rends toi sur ce lien : Virus Total

Clique sur le bouton Parcourir...
Parcours tes dossiers jusque à ce fichier, si tu le trouves :

C:\windows\system32\winsys2.exe

Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page.
Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche)
Une nouvelle fenêtre de ton navigateur va apparaître
Clique alors sur cette image :
Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
Enfin colle le résultat dans ta prochaine réponse.
NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes.

Tu auras sans doute besoin d'afficher les fichiers cachés et ceux du système :

http://www.libellules.ch/afficher_fichiers.php

flo13 · le 24 décembre 2008

Voilà le résultat du scan:

Fichier WinSys2.exe reçu le 2008.12.24 12:27:58 (CET)

Antivirus Version Dernière mise à jour Résultat

a-squared 4.0.0.73 2008.12.24 Trojan.Trash!IK

AhnLab-V3 2008.12.22.0 2008.12.24 -

AntiVir 7.9.0.45 2008.12.24 TR/Trash.Gen

Authentium 5.1.0.4 2008.12.24 -

Avast 4.8.1281.0 2008.12.23 -

AVG 8.0.0.199 2008.12.23 -

BitDefender 7.2 2008.12.24 -

CAT-QuickHeal 10.00 2008.12.24 -

ClamAV 0.94.1 2008.12.24 -

Comodo 804 2008.12.23 -

DrWeb 4.44.0.09170 2008.12.24 -

eSafe 7.0.17.0 2008.12.23 -

eTrust-Vet 31.6.6276 2008.12.24 -

Ewido 4.0 2008.12.24 -

F-Prot 4.4.4.56 2008.12.24 -

Fortinet 3.117.0.0 2008.12.24 -

GData 19 2008.12.24 -

Ikarus T3.1.1.45.0 2008.12.24 Trojan.Trash

K7AntiVirus 7.10.563 2008.12.23 -

Kaspersky 7.0.0.125 2008.12.24 -

McAfee 5473 2008.12.23 -

McAfee+Artemis 5473 2008.12.23 -

Microsoft 1.4205 2008.12.24 -

NOD32 3715 2008.12.24 -

Norman 5.80.02 2008.12.23 -

Panda 9.0.0.4 2008.12.24 -

PCTools 4.4.2.0 2008.12.23 -

Prevx1 V2 2008.12.24 Rootkit

Rising 21.09.22.00 2008.12.24 -

SecureWeb-Gateway 6.7.6 2008.12.24 Trojan.Trash.Gen

Sophos 4.37.0 2008.12.24 -

Sunbelt 3.2.1809.2 2008.12.22 -

Symantec 10 2008.12.24 -

TheHacker 6.3.1.4.199 2008.12.23 Trojan/DNSChanger.dop

TrendMicro 8.700.0.1004 2008.12.24 -

VBA32 3.12.8.10 2008.12.23 -

ViRobot 2008.12.24.1534 2008.12.24 -

VirusBuster 4.5.11.0 2008.12.23 -

Information additionnelle

File size: 217088 bytes

MD5...: 7d6869391ee716a2e26d309becb47676

SHA1..: 7807953dd75f28304680e2abc57cef46bcd16aa6

SHA256: ad4c7455b084cebc3549345cf8a54277cc05db81406eb877a3022027e726d380

SHA512: 9eebb260ff605b799523d39b2fc4c1ae4c1de48c1a5f3375aa93fb432caa83ee 14d13b672fc1f972881ce64572e3a633e27593f941df57ff0d1b1adab97b67fe

ssdeep: 3072:fPG4/SZjbsmZS3yol+oJEntJxzUARPmFBCRgu7P3dGA5tPW0MEPgBTBX:3t /0b1ZS3zl+ttJfFhdGAy0MEPA

PEiD..: -

TrID..: File type identification InstallShield setup (46.1%) Win32 Executable MS Visual C++ (generic) (40.4%) Win32 Executable Generic (9.1%) Generic Win/DOS Executable (2.1%) DOS Executable Generic (2.1%)

PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x101c0 timedatestamp.....: 0x477a0000 (Tue Jan 01 08:55:28 2008) machinetype.......: 0x14c (I386) ( 1 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1c0 0x5 0x40 4.52 bf55c0ae3c60aac947b1fa6f70fb9569 ( 0 imports ) ( 0 exports )

Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=D2D8601000461F3750280367F4C4BE000C51F423''>http://info.prevx.com/aboutprogramtext.asp?PX5=D2D8601000461F3750280367F4C4BE000C51F423' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=D2D8601000461F3750280367F4C4BE000C51F423</a>'>http://info.prevx.com/aboutprogramtext.asp?PX5=D2D8601000461F3750280367F4C4BE000C51F423</a>

CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=7d6869391ee716a2e26d309becb47676''>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=7d6869391ee716a2e26d309becb47676' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=7d6869391ee716a2e26d309becb47676</a>'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=7d6869391ee716a2e26d309becb47676</a>

Antivirus Version Dernière mise à jour Résultat

a-squared 4.0.0.73 2008.12.24 Trojan.Trash!IK

AhnLab-V3 2008.12.22.0 2008.12.24 -

AntiVir 7.9.0.45 2008.12.24 TR/Trash.Gen

Authentium 5.1.0.4 2008.12.24 -

Avast 4.8.1281.0 2008.12.23 -

AVG 8.0.0.199 2008.12.23 -

BitDefender 7.2 2008.12.24 -

CAT-QuickHeal 10.00 2008.12.24 -

ClamAV 0.94.1 2008.12.24 -

Comodo 804 2008.12.23 -

DrWeb 4.44.0.09170 2008.12.24 -

eSafe 7.0.17.0 2008.12.23 -

eTrust-Vet 31.6.6276 2008.12.24 -

Ewido 4.0 2008.12.24 -

F-Prot 4.4.4.56 2008.12.24 -

Fortinet 3.117.0.0 2008.12.24 -

GData 19 2008.12.24 -

Ikarus T3.1.1.45.0 2008.12.24 Trojan.Trash

K7AntiVirus 7.10.563 2008.12.23 -

Kaspersky 7.0.0.125 2008.12.24 -

McAfee 5473 2008.12.23 -

McAfee+Artemis 5473 2008.12.23 -

Microsoft 1.4205 2008.12.24 -

NOD32 3715 2008.12.24 -

Norman 5.80.02 2008.12.23 -

Panda 9.0.0.4 2008.12.24 -

PCTools 4.4.2.0 2008.12.23 -

Prevx1 V2 2008.12.24 Rootkit

Rising 21.09.22.00 2008.12.24 -

SecureWeb-Gateway 6.7.6 2008.12.24 Trojan.Trash.Gen

Sophos 4.37.0 2008.12.24 -

Sunbelt 3.2.1809.2 2008.12.22 -

Symantec 10 2008.12.24 -

TheHacker 6.3.1.4.199 2008.12.23 Trojan/DNSChanger.dop

TrendMicro 8.700.0.1004 2008.12.24 -

VBA32 3.12.8.10 2008.12.23 -

ViRobot 2008.12.24.1534 2008.12.24 -

VirusBuster 4.5.11.0 2008.12.23 -

Information additionnelle

File size: 217088 bytes

MD5...: 7d6869391ee716a2e26d309becb47676

SHA1..: 7807953dd75f28304680e2abc57cef46bcd16aa6

SHA256: ad4c7455b084cebc3549345cf8a54277cc05db81406eb877a3022027e726d380

SHA512: 9eebb260ff605b799523d39b2fc4c1ae4c1de48c1a5f3375aa93fb432caa83ee 14d13b672fc1f972881ce64572e3a633e27593f941df57ff0d1b1adab97b67fe

ssdeep: 3072:fPG4/SZjbsmZS3yol+oJEntJxzUARPmFBCRgu7P3dGA5tPW0MEPgBTBX:3t /0b1ZS3zl+ttJfFhdGAy0MEPA

PEiD..: -

TrID..: File type identification InstallShield setup (46.1%) Win32 Executable MS Visual C++ (generic) (40.4%) Win32 Executable Generic (9.1%) Generic Win/DOS Executable (2.1%) DOS Executable Generic (2.1%)

PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x101c0 timedatestamp.....: 0x477a0000 (Tue Jan 01 08:55:28 2008) machinetype.......: 0x14c (I386) ( 1 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1c0 0x5 0x40 4.52 bf55c0ae3c60aac947b1fa6f70fb9569 ( 0 imports ) ( 0 exports )

Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=D2D8601000461F3750280367F4C4BE000C51F423' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=D2D8601000461F3750280367F4C4BE000C51F423</a>

CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=7d6869391ee716a2e26d309becb47676' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=7d6869391ee716a2e26d309becb47676</a>

Falkra · le 24 décembre 2008

Pas sûr que ce soit le bon. Je t'envoie par MP (messagerie privée) de quoi me le faire parvenir pour plus d'analyses.

Falkra · le 24 décembre 2008

J'ai le fichier, celui-là est bien infecté, on va nettoyer ça.

Télécharge OTMoveIt3 par OldTimer.

Enregistre ce fichier sur le Bureau.
Fais un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
```
:processes
explorer.exe 
:files
C:\windows\system32\winsys2.exe
:reg 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinSys2"=-

:commands
[start explorer]
```
Retourne dans la fenêtre de OTMoveIt3, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller.
Clique sur le bouton rouge Moveit!.
Ferme OTMoveIt3
Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure)

Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

flo13 · le 24 décembre 2008

Et voilà le rapport:

========== PROCESSES ==========

Process explorer.exe killed successfully.

========== FILES ==========

C:\windows\system32\WinSys2.exe moved successfully.

========== REGISTRY ==========

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\WinSys2 deleted successfully.

========== COMMANDS ==========

Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 12242008_165142

Falkra · le 24 décembre 2008

Oki, poste un nouveau rapport HijackThis stp.

C'est dans quel dossier que tes images se recopient toutes seules ?

flo13 · le 24 décembre 2008

Dans le dossier "mes images"

Voilà le nouveau rapport:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:14:30, on 24/12/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\a-squared Free\a2service.exe

C:\Documents and Settings\All Users.WINDOWS\Application Data\EPSON\EPW!3 SSRP\E_S30RP1.EXE

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\RTHDCPL.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\vphc710.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Windows Live\Device Manager\msgrdvmn.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\Philips\Philips SPC710NC Webcam\TrayMin710.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Stardock\ObjectDock\ObjectDock.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\Windows Live\Contacts\wlcomm.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Windows Live\Messenger\wlcsdk.exe

C:\program files\windows media player\wmplayer.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\florian\Mes documents\OTMoveIt3.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\NOTEPAD.EXE