[Résolu] Antivir n'en vient pas à bout

le 13 septembre 2009

Bonjour, Pb de lenteurs sur mon PC avec des 100% CPU qui restent au plafond. Après qqes reboot je passe à antivir (c'est le meilleur non?) qui me sort une liste de malwares(?) Trojans(?) :

Fichier Contient le cheval de Troie TR/PCK.Tdss.Z.371 c:\windows\system32\drivers\kbiwkmafvkylqi.sys

Fichier Contient le cheval de Troie TR/TDss.WQ.2 c:\window\system32\kbiwkmpuxxrlxb.dll

Fichier Un fichier caché a été trouvé. c:\window\system32\kbiwkmthowbcrc.dat

Fichier Un fichier caché a été trouvé. c:\window\system32\kbiwkmtsvnksie.dll

Fichier Contient le cheval de Troie TR/TDss.WQ.1 c:\window\system32\kbiwkmtumbpxpv.dll

Fichier Un fichier caché a été trouvé. c:\window\system32\kbiwkmnowmexus.dat

Antivir dit que ces fichiers ne peuvent être supprimés. Après les avoir déplacés et supprimés de Quarantaine. je repasse antivir qui les décèle a nouveau. Impossible de les trouver ds les répertoires, bien que j'ai coché "Afficher les fichiers et dossiers cachés" et DEcoché "masquer les extensions..." et "Masquer les fichiers protégés du syst...".

Je cale et demande votre secours. Merci. ci dessous le hijack.log

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:27:09, on 13/09/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\WINDOWS\System32\svchost.exe

c:\program files\avira\antivir desktop\avcenter.exe

C:\Program Files\Avira\AntiVir Desktop\avscan.exe

C:\WINDOWS\explorer.exe

C:\Documents and Settings\Propriétaire\Mes_documents\Mes outils\HijackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:80

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll (file missing)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: Mozilla Firefox.lnk = C:\Program Files\Mozilla Firefox\firefox.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0006F063-0000-0000-C000-000000000046} (Microsoft Office Outlook View Control) - http://activex.microsoft.com/activex/contr...ce/outlctlx.CAB

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {26FCCDF9-A7E1-452A-A73D-7BF7B4D0BA6C} - http://o.aolcdn.com/pictures/ap/Resources/...ns.10.6.0.6.cab

O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/a...gnerADP-1.1.cab

O16 - DPF: {A90A5822-F108-45AD-8482-9BC8B12DD539} (Crucial cpcScan) - http://www.crucial.com/controls/cpcScanner.cab

O16 - DPF: {C9386579-3C0F-4713-82C6-5BA8088C7C8D} (Windows Live SkyDrive Upload Tool) - https://secure.shared.live.com/Pa6vGqB728Ax....RichUpload.cab

O16 - DPF: {EFD3EA56-234D-4240-90EA-CC9FA3AF5A01} (ConnectivityTester Class) - http://motive.club-internet.fr:2112/lwp/st...aller_4-0-0.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0C884A5F-6145-4A8C-A6F1-D1184F657D00}: NameServer = 194.117.200.10,194.117.200.15

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll

O20 - Winlogon Notify: wlcrdplauncher - C:\Program Files\Live Mesh\Remote Desktop\wlcrdplauncher.dll

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

--

End of file - 6522 bytes

Modifié le 22 septembre 2009 par pasteque

pear · le 13 septembre 2009

Bonjour,

Vous allez télécharger Combofix.

Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous allez charger sera obsolète dans quelques jours.

Avant de l'installer,vous pourriez utilement lire ce

,Mode opératoire:

Télécharger combofix.exe de sUBs

Vous devriez avoir une fenêtre vous avertissant que vous téléchargez Combofix depuis un site non-autorisé.

N'en tenez pas compte

Lancez Combofix en double cliquant

Tout d'abord, Combofix vérifie si la Console de récupération est installée et vous propose de le faire dans le cas contraire.

Certaines infections comme braviax empêcheront son installation.

Les utilisateurs de Windows Vista peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Environnement de réparation Vista)

La Console de récupération Windows vous permettra de démarrer dans un mode spécial de récupération (réparation).

Elle peut être nécessaire si votre ordinateur rencontre un problème après une tentative de nettoyage.

C'est une procédure simple, qui ne vous prendra que peu de temps et pourra peut-être un jour vous sauver la mis

Certaines infections (Rootkit en Mbr)ne peuvent être traitées qu'en utilisant la Console de Récupération,

D'importantes procédures que Combofix est susceptible de lancer ne fonctionneront qu'à la condition que la console de récupération(Sous Xp) soit installée

C'est pourquoi il vous est vivement conseillé d' installer d'abord la Console de Récupération sur le pc .

Cela permettra de réparer le système au cas ou le pc ne redémarrerait plus suite à la désinfection.

* Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:

cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau:

Ne modifiez pas le nom du fichier

Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2

* Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe

* Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.

Après installation,vous devriez voir ce message:

The Recovery Console was successfully installed.

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs ,Teatimer de Spybot car ils pourraient perturber le fonctionnement de cet outil

* Pour cela, faites un clic droit sur l'icône de l'antivirus en bas à droite à côté de l'horloge puis Disable Guard ou Shield ou Résident...

Pour éviter leur réactivation après un redémarrage, décochez les dans les options de démarrage ->Msconfig

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

Connecter tous les disques amovibles (disque dur externe, clé USB…).

*Double cliquer sur combofix.exe ou votrenom .exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

* Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, Vista par exemple, combofix ne se lançait pas,

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

* Le scan pourrait prendre un certain temps:

Patientez au moins 30 minutes pendant l'analyse. Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

* Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

le 13 septembre 2009

Bonjour Pear,

J'ai téléchargé et lançé Combofix ainsi que la console.

Voici le log :

ComboFix 09-09-12.A0 - Propriétaire 13/09/2009 16:37.1.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.607.411 [GMT 2:00]

Lancé depuis: c:\documents and settings\Propriétaire\Mes_documents\Mes outils\combofix\45378-CF.exe

AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

* Un nouveau point de restauration a été créé

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\recycler\S-1-5-21-1454471165-746137067-854245398-1004

c:\recycler\S-1-5-21-2745678790-3134616843-1333191943-1005

c:\windows\system32\drivers\kbiwkmafvkylqj.sys

c:\windows\system32\kbiwkmnowmexus.dat

c:\windows\system32\kbiwkmpuxxrlxb.dll

c:\windows\system32\kbiwkmthowbcrc.dat

c:\windows\system32\kbiwkmtsvnksie.dll

c:\windows\system32\kbiwkmtumbpxpv.dll

c:\windows\system32\setup.ini

c:\windows\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job

c:\windows\Tasks\{783AF354-B514-42d6-970E-3E8BF0A5279C}.job

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Service_kbiwkmnkedxnxt

-------\Legacy_kbiwkmnkedxnxt

((((((((((((((((((((((((((((( Fichiers créés du 2009-08-13 au 2009-09-13 ))))))))))))))))))))))))))))))))))))

.

2009-09-12 20:30 . 2009-09-12 20:30 -------- d-----r- c:\documents and settings\LocalService\Favoris

2009-09-11 20:23 . 2009-07-28 14:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2009-09-11 20:23 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys

2009-09-11 20:23 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys

2009-09-11 20:23 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys

2009-09-11 20:23 . 2009-09-11 20:23 -------- d-----w- c:\program files\Avira

2009-09-11 20:23 . 2009-09-11 20:23 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira

2009-08-18 04:47 . 2009-08-18 04:47 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-09-12 23:39 . 2009-08-12 18:18 -------- d-----w- c:\program files\TubeMaster++

2009-09-11 19:54 . 2006-08-20 20:15 -------- d-----w- c:\program files\Fichiers communs\Network Associates

2009-09-11 19:54 . 2006-08-26 14:17 -------- d-----w- c:\documents and settings\All Users\Application Data\Network Associates

2009-09-11 19:12 . 2009-06-19 21:19 -------- d-----w- c:\program files\SyncBack.3.2.19.0

2009-08-12 18:25 . 2009-02-28 18:45 -------- d-----w- c:\program files\Java

2009-08-12 18:20 . 2009-08-12 18:20 -------- d-----w- c:\program files\WinPcap

2009-08-07 16:06 . 2008-01-29 20:49 2068 ----a-w- c:\windows\system32\d3d9caps.dat

2009-07-19 23:54 . 2009-06-21 19:48 -------- d-----w- c:\program files\Mesh

2009-07-15 21:50 . 2009-07-15 21:49 -------- dc-h--w- c:\documents and settings\All Users\Application Data\{EF63305C-BAD7-4144-9208-D65528260864}

2009-07-15 21:46 . 2009-06-15 05:24 -------- d-----w- c:\program files\lavasoft

2009-07-03 14:49 . 2009-07-15 21:54 64160 ----a-w- c:\windows\system32\drivers\Lbd.sys

2009-07-03 14:49 . 2009-07-16 05:41 15688 ----a-w- c:\windows\system32\lsdelete.exe

2009-06-21 19:51 . 2009-04-04 16:30 19392 ----a-w- c:\windows\system32\drivers\rdpvmp.sys

2009-06-21 19:51 . 2009-04-04 16:30 15696 ----a-w- c:\windows\system32\rdpvdd.dll

2009-06-21 19:51 . 2009-04-04 16:30 9040 ----a-w- c:\windows\system32\drivers\rdpdispm.sys

2009-06-21 19:51 . 2009-04-04 16:30 118720 ----a-w- c:\windows\system32\rdpdispd.dll

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSConfig"="c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-19 160768]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\Propri‚taire\Menu D‚marrer\Programmes\D‚marrage\

Mozilla Firefox.lnk - c:\program files\Mozilla Firefox\firefox.exe [2009-8-5 908280]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wlcrdplauncher]

2009-07-08 19:38 21840 ----a-w- c:\program files\Live Mesh\Remote Desktop\wlcrdplauncher.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"Spooler"=2 (0x2)

"gusvc"=3 (0x3)

"InCDsrv"=2 (0x2)

"aspnet_state"=3 (0x3)

"wuauserv"=2 (0x2)

"SCardSvr"=3 (0x3)

"wscsvc"=2 (0x2)

"wlcrasvc"=2 (0x2)

"JavaQuickStarterService"=2 (0x2)

"rpcapd"=3 (0x3)

"Lavasoft Ad-Aware Service"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\Documents and Settings\\Propriétaire\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.exe"=

"c:\\Program Files\\Microsoft ActiveSync\\WCESCOMM.EXE"=

"c:\\Documents and Settings\\Propriétaire\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.dll"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [15/07/2009 23:54 64160]

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [11/09/2009 22:23 108289]

R2 MTC0002_stdhk;HotKey Function Driver;c:\windows\system32\stdhk.SYS [24/08/2006 23:31 12885]

R3 RDPDISPM;RDPDISPM;c:\windows\system32\drivers\rdpdispm.sys [04/04/2009 18:30 9040]

R3 RDPVDD;RDPVDD;c:\windows\system32\drivers\rdpvmp.sys [04/04/2009 18:30 19392]

S2 STDHK;STDHK;\??\c:\documents and settings\Propriétaire\STDHK.sys --> c:\documents and settings\Propriétaire\STDHK.sys [?]

S3 NaiAvFilter101;NAI Anti Virus;\Device\NaiAvFilter101.sys --> \Device\NaiAvFilter101.sys [?]

S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [06/11/2007 22:22 34064]

S4 AlerterALG;Avertissement AlerterALG;c:\windows\TEMP\uxkwegpqhi.exe service --> c:\windows\TEMP\uxkwegpqhi.exe service [?]

S4 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\lavasoft\Ad-Aware\AAWService.exe [03/07/2009 16:49 1029456]

S4 wlcrasvc;Live Mesh Remote Desktop;c:\program files\Live Mesh\Remote Desktop\wlcrasvc.exe [21/06/2009 21:52 44880]

.

Contenu du dossier 'Tâches planifiées'

2009-09-09 c:\windows\Tasks\Ad-Aware Update (Weekly).job

- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-07-03 14:49]

2009-08-18 c:\windows\Tasks\{118B7824-17AF-46BD-A0C5-B2996B186A9C}_TEKNEO_Propriétaire.job

- c:\windows\system32\mobsync.exe [2001-08-28 14:09]

2009-09-11 c:\windows\Tasks\{3EB3DE35-920F-42BF-997E-92027CD8E208}_TEKNEO_Propriétaire.job

- c:\windows\system32\mobsync.exe [2001-08-28 14:09]

2009-09-11 c:\windows\Tasks\{A3AD12A0-821E-4CD2-BFE0-43069DCDCEF8}_TEKNEO_Propriétaire.job

- c:\windows\system32\mobsync.exe [2001-08-28 14:09]

.

------- Examen supplémentaire -------

.

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

uInternet Settings,ProxyServer = localhost:80

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

TCP: {0C884A5F-6145-4A8C-A6F1-D1184F657D00} = 194.117.200.10,194.117.200.15

DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab

DPF: {C9386579-3C0F-4713-82C6-5BA8088C7C8D} - hxxps://secure.shared.live.com/Pa6vGqB728AxD-ckvrPc0A/etc/Microsoft.Live.Folders.RichUpload.cab

DPF: {EFD3EA56-234D-4240-90EA-CC9FA3AF5A01} - hxxp://motive.club-internet.fr:2112/lwp/static/installers/WebflowActiveXInstaller_4-0-0.cab

FF - ProfilePath - c:\documents and settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\dv484rgc.default\

FF - prefs.js: browser.search.selectedEngine - Portail Lexical - CNRTL

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr|http://www.ebay.fr|http://www.boursorama.fr

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-09-13 17:08

Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès

Fichiers cachés: 0

**************************************************************************

.

Heure de fin: 2009-09-13 17:12

ComboFix-quarantined-files.txt 2009-09-13 15:12

Avant-CF: 8 817 901 568 octets libres

Après-CF: 9 932 914 688 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn

153

Je relance antivir dans la foulée.

pear · le 14 septembre 2009

Je relance antivir dans la foulée.

J'en attends le rapport.

le 14 septembre 2009

Bonsoir Pear,

Je m'y suis pris a plusieurs fois. Voici donc 2 rapports :

Avira AntiVir Personal

Date de création du fichier de rapport : dimanche 13 septembre 2009 17:33

La recherche porte sur 1706803 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus

Numéro de série : 0000149996-ADJIE-0000001

Plateforme : Windows XP

Version de Windows : (Service Pack 2) [5.1.2600]

Mode Boot : Démarré normalement

Identifiant : SYSTEM

Nom de l'ordinateur : TEKNEO

Informations de version :

BUILD.DAT : 9.0.0.67 17958 Bytes 04/08/2009 14:47:00

AVSCAN.EXE : 9.0.3.7 466689 Bytes 21/07/2009 12:35:43

AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02

LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11

LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31

ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36

ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24/06/2009 08:21:42

ANTIVIR2.VDF : 7.1.5.201 3414528 Bytes 03/09/2009 20:28:51

ANTIVIR3.VDF : 7.1.5.236 347136 Bytes 11/09/2009 20:28:51

Version du moteur : 8.2.1.14

AEVDF.DLL : 8.1.1.1 106868 Bytes 28/07/2009 12:17:15

AESCRIPT.DLL : 8.1.2.31 475513 Bytes 11/09/2009 20:28:56

AESCN.DLL : 8.1.2.5 127346 Bytes 11/09/2009 20:28:55

AERDL.DLL : 8.1.2.4 430452 Bytes 23/07/2009 08:59:39

AEPACK.DLL : 8.1.3.18 401783 Bytes 28/07/2009 12:17:14

AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23/07/2009 08:59:39

AEHEUR.DLL : 8.1.0.155 1921400 Bytes 11/09/2009 20:28:55

AEHELP.DLL : 8.1.7.0 237940 Bytes 11/09/2009 20:28:53

AEGEN.DLL : 8.1.1.62 364916 Bytes 11/09/2009 20:28:52

AEEMU.DLL : 8.1.0.9 393588 Bytes 09/10/2008 13:32:40

AECORE.DLL : 8.1.7.8 184692 Bytes 11/09/2009 20:28:52

AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40

AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30

AVPREF.DLL : 9.0.0.1 43777 Bytes 03/12/2008 10:39:26

AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28

AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42

AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22

AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37

SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49

SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57

NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59

RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:44:26

RCTEXT.DLL : 9.0.37.0 88321 Bytes 15/04/2009 09:07:05

Configuration pour la recherche actuelle :

Nom de la tâche...............................: Contrôle intégral du système

Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp

Documentation.................................: bas

Action principale.............................: interactif

Action secondaire.............................: ignorer

Recherche sur les secteurs d'amorçage maître..: marche

Recherche sur les secteurs d'amorçage.........: marche

Secteurs d'amorçage...........................: C:,

Recherche dans les programmes actifs..........: marche

Recherche en cours sur l'enregistrement.......: marche

Recherche de Rootkits.........................: marche

Contrôle d'intégrité de fichiers système......: arrêt

Fichier mode de recherche.....................: Tous les fichiers

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: moyen

Début de la recherche : dimanche 13 septembre 2009 17:33

La recherche d'objets cachés commence.

'35052' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'notepad.exe' - '1' module(s) sont contrôlés

Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés

Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés

Processus de recherche 'services.exe' - '1' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

'22' processus ont été contrôlés avec '22' modules

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :

Le registre a été contrôlé ( '49' fichiers).

La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <Disque local>

C:\hiberfil.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

[REMARQUE] Ce fichier est un fichier système Windows.

[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

C:\pagefile.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

[REMARQUE] Ce fichier est un fichier système Windows.

[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

C:\Qoobox\Quarantine\C\WINDOWS\system32\kbiwkmpuxxrlxb.dll.vir

[RESULTAT] Contient le cheval de Troie TR/TDss.WQ.2

C:\Qoobox\Quarantine\C\WINDOWS\system32\kbiwkmtumbpxpv.dll.vir

[RESULTAT] Contient le cheval de Troie TR/TDss.WQ.1

C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\kbiwkmafvkylqj.sys.vir

[RESULTAT] Contient le cheval de Troie TR/PCK.Tdss.Z.371

C:\System Volume Information\_restore{FA869D33-2019-4970-A2A7-582E8E52AE03}\RP153\A0141385.sys

[RESULTAT] Contient le cheval de Troie TR/PCK.Tdss.Z.371

C:\System Volume Information\_restore{FA869D33-2019-4970-A2A7-582E8E52AE03}\RP153\A0141386.dll

[RESULTAT] Contient le cheval de Troie TR/TDss.WQ.1

C:\System Volume Information\_restore{FA869D33-2019-4970-A2A7-582E8E52AE03}\RP153\A0141387.dll

[RESULTAT] Contient le cheval de Troie TR/TDss.WQ.2

Début de la désinfection :

C:\Qoobox\Quarantine\C\WINDOWS\system32\kbiwkmpuxxrlxb.dll.vir

[RESULTAT] Contient le cheval de Troie TR/TDss.WQ.2

[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004

[AVERTISSEMENT] Impossible de trouver le fichier source.

[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.

[AVERTISSEMENT] Erreur dans la bibliothèque ARK

C:\Qoobox\Quarantine\C\WINDOWS\system32\kbiwkmtumbpxpv.dll.vir

[RESULTAT] Contient le cheval de Troie TR/TDss.WQ.1

[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004

[AVERTISSEMENT] Impossible de trouver le fichier source.

[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.

[AVERTISSEMENT] Erreur dans la bibliothèque ARK

C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\kbiwkmafvkylqj.sys.vir

[RESULTAT] Contient le cheval de Troie TR/PCK.Tdss.Z.371

[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004

[AVERTISSEMENT] Impossible de trouver le fichier source.

[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.

[AVERTISSEMENT] Erreur dans la bibliothèque ARK

C:\System Volume Information\_restore{FA869D33-2019-4970-A2A7-582E8E52AE03}\RP153\A0141385.sys

[RESULTAT] Contient le cheval de Troie TR/PCK.Tdss.Z.371

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ade1ef5.qua' !

C:\System Volume Information\_restore{FA869D33-2019-4970-A2A7-582E8E52AE03}\RP153\A0141386.dll

[RESULTAT] Contient le cheval de Troie TR/TDss.WQ.1

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b4ac99e.qua' !

C:\System Volume Information\_restore{FA869D33-2019-4970-A2A7-582E8E52AE03}\RP153\A0141387.dll

[RESULTAT] Contient le cheval de Troie TR/TDss.WQ.2

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ade1ef6.qua' !

Fin de la recherche : dimanche 13 septembre 2009 18:33

Temps nécessaire: 54:14 Minute(s)

La recherche a été effectuée intégralement

3585 Les répertoires ont été contrôlés

143574 Des fichiers ont été contrôlés

6 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

3 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

2 Impossible de contrôler des fichiers

143566 Fichiers non infectés

933 Les archives ont été contrôlées

5 Avertissements

8 Consignes

35052 Des objets ont été contrôlés lors du Rootkitscan

0 Des objets cachés ont été trouvés

=============================================================

J'ai supprimé les .VIR (pdt le scan d'antivir) qui avaient été renommés par Combofix.

Les 3 nvx virus ont été effacé de la quarantaine d'antivir, ce dernier avait réussi à les déplacer.

Je suppose qu'ils ont été généré lors du travail de Combofix, car j'avais désactivé Antivir ainsi que le pare feux Windows, comme préconisé.

=============================================================

Rapport du dernier scan :

Avira AntiVir Personal

Date de création du fichier de rapport : lundi 14 septembre 2009 22:30

La recherche porte sur 1710547 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus

Numéro de série : 0000149996-ADJIE-0000001

Plateforme : Windows XP

Version de Windows : (Service Pack 2) [5.1.2600]

Mode Boot : Démarré normalement

Identifiant : SYSTEM

Nom de l'ordinateur : TEKNEO

Informations de version :

BUILD.DAT : 9.0.0.67 17958 Bytes 04/08/2009 14:47:00

AVSCAN.EXE : 9.0.3.7 466689 Bytes 21/07/2009 12:35:43

AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02

LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11

LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31

ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36

ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24/06/2009 08:21:42

ANTIVIR2.VDF : 7.1.5.201 3414528 Bytes 03/09/2009 20:28:51

ANTIVIR3.VDF : 7.1.5.242 394240 Bytes 14/09/2009 20:28:51

Version du moteur : 8.2.1.14

AEVDF.DLL : 8.1.1.1 106868 Bytes 28/07/2009 12:17:15

AESCRIPT.DLL : 8.1.2.31 475513 Bytes 11/09/2009 20:28:56

AESCN.DLL : 8.1.2.5 127346 Bytes 11/09/2009 20:28:55

AERDL.DLL : 8.1.2.4 430452 Bytes 23/07/2009 08:59:39

AEPACK.DLL : 8.1.3.18 401783 Bytes 28/07/2009 12:17:14

AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23/07/2009 08:59:39

AEHEUR.DLL : 8.1.0.155 1921400 Bytes 11/09/2009 20:28:55

AEHELP.DLL : 8.1.7.0 237940 Bytes 11/09/2009 20:28:53

AEGEN.DLL : 8.1.1.62 364916 Bytes 11/09/2009 20:28:52

AEEMU.DLL : 8.1.0.9 393588 Bytes 09/10/2008 13:32:40

AECORE.DLL : 8.1.7.8 184692 Bytes 11/09/2009 20:28:52

AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40

AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30

AVPREF.DLL : 9.0.0.1 43777 Bytes 03/12/2008 10:39:26

AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28

AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42

AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22

AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37

SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49

SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57

NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59

RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:44:26

RCTEXT.DLL : 9.0.37.0 88321 Bytes 15/04/2009 09:07:05

Configuration pour la recherche actuelle :

Nom de la tâche...............................: Contrôle intégral du système

Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp

Documentation.................................: bas

Action principale.............................: interactif

Action secondaire.............................: ignorer

Recherche sur les secteurs d'amorçage maître..: marche

Recherche sur les secteurs d'amorçage.........: marche

Secteurs d'amorçage...........................: C:,

Recherche dans les programmes actifs..........: marche

Recherche en cours sur l'enregistrement.......: marche

Recherche de Rootkits.........................: marche

Contrôle d'intégrité de fichiers système......: arrêt

Fichier mode de recherche.....................: Tous les fichiers

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: moyen

Début de la recherche : lundi 14 septembre 2009 22:30

La recherche d'objets cachés commence.

'31252' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'taskmgr.exe' - '1' module(s) sont contrôlés

Processus de recherche 'WINWORD.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'OUTLOOK.EXE' - '1' module(s) sont contrôlés