[RESOLU] PC qui reboote, impossible de lancer MBAM

[Apollo]

Re,

 

La désinstallation d'USBFIX se fera avec l'option 5.

 

Peux-tu lancer une analyse avec MBAM à présent?

 

++

[alainj77]

Re

USBFIX est désinstallé, mais pas les autres que tu m'as fait téléchargé, mais j'attends tes consignes pour le faire au moment ou tu le souhaiteras.

Malheureusement pour MBAM, le problème persiste, j'ai même tenté de le désinstaller et de le réinstaller, mais rien n'y fait.

[Apollo]

Re,

 

on désinstallera les outils à la fin.

 

Bizarre ce problème MBAM, on va voir s'il n'y a rien d'autre:

 

ComboFix ne doit pas être utilisé comme un outil de diagnostic, il ne doit être employé que sur demande expresse d'un conseiller formé à cet outil et sous son contrôle. Cet outil peut être dangereux!

 

Désactiver les protections (antivirus, firewall, antispyware).

 

TUTO Officiel

 

Fais un clic droit ICI

• Dans le menu qui se déroule, choisis "Enregistrer la cible du lien sous" (si tu utilises Firefox) et "Enregistrer la cible sous" (si tu utilises Internet Explorer)
  
• Une fenêtre va s'ouvrir: dans le champs Nom du fichier (en bas ), tape ceci > badaboum
  
• On va enregistrer ce fichier sur le Bureau: pour cela, sur le panneau de gauche, clique sur le Bureau.
   
  
• Clique enfin sur le bouton Enregistrer en bas de page à droite.
  
• Assure toi que tous les programmes sont fermés avant de lancer le fix!
  
• Fait un double clique sur badaboum.exe.
  
• Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepte!
  
• Clique sur Oui au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!
  
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  
• Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  

*** Pendant le travail de ComboFix, ne touche à rien du tout afin de ne pas faire planter le pc.

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

 

@++

[alainj77]

Re

Bon la ça été un peu plus long car pour installer la console de récupération, il faut une connexion Internet. Je l'ai donc installée avant de le lancer.

Ensuite Combofix a redémarré en me demandant de noter des noms de fichier (je les ai si tu veux). Au redémarrage, Antivir s'est lancé et a trouvé un virus dans Combofix. J'ai répondu ignorer à sa demande de suppression(je pense avoir bien fait).

Voici le rapport

 

 

 

ComboFix 09-05-18.06 - PROPRIETAIRE 19/05/2009 14:44.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.1023.737 [GMT 2:00]

Lancé depuis: c:\documents and settings\PROPRIETAIRE\Bureau\badaboum.exe

AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\drivers\gxvxcayuuwpvdyejgwyrdomkhlskmtlondanx.sys

c:\windows\system32\drivers\gxvxcxedxqtpmootjilwroyunjedoxpkrvrls.sys

c:\windows\system32\gxvxccounter

c:\windows\system32\gxvxcssicmlapykyavuvjgwspkjiwoaqwldde.dll

c:\windows\system32\gxvxcuqjfefkfholtfiohrqtvogrkdbnbpaks.dll

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Service_GXVXCSERV.SYS

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-04-19 au 2009-05-19 ))))))))))))))))))))))))))))))))))))

.

 

2009-05-19 12:24 . 2009-05-19 12:24 -------- d-----w c:\program files\Inventel

2009-05-19 12:24 . 2009-05-19 12:24 17134 ----a-w c:\windows\system32\PCANDIS5.SYS

2009-05-19 12:24 . 2009-05-19 12:24 81920 ----a-w c:\windows\system32\W32N50.DLL

2009-05-19 12:14 . 2006-03-15 17:24 45056 ----a-r c:\windows\system32\unwlsdrv.exe

2009-05-19 12:14 . 2006-05-29 16:04 217088 ----a-r c:\windows\system32\drivers\sis163u.sys

2009-05-19 11:49 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys

2009-05-19 11:49 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys

2009-05-19 11:49 . 2009-05-19 11:49 -------- d-----w c:\program files\Malwarebytes' Anti-Malware

2009-05-19 10:43 . 2009-05-19 11:45 -------- d-----w C:\UsbFix

2009-05-18 19:06 . 2009-05-18 19:12 -------- d-----w c:\program files\Navilog1

2009-05-18 18:46 . 2009-05-18 18:50 -------- d-----w C:\ToolBar SD

2009-05-18 18:16 . 2009-05-18 18:16 -------- d-----w C:\WINSSLog

2009-05-18 09:45 . 2009-05-18 09:45 -------- d-----w c:\documents and settings\Administrateur\Local Settings\Application Data\Google

2009-05-18 09:44 . 2009-05-18 09:44 664 ----a-w c:\windows\system32\d3d9caps.dat

2009-05-18 09:38 . 2009-05-18 19:18 -------- d-----w C:\hjt

2009-05-18 08:24 . 2009-05-18 08:24 -------- d-----w c:\program files\Avira

2009-05-18 08:24 . 2009-05-18 08:24 -------- d-----w c:\documents and settings\All Users\Application Data\Avira

2009-05-11 07:14 . 2009-05-11 07:14 323584 ----a-w c:\documents and settings\PROPRIETAIRE\Local Settings\Application Data\qcasgya.exe

2009-05-07 19:14 . 2009-05-07 19:14 -------- d-----w c:\program files\PlayAllDVD

2009-05-02 22:18 . 2009-05-02 22:18 -------- d-----w c:\documents and settings\LocalService\Local Settings\Application Data\Conduit

2009-05-02 22:18 . 2009-05-02 22:18 -------- d-----w c:\documents and settings\LocalService\Local Settings\Application Data\Eazel-FR

2009-05-02 22:18 . 2009-05-02 22:18 -------- d-----w c:\documents and settings\LocalService\Local Settings\Application Data\Gossiper

2009-05-02 22:18 . 2009-05-02 22:18 -------- d-----r c:\documents and settings\LocalService\Favoris

2009-05-02 22:17 . 2009-05-18 19:58 -------- d-----w c:\program files\DivxFree

2009-05-01 19:33 . 2009-05-01 19:33 -------- d-----w c:\documents and settings\NetworkService\Local Settings\Application Data\F-Secure

2009-05-01 19:24 . 2009-05-01 19:29 -------- d-----w c:\documents and settings\All Users\Application Data\fssg

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-05-18 18:22 . 2007-10-30 14:46 -------- d-----w c:\program files\AntivirusFirewall

2009-05-18 18:20 . 2006-03-02 12:00 86582 ----a-w c:\windows\system32\perfc00C.dat

2009-05-18 18:20 . 2006-03-02 12:00 514064 ----a-w c:\windows\system32\perfh00C.dat

2009-04-11 18:58 . 2007-11-06 18:37 -------- d-----w c:\program files\LimeWire

2009-03-06 14:46 . 2006-03-02 12:00 286208 ----a-w c:\windows\system32\pdh.dll

2009-03-03 00:13 . 2006-03-02 12:00 826368 ----a-w c:\windows\system32\wininet.dll

2009-02-20 17:10 . 2006-03-02 12:00 78336 ----a-w c:\windows\system32\ieencode.dll

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{a8f9752d-e2b8-4e7a-86b5-499f4330e2fe}"= "c:\program files\Eazel-FR\tbEaze.dll" [2008-11-23 1784856]

 

[HKEY_CLASSES_ROOT\clsid\{a8f9752d-e2b8-4e7a-86b5-499f4330e2fe}]

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{a8f9752d-e2b8-4e7a-86b5-499f4330e2fe}]

2008-11-23 22:03 1784856 ----a-w c:\program files\Eazel-FR\tbEaze.dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{a8f9752d-e2b8-4e7a-86b5-499f4330e2fe}"= "c:\program files\Eazel-FR\tbEaze.dll" [2008-11-23 1784856]

 

[HKEY_CLASSES_ROOT\clsid\{a8f9752d-e2b8-4e7a-86b5-499f4330e2fe}]

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{A8F9752D-E2B8-4E7A-86B5-499F4330E2FE}"= "c:\program files\Eazel-FR\tbEaze.dll" [2008-11-23 1784856]

 

[HKEY_CLASSES_ROOT\clsid\{a8f9752d-e2b8-4e7a-86b5-499f4330e2fe}]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2006-03-02 15360]

"Weflirt"="c:\program files\Weflirt\weflirt.exe" [2007-10-25 6893568]

"ares"="c:\program files\Ares\Ares.exe" [2007-12-31 962560]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-01-24 68856]

"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]

"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]

"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2007-04-03 644696]

"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2007-04-03 1603152]

"SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]

"OpwareSE4"="c:\program files\ScanSoft\OmniPageSE4\OpwareSE4.exe" [2007-02-04 79400]

"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496]

"DownloadAccelerator"="c:\program files\DAP\DAP.EXE" [2008-02-05 4576768]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]

"HDAudDeck"="c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe" [2008-02-26 29757440]

"fssui"="c:\program files\Windows Live\Contrôle parental\fssui.exe" [2007-12-17 243240]

"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"Gestionnaire de liaison sans fil"="c:\program files\Inventel\Gateway\wlancfg.exe" [2009-05-19 1466368]

"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-10-22 1622016]

"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-09-06 16262656]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-02 15360]

 

c:\documents and settings\PROPRIETAIRE\Menu D‚marrer\Programmes\D‚marrage\

GigaTribe.lnk - c:\program files\GigaTribe\gigatribe.exe [2009-1-1 1071104]

LimeWire Ultra Accelerator.lnk - c:\program files\LimeWire Ultra Accelerator\LimeWire Ultra Accelerator.exe [2009-2-12 258560]

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\LimeWire\\LimeWire.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\Shareaza\\Shareaza.exe"=

"c:\\Program Files\\GigaTribe\\gigatribe.exe"=

"c:\\Program Files\\Ares\\Ares.exe"=

 

R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr.sys [14/12/2008 21:38 43816]

R2 fsssvc;Windows Live OneCare Contrôle parental;c:\program files\Windows Live\Contrôle parental\fsssvc.exe [17/12/2007 12:13 523816]

R3 L1e;Miniport Driver for Atheros AR8121/AR8113 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1e51x86.sys [26/11/2008 01:50 36864]

R3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [19/05/2009 14:14 217088]

R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [26/11/2008 01:46 222976]

S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]

.

Contenu du dossier 'Tâches planifiées'

 

2009-05-19 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job

- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 10:20]

.

- - - - ORPHELINS SUPPRIMES - - - -

 

URLSearchHooks-{0a452a47-c5a8-4854-a237-4b9b06b376f0} - (no file)

Toolbar-{0a452a47-c5a8-4854-a237-4b9b06b376f0} - (no file)

WebBrowser-{0A452A47-C5A8-4854-A237-4B9B06B376F0} - (no file)

HKLM-Run-NWEReboot - (no file)

 

 

.

------- Examen supplémentaire -------

.

mWindow Title =

IE: &Clean Traces - c:\program files\DAP\Privacy Package\dapcleanerie.htm

IE: &Download with &DAP - c:\program files\DAP\dapextie.htm

IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm

IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

IE: Download &all with DAP - c:\program files\DAP\dapextie2.htm

Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - c:\program files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll

Name-Space Handler: ftp\ZDA - {5BFA1DAF-5EDC-11D2-959E-00C00C02DA5E} - c:\progra~1\DAP\dapie.dll

Name-Space Handler: http\ZDA - {5BFA1DAF-5EDC-11D2-959E-00C00C02DA5E} - c:\progra~1\DAP\dapie.dll

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-05-19 14:48

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HDAudDeck = c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe 1????????????????????????????????????????????????

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

Heure de fin: 2009-05-19 14:49

ComboFix-quarantined-files.txt 2009-05-19 12:49

 

Avant-CF: 107 949 518 848 octets libres

Après-CF: 107 944 693 760 octets libres

 

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

 

162 --- E O F --- 2009-04-17 22:08

[Apollo]

Télécharge un nouveau MBAM et réessaie de le lancer en analyse complète après mise à jour.

 

Pour Antivir tu as bien fait.

 

Pour la console de récupération, on peut très bien télécharger le pack sur une clé usb et l'installer sans connexion de CFix au net mais tant mieux si tu as pu l'installer de suite.

 

Ce gars chopera toujours des infections avec l'équipe de P2P qui est sur le pc...

 

@++

[alainj77]

Bien vu

Après un nouveau téléchargement et une nouvelle installation MBAM démarre. J'ai lancé un examen complet. Ca va être long je pense, donc j'éditerais ce message pour te mettre le rapport.

"Ce gars chopera toujours des infections avec l'équipe de P2P qui est sur le pc..."

Je vais le mettre au pli t'inquiète, je vais pas récupérer son PC toutes les semaines. J'ai autre chose à faire. Mais tu as raison, et si tu voyais la barre des tâches!!!!!! C'est affolant, je pense qu'avec 2 programmes lancés elle est pleine.

Ne réponds pas après edit de ce message tu auras le rapport MBAM

 

 

Suite, voila le rapport MBAM (pendant qu'il tournait Antivir a encore trouvé plein de choses)

 

Malwarebytes' Anti-Malware 1.36

Version de la base de données: 2153

Windows 5.1.2600 Service Pack 2

 

19/05/2009 16:12:16

mbam-log-2009-05-19 (16-12-16).txt

 

Type de recherche: Examen complet (C:\|)

Eléments examinés: 137310

Temps écoulé: 56 minute(s), 37 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 3

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 2

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3ba4271e-5c1e-48e2-b432-d8bf420dd31d} (Rogue.DeusCleaner) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\PlayAllDVD (Trojan.DNSChanger) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PlayAllDVD (Trojan.DNSChanger) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

C:\Program Files\DivxFree (Trojan.DNSChanger) -> Quarantined and deleted successfully.

C:\Program Files\PlayAllDVD (Trojan.DNSChanger) -> Quarantined and deleted successfully.

 

Fichier(s) infecté(s):

C:\Program Files\PlayAllDVD\Uninstall.exe (Rogue.FakeAlert) -> Quarantined and deleted successfully.

Modifié le 19 mai 2009 par alainj77

[Apollo]

Cela m'étonne que MBAM trouve encore un trojan DNS après le passage de SmitfraudFix en option 5.

 

On va virer les outils pour que Kaspersky ne détecte inutilement les éléments en quarantaine; il faudra juste réinstaller Hijackthis plus tard.

 

Désinstalle ComboFix de cette manière en copiant/collant la ligne ci-dessous dans exécuter et valide:

 

badaboum /u

 

Vire ces dossiers: C:\Qoobox et C:\ComboFix puis vide la corbeille. (si tu les trouvais encore).

 

Pour désinstaller les outils utilisés:

 

Télécharger ToolsCleaner! de A.Rothstein pour enlever les programmes utilisés pendant la procédure.

http://pc-system.fr/TC/ToolsCleaner2.exe

* Enregistrer ToolsCleaner2.exe sur le Bureau.

Sous Vista,Clic-droit > Exécuter en tant qu' Administrateur

* Double-cliquer dessus, puis cliquer sur Recherche --> Le programme va chercher les utilitaires installés

------> Il se peut que la fenêtre devienne blanche pendant le scan, c'est normal !

* Copier-coller le contenu du rapport qui apparait dans la fenêtre blanche.

 

Lorsque la recherche est terminée ToolsCleaner affiche une liste des différents outils trouvés, cliquez sur "Suppression" afin de les supprimer.

Fermez le programme en cliquant sur "Quitter ".

 

Postez le rapport qui se trouve ici >>> C:\TCleaner.txt

 

======================

Désactive le résident d'Antivir le temps de charger les active x et mises à jour du webscanner:

 

Assure toi que la console Java est bien la plus récente; pour le savoir rends-toi sur cette page et clique sur Vérifier la version de Java -> http://www.java.com/fr/download/installed.jsp -> Il te sera indiqué si tu dois installer la dernière version.

Si tu installes une nouvelle version Java, désinstalle toutes les plus anciennes via ajout/suppr de programmes.

 

Fais un scan en ligne avec Kaspersky.

 

TUTO: http://www.vista-xp.fr/forum/topic109.html

 

• Fais un scan en ligne Kaspersky
  
• Clique sur Accept
  
• Patiente le temps d'installation du Webscanner.
  
• Les bases de mises à jour vont s'installer, patiente un moment
  
• Clique sur Next.
  
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.
  

 

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

 

Copie/colle l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

 

Colle ce rapport dans ta réponse sur le forum.

 

@++

[alainj77]

C'est pas possible il y a une génération spontanée dans ce truc

Voila le rapport Kaspersky

 

-------------------------------------------------------------------------------

KASPERSKY ON-LINE SCANNER REPORT

Tuesday, May 19, 2009 6:05:05 PM

Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version : 5.0.84.2

Dernière mise à jour de la base antivirus Kaspersky : 19/05/2009

Enregistrements dans la base antivirus Kaspersky : 1990689

-------------------------------------------------------------------------------

 

Paramètres d'analyse:

Analyser avec la base antivirus suivante: standard

Analyser les archives: vrai

Analyser les bases de messagerie: vrai

 

Cible de l'analyse - Poste de travail:

A:\

C:\

D:\

 

Statistiques de l'analyse:

Total d'objets analysés: 69370

Nombre de virus trouvés: 6

Nombre d'objets infectés: 17 / 0

Nombre d'objets suspects: 0

Durée de l'analyse: 00:40:25

 

Nom de l'objet infecté / Nom du virus / Dernière action

C:\autorun.inf\lpt3.This folder was created by UsbFix L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\PROPRIETAIRE\Application Data\Microsoft\MSNLiveFav\LiveFavorites.xml L'objet est verrouillé ignoré

C:\Documents and Settings\PROPRIETAIRE\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\PROPRIETAIRE\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\PROPRIETAIRE\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\PROPRIETAIRE\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\PROPRIETAIRE\Local Settings\temp\hsperfdata_PROPRIETAIRE\3512 L'objet est verrouillé ignoré

C:\Documents and Settings\PROPRIETAIRE\Local Settings\temp\~DFFFEB.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\PROPRIETAIRE\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat L'objet est verrouillé ignoré

C:\Documents and Settings\PROPRIETAIRE\Local Settings\Temporary Internet Files\Content.IE5\8KGEVK4L\player_home[1].swf L'objet est verrouillé ignoré

C:\Documents and Settings\PROPRIETAIRE\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\PROPRIETAIRE\Local Settings\Temporary Internet Files\Content.IE5\QZ0LHINW\ciel_580x100[1].jpg L'objet est verrouillé ignoré

C:\Documents and Settings\PROPRIETAIRE\Local Settings\Temporary Internet Files\Content.IE5\QZ0LHINW\mea_580x100_sis_sandisk[1].jpg L'objet est verrouillé ignoré

C:\Documents and Settings\PROPRIETAIRE\Mes documents\LimeWire\Incomplete\Preview-T-3515162-enrique iglesias et nadyia.wma Infecté : Trojan-Downloader.WMA.Wimad.n ignoré

C:\Documents and Settings\PROPRIETAIRE\Mes documents\LimeWire\Incomplete\T-3515161-soprano le ballon rond.wma Infecté : Trojan-Downloader.WMA.Wimad.n ignoré

C:\Documents and Settings\PROPRIETAIRE\Mes documents\LimeWire\Incomplete\T-3515162-enrique iglesias et nadyia.wma Infecté : Trojan-Downloader.WMA.Wimad.n ignoré

C:\Documents and Settings\PROPRIETAIRE\Mes documents\LimeWire\Saved\01 Track 1 (foot).wma Infecté : Trojan-Downloader.WMA.Wimad.l ignoré

C:\Documents and Settings\PROPRIETAIRE\Mes documents\LimeWire\Saved\03 Track 3.wma Infecté : Trojan-Downloader.WMA.Wimad.l ignoré

C:\Documents and Settings\PROPRIETAIRE\Mes documents\LimeWire\Saved\06 Track 6 (foot).wma Infecté : Trojan-Downloader.WMA.Wimad.l ignoré

C:\Documents and Settings\PROPRIETAIRE\Mes documents\LimeWire\Saved\Eighties classic.wma Infecté : Trojan-Downloader.WMA.Wimad.l ignoré

C:\Documents and Settings\PROPRIETAIRE\Mes documents\LimeWire\Saved\Rare Recording.wma Infecté : Trojan-Downloader.WMA.Wimad.l ignoré

C:\Documents and Settings\PROPRIETAIRE\Mes documents\LimeWire\Saved\ravolution.wma Infecté : Trojan-Downloader.WMA.Wimad.n ignoré

C:\Documents and Settings\PROPRIETAIRE\Mes documents\LimeWire\Saved\Wicked Remix.wma Infecté : Trojan-Downloader.WMA.Wimad.l ignoré

C:\Documents and Settings\PROPRIETAIRE\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\PROPRIETAIRE\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\PROPRIETAIRE\Shared\07 Track 7.wma Infecté : Trojan-Downloader.WMA.Wimad.l ignoré

C:\Documents and Settings\PROPRIETAIRE\Shared\Top of Charts - 2003.wma Infecté : Trojan-Downloader.WMA.Wimad.l ignoré

C:\Documents and Settings\PROPRIETAIRE\Shared\TOTALLY HIP TRACK.wma Infecté : Trojan-Downloader.WMA.Wimad.l ignoré

C:\Program Files\DAP\History\PROPRIETAIRE\_lasthist.dat L'objet est verrouillé ignoré

C:\Program Files\DAP\Log\DAP_REPORT.LOG L'objet est verrouillé ignoré

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\System Volume Information\_restore{E1BB1E8E-ED30-4351-B072-106C93311467}\RP271\A0062407.sys Infecté : Rootkit.Win32.Agent.kif ignoré

C:\System Volume Information\_restore{E1BB1E8E-ED30-4351-B072-106C93311467}\RP271\A0062408.dll Infecté : Trojan.Win32.Tdss.acdc ignoré

C:\System Volume Information\_restore{E1BB1E8E-ED30-4351-B072-106C93311467}\RP271\A0062425.sys Infecté : Trojan.Win32.Tdss.abxw ignoré

C:\System Volume Information\_restore{E1BB1E8E-ED30-4351-B072-106C93311467}\RP271\A0062426.dll Infecté : Trojan-Clicker.Win32.Small.aea ignoré

C:\System Volume Information\_restore{E1BB1E8E-ED30-4351-B072-106C93311467}\RP272\change.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\temp\Perflib_Perfdata_6f0.dat L'objet est verrouillé ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

 

Analyse terminée.

[Apollo]

Re,

 

Désactive puis réactive la restauration du système sur tous les lecteurs.

 

Désactiver la Restauration Système.

 

Démarrer/Tous les programmes/Accessoires/Outils Système. (ou touche Windows + Pause --> onglet Restauration système).

 

Cliquer sur Restauration Système.

 

Cliquer sur "Paramètres de la restauration du système; cocher la case: "Désactiver la Restauration du système sur tous les lecteurs"

Appliquer/OK.

Redémarrer le navigateur

 

Pour réactiver la Restauration système, suivre le même chemin et décocher la case. Appliquer/OK.

 

================

OTMOVEIT 3

 

Télécharge OTMoveIt3 de OldTimer sur ton Bureau en cliquant sur ce lien:

 

OtMoveIt3

 

• Double-clique sur OTMoveIt3.exe pour le lancer (l'extension .exe peut ne pas apparaître)
   
  ---> sous VISTA: clic droit: exécuter en temps qu'administrateur.
   
  Vérifie que la case Unregister Dll's and OCX's.exe soit bien cochée!
   
  
• Copie l'entièreté du code ci-dessous (depuis :Processes)
  

  :Processes
  
  explorer.exe
  
  :Files
  C:\Documents and Settings\PROPRIETAIRE\Mes documents\LimeWire\Incomplete
  C:\Documents and Settings\PROPRIETAIRE\Mes documents\LimeWire\Saved
  C:\Documents and Settings\PROPRIETAIRE\Shared
  
  
  
  :Reg
  
  :Commands
  [purity]
  [emptytemp]
  [start explorer]
  [reboot]

  
   
  

• Colle ce code dans la partie jaune de OtMoveIt3 intitulée:
  "Paste Instructions for Items to be Moved"
   
  
• Clique sur le bouton Moveit! pour lancer le nettoyage:
   
  
• Copie-colle dans ta prochaine réponse tout ce qui se trouve dans la fenêtre Results
  --> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log)
  
• Ferme OTMoveIt3 en cliquant sur Exit:
  

Note : Si un fichier ou un dossier ne peut être supprimé directement, l'outil peut demander un redémarrage pour terminer le processus. Clique alors sur "Yes" pour accepter.

 

@++

[alainj77]

Re

Il a effectivement redémarré, donc la fenêtre Results je n'ai pas pu la copier mais j'ai copié le rapport avant le reboot. Donc voici les 2 avant et après le redémarrage

 

========== PROCESSES ==========

Process explorer.exe killed successfully.

========== FILES ==========

C:\Documents and Settings\PROPRIETAIRE\Mes documents\LimeWire\Incomplete moved successfully.

C:\Documents and Settings\PROPRIETAIRE\Mes documents\LimeWire\Saved moved successfully.

C:\Documents and Settings\PROPRIETAIRE\Shared moved successfully.

========== REGISTRY ==========

========== COMMANDS ==========

User's Temp folder emptied.

User's Internet Explorer cache folder emptied.

File delete failed. C:\Documents and Settings\PROPRIETAIRE\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

User's Temporary Internet Files folder emptied.

Local Service Temp folder emptied.

File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

Local Service Temporary Internet Files folder emptied.

Network Service Temp folder emptied.

File delete failed. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

Network Service Temporary Internet Files folder emptied.

File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_6f0.dat scheduled to be deleted on reboot.

Windows Temp folder emptied.

Java cache emptied.

Temp folders emptied.

Explorer started successfully

 

OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 05192009_183028

 

 

 

========== PROCESSES ==========

Process explorer.exe killed successfully.

========== FILES ==========

C:\Documents and Settings\PROPRIETAIRE\Mes documents\LimeWire\Incomplete moved successfully.

C:\Documents and Settings\PROPRIETAIRE\Mes documents\LimeWire\Saved moved successfully.

C:\Documents and Settings\PROPRIETAIRE\Shared moved successfully.

========== REGISTRY ==========

========== COMMANDS ==========

User's Temp folder emptied.

User's Internet Explorer cache folder emptied.

File delete failed. C:\Documents and Settings\PROPRIETAIRE\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

User's Temporary Internet Files folder emptied.

Local Service Temp folder emptied.

File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

Local Service Temporary Internet Files folder emptied.

Network Service Temp folder emptied.

File delete failed. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

Network Service Temporary Internet Files folder emptied.

File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_6f0.dat scheduled to be deleted on reboot.

Windows Temp folder emptied.

Java cache emptied.

Temp folders emptied.

Explorer started successfully

 

OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 05192009_183028

 

Files moved on Reboot...

File C:\WINDOWS\temp\Perflib_Perfdata_6f0.dat not found!