[split] sujet Marion84

[Marion84]

Bonjour,

 

Avast a détecté également le virus Win32:Kamso [Trj] sur mon ordinateur portable.

Avant de découvrir votre forum, j'ai effectué différentes actions (mise à jour avast, scan avast, scan avec malwarebyte's et scan avec spybot)

je pensais m'en être débarrassé mais il semble qu'il se déclenche à nouveau dès que je branche une clé USB ou un disque dur externe.

cela a pour effet de m'empêcher d'ouvrir ces disques externes à partir du poste de travail.

 

j'avoue que je ne sais plus quoi faire. le virus est-il sur le PC? sur ma clé USB / disque dur?

 

pouvez vous m'aider?

 

merci,

 

[angelique]

Bonjour,

 

• telecharge http://sd-1.archive-host.com/membres/up/12...5653/UsbFix.exe

 

--> Lance l'installation avec les paramètres par défaut.

 

--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.

 

--> Double-clique sur le raccourci UsbFix sur ton Bureau.

--> lance "rechercher option 1"

 

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.

 

• creer un nouveau dossier en c:\ nommé HJT

telecharger HijackThis.exe dans ce nouveau dossier crée::

http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe

 

lDouble-clique dessus . Accepte la licence qui va apparaître par "I agree" .

 

Puis clique sur "Do a system scan and save a logfile"

 

fais un copier-coller du rapport

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

Ferme HijackThis

[Marion84]

Merci pour cette réponse.

 

Je le ferai dès ce soir.

[angelique]

ok

[Marion84]

Bon tout d'abord j'ai oublié une de mes clefs USB au bureau: je n'ai donc fait la première opération que sur mon disque dur externe, j'espère que ce n'est pas trop grave. Ensuite j'ai lancé Hijackthis dont voici le rapport ci-dessous.

 

Avast m'a détecté entre les deux actions un virus supplémentaire au doux nom de Win32:Trojan-gen {Other}. J'ai été obligé de le mettre en quarantaine pour que Avast me laisse tranquille.

 

et l'ordi rame....................

voilà.

 

 

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:19:41, on 29/07/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\PROGRA~1\MESSAG~1\StartMessager.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Nikon\NkView6\NkvMon.exe

C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe

C:\Program Files\OrangeHSS\systray\systrayapp.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\OrangeHSS\Launcher\Launcher.exe

C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe

C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe

C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe

C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE

C:\HJT\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/...//www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll

O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [instantOn] "C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe" /c

O4 - HKLM\..\Run: [bDSwitchAgent] "C:\progra~1\softwin\bitdef~1\bdswitch.exe"

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo

O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe

O4 - HKCU\..\Run: [fsc-reminder.exe] C:\WINDOWS\reminder\fsc-reminder.exe 2453693 10

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\marion\LOCALS~1\Temp\olhrwef.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: http://*.mappy.com

O15 - Trusted Zone: http://*.orange.fr

O15 - Trusted Zone: http://rw.search.ke.voila.fr

O15 - Trusted Zone: http://orange.weborama.fr

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://lemondedepoupie.spaces.live.com/Pho...ad/MsnPUpld.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

 

--

End of file - 8598 bytes

[angelique]

Bon tout d'abord j'ai oublié une de mes clefs USB au bureau: je n'ai donc fait la première opération que sur mon disque dur externe, j'espère que ce n'est pas trop grave.

 

n'utilise pas cette clé usb /!\ pour le moment , et suis les instructions , le rapport USBFix est missing .

 

• Ton infection est bien prise en charge par USBFix :

O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\marion\LOCALS~1\Temp\olhrwef.exe

 

aussi poste le rapport/!\

 

• c'est quoi ce reste de Bitdefender?:

 

O4 - HKLM\..\Run: [bDSwitchAgent] "C:\progra~1\softwin\bitdef~1\bdswitch.exe"

 

relance Hijackthis " do a system scan only" coche uniquement la ligne ci dessus + celle ci dessous et clic Fixchecked:

 

O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\marion\LOCALS~1\Temp\olhrwef.exe

 

Poste le rapport USBFix

[Marion84]

point 1 : voici le rapport USBfix:

 

############################## | UsbFix V6.012 |

 

User : marion (Administrateurs) # ORDIMARION

Update on 29/07/09 by Chiquitine29 & C_XX

Start at: 18:12:59 | 29/07/2009

Website : http://pagesperso-orange.fr/NosTools/index.html

 

Intel® Pentium® M processor 1.73GHz

Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2

Internet Explorer 8.0.6001.18702

Windows Firewall Status : Enabled

AV : avast! antivirus 4.7.1335 [VPS 090728-0] 4.7.1335 [ Enabled | Updated ]

 

C:\ -> Disque fixe local # 74,53 Go (50,19 Go free) [427985] # NTFS

D:\ -> Disque CD-ROM

H:\ -> Disque fixe local # 232,83 Go (76,65 Go free) [WD Passport] # FAT32

 

############################## | Processus actifs |

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\PROGRA~1\MESSAG~1\StartMessager.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Nikon\NkView6\NkvMon.exe

C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe

C:\Program Files\OrangeHSS\systray\systrayapp.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\OrangeHSS\Launcher\Launcher.exe

C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe

C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe

C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe

C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

################## | Fichiers # Dossiers infectieux |

 

C:\autorun.inf # -> fichier appelé : "C:\8dtyjjf.exe" ( Présent ! )

Présent ! C:\8dtyjjf.exe

Présent ! C:\autorun.inf

Présent ! H:\p.exe

 

################## | Registre # Clés Run infectieuses |

 

Présent ! HKLM\SYSTEM\CurrentControlSet\Services\AVPsys

Présent ! HKLM\SYSTEM\ControlSet001\Services\AVPsys

Présent ! HKLM\SYSTEM\ControlSet003\Services\AVPsys

 

################## | Registre # Mountpoints2 |

 

HKCU\..\..\Explorer\MountPoints2\G

Shell\AutoRun\command =G:\LaunchU3.exe -a

 

################## | Cracks / Keygens / Serials |

 

 

################## | ! Fin du rapport # UsbFix V6.012 ! |

 

 

point 2 : effectivement mon premier anti virus quand j'ai acheté le PC était bitdefender

 

 

Relance d'Hijackthis en cours

[Marion84]

Nouveau rapport USBfix

 

 

 

############################## | UsbFix V6.012 |

 

User : marion (Administrateurs) # ORDIMARION

Update on 29/07/09 by Chiquitine29 & C_XX

Start at: 20:19:08 | 29/07/2009

Website : http://pagesperso-orange.fr/NosTools/index.html

 

Intel® Pentium® M processor 1.73GHz

Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2

Internet Explorer 8.0.6001.18702

Windows Firewall Status : Enabled

AV : avast! antivirus 4.7.1335 [VPS 090728-0] 4.7.1335 [ Enabled | Updated ]

 

C:\ -> Disque fixe local # 74,53 Go (50,22 Go free) [427985] # NTFS

D:\ -> Disque CD-ROM

H:\ -> Disque fixe local # 232,83 Go (76,65 Go free) [WD Passport] # FAT32

 

############################## | Processus actifs |

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\PROGRA~1\MESSAG~1\StartMessager.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Nikon\NkView6\NkvMon.exe

C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe

C:\Program Files\OrangeHSS\systray\systrayapp.exe

C:\Program Files\OrangeHSS\Launcher\Launcher.exe

C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe

C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe

C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe

C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

################## | Fichiers # Dossiers infectieux |

 

Présent ! C:\DOCUME~1\marion\LOCALS~1\Temp\olhrwef.exe

C:\autorun.inf # -> fichier appelé : "C:\8dtyjjf.exe" ( Présent ! )

Présent ! C:\8dtyjjf.exe

Présent ! C:\autorun.inf

Présent ! H:\p.exe

 

################## | Registre # Clés Run infectieuses |

 

Présent ! HKLM\SYSTEM\CurrentControlSet\Services\AVPsys

Présent ! HKLM\SYSTEM\ControlSet001\Services\AVPsys

Présent ! HKLM\SYSTEM\ControlSet003\Services\AVPsys

 

################## | Registre # Mountpoints2 |

 

HKCU\..\..\Explorer\MountPoints2\G

Shell\AutoRun\command =G:\LaunchU3.exe -a

 

HKCU\..\..\Explorer\MountPoints2\{e6abe5e6-031c-11da-b58e-806d6172696f}

Shell\AutoRun\command =C:\8dtyjjf.exe

Shell\open\Command =C:\8dtyjjf.exe

 

################## | Cracks / Keygens / Serials |

 

 

################## | ! Fin du rapport # UsbFix V6.012 ! |

[angelique]

•désactiver TeaTimer de spybot::

 

Pour désactiver TeaTimer :

 

Afficher d'abord le Mode Avancé dans SpyBot

 

Options Avancées :

- menu Mode, Mode Avancé.

 

Une colonne de menus apparaît dans la partie gauche :

 

- cliquer sur Outils,

- cliquer sur Résident,

Dans Résident :

- décocher Résident "TeaTimer" pour le désactiver.

 

• laisse tous tes supports usb branchés sans les ouvrir , relance USBFix et choisi l'option 2 , nettoyage et poste le rapport

 

• telecharge sur ton bureau et execute : http://www.bitdefender.com/files/Knowledge...nstall_Tool.EXE

 

• reposte un nouveau rapport HijackThis

[Marion84]

Bonjour,

 

1 - j'ai désactivé Tea Timer

2 - j'ai branché mon disque dur externe et ma clé USB et fait le nettoyage avec USBFix.

voici le rapport:

 

############################## | UsbFix V6.012 |

 

User : marion (Administrateurs) # ORDIMARION

Update on 29/07/09 by Chiquitine29 & C_XX

Start at: 18:13:49 | 30/07/2009

Website : http://pagesperso-orange.fr/NosTools/index.html

 

Intel® Pentium® M processor 1.73GHz

Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2

Internet Explorer 8.0.6001.18702

Windows Firewall Status : Enabled

AV : avast! antivirus 4.7.1335 [VPS 090729-1] 4.7.1335 [ Enabled | Updated ]

 

C:\ -> Disque fixe local # 74,53 Go (50,1 Go free) [427985] # NTFS

D:\ -> Disque CD-ROM

E:\ -> Disque CD-ROM # 3,79 Mo (0 Mo free) [u3 System] # CDFS

G:\ -> Disque amovible # 1,85 Go (285,05 Mo free) # FAT32

H:\ -> Disque fixe local # 232,83 Go (76,65 Go free) [WD Passport] # FAT32

 

############################## | Processus actifs |

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\WINDOWS\System32\alg.exe

 

################## | Fichiers # Dossiers infectieux |

 

C:\autorun.inf # -> fichier appelé : "C:\8dtyjjf.exe" ( Absent ! )

G:\autorun.inf # -> fichier appelé : "G:\gpcdt.cmd" ( Présent ! )

Supprimé ! -> G:\gpcdt.cmd

Supprimé ! C:\autorun.inf

(!) Non supprimé ! E:\autorun.inf

Supprimé ! G:\autorun.inf

Supprimé ! H:\p.exe

 

################## | Registre # Clés Run infectieuses |

 

Supprimé ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "cdoosoft"

Supprimé ! HKLM\SYSTEM\CurrentControlSet\Services\AVPsys

Supprimé ! HKLM\SYSTEM\ControlSet003\Services\AVPsys

 

################## | Registre # Mountpoints2 |

 

Supprimé ! HKCU\...\Explorer\MountPoints2\G\Shell\AutoRun\Command

 

################## | Listing des fichiers présent |

 

[02/08/2005 12:12|--a------|1114] -> C:\868000427985.dat

[23/07/2009 22:00|--a------|1340] -> C:\aaw7boot.log

[02/08/2005 07:28|--a------|185] -> C:\ati.log

[02/08/2005 06:59|--a------|0] -> C:\AUTOEXEC.BAT

[18/11/2005 19:00|-rahs----|216] -> C:\boot.ini

[05/08/2004 14:00|-rahs----|4952] -> C:\Bootfont.bin

[02/08/2005 06:59|--a------|0] -> C:\CONFIG.SYS

[10/04/2009 23:34|--a------|30750] -> C:\drwtsn32.log

[18/11/2005 19:00|--a------|27] -> C:\expand.txt

[?|?|?] -> C:\hiberfil.sys

[02/08/2005 06:59|-rahs----|0] -> C:\IO.SYS

[11/10/2004 07:18|--a------|19] -> C:\LANG.TXT

[09/04/2003 10:44|--a------|10] -> C:\Language.txt

[02/08/2005 06:59|-rahs----|0] -> C:\MSDOS.SYS

[05/08/2004 14:00|-rahs----|47564] -> C:\NTDETECT.COM

[02/08/2005 07:17|-rahs----|252240] -> C:\ntldr

[04/08/2004 14:00|--a------|2] -> C:\oem.tag

[?|?|?] -> C:\pagefile.sys

[27/07/2009 19:53|--a------|13030] -> C:\PDOXUSRS.NET

[02/08/2005 12:12|---h-----|16380] -> C:\Prodlog.txt

[30/07/2009 18:17|--a------|3744] -> C:\UsbFix.txt

[13/02/2006 21:08|-r-------|145] -> E:\autorun.inf

[21/02/2006 13:34|-r-------|2998778] -> E:\LaunchPad.zip

[13/02/2006 21:09|-r-------|921600] -> E:\LaunchU3.exe

[13/02/2006 20:09|-ra------|921600] -> G:\LaunchU3.exe

[05/06/2009 16:38|--a------|376832] -> G:\carnet d'adresse.pst

[30/07/2009 18:12|--a------|3248] -> G:\BOOTEX.LOG

[08/04/2009 18:22|--a------|21504] -> G:\1-9-resiliationbail-mut.doc

[?|?|?] -> G:\Copie

[26/04/2009 17:42|--a------|154624] -> G:\AVENANT 01 LOT 69020.doc

[17/06/2009 09:51|--a------|20480] -> G:\courrier SNCF.doc

[12/07/2009 12:13|--a------|23040] -> G:\Marion DETHAN.doc

[26/09/2005 07:22|--a------|130048] -> G:\Pr‚sentation chaudronnerie.ppt

[08/01/2009 12:41|--a------|17670] -> G:\carte de voeux.jpg

[27/07/2009 19:46|--a------|8530] -> G:\hijackthis.log

[29/07/2009 08:53|--a------|893] -> G:\mbam-log-2009-07-29 (08-52-48).txt

[29/07/2009 10:27|--a------|20992] -> G:\consignes.doc

[29/07/2009 10:14|--a------|30143928] -> G:\avira_antivir_personal_free.exe

[04/09/2006 16:11|--a------|4347904] -> H:\WDSync.exe

[15/02/2008 07:43|--a------|9733451] -> H:\vlc-0.8.6d-win32.exe

 

################## | Vaccination |

 

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

# G:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

# H:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

 

################## | Cracks / Keygens / Serials |

 

 

################## | ! Fin du rapport # UsbFix V6.012 ! |