TR/Crypt.PEPM.Gen impossible à supprimer

[itsame]

Bonjour à tous et bonne année!

 

La mienne commence avec une petite surprise que j'aurais préféré ne pas recevoir

Voila le problème:

 

J'ai formaté ce matin mon pc Windows XP.

Alors que tous "semblait" fonctionner à merveille avant ce formatage, depuis ce dernier j'ai sans cesse une alerte de AVIRA concernant un cheval de troie du nom de TR/Crypt.PEPM.Gen

 

après scan complet de avira voila le résultat. A noter que le PC avait du mal a se connecter à internet après formatage, j'ai donc re-reformater et quelques minutes après j'ai eu un blue screen. J'ai pourtant téléchargé les quelques logiciels dont je me sert directement sur les sites des éditeurs ou sur télécharger.net avant de formater pour ne pas aller sur internet tout nu une fois le formatage fait.

 

Malwarebytes éradique les intrus mais ils reviennent!!!

 

objets--------------résultats positifs

 

fewh.exe---------- TR/Crypt.PEPM.Gen

A0000465----------TR/Trash.Gen

A0000459----------TR/Crypt.PEPM.Gen

A0000427----------TR/Crypt.PEPM.Gen

282[1].gif--------TR/Crypt.PEPM.Gen

 

voila le log de Hijackthis

 

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 20:17:20, on 09/01/2011

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

C:\Program Files\Creative\Sound Blaster Live! 24-bit\Surround Mixer\CTSysVol.exe

C:\WINDOWS\system32\Rundll32.exe

C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe

C:\Program Files\Dell\Media Experience\DMXLauncher.exe

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Digital Line Detect\DLG.exe

C:\WINDOWS\system32\CTsvcCDA.EXE

C:\WINDOWS\system32\MsPMSPSv.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Mozilla Firefox\plugin-container.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\Avira\AntiVir Desktop\avshadow.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

c:\program files\avira\antivir desktop\avcenter.exe

C:\WINDOWS\System32\vssvc.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\system32\dllhost.exe

C:\Documents and Settings\patrice\Mes documents\Téléchargements\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = My Way

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearch.myway.com/jsp/dellsidebar.jsp?p=DR

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = My Way

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = My Way

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = My Way

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\Sound Blaster Live! 24-bit\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [DMXLauncher] C:\Program Files\Dell\Media Experience\DMXLauncher.exe

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [buildBU] c:\dell\bldbubg.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [iMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0\aoltray.exe

O4 - Global Startup: Digital Line Detect.lnk = ?

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe

O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe

O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

 

--

End of file - 7881 bytes

 

en espérant une petite aide de votre part.Merci d'avance!

Modifié le 9 janvier 2011 par itsame

[jeanmimigab]

Bonjour, bienvenu sur Zébulon et bonne année à toi aussi

 

Tu es infecté par une variante de "Virut" qui a due infecter pas mal de tes documents ou programmes (fichiers .exe , .scr , .htm , .html etc...)

Si un DD externe/clef USB infecté est connecté au PC ou bien si tu relance un fichier infecté et sauvegarde, l'infection se re-propage immédiatement.

 

Je te conseil de supprimer de tes sauvegardes tous ces types de fichier ( .exe , .scr , .htm et .html )

 

Nous avons deux solutions:

• 
   
  
• 1.Tu re-formate et tu ne ré-installe que des programme/driver que tu télécharge directement sur le site des éditeurs concerné et tu ne branche aucuns supports de stockages externes( DD externe/clef USB ) avant que je ne te le dise ( nous prendrons certaines précautions avant )
  
• 2.on tente une désinfection, avec "virut" c'est du sport mais c'est un beau petit chalenge
   
  

Fais quand même un scan complet avec Antivir et poste moi le rapport stp...

 

EDIT: Dis moi aussi ce que tu utilise pour formater ( CD, DD externe etc...)

@++

Modifié le 10 janvier 2011 par jeanmimigab

[itsame]

bonjour et merci de cette réponse rapide!

 

j'utilise bien un DD pour stocker des données de travail et j'avais bien stocké les logiciels directement dessus pour la réinstallation...

 

Pour formater j'utilise un méthode très simple: CTRL+F11 au démarrage.

 

je veux bien re-formater mon pc ça ne prend que quelques minutes ou éliminer le malware en question peu importe du moment qu'il ne m'enquiquine plus. Le problème est que j'ai 1 TO de données sur mon disque externe (entre les photos de famille, les doc de travail etc)et que bien évidemment je ne peux supprimer les fichiers dessus...

 

question idiote de gars qui n'y connait rien en désinfection: est-il possible de se protéger/débarrasser de notre "petit ami" sans avoir à scanner ce disque? je demande ça à cause du temps que ça prend sur un tel volume de données et du temps dont je dispose!

 

Si non autant éliminer cette cochonnerie une bonne fois pour toute, j'aime le challenge

 

dernier scan avira avec aucun dd branché:

 

résultat: 0 détection, suspects etc

[jeanmimigab]

hello,

 

Tu as donc un PC qui te permet de ré-installer via l'utilisation d'une partition de restauration.

 

Pour tes documents, cela m'étonnerai que tes photos soient infectées.

 

C'est bien qu'Antivir ne t'indique plus de fichiers infectieux.

 

peux-tu faire cela stp...

 

Télécharge Report_Antivir.exe de Laddy sur ton bureau.

• 
   
  
• Double clic dessus pour l'exécuter.
  
• Dans l'onglet Avertissements, en face de "choisis le nombre de jours" dans le menu déroulant choisis "7 jours"
  
• Clique sur le bouton "Exécuter" pour lancer le scanne.
  
• Patiente le rapport va s'ouvrir...
  
• Poste le contenu du rapport dans ta prochaine réponse.
  
• Rends toi sur l'onglet "Rapports", dans la liste, fais un double-clic sur la date la plus récente (en général c'est le dernier) pour ouvrir le rapport.
  
• Poste son contenu dans ta prochaine réponse stp...
  

 

Ensuite...

 

Si tu fais un scanne rapide avec Malwarebyte, est-ce que tu as toujours des fichiers infectieux détectés ?

 

Note: avant de faire le scan Malwarebyte, désactive Antivir, car si malwarebyte détecte un fichier infectieux il est possible qu'Antivir couine et empêche malwarebytes d'effectuer son travail.

 

tient moi au courant et si quelque chose est trouvé, poste le rapport de Malwarebytes complet

 

@++

[itsame]

alors, commençons cette bataille du bien contre le mal

 

rapport de Report_Antivir.exe:

 

 

Avira AntiVir Personal

Date de création du fichier de rapport : lundi 10 janvier 2011 09:49

 

La recherche porte sur 2336006 souches de virus.

 

Le programme fonctionne en version intégrale illimitée.

Les services en ligne sont disponibles.

 

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus

Numéro de série : 0000149996-ADJIE-0000001

Plateforme : Windows XP

Version de Windows : (Service Pack 2) [5.1.2600]

Mode Boot : Démarré normalement

Identifiant : SYSTEM

Nom de l'ordinateur : D9VN5W1J

 

Informations de version :

BUILD.DAT : 10.0.0.107 31825 Bytes 09/12/2010 10:51:00

AVSCAN.EXE : 10.0.3.5 435368 Bytes 09/01/2011 18:10:17

AVSCAN.DLL : 10.0.3.0 56168 Bytes 17/08/2010 12:39:10

LUKE.DLL : 10.0.3.2 104296 Bytes 09/01/2011 18:10:17

LUKERES.DLL : 10.0.0.0 13672 Bytes 17/08/2010 12:39:11

VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 09:05:36

VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 18:10:11

VBASE002.VDF : 7.11.0.1 2048 Bytes 14/12/2010 18:10:11

VBASE003.VDF : 7.11.0.2 2048 Bytes 14/12/2010 18:10:11

VBASE004.VDF : 7.11.0.3 2048 Bytes 14/12/2010 18:10:11

VBASE005.VDF : 7.11.0.4 2048 Bytes 14/12/2010 18:10:11

VBASE006.VDF : 7.11.0.5 2048 Bytes 14/12/2010 18:10:11

VBASE007.VDF : 7.11.0.6 2048 Bytes 14/12/2010 18:10:11

VBASE008.VDF : 7.11.0.7 2048 Bytes 14/12/2010 18:10:11

VBASE009.VDF : 7.11.0.8 2048 Bytes 14/12/2010 18:10:11

VBASE010.VDF : 7.11.0.9 2048 Bytes 14/12/2010 18:10:11

VBASE011.VDF : 7.11.0.10 2048 Bytes 14/12/2010 18:10:11

VBASE012.VDF : 7.11.0.11 2048 Bytes 14/12/2010 18:10:11

VBASE013.VDF : 7.11.0.52 128000 Bytes 16/12/2010 18:10:11

VBASE014.VDF : 7.11.0.91 226816 Bytes 20/12/2010 18:10:11

VBASE015.VDF : 7.11.0.122 136192 Bytes 21/12/2010 18:10:11

VBASE016.VDF : 7.11.0.156 122880 Bytes 24/12/2010 18:10:11

VBASE017.VDF : 7.11.0.185 146944 Bytes 27/12/2010 18:10:11

VBASE018.VDF : 7.11.0.228 132608 Bytes 30/12/2010 18:10:11

VBASE019.VDF : 7.11.1.5 148480 Bytes 03/01/2011 18:10:12

VBASE020.VDF : 7.11.1.37 156672 Bytes 07/01/2011 18:10:12

VBASE021.VDF : 7.11.1.38 2048 Bytes 07/01/2011 18:10:12

VBASE022.VDF : 7.11.1.39 2048 Bytes 07/01/2011 18:10:12

VBASE023.VDF : 7.11.1.40 2048 Bytes 07/01/2011 18:10:12

VBASE024.VDF : 7.11.1.41 2048 Bytes 07/01/2011 18:10:12

VBASE025.VDF : 7.11.1.42 2048 Bytes 07/01/2011 18:10:12

VBASE026.VDF : 7.11.1.43 2048 Bytes 07/01/2011 18:10:12

VBASE027.VDF : 7.11.1.44 2048 Bytes 07/01/2011 18:10:12

VBASE028.VDF : 7.11.1.45 2048 Bytes 07/01/2011 18:10:12

VBASE029.VDF : 7.11.1.46 2048 Bytes 07/01/2011 18:10:12

VBASE030.VDF : 7.11.1.47 2048 Bytes 07/01/2011 18:10:12

VBASE031.VDF : 7.11.1.57 58368 Bytes 07/01/2011 18:10:12

Version du moteur : 8.2.4.140

AEVDF.DLL : 8.1.2.1 106868 Bytes 17/08/2010 12:38:53

AESCRIPT.DLL : 8.1.3.52 1282426 Bytes 09/01/2011 18:10:16

AESCN.DLL : 8.1.7.2 127349 Bytes 09/01/2011 18:10:16

AESBX.DLL : 8.1.3.2 254324 Bytes 09/01/2011 18:10:16

AERDL.DLL : 8.1.9.2 635252 Bytes 09/01/2011 18:10:16

AEPACK.DLL : 8.2.4.7 512375 Bytes 09/01/2011 18:10:15

AEOFFICE.DLL : 8.1.1.10 201084 Bytes 09/01/2011 18:10:15

AEHEUR.DLL : 8.1.2.64 3154294 Bytes 09/01/2011 18:10:15

AEHELP.DLL : 8.1.16.0 246136 Bytes 09/01/2011 18:10:14

AEGEN.DLL : 8.1.5.1 397683 Bytes 09/01/2011 18:10:13

AEEMU.DLL : 8.1.3.0 393589 Bytes 09/01/2011 18:10:13

AECORE.DLL : 8.1.19.0 196984 Bytes 09/01/2011 18:10:13

AEBB.DLL : 8.1.1.0 53618 Bytes 17/08/2010 12:38:45

AVWINLL.DLL : 10.0.0.0 19304 Bytes 17/08/2010 12:38:56

AVPREF.DLL : 10.0.0.0 44904 Bytes 17/08/2010 12:38:55

AVREP.DLL : 10.0.0.8 62209 Bytes 17/06/2010 14:27:52

AVREG.DLL : 10.0.3.2 53096 Bytes 17/08/2010 12:38:56

AVSCPLR.DLL : 10.0.3.2 84328 Bytes 09/01/2011 18:10:17

AVARKT.DLL : 10.0.22.6 231784 Bytes 09/01/2011 18:10:17

AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 17/08/2010 12:38:55

SQLITE3.DLL : 3.6.19.0 355688 Bytes 17/06/2010 14:28:02

AVSMTP.DLL : 10.0.0.17 63848 Bytes 17/08/2010 12:38:56

NETNT.DLL : 10.0.0.0 11624 Bytes 17/06/2010 14:28:01

RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 11/02/2010 00:23:03

RCTEXT.DLL : 10.0.58.0 99688 Bytes 17/08/2010 12:39:11

 

Configuration pour la recherche actuelle :

Nom de la tâche...............................: Contrôle intégral du système

Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp

Documentation.................................: bas

Action principale.............................: interactif

Action secondaire.............................: ignorer

Recherche sur les secteurs d'amorçage maître..: marche

Recherche sur les secteurs d'amorçage.........: marche

Secteurs d'amorçage...........................: C:,

Recherche dans les programmes actifs..........: marche

Programmes en cours étendus...................: marche

Recherche en cours sur l'enregistrement.......: marche

Recherche de Rootkits.........................: marche

Contrôle d'intégrité de fichiers système......: arrêt

Fichier mode de recherche.....................: Tous les fichiers

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: moyen

 

Début de la recherche : lundi 10 janvier 2011 09:49

 

La recherche d'objets cachés commence.

 

La recherche sur les processus démarrés commence :

Processus de recherche 'rsmsink.exe' - '32' module(s) sont contrôlés

Processus de recherche 'msdtc.exe' - '44' module(s) sont contrôlés

Processus de recherche 'dllhost.exe' - '62' module(s) sont contrôlés

Processus de recherche 'dllhost.exe' - '49' module(s) sont contrôlés

Processus de recherche 'vssvc.exe' - '52' module(s) sont contrôlés

Processus de recherche 'avscan.exe' - '74' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '63' module(s) sont contrôlés

Processus de recherche 'plugin-container.exe' - '57' module(s) sont contrôlés

Processus de recherche 'firefox.exe' - '78' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '89' module(s) sont contrôlés

Processus de recherche 'alg.exe' - '35' module(s) sont contrôlés

Processus de recherche 'DLG.exe' - '23' module(s) sont contrôlés

Processus de recherche 'avshadow.exe' - '28' module(s) sont contrôlés

Processus de recherche 'TeaTimer.exe' - '35' module(s) sont contrôlés

Processus de recherche 'CTFMON.EXE' - '28' module(s) sont contrôlés

Processus de recherche 'MsPMSPSv.exe' - '15' module(s) sont contrôlés

Processus de recherche 'CTsvcCDA.EXE' - '11' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '51' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '54' module(s) sont contrôlés

Processus de recherche 'issch.exe' - '12' module(s) sont contrôlés

Processus de recherche 'tfswctrl.exe' - '31' module(s) sont contrôlés

Processus de recherche 'DMXLauncher.exe' - '19' module(s) sont contrôlés

Processus de recherche 'DVDLauncher.exe' - '22' module(s) sont contrôlés

Processus de recherche 'Rundll32.exe' - '31' module(s) sont contrôlés

Processus de recherche 'CTSysVol.exe' - '42' module(s) sont contrôlés

Processus de recherche 'jusched.exe' - '19' module(s) sont contrôlés

Processus de recherche 'Explorer.EXE' - '81' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '46' module(s) sont contrôlés

Processus de recherche 'spoolsv.exe' - '56' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '47' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '34' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '43' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '55' module(s) sont contrôlés

Processus de recherche 'Ati2evxx.exe' - '17' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '62' module(s) sont contrôlés

Processus de recherche 'services.exe' - '40' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '68' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '14' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '2' module(s) sont contrôlés

 

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD1

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD2

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD3

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD4

[iNFO] Aucun virus trouvé !

 

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

 

La recherche sur les renvois aux fichiers exécutables (registre) commence :

Le registre a été contrôlé ( '417' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\'

 

 

Fin de la recherche : lundi 10 janvier 2011 10:03

Temps nécessaire: 14:22 Minute(s)

 

La recherche a été effectuée intégralement

 

3178 Les répertoires ont été contrôlés

144508 Des fichiers ont été contrôlés

0 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

0 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

0 Impossible de scanner des fichiers

144508 Fichiers non infectés

7849 Les archives ont été contrôlées

0 Avertissements

0 Consignes

184655 Des objets ont été contrôlés lors du Rootkitscan

0 Des objets cachés ont été trouvés

 

pas super utile vu que rien n'est trouvé mais je te poste quand même le rapport malwerbytes:

 

Malwarebytes' Anti-Malware 1.50

www.malwarebytes.org

 

Version de la base de données: 5488

 

Windows 5.1.2600 Service Pack 2

Internet Explorer 6.0.2900.2180

 

10/01/2011 12:39:01

mbam-log-2011-01-10 (12-39-01).txt

 

Type d'examen: Examen rapide

Elément(s) analysé(s): 127674

Temps écoulé: 3 minute(s), 6 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

 

c'est bien que mon disque externe est infecté!

[jeanmimigab]

re,

 

Je te prépare la suite...

[jeanmimigab]

re,

 

On va protéger ton PC contre une éventuelle infection due à la connexion de tes supports amovibles.

 

Avant tout ouvre l'interface d'Antivir et désactive la protection autorun comme cela...

 

1. Clique en haut à droite sur "configuration"
   
2. Coche la case "Mode expert"
   
3. Développe "Guard" > "Recherche" et clique sur "Action si résultat positif"
   
4. Décoche dans la partie droite la case "Bloquer la fonction d'autodémarrage"
   
5. Valide ces nouveaux paramètres en cliquant en bas de la fenêtre sur "Accepter"
   

 

Ensuite...

 

 

Télécharge USBFix sur ton bureau

• 
   
  
• Fais un double-clic dessus pour le lancer
  
• Fais le choix "Suppression", laisse travailler USBFix et redémarre impérativement ton PC.

Branche tes supports de stockages à ton pc en prenant soins de les mettre en route si nécessaire, mais ne les ouvres surtout pas et si une fenêtre d'exécution automatique de Windows s'ouvre pour te demander ce que tu veux faire, ferme cette fenêtre.

• 
   
  
• Relance une nouvelle fois USBFix, fais une nouvelle fois le choix "Suppression", laisse travailler USBFix et redémarre impérativement ton PC.
  
• Ensuite fais un scan complet de tous les supports amovibles branchés (clic-droit sur l'icône du périphérique et choisis "Scanner les fichiers sélectionnés avec Antivir" )
  
• Durant le scan Antivir va détecter des dossiers/fichiers nommés "Autorun.inf et/ou upt1.UsbFix", ils ne sont pas infectieux, mais accepte quand même leur mise en quarantaine ou leur suppression par Antivir.
  
• Poste moi les rapports de scannes de tous ces périphériques.
  
• Ensuite retourne dans la configuration d'Antivir afin de re-cocher la case "Bloquer la fonction d'autodémarrage"
  
• Valide ces nouveaux paramètres en cliquant en bas de la fenêtre sur "Accepter"
  

 

Il me faut donc le rapport "C:\UsbFix.txt" et les différent rapports Antivir stp

[itsame]

quelles bonnes explications!!

avec ça si on y arrive pas, c'est qu'on est pas doué!

 

Par contre je n'ai pas encore fait la procédure car avira me redis que le TR/crypt est détecté et malwarebyte me détecte 2 fichiers infectés!

 

voila le rapport:

Malwarebytes' Anti-Malware 1.50

www.malwarebytes.org

 

Version de la base de données: 5488

 

Windows 5.1.2600 Service Pack 2

Internet Explorer 6.0.2900.2180

 

10/01/2011 15:50:11

mbam-log-2011-01-10 (15-50-00).txt

 

Type d'examen: Examen rapide

Elément(s) analysé(s): 127687

Temps écoulé: 2 minute(s), 19 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 2

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

c:\WINDOWS\system32\fewh.exe (Backdoor.IRCBot) -> No action taken.

c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\VEXGIPQA\282[1].gif (Extension.Mismatch) -> No action taken.

 

je n'ai pourtant branché aucun périphérique ni téléchargé quoique ce soit à part tes programmes.

 

Je fais quand même la procédure indiquée?

[jeanmimigab]

re,

 

avant de faire la procédure que je t'ai indiqué, on va supprimer les fichiers infectieux présent sur ton PC, fais cela stp...

 

* Télécharge >> OTL <<sur ton bureau.

 

* Fait un double-clic sur l'icône d'OTL pour le lancer

 

* Assure toi d'avoir fermé toutes les applications en court de fonctionnement.

 

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "rapport minimal " soit cochée.

 

* Coches les case situées devant "Tous les utilisateurs", " Recherche LOP" et "Recherche Purity".

 

* Copier et colle le contenue de cette citation dans la partie inférieure d'OTL "personnalisation"

 

NetSvcs

%systemroot%\system32\drivers\*.sys /lockedfiles

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

netsvcs

%SYSTEMDRIVE%\*.exe

/md5start

explorer.exe

userinit.exe

winlogon.exe

wininit.exe

tcpip.sys

Sfloppy.sys

Changer.sys

cdrom.sys

disk.sys

ndis.sys

usbscan.sys

usbprint.sys

tdtcp.sys

tdpipe.sys

swmidi.sys

splitter.sys

rdpwd.sys

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

sceclt.dll

ntelogon.dll

logevent.dll

RASACD.SYS

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

nvrd32.sys

/md5stop

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

 

* Cliques sur l'icône "Analyse" (en haut à gauche) .

* Laisse le scan aller à son terme sans te servir du PC

* A la fin du scan deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( réduit dans la barre des taches).

* Copie et colle les rapports dans ta réponse stp...

* Au cas où, tu peux les retrouver dans le dossier C:\OTL

[itsame]

je suis désolé tu te donnes du mal pour me dire les procédures à suivre mais malheureusement j'ai du re-formater le pc entre temps. J'ai eu une inaccessibilité à pratiquement tout, puis blue screen...

 

du coup je repars avec un pc vierge de tout! je n'ai pris que google et antivir et évidemment téléchargés à nouveau depuis les sites "editeur".

 

donc, si ta patience n'est pas entamée, que faisons nous ( puisque mon disque externe est forcément infecté mais qu'il faut pourtant que je puisse m'en servir un jour où l'autre).

 

l'avantage c'est que le scan du pc par avira ne mets que 40 secondes (on se réconforte comme on peut )