[Résolu] Malware Virtumonde

[Mark]

Hmmm... ça c'est plutôt dommage.. car je croyais que des clés de registre responsables auraient pu être réparées avec cet outil.

 

Avant de penser à faire une réparation de Windows, allons te désactiver la restauration, car de toute façon y a des fichiers infectés dedans !! Et on ne passe pas par le calendrier, alors voyons voir :

 

Fais un clic-droit sur le Poste de Travail, clique "Propriétés" et choisis l'onglet "Restauration du système" ; coche "Désactiver la restauration système sur tous les lecteurs", puis "OK". Redémarre, et retourne au même endroit, puis décoche la case et "OK". Ceci devrait, en principe, te créer un nouveau point de restauration. Retourne au calendrier et dis moi si tu peux y accéder maintenant (on sait jamais...).

 

Si nous devons envisager une réparation de Windows, y faudra que tu fasses des sauvegardes de tes fichiers importants ; la réparation ne supprime pas tes fichiers ou programmes, mais Microsoft conseille fortement de faire les backups, juste au cas où la manip tournerait mal et donc que tu sois obligé de formater le DD. On verra, en temps et lieu.

[John77]

En fait, mon systéme d'exploitation plante assez souvent!!

 

Je pense que c à cause de Shareaza qui est un peer-to-peer de merde!!

Le systéme, plante notamment : Quand je veux quitter un programme, Quand je veux éteindre le PC....En fait, l'execution est ralentie(ouais, en fait, il ne plante quand se ralentissant!!!)!!!Mais, des programme restent impossible à utiliser...Les fenétres restent blanches.(notamment XBC, si tu connais?)

 

De plus, j'ai voulu graver une sauvegarde de DVD, et la création d'une image reste impossible!J'ai lancé les tests présent dans Néro 6 et il me dit qu'il y a un probléme de "médium".Tu sais ce que ça veut dire???

 

Sinon, en voulant graver ce DVD Nero m'a créé un rapport d'erreur, le voici:

 

 

 

Jonathan Dusautoir

 

1A20-0218-0370-2363-8674-1140*

 

Windows XP 5.1

IA32

WinAspi: -

ahead WinASPI: File 'C:\Program Files\Ahead\nero\Wnaspi32.dll': Ver=2.0.1.74, size=164112 bytes, created 26/10/2004 17:35:32

Nero Version: 6.6.0.13

Internal Version: 6, 6, 0, 13c

(Nero Express)

Recorder: <LITE-ON DVDRW SHW-1635S> Version: YS0N - HA 2 TA 1 - 6.6.0.13

Adapter driver: <atapi> HA 2

Drive buffer : 2048kB

Bus Type : via Inquiry data (1) -> ATAPI, detected: ATAPI

Connected to MMC as unknown drive with class-nr : 1

Drive is autodetected - recorder class: Std. MMC recorder

CD-ROM: <LITE-ON DVDRW SHW-1635S >Version: YS0N - HA 2 TA 1 - 6.6.0.13

Adapter driver: <atapi> HA 2

 

=== Scsi-Device-Map ===

CdRomPeripheral : SAMSUNG DVD-ROM SD-616T atapi Port 2 ID 0 DMA: On

CdRomPeripheral : LITE-ON DVDRW SHW-1635S atapi Port 2 ID 1 DMA: On

DiskPeripheral : ST340810A atapi Port 3 ID 0 DMA: On

 

=== CDRom-Device-Map ===

SAMSUNG DVD-ROM SD-616T D: CDRom0

LITE-ON DVDRW SHW-1635S E: CDRom1

=======================

 

AutoRun : 1

Excluded drive IDs:

WriteBufferSize: 66060288 (0) Byte

ShowDrvBufStat : 0

BUFE : 0

Physical memory : 447MB (457968kB)

Free physical memory: 193MB (197964kB)

Memory in use : 56 %

Uncached PFiles: 0x0

Use Inquiry : 1

Global Bus Type: default (0)

Check supported media : Disabled (0)

 

20.1.2006

===== Disc-Copy over image - 1st step : Copy to image ...

 

21:51:48 #1 Text 0 File Reader.cpp, Line 127

Reader running

 

21:51:48 #2 Text 0 File Writer.cpp, Line 122

Writer Image Recorder running

 

21:51:48 #3 Text 0 File DVDCopy.cpp, Line 279

DVD Track-Information from source disc

S01 T01 Con 0x14 Start 0 Len 2286208 (gap 0) Blank 0 Res 0 Dmg 0 Open Trk 0 Mode TRM_DATA_MODE1 (0)

 

21:51:48 #4 Text 0 File DVDCopy.cpp, Line 382

Max -1 tracks of 1 allowed to copy

1: 0 - 2286208 = 2286208, TRM_DATA_MODE1, block size 2048, read opt 0 (no read options)

 

21:51:48 #5 Text 0 File Burncd.cpp, Line 3167

Turn on Disc-At-Once, using DVD media

 

21:51:49 #6 Text 0 File DlgWaitCD.cpp, Line 260

Last possible write address on media: 4718591 (1048:34.41, 9215MB)

Last address to be written: 2286207 (508:02.57, 4465MB)

 

21:51:49 #7 Text 0 File DlgWaitCD.cpp, Line 272

Write in overburning mode: NO (enabled: CD)

 

21:51:49 #8 Text 0 File DlgWaitCD.cpp, Line 2339

Recorder: Image Recorder;

CD type reading failed

ATIP Data: ?

 

21:51:49 #9 Text 0 File DlgWaitCD.cpp, Line 438

>>> Protocol of DlgWaitCD activities: <<<

=========================================

 

21:51:49 #10 Text 0 File ThreadedTransferInterface.cpp, Line 830

Setup items (after recorder preparation)

0: TRM_DATA_MODE1 (1 - Données (mode 1))

2 indices, index0 (150) not provided

original disc pos #0 + 2286208 (2286208) = #2286208/508:2.58

not relocatable, disc pos for caching/writing not required/not required, no patch infos

-> TRM_DATA_MODE1, 2048, config 0, wanted index0 0 blocks, length 2286208 blocks [image Recorder]

--------------------------------------------------------------

 

21:51:49 #11 Text 0 File ThreadedTransferInterface.cpp, Line 1043

Prepare recorder [image Recorder] for write in CUE-sheet-DAO

DAO infos:

==========

MCN: ""

TOCType: 0x40; Session Closed, disc fixated

Tracks 1 to 1:

1: TRM_DATA_MODE1, 2048/0x00, FilePos 0 0 4682153984, ISRC ""

DAO layout:

===========

__Start_|____Track_|_Idx_|_CtrlAdr_|_RecDep__________

0 | lead-in | 0 | 0x41 | 0x00

0 | 1 | 0 | 0x41 | 0x00

0 | 1 | 1 | 0x41 | 0x00

2286208 | lead-out | 1 | 0x41 | 0x00

 

21:51:49 #12 Phase 120 File dlgbrnst.cpp, Line 1832

Creating the image for burning

 

21:51:49 #13 Text 0 File ThreadedTransferInterface.cpp, Line 2609

Verifying disc position of item 0 (not relocatable, no disc pos, no patch infos, orig at #0): write at #0

 

21:52:17 #14 SCSI -1128 File Cdrdrv.cpp, Line 1436

SCSI Exec, HA 2, TA 1, LUN 0, buffer 0x06D01000

Status: 0x04 (0x01, SCSI_ERR)

HA-Status 0x00 (0x00, OK)

TA-Status 0x02 (0x01, SCSI_TASTATUS_CHKCOND)

Sense Key: 0x03 (KEY_MEDIUM_ERROR)

Sense Code: 0x11

Sense Qual: 0x05

CDB Data: 0x28 0x00 0x00 0x01 0x2D 0x80 0x00 0x00 0x20 0x00 0x00 0x00

Sense Data: 0x70 0x00 0x03 0x00 0x00 0x00 0x00 0x0A

0x00 0x00 0x00 0x00 0x11 0x05

 

21:52:17 #15 TRANSFER -25 File Reader.cpp, Line 382

Error reading data

 

21:52:17 #16 Text 0 File Reader.cpp, Line 385

Exception value: -1128

 

21:52:17 #17 Text 0 File ThreadedTransfer.cpp, Line 228

all writers idle, stopping conversion

 

21:52:18 #18 Phase 22 File dlgbrnst.cpp, Line 1832

Reading disc failed

 

 

 

===== Disc-Copy over image - 2nd step : Burn the image ...

 

21:51:48 #1 Text 0 File Reader.cpp, Line 127

Reader running

 

21:51:48 #2 Text 0 File Writer.cpp, Line 122

Writer Image Recorder running

 

21:51:48 #3 Text 0 File DVDCopy.cpp, Line 279

DVD Track-Information from source disc

S01 T01 Con 0x14 Start 0 Len 2286208 (gap 0) Blank 0 Res 0 Dmg 0 Open Trk 0 Mode TRM_DATA_MODE1 (0)

 

21:51:48 #4 Text 0 File DVDCopy.cpp, Line 382

Max -1 tracks of 1 allowed to copy

1: 0 - 2286208 = 2286208, TRM_DATA_MODE1, block size 2048, read opt 0 (no read options)

 

21:51:48 #5 Text 0 File Burncd.cpp, Line 3167

Turn on Disc-At-Once, using DVD media

 

21:51:49 #6 Text 0 File DlgWaitCD.cpp, Line 260

Last possible write address on media: 4718591 (1048:34.41, 9215MB)

Last address to be written: 2286207 (508:02.57, 4465MB)

 

21:51:49 #7 Text 0 File DlgWaitCD.cpp, Line 272

Write in overburning mode: NO (enabled: CD)

 

21:51:49 #8 Text 0 File DlgWaitCD.cpp, Line 2339

Recorder: Image Recorder;

CD type reading failed

ATIP Data: ?

 

21:51:49 #9 Text 0 File DlgWaitCD.cpp, Line 438

>>> Protocol of DlgWaitCD activities: <<<

=========================================

 

21:51:49 #10 Text 0 File ThreadedTransferInterface.cpp, Line 830

Setup items (after recorder preparation)

0: TRM_DATA_MODE1 (1 - Données (mode 1))

2 indices, index0 (150) not provided

original disc pos #0 + 2286208 (2286208) = #2286208/508:2.58

not relocatable, disc pos for caching/writing not required/not required, no patch infos

-> TRM_DATA_MODE1, 2048, config 0, wanted index0 0 blocks, length 2286208 blocks [image Recorder]

--------------------------------------------------------------

 

21:51:49 #11 Text 0 File ThreadedTransferInterface.cpp, Line 1043

Prepare recorder [image Recorder] for write in CUE-sheet-DAO

DAO infos:

==========

MCN: ""

TOCType: 0x40; Session Closed, disc fixated

Tracks 1 to 1:

1: TRM_DATA_MODE1, 2048/0x00, FilePos 0 0 4682153984, ISRC ""

DAO layout:

===========

__Start_|____Track_|_Idx_|_CtrlAdr_|_RecDep__________

0 | lead-in | 0 | 0x41 | 0x00

0 | 1 | 0 | 0x41 | 0x00

0 | 1 | 1 | 0x41 | 0x00

2286208 | lead-out | 1 | 0x41 | 0x00

 

21:51:49 #12 Phase 120 File dlgbrnst.cpp, Line 1832

Creating the image for burning

 

21:51:49 #13 Text 0 File ThreadedTransferInterface.cpp, Line 2609

Verifying disc position of item 0 (not relocatable, no disc pos, no patch infos, orig at #0): write at #0

 

21:52:17 #14 SCSI -1128 File Cdrdrv.cpp, Line 1436

SCSI Exec, HA 2, TA 1, LUN 0, buffer 0x06D01000

Status: 0x04 (0x01, SCSI_ERR)

HA-Status 0x00 (0x00, OK)

TA-Status 0x02 (0x01, SCSI_TASTATUS_CHKCOND)

Sense Key: 0x03 (KEY_MEDIUM_ERROR)

Sense Code: 0x11

Sense Qual: 0x05

CDB Data: 0x28 0x00 0x00 0x01 0x2D 0x80 0x00 0x00 0x20 0x00 0x00 0x00

Sense Data: 0x70 0x00 0x03 0x00 0x00 0x00 0x00 0x0A

0x00 0x00 0x00 0x00 0x11 0x05

 

21:52:17 #15 TRANSFER -25 File Reader.cpp, Line 382

Error reading data

 

21:52:17 #16 Text 0 File Reader.cpp, Line 385

Exception value: -1128

 

21:52:17 #17 Text 0 File ThreadedTransfer.cpp, Line 228

all writers idle, stopping conversion

 

21:52:18 #18 Phase 22 File dlgbrnst.cpp, Line 1832

Reading disc failed

 

 

Existing drivers:

File 'Drivers\ADPU160M.SYS': Ver=v3.60a (Lab01_N(johnstra).010529-2218), size=101888 bytes, created 28/08/2001 13:00:00

File 'Drivers\PXHELP20.SYS': Ver=2.03.28a, size=20640 bytes, created 11/03/2005 23:28:13 (Prassi/Veritas driver for win 2K)

File 'Drivers\atapi.sys': Ver=5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), size=95360 bytes, created 04/08/2004 06:59:42 (Adapter driver for rec)

 

Registry Keys:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon\AllocateCDROMs : 0 (Security Option)

 

 

 

Peux étre que le formatage reste la SEULE SOLUTION!!??

 

@ plus Qc et encore merci...

[John77]

C bon, g viré shareaza.Et ça à l'air de mieux fonctionner!!

 

Pour mon probléme avec une gravure, ct à cause de ce Titre de DVD, j'ai essayé un autre film est ça marche nickel!!

 

Et pour éteindre le PC, j'ai téléchargé un petit logitiel: fastshutdownxp sur zebulon et ça à l'air d'aller nickel aussi!!

 

 

@ plus

[Mark]

Ah ben je suis content d'entendre ça !

 

J'étais plutôt coincé, et ne savais pas trop faire suite à ton dernier post, sauf te suggérer une réparation de Windows..

 

Okay ; as-tu réussi à désactiver la restauration comme je te l'avais suggéré ? As-tu accès aux comptes utilisateurs ?

 

La réparation demeure une option intéressante si ton système est malade, alors j'attends de tes nouvelles !

[John77]

Excuse-moi de mon absence....

 

Je suis Papa depuis 3 jours de mon petit Baptiste qui est arrivé aujourd'hui à sa maison!!!

Je suis tellement occupé et heureux...Si tu veux bien m'accorder un petit peu plus de temps....Pour réussir à me fixer sur l'ordi..

 

 

Merci Qc et @ Bientot

[Invité Stonangel]

Félicitations

[John77]

Aprés le bébé: beaucoup de changement!!!

 

Je n'arrivais plus à me connecté sur internet.

Je décide de réinstaller mon systéme d'exploitation sans perte de données...Et la, plus rien ne fonctionne!!Impossible de démarer l'ordi!!!!!

 

Par ce fameux "F11" je fais une réinstallation du systéme avec formatage rapide!!(Si seulement je savais faire un vrai formatage!!)

Et la, je dois tout réinstaller: mes pilotes de ma nouvelle carte mére et de mes périphériques...!(super!!)

 

Je remarque pleins de virus et de problémes systémes.

Un compte à rebours se met en marche!!!1minutes!!!On me parle d'un programme Issas!!(Qui est toujours dans mon systéme d'exploitation!!!)Ce n'est pas un virus par hazard??

Je retarde mon horloge.

 

Je télécharge Ewido+mise à jour+mode sans échec!!Et la surprise: voici le rapport.

 

 

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 11:16:48, 31/01/2006

+ Somme de contrôle: 62CBB7A7

 

+ Résultats du scan:

 

HKLM\SOFTWARE\Avenue Media -> Spyware.InternetOptimizer : Nettoyer et sauvegarder

HKLM\SOFTWARE\Avenue Media\Internet Optimizer -> Spyware.InternetOptimizer : Nettoyer et sauvegarder

HKLM\SOFTWARE\Avenue Media\Internet Optimizer\Browser Helper -> Spyware.InternetOptimizer : Nettoyer et sauvegarder

HKLM\SOFTWARE\Avenue Media\Internet Optimizer\Browser Helper\cf1 -> Spyware.InternetOptimizer : Nettoyer et sauvegarder

HKLM\SOFTWARE\Classes\CLSID\{00000010-6F7D-442C-93E3-4A4827C2E4C8} -> Spyware.InternetOptimizer : Nettoyer et sauvegarder

HKLM\SOFTWARE\Classes\CLSID\{44BE0690-5429-47F0-85BB-3FFD8020233E} -> Spyware.UCmore : Nettoyer et sauvegarder

HKLM\SOFTWARE\Classes\DyFuCA_BH.BHObj -> Spyware.MoneyTree : Nettoyer et sauvegarder

HKLM\SOFTWARE\Classes\DyFuCA_BH.BHObj\CLSID -> Spyware.MoneyTree : Nettoyer et sauvegarder

HKLM\SOFTWARE\Classes\DyFuCA_BH.BHObj\CurVer -> Spyware.MoneyTree : Nettoyer et sauvegarder

HKLM\SOFTWARE\Classes\DyFuCA_BH.BHObj.1 -> Spyware.MoneyTree : Nettoyer et sauvegarder

HKLM\SOFTWARE\Classes\Interface\{1C01D150-91A4-4DE0-9BF8-A35D1BDF1001} -> Spyware.SafeSurfing : Nettoyer et sauvegarder

HKLM\SOFTWARE\Classes\IObjSafety.DemoCtl -> Spyware.MediaMotor : Nettoyer et sauvegarder

HKLM\SOFTWARE\Classes\IObjSafety.DemoCtl\Clsid -> Spyware.MediaMotor : Nettoyer et sauvegarder

HKLM\SOFTWARE\Classes\TypeLib\{40B1D454-9CA4-43CC-86AA-CB175EAC52FB} -> Spyware.MoneyTree : Nettoyer et sauvegarder

HKLM\SOFTWARE\ClickSpring -> Spyware.PurityScan : Nettoyer et sauvegarder

HKLM\SOFTWARE\Effective-i -> Spyware.EffectiveBrandToolbar : Nettoyer et sauvegarder

HKLM\SOFTWARE\Effective-i\TheSearchAccelerator -> Spyware.EffectiveBrandToolbar : Nettoyer et sauvegarder

HKLM\SOFTWARE\Effective-i\TheSearchAccelerator\IE5 -> Spyware.EffectiveBrandToolbar : Nettoyer et sauvegarder

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Spyware.Alexa : Nettoyer et sauvegarder

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{44BE0690-5429-47f0-85BB-3FFD8020233E} -> Spyware.UCmore : Nettoyer et sauvegarder

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00000010-6F7D-442C-93E3-4A4827C2E4C8} -> Spyware.InternetOptimizer : Nettoyer et sauvegarder

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\AMeOpt -> Spyware.InternetOptimizer : Nettoyer et sauvegarder

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DyFuCA -> Spyware.MoneyTree : Nettoyer et sauvegarder

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Optimizer -> Spyware.InternetOptimizer : Nettoyer et sauvegarder

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Kapabout -> Spyware.InternetOptimizer : Nettoyer et sauvegarder

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\media-motor -> Spyware.MediaMotor : Nettoyer et sauvegarder

HKLM\SOFTWARE\Policies\Avenue Media -> Spyware.InternetOptimizer : Nettoyer et sauvegarder

HKU\.DEFAULT\Software\Avenue Media -> Spyware.InternetOptimizer : Nettoyer et sauvegarder

HKU\.DEFAULT\Software\Effective-i -> Spyware.EffectiveBrandToolbar : Nettoyer et sauvegarder

HKU\.DEFAULT\Software\Effective-i\TheSearchAccelerator -> Spyware.EffectiveBrandToolbar : Nettoyer et sauvegarder

HKU\.DEFAULT\Software\Effective-i\TheSearchAccelerator\IE5 -> Spyware.EffectiveBrandToolbar : Nettoyer et sauvegarder

HKU\.DEFAULT\Software\Maxthon\Plugin\toolbar\{44BE0690-5429-47f0-85BB-3FFD8020233E} -> Spyware.UCmore : Nettoyer et sauvegarder

HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\AMeOpt -> Spyware.InternetOptimizer : Nettoyer et sauvegarder

HKU\.DEFAULT\Software\Policies\Avenue Media -> Spyware.InternetOptimizer : Nettoyer et sauvegarder

HKU\S-1-5-18\Software\Avenue Media -> Spyware.InternetOptimizer : Nettoyer et sauvegarder

HKU\S-1-5-18\Software\Effective-i -> Spyware.EffectiveBrandToolbar : Nettoyer et sauvegarder

HKU\S-1-5-18\Software\Effective-i\TheSearchAccelerator -> Spyware.EffectiveBrandToolbar : Nettoyer et sauvegarder

HKU\S-1-5-18\Software\Effective-i\TheSearchAccelerator\IE5 -> Spyware.EffectiveBrandToolbar : Nettoyer et sauvegarder

HKU\S-1-5-18\Software\Maxthon\Plugin\toolbar\{44BE0690-5429-47f0-85BB-3FFD8020233E} -> Spyware.UCmore : Nettoyer et sauvegarder

HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\AMeOpt -> Spyware.InternetOptimizer : Nettoyer et sauvegarder

HKU\S-1-5-18\Software\Policies\Avenue Media -> Spyware.InternetOptimizer : Nettoyer et sauvegarder

C:\Documents and Settings\Jonathan & Co\Cookies\anyuser@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder

C:\Documents and Settings\Jonathan & Co\Cookies\anyuser@estat[1].txt -> Spyware.Cookie.Estat : Nettoyer et sauvegarder

C:\Documents and Settings\Jonathan & Co\Cookies\anyuser@weborama[1].txt -> Spyware.Cookie.Weborama : Nettoyer et sauvegarder

C:\Documents and Settings\Jonathan & Co\Cookies\[email protected][1].txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder

C:\Documents and Settings\Jonathan & Co\Cookies\jonathan & co@estat[1].txt -> Spyware.Cookie.Estat : Nettoyer et sauvegarder

C:\Documents and Settings\Jonathan & Co\Cookies\jonathan & co@weborama[2].txt -> Spyware.Cookie.Weborama : Nettoyer et sauvegarder

C:\mmxbabysandra.exe -> Downloader.VB.jl : Nettoyer et sauvegarder

C:\Program Files\btbo\tpct.exe -> Downloader.PurityScan.au : Nettoyer et sauvegarder

C:\Program Files\Fichiers communs\InetGet\mc-110-12-0000141.exe -> Spyware.Maxifiles : Nettoyer et sauvegarder

C:\Program Files\Fichiers communs\mzfr\mzfra.exe -> Downloader.TSUpdate.l : Nettoyer et sauvegarder

C:\Program Files\Fichiers communs\mzfr\mzfrd\mzfrc.dll -> Downloader.Small : Nettoyer et sauvegarder

C:\Program Files\Fichiers communs\mzfr\mzfrl.exe -> Downloader.TSUpdate.p : Nettoyer et sauvegarder

C:\Program Files\Fichiers communs\mzfr\mzfrm.exe -> Downloader.TSUpdate.n : Nettoyer et sauvegarder

C:\Program Files\Fichiers communs\mzfr\mzfrp.exe -> Downloader.TSUpdate.f : Nettoyer et sauvegarder

C:\Program Files\Fichiers communs\Windows\mc-110-12-0000141.exe -> Spyware.Maxifiles : Nettoyer et sauvegarder

C:\Program Files\Fichiers communs\Windows\services32.exe -> Spyware.Maxifiles : Nettoyer et sauvegarder

C:\Program Files\Internet Optimizer -> Spyware.InternetOptimizer : Nettoyer et sauvegarder

C:\Program Files\Internet Optimizer\optimize.exe -> Spyware.InternetOptimizer : Nettoyer et sauvegarder

C:\Program Files\Network Monitor\netmon.exe -> Not-A-Virus.Monitor.Win32.NetMon.a : Nettoyer et sauvegarder

C:\Program Files\TheSearchAccelerator\IUCmore.dll -> Spyware.UCmore : Nettoyer et sauvegarder

C:\Program Files\TheSearchAccelerator\UCMTSAIE.dll -> Spyware.UCmore : Nettoyer et sauvegarder

C:\Program Files\Yazzle Sudoku\Sudoku.exe -> Dropper.VB.kk : Nettoyer et sauvegarder

C:\ucmoreiex.exe/UCMTSAIE.DLL -> Spyware.UCmore : Nettoyer et sauvegarder

C:\ucmoreiex.exe/IUCMORE.DLL -> Spyware.UCmore : Nettoyer et sauvegarder

C:\WINDOWS\eee2.exe -> Adware.MediaMotor : Nettoyer et sauvegarder

C:\WINDOWS\eeedo.exe/eee2.exe -> Adware.MediaMotor : Nettoyer et sauvegarder

C:\WINDOWS\mm63.ocx -> Spyware.MediaMotor : Nettoyer et sauvegarder

C:\WINDOWS\nem220.dll -> Downloader.Dyfuca : Nettoyer et sauvegarder

C:\WINDOWS\optimize.exe -> Downloader.Dyfuca.EI : Nettoyer et sauvegarder

C:\WINDOWS\shost.exe -> Backdoor.SdBot.aig : Nettoyer et sauvegarder

C:\WINDOWS\Sm9uYXRoYW4gRHVzYXV0b2ly\asappsrv.dll -> Spyware.CommAd : Nettoyer et sauvegarder

C:\WINDOWS\Sm9uYXRoYW4gRHVzYXV0b2ly\command.exe -> Adware.CommAd : Nettoyer et sauvegarder

C:\WINDOWS\SYSTEM32\config\systemprofile\Bureau\freeprodtb.exe -> Spyware.Maxifiles : Nettoyer et sauvegarder

C:\WINDOWS\SYSTEM32\config\systemprofile\Cookies\anyuser@revenue[1].txt -> Spyware.Cookie.Revenue : Nettoyer et sauvegarder

C:\WINDOWS\SYSTEM32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\GZDA6FXZ\freeprodtb[1].exe -> Spyware.Maxifiles : Nettoyer et sauvegarder

C:\WINDOWS\SYSTEM32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\GZDA6FXZ\MTE3NDI6ODoxNg[1].exe -> Downloader.Small.buy : Nettoyer et sauvegarder

C:\WINDOWS\SYSTEM32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\GZDA6FXZ\ucmoreiex[1].exe/UCMTSAIE.DLL -> Spyware.UCmore : Nettoyer et sauvegarder

C:\WINDOWS\SYSTEM32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\GZDA6FXZ\ucmoreiex[1].exe/IUCMORE.DLL -> Spyware.UCmore : Nettoyer et sauvegarder

C:\WINDOWS\SYSTEM32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\JGM6BDXR\bridge-c18[1].cab/MediaGatewayX.dll -> Adware.WinAD : Nettoyer et sauvegarder

C:\WINDOWS\SYSTEM32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\JGM6BDXR\director_install[1].exe -> Spyware.Maxifiles : Nettoyer et sauvegarder

C:\WINDOWS\SYSTEM32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\JGM6BDXR\mm63[1].ocx -> Spyware.MediaMotor : Nettoyer et sauvegarder

C:\WINDOWS\SYSTEM32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\JGM6BDXR\optimize[1].exe -> Downloader.Dyfuca.EI : Nettoyer et sauvegarder

C:\WINDOWS\SYSTEM32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\JGM6BDXR\stub_113_4_0_4_0[1].exe -> Downloader.TSUpdate.o : Nettoyer et sauvegarder

C:\WINDOWS\SYSTEM32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\WZFCKLW9\drsmartload[1].exe -> Downloader.Adload.j : Nettoyer et sauvegarder

C:\WINDOWS\SYSTEM32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\WZFCKLW9\eeedo[1].exe/eee2.exe -> Adware.MediaMotor : Nettoyer et sauvegarder

C:\WINDOWS\SYSTEM32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\WZFCKLW9\nem220[1].dll -> Downloader.Dyfuca : Nettoyer et sauvegarder

C:\WINDOWS\SYSTEM32\eraseme_31315.exe -> Backdoor.SdBot.aig : Nettoyer et sauvegarder

C:\WINDOWS\SYSTEM32\eraseme_86622.exe -> Backdoor.SdBot.aig : Nettoyer et sauvegarder

C:\WINDOWS\SYSTEM32\Isass.exe -> Backdoor.Rbot.apd : Nettoyer et sauvegarder

C:\WINDOWS\SYSTEM32\psyjtja.exe -> Backdoor.Rbot : Nettoyer et sauvegarder

C:\WINDOWS\SYSTEM32\winabra.exe -> Backdoor.Rbot : Nettoyer et sauvegarder

C:\WINDOWS\SYSTEM32\winIogon.exe -> Backdoor.PoeBot.b : Nettoyer et sauvegarder

C:\WINDOWS\winsys\download.exe -> Trojan.LowZones.cq : Nettoyer et sauvegarder

C:\WINDOWS\winsys\index1.exe -> Trojan.LowZones.cf : Nettoyer et sauvegarder

C:\WINDOWS\winsys.exe/winsys\download.exe -> Trojan.LowZones.cq : Nettoyer et sauvegarder

C:\WINDOWS\winsys.exe/winsys\index1.exe -> Trojan.LowZones.cf : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

De plus, j'ai un programme: main3.exe que ZoneAlarm n'arrive pas à identifier et, donc, je stoppe l'accés à internet!!Tu sais ce que c'est ce programme!!

 

Enfin, aprés tout ça,ça m'étonnerait que mon systéme d'exploitation soit sein!!

 

Voici un rapport Hijack:

 

Logfile of HijackThis v1.99.1

Scan saved at 22:08:05, on 31/01/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\taskmgrs.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\btbo\tpct.exe

C:\WINDOWS\System32\n?tepad.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\DOCUME~1\JONATH~1\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - {F37D3446-FFF3-8723-D59A-D70FA39C4EC7} - C:\WINDOWS\System32\vguwl.dll

F2 - REG:system.ini: UserInit="main3.exe" - -

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {F37D3446-FFF3-8723-D59A-D70FA39C4EC7} - C:\WINDOWS\System32\vguwl.dll

O4 - HKLM\..\Run: [OemReset] %systemroot%\OPTIONS\OEMRESET.EXE /AUDIT

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [ihost.exe] C:\taskmgrs.exe

O4 - HKLM\..\Run: [TIAP] C:\windows\eee2.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"

O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P36 "EPSON Stylus DX3800 Series (Copie 1)" /O5 "LPT1:" /M "Stylus DX3800"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Aeam] "C:\Program Files\btbo\tpct.exe" -vt mt

O4 - HKCU\..\Run: [Vuax] C:\WINDOWS\System32\n?tepad.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1138700657048

O17 - HKLM\System\CCS\Services\Tcpip\..\{413A4BAE-C6B7-47B2-BAB0-08F5129CBB0F}: NameServer = 86.64.145.154 86.64.145.144

O17 - HKLM\System\CS1\Services\Tcpip\..\{413A4BAE-C6B7-47B2-BAB0-08F5129CBB0F}: NameServer = 86.64.145.154 86.64.145.144

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: winmul32 - winmul32.dll (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing)

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe

 

 

 

Merci par avance.

 

Ps: Merci Stonangel

ps2: de plus, impossible d'exécuter EasyCleaner: le programme ne se lance pas!

[Mark]

Salut John, et toutes mes félicitations pour le nouveau bébé

 

Ouaip, tu as été frappé, et fort !! Quand on formate une bécane et que l'on demeure connecté au net, le système est très vulnérable aux virus qui circulent (famille Blaster/Sasser/Welchia), car tu n'as pas encore les MAJs pour Windows, et ton antivirus n'est pas encore installé. Ce sont eux qui te donnent le compte à rebours de 60 secondes.. La solution, afin d'éviter cela, c'est de se déconnecter durant le formatage, et d'activer le parefeu de Windows avant de reconnecter ; ensuite, on installe l'antivirus et puis on visite Windows Update. Mais bon... je ne t'avais pas encore averti !

 

Ok, passons quelques outils/scans, car il y a beaucoup de bestioles présentes :

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Télécharge ATF Cleaner par Atribune. Ne le lance pas tout de suite.

 

Un autre outil : eScan ;

 

Étape 1:

Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau.

Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

 

Étape 2:

Voici comment mettre l'outil à jour :

 

1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (Kaspersky) situé à la racine du lecteur C:\ (C:\Kaspersky.). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").

 

2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

 

3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer.

 

Ne pas lancer le scan tout de suite !

 

Étape 3:

Redémarre en mode Sans Échec, et lance ATF-Cleaner selon cette méthode :

• Double-clique ATF-Cleaner.exe afin de lancer le programme.
  Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected
  

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

 

 

Étape 4:

Du mode Sans Échec, voici comment utiliser eScan :

 

1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky

 

2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.

 

3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

 

4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.

 

5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

 

6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !

 

7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

 

Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse, avec un nouveau rapport HijackThis!.

 

**Note : si tu as réinstallé tous les pilotes et programmes, alors ça signale un "vrai" formatage. Ton système a été atteint par ces infections, de toute évidence, mais ça se répare. Il restera quelques rebus dans ta bdr, c'est inévitable. Tu pourrais toujours formater à nouveau, afin de repartir à neuf, mais ce n'est pas obligatoire !! Libre à toi, bien sûr..

[John77]

Voila...J'ai fait tout ce que tu m'as dit......!Et, mon systéme a planté!!!

Plus moyen d'entrer dans ma session!!!

 

Donc j'ai réinstallé le systéme avec un formatage rapide, mais ce coup ci, j'ai activé le parefeu windows et mis mon antivirus et mes maj tout de suite!!Je pense que c'était le mieux à faire car maintenant mon systéme à l'air nickel!!!Tout marche super bien!!

 

Avant, aprés ma réinstallation et mes maj, impossible d'activer mon parefeu windows par exemple...Et la, miracle, je peux!!!!(donc je vais évité d'utiliser ZoneAlarm: qu'est ce que t'en pense??).

 

Sinon, si peux m'orienter vers des petites analyses pour voir si mon systéme est réellement sain(si c'est necessaire!!).

 

@ plus!

[pitcat]

bonsoir:

c'est normal zone alarme desactive le pare-feux de xp qui est de toute facon moin bien que za qui filtre en sortie lui ;pour parramettrer za:

http://speedweb1.free.fr/frames2.php?page=tuto1

voila à+

ps 1 seul pare-feux et 1 seul antivirus

Modifié le 3 février 2006 par pitcat