[RESOLU] Virus et clé USB

[Elis]

Bonjour,

J'ai résolu une partie des problèmes çi dessous mais je re-note l'historique pour une meilleure compréhension.

 

Avast (Antivirus résident Avast Pro) m'a signalé un virus lors du branchement de ma clé USB où j'avais sauvegardé des photos; j'ai fait l'option "supprimer" mais, hélas!!, le message apparait toujours à chaque connexion de ma clé USB :

G étant le nom de ma clé USB sur mon PC :

Nom du fichier : G:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jw­gkvsq.vmx

J'ai bien supprimé tous les "RECYCLER" de mon ordi, de mon DD externe et de la clé usb Transcend.

Il y a également un autre fichier sur la clé usb et le DD externe : autorun.info que j'ai également supprimé

mais les fichiers supprimés ne se retrouvent pas dans la corbeille de windows (sur le bureau) ???

 

Voici ce que j'ai fait :

J'ai formaté la clé ( formatage complet)

Pourtant quand je la rebranche, le message du virus s'affiche toujours!!! et les 2 fichiers Recycler et Autorun.info apparaissent de nouveau !!!???

Remarques :

1)Le virus m'empêche d'afficher les dossiers "cachés" --> mais j'ai trouvé la solution par modification de la base de registre

2)Je ne peux accéder à aucun site d'antivirus en ligne via Internet !!!

3)Impossible de restaurer le système à une date antérieure, mes points de restaurations antérieurs ont disparu !! ???

Un point de restauration s'est crée le jour du premier branchement de la clef USb

 

J'ai lancé Malwarebytes, mais aucun problème détecté ; si nécessaire je peux vous faire copie du rapport.

 

 

 

RESOLUTION PARTIELLE de ces problèmes avec ce qui suit :

En cherchant sur des forums, j'ai lancé le logiciel RAV de evosla.com puis Flash disinfector

RAV m'a effectivement détecté et supprimé les 2 fichiers-virus précités : ils étaient présents sur ma clé USB, sur mon DD externe où j'avais copié mes photos et sur ma carte mémoire de mon appareil photo

RESTE que 1)Je ne peux accéder à aucun site d'antivirus en ligne via Internet !!! ( par exemple secuser.com ou Panda etc...)

2) J'ai perdu tous mes points de restauration antérieurs au 07/02/2009

 

Merci si vous pouvez m'aider

 

PS: J'ai bien noté que vous conseillez de désinstaller Avast pour Antivir, mais en attendant, j'aimerais bien résoudre ce problème....

A moins que l'install et l'exécution d'antivir le solutionne ??? Que me conseillez-vous ?

Modifié le 15 février 2009 par Elis

[Thanos]

salut

 

On va tenter d'en voir plus >>

 

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

• Double-clique sur RSIT.exe afin de lancer RSIT.
  
• Clique Continue à l'écran Disclaimer.
  
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
  
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
  ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
  
• Si tu ne vois pas ces deux rapports, tu les trouveras dans le dossier C:\rsit
  

[Elis]

salut

 

On va tenter d'en voir plus >>

 

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

• Double-clique sur RSIT.exe afin de lancer RSIT.
  
• Clique Continue à l'écran Disclaimer.
  
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
  
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
  ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
  
• Si tu ne vois pas ces deux rapports, tu les trouveras dans le dossier C:\rsit
  

 

 

Merci, mais hélas et ça doit être une conséquence du virus, le lien http://images.malwareremoval.com/random/RSIT.exe ne fonctione pas !!!

Message --> Erreur de chargement Adresse Introuvable

Exactement le même problème quand je vais, par exemple, sur http://secuser.com/antivirus/index.htm

De même je ne peux pas accéder à http://www.trendmicro.com/go/hjt/quickstart/?hjtver=2.0.2 site de Hijackthis

 

Cependant j'avais sur mon ordi un Hijackthis.exe version 2.02 de dec 2007

Je l'ai lancé et voici le rapport :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:05:10, on 08/02/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\D-Tools\daemon.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe

C:\Program Files\Nero\Nero 7\InCD\InCD.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\freeBrowser\freeBrowser\freeBrowser.exe

C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe

C:\Program Files\TomTom HOME 2\HOMERunner.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.30\WlanCU.exe

C:\WINDOWS\system32\oodag.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Windows Live\Messenger\usnsvc.exe

C:\Program Files\Webroot\Spy Sweeper\SSU.EXE

C:\Program Files\Mozilla Thunderbird\thunderbird.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Elisabeth\Bureau\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] "C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe"

O4 - HKLM\..\Run: [securDisc] "C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe"

O4 - HKLM\..\Run: [inCD] "C:\Program Files\Nero\Nero 7\InCD\InCD.exe"

O4 - HKLM\..\Run: [AppleSyncNotifier] "C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [freeBrowser] "C:\Program Files\freeBrowser\freeBrowser\freeBrowser.exe"

O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe"

O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Srchasst" (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_02] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\msagent" (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_03] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Help\Tours" (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_04] cmd.exe /c md "%USERPROFILE%\Local Settings\Temp" (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_05] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_06] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_07] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Wireless Configuration Utility.lnk = C:\Program Files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.30\WlanCU.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - http://catalog.update.microsoft.com/v7/sit...b?1227808211307

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1227812272863

O20 - AppInit_DLLs: ???

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. (www.webroot.com) - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

 

--

End of file - 9998 bytes

 

 

Ceci va-t-il t'être utile ?

 

En tout cas merci

[Elis]

salut

 

On va tenter d'en voir plus >>

Complément à ma réponse : J'ai vu sur un autre forum que l'on pouvait aussi utiliser SmitfraudFix

J'ai vérifié, ce lien semble fonctionner (j'ai la main pour le téléchargement)

De même pour ComboFix

 

Cela te serait-il utile que je lance ces 2 analyses ?

[Thanos]

Salut

 

Par curiosité, peux tu me dire quels sont les liens pour SmitFraudFix et ComboFix que tu peux utiliser ?

 

Je vais héberger exceptionnellement et temporairement une copie pour toi.

Branche tous les supports amovibles que tu possèdes avant de faire ce scan (clé usb/disque dur externe etc)

 

Télécharge ComboFix

 

Patiente une seconde: le téléchargement va se lancer automatiquement.

• Assure toi que tous les programmes sont fermés avant de lancer le fix!
  
• Fait un double clique sur combofix.exe.
  
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  
• Tape sur la touche Y (Yes) pour démarrer le scan.
  
• Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  
• Si le rapport est trop long, poste le en deux fois.
  
• Si tu ne vois pas le rapport, tu le trouveras ici > C:\ComboFix.txt
  

Poste le rapport généré stp

[Elis]

Salut

 

Par curiosité, peux tu me dire quels sont les liens pour SmitFraudFix et ComboFix que tu peux utiliser ?

 

Je vais héberger exceptionnellement et temporairement une copie pour toi.

...............

 

Télécharge ComboFix

...................

 

Je ne comprends pas ta question : "peux tu me dire quels sont les liens pour SmitFraudFix et ComboFix que tu peux utiliser ?"

Tu veux parler des liens lorsque je lance ces programmes ou veux tu savoir dans quels forums j'ai trouvé cette info ?

Dans ce dernier cas, bizarrement, j'avais mis la page en favoris (ainsi qu'une autre) et.......les favoris ont disparus !!!!

Il y avait le mots vir...(je n'ose plus marqué le nom) dans le nom du favori ! est-ce que mon vir... a l'intelligence de supprimer et de rendre inaccessible tout ce qui tout ce qui concerne ce problème ?

 

 

Qu'est ce que tu veux dire quand tu écris :Je vais héberger exceptionnellement et temporairement une copie pour toi ?

Veux-tu parler du lien pour combofix ?

Si je vais dans "Telecharger.com", il n'y a pas de réponse pour combofix... ???

 

J'ai utilisé ton lien pour télécharger combofix, mais je me retrouve avec un elis.exe et non combofix.exe.

elis.exe est-il bien le programme que je dois ouvrir ?

 

J'ai donc maintenant sur mon bureau un SmitFraudFix.exe et un elis.exe.

J'attends ton feu vert pour les exécuter, avec la procédure que tu ma indiqué dans ta précédente réponse

 

J'ai bien peur d'être dans une grande galère, mais vu les forums, je ne suis pas la seule a être touché par cette sale bête!!!!

 

 

Merci et à+

[Thanos]

oui désolé! je n'ai pas précisé: j'ai renommé ComboFix.exe en Elis.exe

Utilise le programme (Elis.exe) comme indiqué dans mon précédent message

 

je répondrais à tes questions plus précisément toute à l'heure

 

Edit:

Je ne comprends pas ta question : "peux tu me dire quels sont les liens pour SmitFraudFix et ComboFix que tu peux utiliser ?"

Tu veux parler des liens lorsque je lance ces programmes ou veux tu savoir dans quels forums j'ai trouvé cette info ?

En fait je faisait référence à ton message suivant >>

J'ai vérifié, ce lien semble fonctionner (j'ai la main pour le téléchargement)

De même pour ComboFix

Aussi, je voulais savoir depuis quel forum tu peux télécharger ComboFix et SmitFraudFix ? Etant donné que le malware qui affecte ton pc bloque certains site de téléchargement de programmes de sécurité, je me demandais où tu avais trouvé ces deux programmes.

Modifié le 8 février 2009 par Thanos

[Elis]

Aussi, je voulais savoir depuis quel forum tu peux télécharger ComboFix et SmitFraudFix ? Etant donné que le malware qui affecte ton pc bloque certains site de téléchargement de programmes de sécurité, je me demandais où tu avais trouvé ces deux programmes.

 

Justement, je ne sais plus de quel forum il s'agissait.

J'avais mis la page en Favori mais ce favori a "disparu" !!!

J'avais fait une recherche google en tapant, je crois, : sites internet inaccessibles

Il me semble que c'était sur le site de commentçamarche.com

 

Je copie, le rapport combofix ci dessous

 

Je n'ai pas exécuté SmitFraudFix dois-je le faire ?

 

Remarques concernant le rapport combofix :

1)je vois qu'il est mentionné quelque part de fichier : najlvk.dll: ce dernier avait été effectivement été détecté par Avast et Rav.exe avait détecté un fichier autorun .info

2)Pendant le scan, combofix m'a demandé d'inserer le CD de Windows, mais je ne l'ai pas ici, j'ai donc passé outre ....

Voici le rapport.

 

ComboFix 09-02-07.01 - Elisabeth 2009-02-08 18:28:08.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.511.254 [GMT 1:00]

Lancé depuis: c:\documents and settings\Elisabeth\Bureau\Elis.exe

AV: Webroot AntiVirus with AntiSpyware *On-access scanning disabled* (Updated)

AV: avast! antivirus 4.8.1335 [VPS 090207-0] *On-access scanning disabled* (Updated)

* Un nouveau point de restauration a été créé

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\program files\Internet Explorer\fxavx.ini

c:\program files\QUAD Utilities

c:\windows\system\oeminfo.ini

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-01-08 au 2009-02-08 ))))))))))))))))))))))))))))))))))))

.

 

2009-02-08 18:53 . 2009-02-08 18:53 <REP> d-------- c:\windows\srchasst

2009-02-08 12:22 . 2009-02-08 12:21 64,160 --a------ c:\windows\system32\drivers\Lbd.sys

2009-02-08 12:18 . 2009-02-08 12:18 <REP> d--h-c--- c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}

2009-02-07 20:53 . 2009-02-07 20:53 <REP> d-------- c:\documents and settings\LocalService\Application Data\Webroot

2009-02-07 20:51 . 2009-02-07 20:51 <REP> d-------- c:\program files\Webroot

2009-02-07 20:51 . 2009-02-07 20:51 <REP> d-------- c:\documents and settings\Elisabeth\Application Data\Webroot

2009-02-07 20:51 . 2009-02-07 20:51 <REP> d-------- c:\documents and settings\All Users\Application Data\Webroot

2009-02-07 20:51 . 2008-08-09 16:04 1,538,928 --a------ c:\windows\WRSetup.dll

2009-02-07 20:50 . 2009-02-07 21:52 164 --a------ C:\install.dat

2009-02-07 12:23 . 2004-08-19 15:09 185,856 --a------ c:\windows\system32\Framedyn.dll

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-08 17:05 --------- d-----w c:\program files\Mozilla Thunderbird

2009-02-07 23:22 --------- d-----w c:\program files\CCleaner

2009-02-06 19:31 --------- d-----w c:\program files\Google

2009-01-15 08:26 --------- d-----w c:\program files\Radio Fr Solo

2008-12-17 18:29 410,984 ----a-w c:\windows\system32\deploytk.dll

2008-12-17 15:46 --------- d-----w c:\program files\Malwarebytes' Anti-Malware

2008-12-17 15:03 --------- d-----w c:\documents and settings\Elisabeth\Application Data\Malwarebytes

2008-12-17 15:03 --------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes

2008-12-16 11:45 102,664 -c--a-w c:\windows\system32\drivers\tmcomm.sys

2008-12-15 14:55 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP

2008-12-13 10:27 --------- d--h--w c:\program files\InstallShield Installation Information

2008-12-12 15:42 --------- d-----w c:\program files\Bonjour

2008-12-12 11:48 --------- d-----w c:\documents and settings\Elisabeth\Application Data\Uniblue

2008-12-11 20:18 --------- d-----w c:\program files\ATI Technologies

2008-12-10 15:49 --------- d-----w c:\documents and settings\Elisabeth\Application Data\KC Softwares

2008-12-10 15:48 --------- d-----w c:\program files\KC Softwares

2006-07-05 10:56 168,032 --sha-r c:\windows\system32\najlvk.dll

.

 

------- Sigcheck -------

 

2006-06-20 21:05 578048 c34920eb988ce98910bd6b0417f334eb c:\windows\$NtServicePackUninstall$\user32.dll

2006-06-20 21:05 578048 c34920eb988ce98910bd6b0417f334eb c:\windows\system32\user32.dll

 

2006-06-20 21:22 2059008 5311776074b6c13f983dc75baeac9c0c c:\windows\$NtServicePackUninstall$\ntkrnlpa.exe

2006-06-20 21:22 2059008 5311776074b6c13f983dc75baeac9c0c c:\windows\system32\ntkrnlpa.exe

 

2006-06-20 21:05 2181632 3e2a0a4a0c0b19fc113618a9562a3b2a c:\windows\$NtServicePackUninstall$\ntoskrnl.exe

2006-06-20 21:05 2181632 3e2a0a4a0c0b19fc113618a9562a3b2a c:\windows\system32\ntoskrnl.exe

 

2006-05-16 21:39 1036288 76b3d5a12e1008fd656921d3035783f1 c:\windows\explorer.exe

2006-05-16 21:39 1036288 76b3d5a12e1008fd656921d3035783f1 c:\windows\$NtServicePackUninstall$\explorer.exe

 

2006-06-20 21:11 57856 ad3d9d191aea7b5445fe1d82ffbb4788 c:\windows\$NtServicePackUninstall$\spoolsv.exe

2006-06-20 21:11 57856 ad3d9d191aea7b5445fe1d82ffbb4788 c:\windows\system32\spoolsv.exe

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"msnmsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

"freeBrowser"="c:\program files\freeBrowser\freeBrowser\freeBrowser.exe" [2006-08-27 413696]

"TomTomHOME.exe"="c:\program files\TomTom HOME 2\HOMERunner.exe" [2008-12-09 234856]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-02-06 39408]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NVMixerTray"="c:\program files\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-12-20 131072]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-17 136600]

"DAEMON Tools-1033"="c:\program files\D-Tools\daemon.exe" [2004-08-22 81920]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]

"SecurDisc"="c:\program files\Nero\Nero 7\InCD\NBHGui.exe" [2007-05-15 1628208]

"InCD"="c:\program files\Nero\Nero 7\InCD\InCD.exe" [2007-05-15 1057328]

"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-11-07 111936]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-11-04 413696]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]

"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2009-02-08 509784]

"SpySweeper"="c:\program files\Webroot\Spy Sweeper\SpySweeperUI.exe" [2008-08-09 5418864]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-19 44544]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588]

Wireless Configuration Utility.lnk - c:\program files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.30\WlanCU.exe [2004-10-06 442368]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"SynchronousMachineGroupPolicy"= 0 (0x0)

"SynchronousUserGroupPolicy"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

"NoSimpleStartMenu"= 0 (0x0)

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoStrCmpLogical"= 1 (0x1)

"MaxRecentDocs"= 15 (0xf)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.divxa32"= msaud32_divx.acm

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

@="Service"

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\freeBrowser\\freeBrowser\\freeBrowser.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"8080:TCP"= 8080:TCP:FREE PLAYER

"1234:UDP"= 1234:UDP:Free Player

"3373:TCP"= 3373:TCP:yuuieik

 

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-02-08 64160]

R0 ssfs0bbc;ssfs0bbc;c:\windows\system32\drivers\ssfs0bbc.sys [2008-08-09 29808]

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-04-04 114768]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-04-04 20560]

R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2009-01-18 950096]

S2 jzqdru;Support Center;c:\windows\system32\svchost.exe -k netsvcs [2004-08-19 14336]

S3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\drivers\fbxusb32.sys [2007-11-22 21344]

S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2008-11-17 195752]

S3 TNET1130;IEEE 802.11g Wireless Cardbus/PCI Adapter;c:\windows\system32\drivers\TNET1130.sys [2004-06-17 386688]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

jzqdru

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9e87d07c-26e2-11dc-bf43-00138f2dcbe8}]

\Shell\AutoRun\command - G:\InstallTomTomHOME.exe

.

Contenu du dossier 'Tâches planifiées'

 

2009-02-08 c:\windows\Tasks\Ad-Aware Update (Weekly).job

- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-02-08 12:21]

 

2009-01-09 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

 

2009-02-07 c:\windows\Tasks\wrSpySweeperFullSweep.job

- c:\program files\Webroot\Spy Sweeper\SpySweeperUI.exe [2008-08-09 16:04]

 

2009-02-07 c:\windows\Tasks\wrSpySweeperFullSweep.job

- c:\program files\Webroot\Spy Sweeper\SpySweeperUI.exe [2008-08-09 16:04]

 

2009-02-07 c:\windows\Tasks\wrSpySweeperFullSweep.job

- A:\ []

.

.

------- Examen supplémentaire -------

.

uStart Page = about:blank

uInternet Settings,ProxyOverride = *.local

IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm

IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\Elisabeth\Application Data\Mozilla\Firefox\Profiles\8a77uwh3.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FF - prefs.js: browser.search.selectedEngine - Google

FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll

FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll

FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npBSVersion_5.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npOGAPlugin.dll

 

---- PARAMETRES FIREFOX ----

FF - user.js: yahoo.homepage.dontask - true.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-02-08 18:56:56

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\jzqdru]

"ServiceDll"="c:\windows\system32\najlvk.dll"

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]

"OODEFRAG08.00.00.01WORKSTATION"="1EB5BDC10E53388B632866F743E97AAA60EFE43F5E1BD84A30CEBE1C1485C9021CCAC301D84

D47B01834F1B0CC6FD36D13421EA76A2253730F3E7E9D90C636B1103DF2914F6E7058D8E7AC6C146B

410974D998291A75CA859889201A30D77DF7C8C24034CD38CFCEDEB2E26C7368441BCC7E91A56548C

40DBEF279362CB3C9F5873BB46CE99154E4D8ACF0B4FC55B146D5225FC37B301C1EEB63F1D66DBC1B

4FFEA66C82E94140EEE78F4A907683B22EBED567FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127

BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74C8EDD5E5BE2F6E667A6171C11EC

38DE3DBA7FD869164D6794A2D97226D213B555469D1A8F51B708BAE930AB2A91DEAC93CF64B59442D

977ECEC9C4C6A12A64901750BD6564B819F46BBA0E81E3B30AF1F1D359AF826190D59011403B95239

6A83674F37459C575D040AE15FDD9A97BD940424D5B9D7530EFA1915DB6918C8F71DFCE8DB183213D

25EB470BA89ED7D41D5874DBBFA849B5D4678F5F3452234ED78588BC8DDFB8236D3E2FD8815F63E4A

D36DFB83B560FA03C2A7C04BEBB353EDD2E29FE9FA6FE7E0F67C6C3A4A7BA68B95C03349BA226CAA8

D6FB3C6CF956EBCFC4ABF0B280579516C305828C5447ADA39CEA78A2A835F245561C1ADB6124144DC

7B3B5E6EB95F29F06C0B8BF72070B3EB2A43AB79C339E3DF4F91ACBC79FD0F6AAD9578B00D3A2E506

80683A660B4B570A7A37572A4D10105CF7DD5D01FC85034D6875321059BCA6E9DFD12685A65221FE3

1A90B3ED7439313F931B355BBBDADAB37B4C472A090C40C85C1DACE715E1633AAB0F2EE8E169653D1

857800A63A9944592247F08FB26D1E83BEFB2664CFDBC4F9363A7E5CD97B32B7F459D0A4057A94F9E

0179B0626BBF46ED380F380527BC07BD633A36606CC5B1F484CB3E47277759276C39372058BD68760

A2AC12E2F8C8ECBCC5531363159BAD71C1D90E2FCEE30E7D315B5098A111D0FD843EDAB0C6651133E

B7325DD83B76B872F8E9EFE097E25187BBC768C294F4A301682A53DA1A819EBAF716DBF35358E0D41

ABCBD81074786BE2A8E7C68B644D4C100E7F0590B18AAA90241293D181648F20EFA13AEED74DD90B5

AFF584782777BA429C436A2F4B2AD690193110952B1FE1B81CA75D0CC6E4FC85D1FBC4717893753CC

17D15141CC071B80954E96C574799D19CA9A6365ED9621522A7FA4BD8655A4DD5C604D6CBC88C5D00

6572D01E57F662FCB847D6A03089B553881EC4AE5EB72DD9BA86AB614F20B86F2EEE0CC51ABA493E6

C216AB2909909969F4730A2A141E15366105AA417085A4EE94C785A0E873BE9CA378283559F082863

B4F2A38A8C494C4EB5BCA694822297C71A88A9E5E63C0C5233C3420E8EFEC2BD48885F221414526AB

3C3B7713347CA6C8CBE4886C52AB3"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'explorer.exe'(2276)

c:\program files\Windows Media Player\wmpband.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Alwil Software\Avast4\aswUpdSv.exe

c:\program files\Alwil Software\Avast4\ashServ.exe

c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\program files\Nero\Nero 7\InCD\InCDsrv.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\windows\system32\oodag.exe

c:\program files\Webroot\Spy Sweeper\SpySweeper.exe

c:\windows\system32\wbem\unsecapp.exe

c:\program files\iPod\bin\iPodService.exe

c:\program files\Alwil Software\Avast4\ashWebSv.exe

c:\program files\Windows Live\Messenger\usnsvc.exe

c:\program files\Webroot\Spy Sweeper\SSU.exe

.

**************************************************************************

.

Heure de fin: 2009-02-08 19:16:46 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-02-08 18:16:15

 

Avant-CF: 106 424 193 024 octets libres

Après-CF: 106,683,281,408 octets libres

 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

 

209

 

 

Encore Merci

[Elis]

Aussi, je voulais savoir depuis quel forum tu peux télécharger ComboFix et SmitFraudFix ? Etant donné que le malware qui affecte ton pc bloque certains site de téléchargement de programmes de sécurité, je me demandais où tu avais trouvé ces deux programmes.

 

 

J'ai retrouvé un site qui semble me permettre de télécharger Combofix :

Je n'ai pas encore retrouvé celui qui parle de SmitfraudFix (si je trouve, je te le ferait savoir)

 

 

 

 

Complement de ma réponse précedente

Voila un site qui semble me permettre de télécharger SmitfraudFix

http://www.commentcamarche.net/forum/affic...sites-antivirus

Modifié le 8 février 2009 par Elis

[Thanos]

re!

 

Ok, on continue comme ceci car il y a du nettoyage à faire >>

 

1°) Rend toi sur cette page afin de télécharger le fichier CFScript > http://senduit.com/9cf789

Patiente une seconde: le téléchargement va se lancer automatiquement.

• Fait un glisser/déposer de ce fichier CFScript sur le fichier Elis.exe comme sur la capture
  
  
• Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt
  

Note: Le script proposé est adapté au cas de Elis : Vous ne devez en aucun cas l'utiliser sur votre pc!

 

2°) Assure toi que la console Java est bien la plus récente; pour le savoir rends-toi sur cette page et clique sur Vérifier la version de Java -> http://www.java.com/fr/download/installed.jsp -> Il te sera indiqué si tu dois installer la dernière version.

Le scan doit être fait avec Internet Explorer

TUTO scan en ligne Kaspersky: http://www.vista-xp.fr/forum/topic109.html

 

• Fais un scan en ligne Kaspersky
  
• Clique sur Accept
  
• Patiente le temps d'installation du Webscanner.
  
• Les bases de mises à jour vont s'installer, patiente un moment
  
• Clique sur Next.
  
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.
  

 

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

 

Copie/colle la totalité du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

 

Colle ce rapport dans ta réponse sur le forum.

 

Je n'ai pas exécuté SmitFraudFix dois-je le faire ?

Non, c'est inutile

Complement de ma réponse précedente

Voila un site qui semble me permettre de télécharger SmitfraudFix

http://www.commentcamarche.net/forum/affic...sites-antivirus

Ok pas de souci Pourquoi t'ais je posé cette question ? en fait dans l'adresse que tu donnes, le site en question (CCM) n'héberge pas le fichier. La personne qui aide donne un lien vers le site de l'auteur de SmitfraudFix (S!RI) ce qui est tout à fait normal. Je pensais que tu parlais d'un site (en début de discussion) qui hébergeait des outils de désinfection sur son serveur de manière donc illicite (comme ca arrive parfois!).

Oublie donc ma question

Remarques concernant le rapport combofix :

1)je vois qu'il est mentionné quelque part de fichier : najlvk.dll: ce dernier avait été effectivement été détecté par Avast et Rav.exe avait détecté un fichier autorun .info

2)Pendant le scan, combofix m'a demandé d'inserer le CD de Windows, mais je ne l'ai pas ici, j'ai donc passé outre ....

1. Le script que je t'ai créé va s'occuper de ce malware (najlvk.dll)

 

2. Intéressant! quel était le message exact ? es tu sûr qu'il s'agissait d'un message affiché par ComboFix: n'était ce pas plutôt un message de windows ? (avec noté: Protection de fichiers Windows)

Est t'il fait mention d'un fichier manquant ? lequel ?

 

Poste les deux rapports demandés stp

Modifié le 9 février 2009 par Thanos