[Résolu] Virus TR/Dldr.Agent.dfhk

[Thanos]

re!

 

On va vacciner les supports à l'aide d'USBFix =>

 

Relance le programme puis utilise l'Option (vaccination)

Ensuite lance l' option 5 ( Désinstaller ) ....

 

Passe par le Menu Démarrer > Exécuter ( pour cela utilise la combinaison de touches [Touche Windows]+[R]) > et copie/colle ceci >

 

ComboFix /uninstall (il y a un espace entre x et / si tu recopies la commande manuellement)

 

Une fenêtre va s'ouvrir et ComboFix sera désinstallé de ton pc et la restauration système sera purgée.

A ce stade, le ou les virus ont été effacés?

Normalement oui, mais on va faire un dernier scan pour terminer =>

 

 

Branche tous les supports amovibles que tu possèdes avant de faire ce scan (clé usb/disque dur externe etc)

• Double clique sur le fichier Malwarebytes' Anti-Malware.exe pour lancer le programme.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complêt"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

Relance RSIT et poste le rapport.

 

Après ca on en aura fini

[Djé11]

Génial, je fais le scan ce soir après le boulot et je te dis si c'est bon.

 

Merci mille fois pour ton aide et le temps consacré.

[Djé11]

Bonsoir,

 

Après un loooooong scan, voici le résultat avec MBAM :

 

Malwarebytes' Anti-Malware 1.45

www.malwarebytes.org

 

Version de la base de données: 4043

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 6.0.2900.5512

 

27/04/2010 21:31:54

mbam-log-2010-04-27 (21-31-54).txt

 

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)

Elément(s) analysé(s): 514829

Temps écoulé: 1 heure(s), 54 minute(s), 15 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a2ba40a0-74f1-52bd-f411-00b15a2c8953} (Trojan.Ertfor) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

 

 

et le rapport RSIT :

 

Logfile of random's system information tool 1.06 (written by random/random)

Run by djé at 2010-04-27 21:35:25

Microsoft Windows XP Professionnel Service Pack 3

System drive C: has 103 GB (68%) free of 150 GB

Total RAM: 2047 MB (24% free)

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:35:29, on 27/04/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\system32\devldr32.exe

C:\Program Files\a-squared Free\a2service.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Java\jre1.6.0_03\bin\jucheck.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Documents and Settings\djé\Bureau\RSIT.exe

C:\Program Files\Trend Micro\HijackThis\djé.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask .exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"

O4 - HKCU\..\Run: [startCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe" -automount

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - StarWind Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

 

--

End of file - 5432 bytes

 

======Registry dump======

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe [2010-04-04 36272]

"Adobe ARM"=C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe [2010-03-24 952768]

"QuickTime Task"=C:\Program Files\QuickTime\qttask .exe -atboottime []

"SunJavaUpdateSched"=C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe [2007-09-25 132496]

"avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

"UnlockerAssistant"=C:\Program Files\Unlocker\UnlockerAssistant.exe [2010-03-09 15872]

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"StartCCC"=C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [2006-11-10 90112]

"AlcoholAutomount"=C:\Program Files\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe [2009-11-15 33120]

"MSMSGS"=C:\Program Files\Messenger\msmsgs.exe [2008-04-13 1695232]

 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage

Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]

C:\WINDOWS\system32\Ati2evxx.dll [2007-03-15 114688]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]

C:\WINDOWS\system32\WgaLogon.dll [2009-03-10 265088]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"dontdisplaylastusername"=0

"legalnoticecaption"=

"legalnoticetext"=

"shutdownwithoutlogon"=1

"undockwithoutlogon"=1

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"NoDriveTypeAutoRun"=323

"NoDriveAutoRun"=67108863

"NoDrives"=0

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"HonorAutoRunSetting"=

"NoDriveAutoRun"=

"NoDriveTypeAutoRun"=

"NoDrives"=

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\Program Files\HomePlayer\HomePlayer.exe"="C:\Program Files\HomePlayer\HomePlayer.exe:*:Enabled:HomePlayer"

"C:\Program Files\HomePlayer\VLC\vlc.exe"="C:\Program Files\HomePlayer\VLC\vlc.exe:*:Enabled:VLC HomePlayer"

"E:\Program Files\Graphisoft\ArchiCAD 12\ArchiCAD.exe"="E:\Program Files\Graphisoft\ArchiCAD 12\ArchiCAD.exe:*:Enabled:ArchiCAD 12.0.0 Component"

"C:\Program Files\ArchiCAD 12\ArchiCAD.exe"="C:\Program Files\ArchiCAD 12\ArchiCAD.exe:*:Enabled:ArchiCAD 12.0.0 Component"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe:*:Enabled:hpqtra08.exe"

"C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe:*:Enabled:hpqste08.exe"

"C:\Program Files\HP\Digital Imaging\bin\hposid01.exe"="C:\Program Files\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe"

"C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"

"C:\Program Files\HP\Digital Imaging\bin\hpiscnapp.exe"="C:\Program Files\HP\Digital Imaging\bin\hpiscnapp.exe:*:Enabled:hpiscnapp.exe"

"C:\Program Files\HP\Digital Imaging\bin\hpqpsapp.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqpsapp.exe:*:Enabled:hpqpsapp.exe"

"C:\Program Files\HP\Digital Imaging\bin\hpqcopy2.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqcopy2.exe:*:Enabled:hpqcopy2.exe"

"C:\Program Files\HP\Digital Imaging\bin\hpqpse.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqpse.exe:*:Enabled:hpqpse.exe"

"C:\Program Files\HP\Digital Imaging\bin\hpqsudi.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqsudi.exe:*:Enabled:hpqsudi.exe"

"C:\Program Files\HP\Digital Imaging\bin\hpqgplgtupl.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqgplgtupl.exe:*:Enabled:hpqgplgtupl.exe"

"C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe:*:Enabled:hpqgpc01.exe"

 

======List of files/folders created in the last 1 months======

 

2010-04-27 19:21:19 ----RASHD---- C:\autorun.inf

2010-04-27 19:21:17 ----A---- C:\UsbFix.txt

2010-04-26 23:48:59 ----D---- C:\UsbFix

2010-04-26 22:33:51 ----D---- C:\WINDOWS\temp

2010-04-26 22:33:50 ----A---- C:\ComboFix.txt

2010-04-26 18:44:25 ----A---- C:\Boot.bak

2010-04-26 18:44:18 ----RASHD---- C:\cmdcons

2010-04-26 18:43:14 ----D---- C:\WINDOWS\ERDNT

2010-04-26 18:43:13 ----D---- C:\djé11

2010-04-25 10:22:02 ----D---- C:\!KillBox

2010-04-25 09:58:40 ----D---- C:\Program Files\Unlocker

2010-04-25 00:19:40 ----HDC---- C:\WINDOWS\$NtUninstallKB970430$

2010-04-25 00:19:25 ----HDC---- C:\WINDOWS\$NtUninstallKB961118$

2010-04-25 00:19:11 ----A---- C:\WINDOWS\imsins.BAK

2010-04-25 00:19:08 ----HDC---- C:\WINDOWS\$NtUninstallKB971737$

2010-04-24 23:40:05 ----A---- C:\WINDOWS\ntbtlog.txt

2010-04-24 23:26:18 ----D---- C:\Program Files\CCleaner

2010-04-24 22:09:43 ----D---- C:\Program Files\a-squared Free

2010-04-24 08:56:50 ----D---- C:\rsit

2010-04-24 00:14:44 ----D---- C:\WINDOWS\system32\XPSViewer

2010-04-24 00:14:41 ----D---- C:\Program Files\MSBuild

2010-04-24 00:14:40 ----D---- C:\WINDOWS\system32\en-US

2010-04-24 00:14:37 ----D---- C:\Program Files\Reference Assemblies

2010-04-24 00:14:18 ----N---- C:\WINDOWS\system32\xpsshhdr.dll

2010-04-24 00:14:18 ----N---- C:\WINDOWS\system32\prntvpt.dll

2010-04-24 00:14:17 ----N---- C:\WINDOWS\system32\xpssvcs.dll

2010-04-23 23:23:31 ----D---- C:\Documents and Settings\All Users\Application Data\Windows Genuine Advantage

2010-04-23 22:49:08 ----A---- C:\WINDOWS\system32\wmpns.dll

2010-04-23 22:25:10 ----D---- C:\Program Files\Sophos

2010-04-23 22:15:25 ----D---- C:\Program Files\ZHPDiag

2010-04-23 19:23:09 ----D---- C:\Program Files\Spyware Doctor

2010-04-23 19:22:35 ----AD---- C:\Documents and Settings\All Users\Application Data\TEMP

2010-04-23 19:18:46 ----D---- C:\Program Files\Avira

2010-04-23 19:18:46 ----D---- C:\Documents and Settings\All Users\Application Data\Avira

2010-04-23 09:02:26 ----N---- C:\WINDOWS\system32\browserchoice.exe

2010-04-23 00:16:22 ----D---- C:\WINDOWS\system32\PreInstall

2010-04-23 00:16:22 ----A---- C:\WINDOWS\system32\spupdsvc.exe

2010-04-23 00:16:04 ----N---- C:\WINDOWS\system32\spmsg.dll

2010-04-23 00:16:03 ----HD---- C:\WINDOWS\$hf_mig$

2010-04-21 12:43:12 ----D---- C:\Program Files\Alwil Software

2010-04-21 12:43:12 ----D---- C:\Documents and Settings\All Users\Application Data\Alwil Software

2010-04-21 12:12:14 ----D---- C:\WINDOWS\system32\appmgmt

2010-04-21 12:11:46 ----D---- C:\WINDOWS\system32\SoftwareDistribution

2010-04-21 11:57:06 ----D---- C:\Program Files\Malwarebytes' Anti-Malware

2010-04-21 11:48:55 ----D---- C:\Program Files\Trend Micro

2010-04-21 10:53:25 ----A---- C:\WINDOWS\wininit.ini

2010-04-21 00:02:28 ----A---- C:\WINDOWS\lsrslt.ini

2010-04-20 22:43:13 ----A---- C:\tujserrew.bat

2010-04-20 22:39:41 ----D---- C:\Program Files\eMule

2010-04-20 22:36:05 ----D---- C:\WINDOWS\Sun

2010-04-20 22:34:38 ----D---- C:\Program Files\Autopano Pro

2010-04-12 18:54:07 ----D---- C:\Program Files\ArchiCAD 12

2010-04-12 18:52:35 ----D---- C:\Documents and Settings\djé\Application Data\Graphisoft

2010-04-12 18:50:32 ----A---- C:\WINDOWS\system32\javaws.exe

2010-04-12 18:50:32 ----A---- C:\WINDOWS\system32\javaw.exe

2010-04-12 18:50:32 ----A---- C:\WINDOWS\system32\java.exe

2010-04-12 18:50:07 ----D---- C:\Program Files\Java

2010-04-12 18:50:05 ----D---- C:\Program Files\Fichiers communs\Java

2010-04-12 18:49:38 ----D---- C:\Documents and Settings\djé\Application Data\Sun

2010-04-10 12:13:52 ----D---- C:\Documents and Settings\djé\Application Data\FileZilla

2010-04-06 23:21:06 ----D---- C:\Program Files\Canon

2010-04-06 23:20:38 ----D---- C:\Program Files\Fichiers communs\Canon

 

======List of files/folders modified in the last 1 months======

 

2010-04-27 21:33:18 ----D---- C:\WINDOWS\Prefetch

2010-04-27 19:22:27 ----D---- C:\WINDOWS

2010-04-27 19:22:20 ----SHD---- C:\System Volume Information

2010-04-27 19:22:17 ----D---- C:\WINDOWS\system32\CatRoot2

2010-04-27 07:33:59 ----D---- C:\Program Files\Mozilla Firefox

2010-04-27 00:04:21 ----A---- C:\WINDOWS\SchedLgU.Txt

2010-04-26 22:33:52 ----D---- C:\WINDOWS\system32\drivers

2010-04-26 22:30:57 ----A---- C:\WINDOWS\system.ini

2010-04-26 22:29:44 ----D---- C:\WINDOWS\system32\config

2010-04-26 22:28:28 ----D---- C:\WINDOWS\system32

2010-04-26 22:28:28 ----D---- C:\WINDOWS\AppPatch

2010-04-26 22:28:25 ----D---- C:\Program Files\Fichiers communs

2010-04-26 22:26:34 ----D---- C:\Program Files\QuickTime

2010-04-26 19:01:02 ----SD---- C:\WINDOWS\Tasks

2010-04-26 18:57:08 ----RD---- C:\Program Files

2010-04-26 18:53:25 ----D---- C:\WINDOWS\system32\Restore

2010-04-26 18:44:25 ----RASH---- C:\boot.ini

2010-04-25 08:13:43 ----D---- C:\WINDOWS\Microsoft.NET

2010-04-25 08:13:37 ----RSD---- C:\WINDOWS\assembly

2010-04-25 08:07:37 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI

2010-04-25 08:06:25 ----HD---- C:\WINDOWS\inf

2010-04-25 00:21:33 ----SHD---- C:\WINDOWS\Installer

2010-04-25 00:21:33 ----D---- C:\Config.Msi

2010-04-25 00:21:04 ----D---- C:\WINDOWS\WinSxS

2010-04-25 00:19:43 ----RSHDC---- C:\WINDOWS\system32\dllcache

2010-04-25 00:19:36 ----D---- C:\WINDOWS\system32\CatRoot

2010-04-24 23:28:23 ----D---- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2010-04-24 23:28:11 ----D---- C:\WINDOWS\Minidump

2010-04-24 23:28:11 ----D---- C:\WINDOWS\Debug

2010-04-24 00:14:39 ----RSD---- C:\WINDOWS\Fonts

2010-04-24 00:14:26 ----D---- C:\WINDOWS\system32\spool

2010-04-24 00:12:55 ----D---- C:\WINDOWS\system32\mui

2010-04-24 00:12:55 ----D---- C:\Program Files\Internet Explorer

2010-04-23 22:52:26 ----D---- C:\Program Files\Messenger

2010-04-23 22:50:36 ----D---- C:\Program Files\Movie Maker

2010-04-23 22:49:19 ----D---- C:\Program Files\Outlook Express

2010-04-23 19:30:40 ----D---- C:\Documents and Settings

2010-04-23 08:58:50 ----D---- C:\WINDOWS\system32\wbem

2010-04-22 09:13:51 ----D---- C:\WINDOWS\ShellNew

2010-04-21 12:16:22 ----DC---- C:\WINDOWS\system32\DRVSTORE

2010-04-21 12:16:03 ----D---- C:\WINDOWS\twain_32

2010-04-21 12:13:44 ----D---- C:\Documents and Settings\All Users\Application Data\HP

2010-04-21 12:12:24 ----D---- C:\Program Files\HP

2010-04-21 12:11:59 ----D---- C:\WINDOWS\SoftwareDistribution

2010-04-21 12:11:56 ----D---- C:\WINDOWS\Help

2010-04-21 12:07:22 ----D---- C:\WINDOWS\Registration

2010-04-11 11:43:26 ----D---- C:\Program Files\World of Warcraft

2010-04-10 12:14:14 ----D---- C:\Program Files\FileZilla FTP Client

 

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

 

R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys []

R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]

R1 intelppm;Pilote de processeur Intel; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40576]

R1 SAVRKBootTasks;Boot Tasks Driver; \??\C:\WINDOWS\system32\SAVRKBootTasks.sys []

R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2010-04-23 28520]

R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2010-04-23 56816]

R3 AtcL001;NDIS Miniport Driver for Atheros L1 Gigabit Ethernet Controller; C:\WINDOWS\system32\DRIVERS\l151x86.sys [2007-12-20 37376]

R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2007-03-15 1986560]

R3 ctljystk;Creative SBLive! Port de jeux; C:\WINDOWS\system32\DRIVERS\ctljystk.sys [2001-08-17 3712]

R3 emu10k;Creative SB Live! (WDM); C:\WINDOWS\system32\drivers\emu10k1m.sys [2001-08-17 283904]

R3 emu10k1;Pilote du Gestionnaire d'interface Creative (WDM); C:\WINDOWS\system32\drivers\ctlfacem.sys [2001-08-17 6912]

R3 HDAudBus;Pilote de bus Microsoft UAA pour High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-14 144384]

R3 sfman;Pilote du Gestionnaire SoundFont Creative (WDM); C:\WINDOWS\system32\drivers\sfmanm.sys [2001-08-17 36480]

R3 usbehci;Pilote miniport de contrôleur d'hôte amélioré Microsoft USB 2.0; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]

R3 usbhub;Concentrateur USB2; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]

R3 USBSTOR;Pilote de stockage de masse USB; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]

R3 usbuhci;Pilote miniport de contrôleur hôte universel USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]

S3 catchme;catchme; \??\C:\djé112114d\catchme.sys []

S3 epmntdrv;epmntdrv; \??\C:\WINDOWS\system32\epmntdrv.sys []

S3 EuGdiDrv;EuGdiDrv; \??\C:\WINDOWS\system32\EuGdiDrv.sys []

S3 HPZid412;IEEE-1284.4 Driver HPZid412; C:\WINDOWS\system32\DRIVERS\HPZid412.sys [2008-01-24 49920]

S3 HPZipr12;Print Class Driver for IEEE-1284.4 HPZipr12; C:\WINDOWS\system32\DRIVERS\HPZipr12.sys [2008-01-24 16496]

S3 HPZius12;USB to IEEE-1284.4 Translation Driver HPZius12; C:\WINDOWS\system32\DRIVERS\HPZius12.sys [2008-01-24 21568]

S3 usbccgp;Pilote parent générique USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]

S3 usbprint;Classe d'imprimantes USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]

S3 usbscan;Pilote de scanneur USB; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]

S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

 

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

 

R2 a2free;a-squared Free Service; C:\Program Files\a-squared Free\a2service.exe [2010-04-15 1872320]

R2 AntiVirSchedulerService;Avira AntiVir Planificateur; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2010-04-23 108289]

R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2010-04-23 185089]

R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2007-03-15 450560]

R2 Bonjour Service;##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##; C:\Program Files\Bonjour\mDNSResponder.exe [2006-02-28 229376]

R2 Net Driver HPZ12;Net Driver HPZ12; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]

R2 Pml Driver HPZ12;Pml Driver HPZ12; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]

R2 StarWindServiceAE;StarWind AE Service; C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe [2009-12-23 370688]

R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2005-01-28 38912]

S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2007-03-22 520192]

S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]

S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]

S3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [2010-01-18 654848]

S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]

S3 IDriverT;InstallDriver Table Manager; C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632]

S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]

S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

 

-----------------EOF-----------------

 

 

J'ai commencé à lire les posts sur les méthodes de protection, il faut que je fasse le tri parmi tout ce que j'ai installé pour essayer de me débarrasser du virus.

[Thanos]

salut

 

Ok le dernier rapport MBAM ne montre qu'un reste qu'il a supprimé.

On finit comme ceci =>

 

* Supprime les fichiers/dossiers suivants =>

 

C:\UsbFix.txt

C:\ComboFix.txt

C:\tujserrew.bat

 

C:\rsit

C:\UsbFix

C:\!KillBox

 

Les mises à jour >>

 

* Ces programmes ne sont plus à jour et il est important qu'ils le soient pour la sécurité du pc =>

 

Java™ 6 Update 3 sur ton pc. Désinstalle le programme. Mise à jour ici (v6 Update 20 )>> http://www.java.com/fr/download/

 

Mozilla Firefox (3.5.9) sur ton pc. La dernière en date est la 3.6.3.

Télécharge et installe la dernière depuis le site de l'éditeur >> http://www.mozilla-europe.org/fr/firefox/

 

Sur ce pc il y a la version 6.00 d'Internet Explorer: une vraie passoire pleine de failles de sécurité!! même si tu n'utilises pas IE, il arrive qu'on soit obligé de le lancer. Il est nécéssaire de passer à la version 8. Passe par Windows Update pour cela.

 

Comment fonctionne le pc ?

[Djé11]

Salut Thanos,

 

Voilà, j'ai fait toutes les mises à jour. Le PC fonctionne nickel, et grâce à toi, je n'ai pas eu à tout réinstaller. Un grand grand merci!

 

Dernière petite question, il semble que mon compte pour un jeu en ligne ait été piraté via un keylogger, l'as-tu vu dans les rapports? Est-il supprimé?

[Thanos]

Dernière petite question, il semble que mon compte pour un jeu en ligne ait été piraté via un keylogger, l'as-tu vu dans les rapports? Est-il supprimé?

de quel jeu s'agit il ? sinon, oui le rootkit TDSS a été supprimé

[Thanos]

ok j'imagine qu'il s'agit de WOW ? Tiens il en parlent sur leur forum =>

http://eu.blizzard.com/support/article.xml...articleId=37398

 

je vais te laisser quelques conseils de sécurité pour terminer:

 

* Le pare-feu intégré à Windows n'est pas efficace! il est important d'en installer un vrai pour protéger ton pc >>

 

Voila quelques liens pour des pare-feux gratuits

 

Zone Alarm (2 versions )

Lien de téléchargement de la version FREE : http://telechargement.zebulon.fr/zonealarm.html

Lien de téléchargement de la version PRO : http://www.zonelabs.com/store/content/cata...lid=dbtopnav_za

La version pro est payante après une période d'essai.

Tuto de Tesgaz pour la version pro : http://speedweb1.free.fr/frames2.php?page=tuto1

Tuto de Odsen pour la version free : http://benoit.aun.free.fr/securite-facile-php/zonealarm.php

 

Kerio

Lien de téléchargement : http://www.sunbelt-software.com/evaluation/440/kerio.exe

Tuto de Malekal_morte : http://www.malekal.com/kerio_firewall.html

 

Jetico

Lien de téléchargement éditeur : http://www.jetico.com/

Lien de téléchargement sur Zebulon (en fr) : http://telechargement.zebulon.fr/license-1-225.html

Tuto de Odsen : http://benoit.aun.free.fr/securite-facile-php/jetico.php

 

Outpost firewall free

Lien de téléchargement éditeur : http://www.agnitum.com/products/outpostfree/download.php

Tuto de Odsen (lien site) : http://securite-facile.ovh.org/outpost.php

 

La liste n'est pas exhaustive, il en existe d'autres gratuits, et d'autres avec plus de fonctions payants. Télécharge l'exécutable d'installation du pare-feu que tu auras choisi. Lance l'installation de ton pare-feu et suis les instructions supplémentaires s'il y en a. Aide toi des tutos.

 

Je te conseille Zone Alarme ou Kério en version gratuite pour commencer, tu pourras en changer par la suite pour un pare-feu plus élaboré quand tu auras le temps de t'y plonger. Un pare-feu bien configuré, est garant de la sécurité du pc et de ta tranquillité .

 

* Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités.

Tu peux utiliser ce programme qui aide à faire le point sur les logiciels qui ont besoin d'une mise à jour >>PSI de Secunia<<

 

JavaRa peut t'y aider pour Java : http://raproducts.org/

 

* Je te conseille vivement de faire des sauvegardes régulières des données qui ont de l'importance pour toi. Lorsqu'on y pense, il est souvent trop tard! Une grosse infection ou un plantage de la machine peuvent rendre les données irrécupérables... Aussi, afin d'éviter ce gros désagrément, il faut prendre l'habitude de faire des sauvegardes régulières. Pour celà je te conseille le logiciel gratuit >>Cobian Backup 8<<

Ce tutoriel montre comment l'utiliser >> http://www.astucesinternet.com/modules/new...php?storyid=207

 

Tu peux aussi faire une sauvegarde du disque entier (image) pour pouvoir retrouver rapidement ton système en cas de souci.

CloneGenius peut t'y aider => http://www.libellules.ch/dotclear/index.ph...196-clonegenius

 

Des conseils pour sécuriser ton pc au mieux et comprendre les dangers liés à l'utilisation de l'internet dans les deux lien ci-dessous. Je t'invite à prendre le temps de bien lire tout cela, de t'informer, d'essayer... Pour trouver quels sont les softs qui te conviennent le mieux.

 

Malekal_Morte : http://www.malekal.com/

Ipl_001 : http://IPL001.free.fr/IT/IT-AM0.html

 

Windows Update parfaitement à jour (catégorie critique, Services Pack et Services Release )

- pare-feu bien paramétré- antivirus bien paramétré et mis à jour régulièrement(quotidiennement s'il le faut) avec un scan complet régulier.

- IMPORTANT :une attitude prudente vis à vis de la navigation (pas de sites douteux:cracks, warez, etc) et vis à vis de la messagerie (fichiers joints aux messages doivent être scanné avant d'être ouvert ainsi que les fichiers téléchargés dont la provenance n'est pas sûre!!)

- une attitude vigilante (être l'affût de fonctionnements inhabituels de ton système)

- nettoyage hebdomadaire du système (suppression des fichiers inutiles avec ATF cleaner, defragmentation du disque dur régulière)

- scan hebdomadaire antispyware

***

 

Pense à changer le titre et y rajouter " Résolu" stp.

Sous ton premier message, clique sur le bouton "Editer" puis "Edition complête".

Là, tu aura la possibilité d'éditer ton titre et d'y ajouter [résolu]

 

bon surf @ toi

A bientot sur les forums de sans malwares!

[Djé11]

Oui, il s'agit de wow!

 

Pour la sauvegarde, j'utilisais le disque externe, et la faisait manuellement.

 

Merci pour tout, je vais installer le pare-feu et me protéger plus sérieusement dorénavant.

[Thanos]

ok! alors bon surf et soit prudent