clé usb avec trojan et peut-être ordi aussi

[lesmoldus]

ok pour Combo fix par contre tous les supports amovibles (2 clés) étaient branchés lors de l'analyse d'usbfix

[lesmoldus]

Pendant ce temps j'avais fait une analyse avec antivir il n'a rien trouvé à priori voir le rapport ci dessous. Par contre j'ai toujours des alertes automatiques par le guard toutes les minutes avec ces fameux trojans dans mes clés usb je me lance donc avec combofix...

 

 

 

Avira AntiVir Personal

Date de création du fichier de rapport : vendredi 28 mai 2010 18:28

 

La recherche porte sur 2169541 souches de virus.

 

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus

Numéro de série : 0000149996-ADJIE-0000001

Plateforme : Windows XP

Version de Windows : (Service Pack 2) [5.1.2600]

Mode Boot : Démarré normalement

Identifiant : Compaq_Propriétaire

Nom de l'ordinateur : FMN

 

Informations de version :

BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00

AVSCAN.EXE : 9.0.3.10 466689 Bytes 02/01/2010 19:27:35

AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 10:21:02

LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 11:35:11

LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 10:21:31

VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 19:27:32

VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 19:27:33

VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 21:12:26

VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 20:08:09

VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 20:27:26

VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 20:53:00

VBASE006.VDF : 7.10.6.83 2048 Bytes 15/04/2010 20:53:00

VBASE007.VDF : 7.10.6.84 2048 Bytes 15/04/2010 20:53:00

VBASE008.VDF : 7.10.6.85 2048 Bytes 15/04/2010 20:53:00

VBASE009.VDF : 7.10.6.86 2048 Bytes 15/04/2010 20:53:01

VBASE010.VDF : 7.10.6.87 2048 Bytes 15/04/2010 20:53:01

VBASE011.VDF : 7.10.6.88 2048 Bytes 15/04/2010 20:53:01

VBASE012.VDF : 7.10.6.89 2048 Bytes 15/04/2010 20:53:01

VBASE013.VDF : 7.10.6.90 2048 Bytes 15/04/2010 20:53:01

VBASE014.VDF : 7.10.6.123 126464 Bytes 19/04/2010 04:46:12

VBASE015.VDF : 7.10.6.152 123392 Bytes 21/04/2010 04:47:03

VBASE016.VDF : 7.10.6.178 122880 Bytes 22/04/2010 05:18:16

VBASE017.VDF : 7.10.6.206 120320 Bytes 26/04/2010 15:19:39

VBASE018.VDF : 7.10.6.232 99328 Bytes 28/04/2010 15:59:09

VBASE019.VDF : 7.10.7.2 155648 Bytes 30/04/2010 15:59:00

VBASE020.VDF : 7.10.7.26 119808 Bytes 04/05/2010 11:37:47

VBASE021.VDF : 7.10.7.51 118272 Bytes 06/05/2010 11:37:48

VBASE022.VDF : 7.10.7.75 404992 Bytes 10/05/2010 11:37:49

VBASE023.VDF : 7.10.7.100 125440 Bytes 13/05/2010 11:37:50

VBASE024.VDF : 7.10.7.119 177664 Bytes 17/05/2010 15:11:17

VBASE025.VDF : 7.10.7.139 129024 Bytes 19/05/2010 15:11:19

VBASE026.VDF : 7.10.7.157 145920 Bytes 21/05/2010 15:11:27

VBASE027.VDF : 7.10.7.173 147456 Bytes 25/05/2010 15:11:27

VBASE028.VDF : 7.10.7.189 120320 Bytes 27/05/2010 12:06:03

VBASE029.VDF : 7.10.7.190 2048 Bytes 27/05/2010 12:06:03

VBASE030.VDF : 7.10.7.191 2048 Bytes 27/05/2010 12:06:03

VBASE031.VDF : 7.10.7.194 36352 Bytes 28/05/2010 12:06:04

Version du moteur : 8.2.1.242

AEVDF.DLL : 8.1.2.0 106868 Bytes 24/04/2010 05:18:21

AESCRIPT.DLL : 8.1.3.29 1343866 Bytes 14/05/2010 11:38:01

AESCN.DLL : 8.1.6.1 127347 Bytes 14/05/2010 11:38:00

AESBX.DLL : 8.1.3.1 254324 Bytes 24/04/2010 05:18:21

AERDL.DLL : 8.1.4.6 541043 Bytes 15/04/2010 20:54:01

AEPACK.DLL : 8.2.1.1 426358 Bytes 19/03/2010 21:22:37

AEOFFICE.DLL : 8.1.1.0 201081 Bytes 14/05/2010 11:38:00

AEHEUR.DLL : 8.1.1.27 2670967 Bytes 14/05/2010 11:37:59

AEHELP.DLL : 8.1.11.3 242039 Bytes 01/04/2010 16:10:53

AEGEN.DLL : 8.1.3.9 377203 Bytes 14/05/2010 11:37:56

AEEMU.DLL : 8.1.2.0 393588 Bytes 24/04/2010 05:18:20

AECORE.DLL : 8.1.15.3 192886 Bytes 14/05/2010 11:37:55

AEBB.DLL : 8.1.1.0 53618 Bytes 24/04/2010 05:18:19

AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 08:47:30

AVPREF.DLL : 9.0.3.0 44289 Bytes 02/01/2010 19:27:35

AVREP.DLL : 8.0.0.7 159784 Bytes 17/02/2010 19:41:11

AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 15:24:42

AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 15:05:22

AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 10:36:37

SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 15:03:49

SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 08:20:57

NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 15:40:59

RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 02/01/2010 19:27:30

RCTEXT.DLL : 9.0.73.0 88321 Bytes 02/01/2010 19:27:30

 

Configuration pour la recherche actuelle :

Nom de la tâche...............................: Lecteurs locaux

Fichier de configuration......................: c:\program files\avira\antivir desktop\alldrives.avp

Documentation.................................: bas

Action principale.............................: interactif

Action secondaire.............................: ignorer

Recherche sur les secteurs d'amorçage maître..: marche

Recherche sur les secteurs d'amorçage.........: marche

Secteurs d'amorçage...........................: C:, D:, F:, G:, H:, I:, J:, K:, E:,

Recherche dans les programmes actifs..........: marche

Recherche en cours sur l'enregistrement.......: marche

Recherche de Rootkits.........................: arrêt

Contrôle d'intégrité de fichiers système......: arrêt

Fichier mode de recherche.....................: Tous les fichiers

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: élevé

Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+SPR,

 

Début de la recherche : vendredi 28 mai 2010 18:28

 

La recherche sur les processus démarrés commence :

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés

Processus de recherche 'hpqimzone.exe' - '1' module(s) sont contrôlés

Processus de recherche 'fsguidll.exe' - '1' module(s) sont contrôlés

Processus de recherche 'robotaskbaricon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'msmsgs.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'hpsysdrv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ALCXMNTR.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'kbd.exe' - '1' module(s) sont contrôlés

Processus de recherche 'FSM32.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'mbam.exe' - '1' module(s) sont contrôlés

Processus de recherche 'skypePM.exe' - '1' module(s) sont contrôlés

Processus de recherche 'zate.exe' - '1' module(s) sont contrôlés

Processus de recherche 'zate.exe' - '1' module(s) sont contrôlés

Processus de recherche 'soffice.bin' - '1' module(s) sont contrôlés

Processus de recherche 'soffice.exe' - '1' module(s) sont contrôlés

Processus de recherche 'fsguidll.exe' - '1' module(s) sont contrôlés

Processus de recherche 'DeezRip.exe' - '1' module(s) sont contrôlés

Processus de recherche 'deroodicu.exe' - '1' module(s) sont contrôlés

Processus de recherche 'robotaskbaricon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'Skype.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés

Processus de recherche '9Giga_Synchro.exe' - '1' module(s) sont contrôlés

Processus de recherche 'deroodicu.exe' - '1' module(s) sont contrôlés

Module OK -> 'C:\WINDOWS\system32\deroodicu.exe'

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'hpsysdrv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ALCXMNTR.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'kbd.exe' - '1' module(s) sont contrôlés

Processus de recherche 'FSM32.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés

Processus de recherche 'fsus.exe' - '1' module(s) sont contrôlés

Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'fsaua.exe' - '1' module(s) sont contrôlés

Processus de recherche 'CLSched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'fspc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'FAMEH32.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'FCH32.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'scsiaccess.exe' - '1' module(s) sont contrôlés

Processus de recherche 'NMSAccessU.exe' - '1' module(s) sont contrôlés

Processus de recherche 'FSMB32.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés

Processus de recherche 'FSMA32.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'DeezRipSvc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'CLMLServer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'CLCapSvc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'LVPrcSrv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés

Processus de recherche 'services.exe' - '1' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

'75' processus ont été contrôlés avec '75' modules

 

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD1

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD2

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD3

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD4

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD5

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD6

[iNFO] Aucun virus trouvé !

 

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'D:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'F:\'

[iNFO] Aucun support de données inséré dans le lecteur 'F:\' !

Secteur d'amorçage 'G:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'H:\'

[iNFO] Aucun support de données inséré dans le lecteur 'H:\' !

Secteur d'amorçage 'I:\'

[iNFO] Aucun support de données inséré dans le lecteur 'I:\' !

Secteur d'amorçage 'J:\'

[iNFO] Aucun support de données inséré dans le lecteur 'J:\' !

Secteur d'amorçage 'K:\'

[iNFO] Aucun virus trouvé !

 

La recherche sur les renvois aux fichiers exécutables (registre) commence :

Le registre a été contrôlé ( '71' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\' <PRESARIO>

C:\hiberfil.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

[REMARQUE] Ce fichier est un fichier système Windows.

[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

C:\pagefile.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

[REMARQUE] Ce fichier est un fichier système Windows.

[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

Recherche débutant dans 'D:\' <PRESARIO_RP>

Recherche débutant dans 'F:\'

Impossible d'ouvrir le chemin à contrôler F:\ !

Erreur système [21]: Le périphérique n'est pas prêt.

Recherche débutant dans 'G:\' <MARINONI>

Recherche débutant dans 'H:\'

Impossible d'ouvrir le chemin à contrôler H:\ !

Erreur système [21]: Le périphérique n'est pas prêt.

Recherche débutant dans 'I:\'

Impossible d'ouvrir le chemin à contrôler I:\ !

Erreur système [21]: Le périphérique n'est pas prêt.

Recherche débutant dans 'J:\'

Impossible d'ouvrir le chemin à contrôler J:\ !

Erreur système [21]: Le périphérique n'est pas prêt.

Recherche débutant dans 'K:\' <FABMARINONI>

Recherche débutant dans 'E:\'

Impossible d'ouvrir le chemin à contrôler E:\ !

Erreur système [21]: Le périphérique n'est pas prêt.

 

 

Fin de la recherche : vendredi 28 mai 2010 19:30

Temps nécessaire: 1:02:25 Heure(s)

 

La recherche a été effectuée intégralement

 

11704 Les répertoires ont été contrôlés

607300 Des fichiers ont été contrôlés

0 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

0 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

3 Impossible de contrôler des fichiers

607297 Fichiers non infectés

16081 Les archives ont été contrôlées

3 Avertissements

2 Consignes

Modifié le 28 mai 2010 par lesmoldus

[lesmoldus]

Voilà je viens de faire l'analyse avec combofix ci-joint le rapport j'ai constaté que certains fichiers avaient été supprimés surement ceux qui gênaient...

le guard d'antivir ne voit plus rien du tout pour bloquer l'accès depuis combofix, bonne nouvelle ?

 

ComboFix 10-05-28.01 - Compaq_Propriétaire 28/05/2010 19:57:29.1.1 - x86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.1982.1446 [GMT 2:00]

Lancé depuis: c:\documents and settings\Compaq_Propriétaire\Bureau\ComboFix.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}

.

Les fichiers ci-dessous ont été désactivés pendant l'exécution:

c:\program files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll

 

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\Compaq_Propriétaire\Application Data\Microsoft\deroodicu.exe

c:\documents and settings\Compaq_Propriétaire\Application Data\Microsoft\zate.exe

c:\documents and settings\Compaq_Propriétaire\Application Data\Microsoft\zoukouhol.exe

c:\documents and settings\LocalService\Application Data\Microsoft\deroodicu.exe

c:\progra~1\FICHIE~1\{02D3A~1

c:\progra~1\FICHIE~1\{32D3A~1

c:\program files\ystem3~1

c:\windows\AUTOLNCH.REG

c:\windows\patch.exe

c:\windows\system32\components

c:\windows\system32\wtssvcc.exe

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_sueamekyei

-------\Service_sueamekyei

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2010-04-28 au 2010-05-28 ))))))))))))))))))))))))))))))))))))

.

 

2010-05-28 11:00 . 2010-05-28 11:00 2562 ----a-w- C:\UsbFix_Upload_Me_FMN.zip

2010-05-28 05:04 . 2010-05-28 11:00 -------- d-----w- C:\UsbFix

2010-05-27 17:45 . 2010-05-27 17:45 503808 ----a-w- c:\documents and settings\flo\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-6ba7225d-n\msvcp71.dll

2010-05-27 17:45 . 2010-05-27 17:45 499712 ----a-w- c:\documents and settings\flo\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-6ba7225d-n\jmc.dll

2010-05-27 17:45 . 2010-05-27 17:45 348160 ----a-w- c:\documents and settings\flo\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-6ba7225d-n\msvcr71.dll

2010-05-27 17:45 . 2010-05-27 17:45 61440 ----a-w- c:\documents and settings\flo\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-18e5de21-n\decora-sse.dll

2010-05-27 17:45 . 2010-05-27 17:45 12800 ----a-w- c:\documents and settings\flo\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-18e5de21-n\decora-d3d.dll

2010-05-27 17:44 . 2010-05-27 17:44 -------- d-----w- c:\documents and settings\fab\Local Settings\Application Data\Adobe

2010-05-27 08:44 . 2010-05-27 08:44 503808 ----a-w- c:\documents and settings\fab\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-5dec0181-n\msvcp71.dll

2010-05-27 08:44 . 2010-05-27 08:44 499712 ----a-w- c:\documents and settings\fab\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-5dec0181-n\jmc.dll

2010-05-27 08:44 . 2010-05-27 08:44 348160 ----a-w- c:\documents and settings\fab\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-5dec0181-n\msvcr71.dll

2010-05-27 08:44 . 2010-05-27 08:44 61440 ----a-w- c:\documents and settings\fab\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-6fcc3b14-n\decora-sse.dll

2010-05-27 08:44 . 2010-05-27 08:44 12800 ----a-w- c:\documents and settings\fab\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-6fcc3b14-n\decora-d3d.dll

2010-05-27 05:31 . 2010-05-27 15:29 -------- d-----w- c:\documents and settings\fab\Application Data\OpenOffice.org2

2010-05-27 05:25 . 2010-05-27 05:25 -------- d-----w- c:\documents and settings\fab\Local Settings\Application Data\Thunderbird

2010-05-27 05:25 . 2010-05-27 05:25 -------- d-----w- c:\documents and settings\fab\Application Data\Thunderbird

2010-05-27 05:05 . 2010-05-27 05:05 -------- d-----w- c:\documents and settings\flo\Local Settings\Application Data\Mozilla

2010-05-26 20:27 . 2010-05-26 20:27 -------- d-----w- c:\documents and settings\fab\Local Settings\Application Data\Mozilla

2010-05-26 20:17 . 2010-05-26 20:17 -------- d-----w- c:\documents and settings\lou\Application Data\Malwarebytes

2010-05-26 19:20 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-05-26 19:20 . 2010-05-26 19:20 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2010-05-26 19:20 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-05-26 19:20 . 2010-05-26 19:20 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-05-26 19:10 . 2010-05-26 19:10 -------- d-----w- C:\_OTL

2010-05-24 16:00 . 2010-05-24 16:00 503808 ----a-w- c:\documents and settings\lou\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-1b4ac8d0-n\msvcp71.dll

2010-05-24 16:00 . 2010-05-24 16:00 499712 ----a-w- c:\documents and settings\lou\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-1b4ac8d0-n\jmc.dll

2010-05-24 16:00 . 2010-05-24 16:00 348160 ----a-w- c:\documents and settings\lou\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-1b4ac8d0-n\msvcr71.dll

2010-05-24 16:00 . 2010-05-24 16:00 61440 ----a-w- c:\documents and settings\lou\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-46f9af9c-n\decora-sse.dll

2010-05-24 16:00 . 2010-05-24 16:00 12800 ----a-w- c:\documents and settings\lou\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-46f9af9c-n\decora-d3d.dll

2010-05-14 11:52 . 2010-04-12 15:29 411368 ----a-w- c:\windows\system32\deployJava1.dll

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-05-28 16:38 . 2009-11-17 21:37 -------- d-----w- c:\program files\Mozilla Thunderbird

2010-05-27 17:59 . 2010-01-02 19:09 -------- d-----w- c:\program files\CCleaner

2010-05-27 05:05 . 2010-05-27 05:04 59008 ----a-w- c:\documents and settings\flo\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2010-05-26 20:27 . 2010-05-26 20:26 59008 ----a-w- c:\documents and settings\fab\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2010-05-26 19:19 . 2006-12-05 22:20 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2010-05-25 13:05 . 2010-05-25 13:04 12 ----a-w- c:\documents and settings\NetworkService\Application Data\khiteb.dat

2010-05-17 16:56 . 2006-12-05 22:20 -------- d-----w- c:\program files\Spybot - Search & Destroy

2010-05-15 21:02 . 2006-03-20 15:55 -------- d-----w- c:\program files\Google

2010-05-14 11:52 . 2006-03-20 15:23 -------- d-----w- c:\program files\Java

2010-04-08 17:49 . 2010-04-08 17:49 503808 ----a-w- c:\documents and settings\lou\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-2972498e-n\msvcp71.dll

2010-04-08 17:49 . 2010-04-08 17:49 499712 ----a-w- c:\documents and settings\lou\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-2972498e-n\jmc.dll

2010-04-08 17:49 . 2010-04-08 17:49 348160 ----a-w- c:\documents and settings\lou\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-2972498e-n\msvcr71.dll

2010-04-08 17:49 . 2010-04-08 17:49 61440 ----a-w- c:\documents and settings\lou\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-6cba91b9-n\decora-sse.dll

2010-04-08 17:49 . 2010-04-08 17:49 12800 ----a-w- c:\documents and settings\lou\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-6cba91b9-n\decora-d3d.dll

2010-04-06 13:27 . 2004-11-23 07:26 81188 ----a-w- c:\windows\system32\perfc00C.dat

2010-04-06 13:27 . 2004-11-23 07:26 502902 ----a-w- c:\windows\system32\perfh00C.dat

2010-04-04 06:19 . 2006-03-20 15:23 -------- d-----w- c:\program files\Fichiers communs\Java

2010-04-03 20:01 . 2010-03-06 20:21 -------- d-----w- c:\program files\Veetle

2010-03-11 12:34 . 2004-08-05 04:00 832512 ----a-w- c:\windows\system32\wininet.dll

2010-03-11 12:34 . 2004-08-05 04:00 78336 ----a-w- c:\windows\system32\ieencode.dll

2010-03-11 12:34 . 2004-08-05 04:00 17408 ----a-w- c:\windows\system32\corpol.dll

2010-03-09 11:10 . 2004-08-05 04:00 430080 ----a-w- c:\windows\system32\vbscript.dll

2006-09-02 07:36 . 2006-09-02 07:31 37664 -csha-w- c:\windows\fidbox.dat

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"9Giga Synchro"="c:\program files\Neuf\Neuf Giga Drive\9Giga_Synchro.exe" [2008-12-19 6931848]

"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-10-09 25623336]

"RoboForm"="c:\program files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" [2010-04-05 160328]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"F-Secure Manager"="c:\program files\Pack Sécurité\Common\FSM32.EXE" [2008-09-23 182936]

"F-Secure TNB"="c:\program files\Pack Sécurité\FSGUI\TNBUtil.exe" [2008-09-23 957024]

"KBD"="c:\hp\KBD\KBD.EXE" [2005-02-02 61440]

"AlcxMonitor"="ALCXMNTR.EXE" [2004-09-07 57344]

"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-09-05 417792]

"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-03-13 39264]

 

c:\documents and settings\fab\Menu D‚marrer\Programmes\D‚marrage\

OpenOffice.org 2.1.lnk - c:\program files\OpenOffice.org 2.1\program\quickstart.exe [2006-11-27 393216]

Pin.lnk - c:\hp\bin\CLOAKER.EXE [2006-3-20 27136]

 

c:\documents and settings\lou\Menu D‚marrer\Programmes\D‚marrage\

Pin.lnk - c:\hp\bin\CLOAKER.EXE [2006-3-20 27136]

 

c:\documents and settings\Compaq_Propri‚taire\Menu D‚marrer\Programmes\D‚marrage\

OpenOffice.org 2.1.lnk - c:\program files\OpenOffice.org 2.1\program\quickstart.exe [2006-11-27 393216]

 

c:\documents and settings\flo\Menu D‚marrer\Programmes\D‚marrage\

Pin.lnk - c:\hp\bin\CLOAKER.EXE [2006-3-20 27136]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2006-10-31 110592]

DeezRip.lnk - c:\program files\DeezRip\DeezRip.exe [2009-7-18 723968]

D‚marrage rapide de HP Photosmart Premier.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2005-9-24 73728]

Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]

Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"HonorAutoRunSetting"= 0 (0x0)

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"HonorAutoRunSetting"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\CyberLink\\PowerCinema\\PowerCinema.exe"=

"c:\\Program Files\\CyberLink\\PowerCinema\\PCMService.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\TVAnts\\Tvants.exe"=

"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=

"c:\\Program Files\\SopCast\\adv\\SopAdver.exe"=

"c:\\Program Files\\SopCast\\SopCast.exe"=

"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"6346:TCP"= 6346:TCP:shareaza

"6346:UDP"= 6346:UDP:shareaza

 

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [02/01/2010 21:20 108289]

R2 DeezRipSvc;DeezRip service;c:\program files\DeezRip\DeezRipSvc.exe [18/07/2009 10:00 160256]

S1 hidfltr;HID Filter Driver;c:\windows\system32\drivers\MWhid.sys [03/11/2004 12:20 13332]

S2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [29/09/2009 17:35 133104]

S3 kbeepm;kbeepm;\??\c:\docume~1\COMPAQ~1\LOCALS~1\Temp\kbeepm.sys --> c:\docume~1\COMPAQ~1\LOCALS~1\Temp\kbeepm.sys [?]

S3 PID_0920;Labtec WebCam(PID_0920);c:\windows\system32\drivers\LV532AV.SYS [26/08/2006 19:25 163328]

 

--- Autres Services/Pilotes en mémoire ---

 

*Deregistered* - mchInjDrv

.

Contenu du dossier 'Tâches planifiées'

 

2010-04-23 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

 

2010-05-28 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-09-29 15:34]

 

2010-05-28 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-09-29 15:34]

.

.

------- Examen supplémentaire -------

.

uInternet Settings,ProxyOverride = local

IE: Barre RoboForm - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

IE: Enregistrer le formulaire - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComSavePass.html

IE: Personnaliser le menu - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html

IE: Remplir le formulaire - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComFillForms.html

LSP: c:\program files\Pack Se9,curite9,\FSPS\program\FSLSP.DLL

DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab

DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://copainsdavant.linternaute.com/html_include_bibliotheque/objimageuploader/5.0.15.0/ImageUploader5.cab

FF - ProfilePath - c:\documents and settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\sswdn68g.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.neufportail.fr/

FF - prefs.js: network.proxy.http - localhost

FF - prefs.js: network.proxy.http_port - 8800

FF - prefs.js: network.proxy.type - 4

FF - component: c:\documents and settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\sswdn68g.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll

FF - component: c:\program files\Siber Systems\AI RoboForm\Firefox\components\rfproxy_31.dll

FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll

FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll

FF - plugin: c:\program files\Veetle\Player\npvlc.dll

FF - plugin: c:\program files\Veetle\plugins\npVeetle.dll

FF - plugin: c:\program files\Veetle\VLCBroadcast\npvbp.dll

FF - plugin: c:\program files\Virtools\3D Life Player\npvirtools.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

 

---- PARAMETRES FIREFOX ----

FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pr

ef", true);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);

.

- - - - ORPHELINS SUPPRIMES - - - -

 

BHO-{26B61245-2471-3859-3126-04487DAC7F8A} - (no file)

BHO-{6ECE2103-1906-0945-9291-021929E80908} - (no file)

HKCU-Run-fohakil - c:\documents and settings\Compaq_Propriétaire\Application Data\Microsoft\zate.exe

HKLM-Run-fohakil - c:\windows\system32\deroodicu.exe

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-05-28 20:04

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(676)

c:\windows\system32\Ati2evxx.dll

c:\program files\DeezRip\DeezRipDll.dll

 

- - - - - - - > 'lsass.exe'(732)

c:\program files\DeezRip\DeezRipDll.dll

c:\program files\Pack Sécurité\FSPS\program\FSLSP.DLL

 

- - - - - - - > 'explorer.exe'(8088)

c:\program files\DeezRip\DeezRipDll.dll

c:\program files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

 

- - - - - - - > 'csrss.exe'(644)

c:\program files\DeezRip\DeezRipDll.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\Ati2evxx.exe

c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe

c:\program files\Avira\AntiVir Desktop\avguard.exe

c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe

c:\program files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe

c:\program files\Pack Sécurité\Common\FSMA32.EXE

c:\program files\Java\jre6\bin\jqs.exe

c:\program files\CDBurnerXP\NMSAccessU.exe

c:\windows\system32\Ati2evxx.exe

c:\program files\Photodex\ProShowGold\ScsiAccess.exe

c:\program files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\windows\ALCXMNTR.EXE

c:\windows\system32\wscntfy.exe

c:\program files\OpenOffice.org 2.1\program\soffice.exe

c:\program files\OpenOffice.org 2.1\program\soffice.BIN

c:\program files\HP\Digital Imaging\bin\hpqimzone.exe

c:\windows\system32\msiexec.exe

c:\program files\Pack Sécurité\Common\FSLAUNCH.EXE

.

**************************************************************************

.

Heure de fin: 2010-05-28 20:10:29 - La machine a redémarré

ComboFix-quarantined-files.txt 2010-05-28 18:10

 

Avant-CF: 66 463 723 520 octets libres

Après-CF: 66 303 324 160 octets libres

 

- - End Of File - - 8F4736B1962D2D9162A0EEC810BC9496

Modifié le 28 mai 2010 par lesmoldus

[Apollo]

Ben voilà.

 

Comment se porte le malade?

 

Assure toi que la console Java est bien la plus récente; pour le savoir rends-toi sur cette page et clique sur Vérifier la version de Java -> http://www.java.com/fr/download/installed.jsp -> Il te sera indiqué si tu dois installer la dernière version.

Si tu installes une nouvelle version Java, désinstalle toutes les plus anciennes via ajout/suppr de programmes.

 

JavaRa ou désinstaller proprement les anciennes versions de la console Java

 

Fais un scan en ligne avec Kaspersky.

 

Va dans outils/options internet et sous l'onglet sécurité, clique sur "par défaut".

 

TUTO: http://www.vista-xp.fr/forum/topic109.html

 

Désactive ton antivirus le temps d'installation et de mises à jour du webscanner Kaspersky.

 

• Fais un scan en ligne Kaspersky
  
• Clique sur Accept
  
• Patiente le temps d'installation du Webscanner.
  
• Les bases de mises à jour vont s'installer, patiente un moment
  
• Clique sur Next.
  
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.
  

 

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

 

Copie l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

 

Colle ce rapport dans ta réponse sur le forum.

 

Ne te formalise pas si Kasper détecte beaucoup de choses; il va sûrement indiquer les fichiers mis en quarantaine par les outils spéciaux.

 

@++

[lesmoldus]

j'ai un problème de connexion iKaspesky ne peut pas se mettre à jour le download se bloque

"Launch of the Java application is interrupted! Please establish an uninterrupted Internet connection for work with this program."

 

Je vais essayer de trouver un moyen pour avoir une connexion complètement ininterrompue...

 

Pendant ce temps là si tu repasses voir le sujet, j'ai une question importante je pense avoir la réponse mais...

 

J'utilise ma clé pour utiliser des fichiers (images, powerpoint...) sur mon lieu de travail, ces diapo étant fait chez moi, depuis lundi je me suis servi de ma clé et j'ai donc infecté plusieurs postes (je n'ai pas le choix !), un collègue m'a d'ailleurs dit qu'il avait eu une alerte hier soir, donc que faire lorsque je retourne bosser lundi avec ma clé à priori propre ?

Elle risque de se réinfecté et rebelote chez moi sur mon PC , que faire pour chacun des postes de mon travail ? la même procédure que je viens de réaliser ?

 

Lançons une énorme désinfection sur chacun de postes en suivant tes consignes qui ont à priori marché pour moi ? J'ai bien compris que combo fix ne doit pas être utilisé seul ...

 

merci d'avance et je poste le rapport demandé dès que je résous mon problème de connexion...

[Apollo]

Normalement, USBFIX vaccine les supports qu'il traîte, donc il ne devrait plus y avoir de problème avec cette clé usb.

 

Par contre, il faudra désinfecter les pc touchés par cette infection.

Un par un car chaque procédure est unique.

 

Si tu continues d'avoir des soucis avec Kaspersky on line:

 

ESET ONLINE SCANNER

 

Télécharge ESET Online Scanner sur ton Bureau en cliquant sur ce logo:

http://download.eset.com/special/eos/esets...staller_enu.exe

• Double-clique sur le fichier esetsmartinstaller_enu.exe présent sur ton Bureau pour installer le scanner. Attention: si tu disposes de Windows VISTA, clique droit sur esetsmartinstaller_enu.exe puis sélectionne "exécuter en tant qu'administrateur"
  
• Accepte la licence en cochant la case "YES, i accept the terms of use", puis clique sur le bouton "Start"
  
• Une fois le scanner installé, configure-le en décochant la case "Remove found threats" et en cochant la case "Scan archives"
  
  
• Lance la recherche antivirale en cliquant sur le bouton "Start": l'outil se met à jour puis lance le scan: une barre de progression indique où en est la recherche
  
• Quand le scan est terminé, si des virus ont été détectés, clique sur la ligne "List of found threats":
  
  
• Une nouvelle fenêtre aparaît: clique sur "Export to text file" et enregistre le rapport sur ton Bureau en le nommant logESET.txt
  
• Clique sur le bouton "Back" pour retourner à l'interface précédente, puis coche la case "Uninstall application on close"
  
  
• Clique enfin sur le bouton "Finish" puis ferme la fenêtre du scanner
  
• Ouvre le fichier logESET sur ton Bureau et copie-colle son contenu dans ta prochaine réponse
  

 

Nota : ce scan peut être très long et prendre plusieurs heures.

[lesmoldus]

Ouf on y arrive après plusieurs heures de scans et mise à jour !! Kaspesky a planté alors j'ai fait avec l'autre... mes clés usb étant bien sur connectées

 

voici donc le rapport fait avec ESET : il me trouve 11 fichiers infectés, le malade est-il en voie de guérison ?

 

C:\Program Files\eMule\Incoming\ProShow Gold 3.2 + Serial+manual(Good Slide show program)\Crack Proshow Gold 2.rar probably a variant of Win32/TrojanDownloader.Obfuscated trojan

C:\Program Files\eMule\Incoming\ProShow Gold 3.2 + Serial+manual(Good Slide show program)\Pro show gold 2.0 Crack.zip probably a variant of Win32/TrojanDownloader.Obfuscated trojan

C:\Program Files\eMule\Incoming\ProShow Gold 3.2 + Serial+manual(Good Slide show program)\ProShow Gold v2.0.crack.rar probably a variant of Win32/TrojanDownloader.Obfuscated trojan

C:\Qoobox\Quarantine\C\Documents and Settings\Compaq_Propriétaire\Application Data\Microsoft\deroodicu.exe.vir a variant of Win32/Kryptik.EIM trojan

C:\Qoobox\Quarantine\C\Documents and Settings\Compaq_Propriétaire\Application Data\Microsoft\zate.exe.vir a variant of Win32/Kryptik.EIM trojan

C:\Qoobox\Quarantine\C\Documents and Settings\Compaq_Propriétaire\Application Data\Microsoft\zoukouhol.exe.vir a variant of Win32/Kryptik.EIM trojan

C:\Qoobox\Quarantine\C\Documents and Settings\LocalService\Application Data\Microsoft\deroodicu.exe.vir a variant of Win32/Kryptik.EIM trojan

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP1\A0000014.exe a variant of Win32/Kryptik.EIM trojan

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP1\A0000015.exe a variant of Win32/Kryptik.EIM trojan

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP1\A0000016.exe a variant of Win32/Kryptik.EIM trojan

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP1\A0000017.exe a variant of Win32/Kryptik.EIM trojan

Modifié le 29 mai 2010 par lesmoldus

[Apollo]

Bonjour,

 

Les cracks te joueront un très mauvais tour un de ces quatre (genre Virut, virus terrfiant s'il en est).

 

Comme je l'ai dit, certaines détections viennent de la quarantaine de ComboFix qu'on va désinstaller, donc ça partira avec.

 

D'autres dans la restauration système qu'on va purger.

 

Désinstalle ComboFix de la manière suivante:

 

Clique sur Démarrer > Exécuter et copie/colle le texte en gras ci-dessous dans la zone de saisie Ouvrir puis cliquer sur OK

 

ComboFix /Uninstall

 

Supprimer les dossiers c:\Qoobox et c:\ComboFix s'ils étaient encore présents sur le C:\

Vider la corbeille.

 

-------------------------------------

Télécharge OTM de OldTimer sur ton Bureau en cliquant sur ce lien:

 

OTM

 

Ou ici: http://ottools.noahdfear.net/OTM.exe

 

• Double-clique sur OTM.exe pour le lancer (l'extension .exe peut ne pas apparaître)
   
  ---> sous VISTA/7: clic droit: exécuter en temps qu'administrateur.
   
  
• Copie l'entièreté du code ci-dessous.
  

  Go
  
  :Files
  
  C:\Program Files\eMule\Incoming\ProShow Gold 3.2 + Serial+manual(Good Slide show program)\Crack Proshow Gold 2.rar 
  C:\Program Files\eMule\Incoming\ProShow Gold 3.2 + Serial+manual(Good Slide show program)\Pro show gold 2.0 Crack.zip
  C:\Program Files\eMule\Incoming\ProShow Gold 3.2 + Serial+manual(Good Slide show program)\ProShow Gold v2.0.crack.rar 
  
  
  :Commands
  
  [purity]
  [emptytemp]
  [start explorer]

  
   
  

• Colle ce code dans la partie jaune de OtMoveIt3 intitulée:
  "Paste Instructions for Items to be Moved"
   
  
• Clique sur le bouton Moveit! pour lancer le nettoyage:
   
  
• Copie-colle dans ta prochaine réponse tout ce qui se trouve dans la fenêtre Results
  --> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log)
  
• Ferme OTM en cliquant sur Exit:
  

Note : Si un fichier ou un dossier ne peut être supprimé directement, l'outil peut demander un redémarrage pour terminer le processus. Clique alors sur "Yes" pour accepter.

 

*** L'outil va terminer son travail après le redémarrage du pc puis fournira son rapport; copie/colle le dans ta réponse stp.

 

 

-------------------------

Quand tu auras posté le rapport OTM après reboot:

 

Désactiver la Restauration Système.

 

Démarrer/Tous les programmes/Accessoires/Outils Système/

 

Cliquer sur Restauration Système.

 

Cliquer sur "Paramètres de la restauration du système; cocher la case: "Désactiver la Restauration du système sur tous les lecteurs"

Appliquer/OK.

 

Pour réactiver la Restauration système, suivre le même chemin et décocher la case. Appliquer/OK.

 

Un nouveau point de restauration sera automatiquement créé.

 

@++

[lesmoldus]

voici le rapport d'OTM ci-dessous par contre je n'ai pas compris 2 choses par rapport à tes consignes :

 

- il m'a été impossible de copier ce qu'il y avait dans la colonne résult d'OTM car une fenêtre me demandant de redémarrer s'est ouverte de suite pour ensuite lancer le redémarrage du PC

- j'ai un firewall Kerio personal qui s'est installé tout seul lors du redémarrage du PC ???

 

All processes killed

Error: Unable to interpret <Go> in the current context!

========== FILES ==========

File/Folder C:\Program Files\eMule\Incoming\ProShow Gold 3.2 + Serial+manual(Good Slide show program)\Crack Proshow Gold 2.rar not found.

File/Folder C:\Program Files\eMule\Incoming\ProShow Gold 3.2 + Serial+manual(Good Slide show program)\Pro show gold 2.0 Crack.zip not found.

File/Folder C:\Program Files\eMule\Incoming\ProShow Gold 3.2 + Serial+manual(Good Slide show program)\ProShow Gold v2.0.crack.rar not found.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Compaq_Propriétaire

->Temp folder emptied: 397 bytes

->Temporary Internet Files folder emptied: 33170 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 4082914 bytes

->Flash cache emptied: 434 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: fab

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: flo

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: lou

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 664 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 4,00 mb

 

 

OTM by OldTimer - Version 3.1.12.0 log created on 05292010_165440

 

Files moved on Reboot...

 

Registry entries deleted on Reboot...

[Apollo]

Re,

 

Il faudra supprimer ces cracks manuellement.

 

File/Folder C:\Program Files\eMule\Incoming\ProShow Gold 3.2 + Serial+manual(Good Slide show program)\Crack Proshow Gold 2.rar

File/Folder C:\Program Files\eMule\Incoming\ProShow Gold 3.2 + Serial+manual(Good Slide show program)\Pro show gold 2.0 Crack.zip

File/Folder C:\Program Files\eMule\Incoming\ProShow Gold 3.2 + Serial+manual(Good Slide show program)\ProShow Gold v2.0.crack.rar

 

Pour Kerio, je n'en sais rien du tout; il faudra qu'on m'explique comment un firewall peut s'installer tout seul

 

Un Poltergeist dans ton pc?

 

@++