Posez votre question Format imprimable Liste des forums Aidez-les Statistiques Rechercher Charte Forum Virus-Sécurité

D:\resycled\boot.com [WORM/AutoTDSS.JW]

Dernière réponse le 6 jan 2009 à 15:27:58 varach, le 6 jan 2009 à 11:59:13

Signaler ce message aux modérateurs

Bonjour,

Antivir me trouve ce ci [D:\resycled\boot.com [WORM/AutoTDSS.JW]], mes mises a jour Xp semblent ne plus marcher ..

Merci d avance de me guider ..

Yann

Configuration: Windows XP
Internet Explorer 7.0

Meilleures réponses pour « D:\resycled\boot.com [WORM/AutoTDSS.JW] » dans :

Resycled/boot.com pas app win32 valide (Résolu) Voir

Resycled\boot.com (Résolu) Voir

C:\resycled\boot.com n'est pas une applicatio (Résolu) Voir

Dual boot Windows XP / Windows Vista VoirRemarque importante : L'utilitaire utilisé dans cette astuce (Vista Boot Pro) n'est plus gratuit. La solution alternative est expliquée dans cette astuce : Réaliser un multiboot Introduction Installer XP puis Vista Installer XP par...

[Windows] Booster Windows XP VoirComment booster Windows XP? Nous allons voir ici plusieurs astuces afin d'arriver à ce résultat. Accélérer le démarrage de Windows avec Bootvis Accélérer Windows XP ZN Soft Optimizer XP Accélérer les accès disque Petites astuces Désactiver...

Créer une disquette de boot sous XP VoirPour créer une disquette de démarrage DOS (disquette de boot) sous Windows XP : Allez dans le Poste de travail Cliquez-droit sur le lecteur de disquettes puis sélectionnez l'option "Formater". Une nouvelle option est maintenant présente...

Aide probleme avec le ver c:resycled\boot.com (Résolu) Voir

WORM/AutoTDSS.IB (Résolu) Voir

Resycled/boot.com introuvable Voir

Télécharger Ultimate Boot CD VoirUltimate Boot CD (UBCD) est un CD bootable contenant une panoplie d'outils pouvant se révéler d'une grande utilité lorsque le système refuse de démarrer : diagnostic disque dur (Maxtor, Seagate, Samsung, Western Digital et IBM) clonage de disque...

Télécharger Vista Boot Pro Voir

Télécharger EMule Super Booster VoireMule Super Booster est une extension du programme de partage eMule. Cette nouvelle technologie vous permet de transférer plus rapidement les fichiers que vous désirez à partir du programme. eMule Super Booster garantit que votre bande passante sera...

Bewan VPN Booster 32 Voir

Bewan VPN Booster 32G Voir

Ratchet & Clank Future: Quest for Booty Voir

Disquette boot VoirDisquette système Une disquette système, appelée parfois disquette de boot, est une disquette qui permet de démarrer l'ordinateur lorsque le système d'exploitation ne répond plus, dans le cas d'un virus par exemple. Cette disquette contient...

Algèbre de Boole VoirQu'appelle-t-on algèbre de Boole? Un processeur est composé de transistors permettant de réaliser des fonctions sur des signaux numériques. Ces transistors, assemblés entre eux forment des composants permettant de réaliser des fonctions très...

Javascript: l'objet Boolean VoirLes particularités de l'objet Boolean L'objet Boolean est un objet du noyau Javascript permettant de créer et de manipuler des valeurs de type booléennes. Voici la syntaxe à utiliser pour créer une variable booléenne : var x = new...

Salut Télécharge UsbFix sur ton bureau --> Lance l'installation Lire la suite

Posez votre question Répondre

chimay8, le 6 jan 2009 à 12:05:34

Salut

Télécharge UsbFix sur ton bureau

--> Lance l'installation avec les paramètres par défaut

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptibles d'avoir été infectées sans les ouvrir.

--> Double clic sur le raccourci UsbFix sur ton bureau

--> Choisis l'option nettoyage

--> Le pc va redémarer

-->Après redémarrage poste le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque
Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide!

/!\ "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

ensuite

Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Avant de telecharger clic sur enregistrer renomme le en killbagle et enregistre le sur le bureau

-> Double clique sur killbagle.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

Une fois fait, sur ton bureau double-clic sur killbagle.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. Bouh!! Les méchants virus...

Répondre à chimay8

varach, le 6 jan 2009 à 12:51:15

Merci de ton aide

le premier rapport

 

-------------- UsbFix V2.413.9 ---------------

* User : Utilisateur - YANNV
* Outils mis a jours le 05/01/2009 par Chiquitine29 et Chimay8
* Recherche effectuée à 12:47:12 le 06/01/2009
* Windows Xp - Internet Explorer 7.0.5730.13 
  
  
--------------- [ Processus actifs ] ----------------   
  
 
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avwsc.exe
C:\Program Files\Fichiers communs\ArchestrA\aaLogger.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\program files\common files\Siemens\sws\almsrv\almsrvx.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\program files\common files\Siemens\ACE\bin\CCAgent.exe
C:\program files\common files\Siemens\ACE\bin\CCEServer.exe
C:\Program Files\Fichiers communs\ArchestrA\NTServApp.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\program files\common files\Siemens\ALMPanelPlugin\ALMPanelPlugin.exe
C:\Program Files\LogMeIn\x86\RaMaint.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\LogMeIn\x86\LogMeIn.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
  
--------------- [ Informations lecteurs ] ----------------   
  
C: - Lecteur fixe

D: - Lecteur fixe

 
+- Contenu de l'autorun : C:\autorun.inf  

[autorun]
;ngnywlszkdlkkhiccbukevmovhnuovvierxcsuvraykgqkxuqaichxtfrvlfftcxveglteinwqeusukvoagplomrfwbizitbfqjlrh
shellexecute="resycled\boot.com c:"
;jpbxbgzboockmngmdaxauylddqsbhmujbfigakpsmmedthhkhqkcgkdgvtfxaepbxknetdkhazztbp
shell\Open\command="r
 
+- Contenu de l'autorun : D:\autorun.inf  

[autorun]
;czchwsimtxooyqkdhethotkcuicylrjzbwrsowhpbmvblfvfsmdqdtwqhdrpesifgnopiwupsf
shellexecute="resycled\boot.com d:"
;wqhoqpgbyfombixspfnfamtoktqcguncpmirsfxnzhovwovzefbaqs
shell\Open\command="resycled\boot.com d:"
;knwizayteusqstqgjxxhvladdrhod

--------------- [ Lecteur C ] ---------------- 

C: - Lecteur fixe


+- Listing des fichiers présents :

[15/11/2007 21:04][--a------] C:\AUTOEXEC.BAT   
[03/08/2004 21:38][-rahs----] C:\NTDETECT.COM   
[16/11/2007 01:39][---hs----] C:\boot.ini   
[31/12/2008 11:13][-r-hs----] C:\autorun.inf   
[19/12/2008 07:02][--a------] C:\licenceRdd.txt   
[19/12/2008 07:02][--a------] C:\moduleName.txt   
[19/12/2008 07:02][--a------] C:\UsbFix.txt   
[15/11/2007 21:04][--a------] C:\CONFIG.SYS   
[15/11/2007 21:04][--a------] C:\IO.SYS   
[15/11/2007 21:04][--a------] C:\MSDOS.SYS   
[15/11/2007 21:04][--a------] C:\pagefile.sys   

--------------- [ Lecteur D ] ---------------- 

D: - Lecteur fixe


+- Listing des fichiers présents :

[31/12/2008 11:13][-r-hs----] D:\autorun.inf   
  
--------------- [ Registre / Startup ] ----------------   
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
  
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] 
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
  
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
   ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
   StartCCC=C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
   QlbCtrl=%ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
   SynTPEnh=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
   SoundMAXPnP=C:\Program Files\Analog Devices\Core\smax4pnp.exe
   WinVNC="C:\Program Files\UltraVNC\WinVNC.exe" -servicehelper
   LogMeIn GUI="C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
   ISUSPM Startup=C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
   ISUSScheduler="C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
   S7UB Start="C:\program files\common files\Siemens\S7ubtoox\s7ubtstx.exe" -StartDB
   WinCC flexible Smart Start="C:\Program Files\Siemens\SIMATIC WinCC flexible\WinCC flexible 2008\HmiSmartStart.exe" /startup
   Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
   Client Access Service="C:\Program Files\IBM\Client Access\cwbsvstr.exe"
   Client Access Help Update="C:\Program Files\IBM\Client Access\cwbinhlp.exe"
   Client Access Check Version="C:\Program Files\IBM\Client Access\cwbckver.exe" LOGIN
   Client Access Express Welcome="C:\Program Files\IBM\Client Access\cwbwlwiz.exe"
   Client Access PC5250 Sound="C:\Program Files\IBM\Client Access\Emulator\pcssnd.exe"
   avgnt="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min /nosplash
   SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
   <NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
   Installed=1
   <NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
   NoChange=1
   Installed=1
   <NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
   Installed=1
   <NO NAME>=
  
--------------- [ Registre / Mountpoint2 ] ----------------   
  
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{263ba239-b234-11dd-a5cd-001a4b698dbe}\Shell\AutoRun\command  
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a73418f2-afab-11dc-a404-001a4b698dbe}\Shell\AutoRun\command  
  
--------------- [ Nettoyage des disques ] ----------------   
   
Supprimé ! - [05/09/2008 07:51][--a------] C:\WINDOWS\system32\tmp.reg    
C:\autorun.inf ~> fichier appelé : "C:\"r" ( absent ! )  
D:\autorun.inf ~> fichier appelé : "D:\"resycled\boot.com d:"" ( absent ! )  
Supprimé ! - [31/12/2008 11:13][-r-hs----] C:\autorun.inf    
Supprimé ! - [31/12/2008 11:13][-r-hs----] D:\autorun.inf    
Supprimé ! - [06/01/2009 11:50][dr-hs----] D:\resycled    
  
--------------- [ Resumé ] ----------------   
  
 -> /!\ Le resultat doit etre interprété par un spécialiste  /!\   
  
[15/11/2007 21:04][--a------] C:\AUTOEXEC.BAT   
[03/08/2004 21:38][-rahs----] C:\NTDETECT.COM   
[16/11/2007 01:39][---hs----] C:\boot.ini   
   
--------------- [ Vaccination ] ----------------   
   
C:\autorun.inf -> Dossier autorun.inf crée par UsbFix !  
D:\autorun.inf -> Dossier autorun.inf crée par UsbFix !  
 
--------------- ! Fin du rapport ! ----------------

Répondre à varach

varach, le 6 jan 2009 à 12:58:10

Le second

ComboFix 09-01-05.05 - Utilisateur 2009-01-06 12:52:56.9 - NTFSx86
Microsoft Windows XP Professionnel  5.1.2600.2.1252.1.1036.18.2047.1417 [GMT 1:00]
Lancé depuis: c:\documents and settings\Utilisateur\Bureau\killbagleexe.exe
 * Un nouveau point de restauration a été créé

[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/B/COLOR
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Downloaded Program Files\setup.inf

.
(((((((((((((((((((((((((((((   Fichiers créés du 2008-12-06 au 2009-01-06  ))))))))))))))))))))))))))))))))))))
.

2009-01-06 12:44 . 2009-01-06 12:47	<REP>	d--------	c:\program files\UsbFix
2009-01-06 11:51 . 2009-01-06 11:53	<REP>	d--------	c:\program files\SafeSoft
2009-01-05 13:39 . 2009-01-05 13:39	0	--a------	c:\windows\licview.INI
2009-01-05 13:28 . 2009-01-05 13:29	214,528	--a------	C:\[u]0/u9010500.lgh
2009-01-05 13:28 . 2009-01-05 13:29	30,720	--a------	C:\[u]0/u9010500.idx
2009-01-05 11:03 . 2009-01-05 11:38	<REP>	d--------	c:\program files\a-squared Anti-Malware
2009-01-05 09:29 . 2009-01-05 09:30	<REP>	d--------	c:\program files\TTERMPRO
2009-01-05 09:28 . 2009-01-05 09:29	43	--a------	c:\windows\iltwain.ini
2008-12-31 08:06 . 2008-12-31 08:06	<REP>	d--------	c:\documents and settings\Utilisateur\Application Data\ArchestrA
2008-12-31 07:48 . 2008-12-31 07:48	0	--a------	c:\windows\aaLicView.INI
2008-12-31 07:38 . 2008-12-31 07:38	<REP>	d--------	c:\program files\Wonderware
2008-12-31 07:38 . 2008-12-31 07:38	<REP>	d--------	c:\program files\Rainbow Technologies
2008-12-31 07:38 . 2009-01-05 13:21	<REP>	d--------	c:\program files\Fichiers communs\ArchestrA
2008-12-31 07:38 . 2008-12-31 07:38	<REP>	d--------	c:\documents and settings\All Users\Application Data\Wonderware
2008-12-31 07:38 . 2008-12-31 07:39	<REP>	d--------	c:\documents and settings\All Users\Application Data\ArchestrA
2008-12-22 09:34 . 2008-12-22 09:34	<REP>	d--------	c:\program files\Google
2008-12-17 13:06 . 2008-12-17 13:06	<REP>	d--------	c:\program files\Microsoft
2008-12-17 13:05 . 2008-12-17 13:05	<REP>	d--------	c:\program files\Windows Live SkyDrive
2008-12-11 07:27 . 2008-12-11 07:27	<REP>	d--------	c:\documents and settings\All Users\Application Data\Hewlett-Packard
2008-12-08 08:57 . 2008-12-15 08:17	593	--a------	c:\windows\imsins.BAK
2008-12-08 08:47 . 2008-10-16 14:08	27,672	--a------	c:\windows\system32\wuapi.dll.mui

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-06 07:17	---------	d-----w	c:\program files\Advanced IP Scanner
2009-01-06 05:32	---------	d-----w	c:\program files\LogMeIn
2008-12-31 10:53	---------	d--h--w	c:\program files\InstallShield Installation Information
2008-12-31 10:33	---------	d-----w	c:\program files\Malwarebytes' Anti-Malware
2008-12-30 10:57	---------	d-----w	c:\program files\Siemens
2008-12-29 13:02	---------	d-----w	c:\program files\CS6
2008-12-17 12:11	---------	d-----w	c:\program files\Messenger Plus! Live
2008-12-17 12:05	---------	d-----w	c:\program files\Windows Live
2008-12-08 13:42	---------	d-----w	c:\documents and settings\Utilisateur\Application Data\U3
2008-12-05 12:41	---------	d-----w	c:\program files\Java
2008-12-03 18:52	38,496	----a-w	c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-03 18:52	15,504	----a-w	c:\windows\system32\drivers\mbam.sys
2008-12-02 21:37	49,480	----a-w	c:\windows\system32\sirenacm.dll
2008-11-25 08:03	---------	d-----w	c:\documents and settings\Utilisateur\Application Data\TomTom
2008-11-25 08:03	---------	d-----w	c:\documents and settings\All Users\Application Data\TomTom
2008-11-25 07:57	---------	d-----w	c:\program files\TomTom DesktopSuite
2008-11-17 06:30	---------	d-----w	c:\documents and settings\All Users\Application Data\Messenger Plus!
2008-11-14 13:35	---------	d-----w	c:\documents and settings\All Users\Application Data\WLInstaller
2008-11-14 10:29	---------	d-----w	c:\program files\Trend Micro
2008-11-14 07:44	---------	d-----w	c:\documents and settings\Utilisateur\Application Data\Tyre
2008-11-13 15:18	---------	d-----w	c:\program files\Microsoft Silverlight
2008-11-13 08:49	---------	d-----w	c:\program files\Fichiers communs\SWF Studio
2008-11-13 07:21	---------	d-----w	c:\program files\PS-Wizard
2008-11-10 04:43	410,984	----a-w	c:\windows\system32\deploytk.dll
2008-11-07 13:08	---------	d-----w	c:\program files\Avira
2008-11-07 13:08	---------	d-----w	c:\documents and settings\All Users\Application Data\Avira
2008-11-06 07:06	---------	d-----w	c:\program files\PDF Editeur 2
2008-11-06 07:06	---------	d-----w	c:\program files\Fichiers communs\XPressUpdate
2008-10-18 05:34	87,352	----a-w	c:\windows\system32\LMIinit.dll
2008-10-18 05:34	83,288	----a-w	c:\windows\system32\LMIRfsClientNP.dll
2008-10-18 05:34	28,984	----a-w	c:\windows\system32\LMIport.dll
2008-10-18 05:34	23,736	----a-w	c:\windows\system32\lmimirr.dll
2008-10-18 05:34	10,040	----a-w	c:\windows\system32\lmimirr2.dll
2008-10-16 20:18	826,368	----a-w	c:\windows\system32\wininet.dll
2008-10-16 13:13	1,809,944	----a-w	c:\windows\system32\wuaueng.dll
2008-10-16 13:12	561,688	----a-w	c:\windows\system32\wuapi.dll
2008-10-16 13:12	323,608	----a-w	c:\windows\system32\wucltui.dll
2008-10-16 13:12	202,776	----a-w	c:\windows\system32\wuweb.dll
2008-10-16 13:09	92,696	----a-w	c:\windows\system32\cdm.dll
2008-10-16 13:09	51,224	----a-w	c:\windows\system32\wuauclt.exe
2008-10-16 13:09	43,544	----a-w	c:\windows\system32\wups2.dll
2008-10-16 13:08	34,328	----a-w	c:\windows\system32\wups.dll
2008-10-16 13:07	208,744	----a-w	c:\windows\system32\muweb.dll
2008-04-10 12:54	88	--sh--r	c:\documents and settings\All Users\Application Data\3B54EF5A91.sys
2008-04-10 12:54	2,516	--sha-w	c:\documents and settings\All Users\Application Data\KGyGaAvL.sys
1998-04-27 18:15	570,128	------w	c:\program files\Fichiers communs\dao350.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-06-11 163840]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-06-07 827392]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2007-01-05 872448]
"WinVNC"="c:\program files\UltraVNC\WinVNC.exe" [2006-06-18 712704]
"LogMeIn GUI"="c:\program files\LogMeIn\x86\LogMeInSystray.exe" [2007-09-12 63048]
"ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-04-17 196608]
"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-04-13 69632]
"S7UB Start"="c:\program files\common files\Siemens\S7ubtoox\s7ubtstx.exe" [2008-07-14 102453]
"WinCC flexible Smart Start"="c:\program files\Siemens\SIMATIC WinCC flexible\WinCC flexible 2008\HmiSmartStart.exe" [2008-08-02 114688]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"Client Access Service"="c:\program files\IBM\Client Access\cwbsvstr.exe" [2005-06-09 20530]
"Client Access Help Update"="c:\program files\IBM\Client Access\cwbinhlp.exe" [2005-06-09 24626]
"Client Access Check Version"="c:\program files\IBM\Client Access\cwbckver.exe" [2005-06-09 45106]
"Client Access Express Welcome"="c:\program files\IBM\Client Access\cwbwlwiz.exe" [2005-06-09 20480]
"Client Access PC5250 Sound"="c:\program files\IBM\Client Access\Emulator\pcssnd.exe" [2005-06-09 40960]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-10 136600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\Utilisateur\Menu D‚marrer\Programmes\D‚marrage\
SyncBack.lnk - c:\program files\2BrightSparks\SyncBack\SyncBack.exe [2008-07-08 2936064]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-02-06 561213]
start.bat [2008-11-06 226]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
2008-10-18 06:34 87352 c:\windows\system32\LMIinit.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= msaud32_divx.acm

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\[u]0/u

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\UltraVNC\\winvnc.exe"=
"c:\\Program Files\\Siemens\\Step7\\S7BIN\\S7tgtopx.exe"=
"c:\\Program Files\\Siemens\\Step7\\S7INF\\S7usiapx.exe"=
"c:\\WINDOWS\\system32\\s7otbxsx.exe"=
"c:\\Program Files\\common files\\Siemens\\ace\\bin\\CCAgent.exe"=
"c:\\Program Files\\common files\\Siemens\\ace\\bin\\CCEServer.exe"=
"c:\\Program Files\\common files\\Siemens\\ace\\bin\\RedundancyControl.exe"=
"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Program Files\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2008\\HmiES.exe"=
"c:\\Program Files\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2008\\TraceServer.exe"=
"c:\\Program Files\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2008 Runtime\\Miniweb.exe"=
"c:\\Program Files\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2008 Runtime\\SmartServer.exe"=
"c:\\Program Files\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2008 Runtime\\HmiLoad.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Fichiers communs\\ArchestrA\\aaLogger.exe"=
"c:\\Program Files\\Fichiers communs\\ArchestrA\\slssvc.exe"=
"c:\\Program Files\\Wonderware\\InTouch\\wm.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\WINDOWS\\system32\\OpcEnum.exe"=
"c:\\WINDOWS\\system32\\dllhost.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"445:TCP"= 445:TCP:@xpsp2res.dll,-22005
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"102:TCP"= 102:TCP:DAS SI 102
"135:TCP"= 135:TCP:DCOM 135
"502:TCP"= 502:TCP:Modicon 502
"1434:UDP"= 1434:UDP:SQL Server Browser 1434
"1433:TCP"= 1433:TCP:SQL TCP 1433
"2221:TCP"= 2221:TCP:DAS ABTCP 2221
"2222:TCP"= 2222:TCP:DAS ABTCP 2222
"2223:TCP"= 2223:TCP:DAS ABTCP 2223
"5413:TCP"= 5413:TCP:Port 5413
"80:TCP"= 80:TCP:SuiteVoyager 80
"443:TCP"= 443:TCP:SuiteVoyager 443
"9001:TCP"= 9001:TCP:vista 9001
"9002:TCP"= 9002:TCP:EnvMngr 9002
"9003:TCP"= 9003:TCP:MsgMngr 9003
"9004:TCP"= 9004:TCP:SecMngr 9004
"9006:TCP"= 9006:TCP:RedMngr 9006
"9007:TCP"= 9007:TCP:UnilinkMngr 9007
"9008:TCP"= 9008:TCP:BatchMngr 9008
"9011:TCP"= 9011:TCP:LogMngr 9011
"9012:TCP"= 9012:TCP:InfoMngr 9012
"9013:UDP"= 9013:UDP:RedMngrX 9013
"9014:UDP"= 9014:UDP:RedMngrX2 9014
"9015:TCP"= 9015:TCP:HistQMngrvista 9015
"9016:TCP"= 9016:TCP:HistQReader 9016
"44818:TCP"= 44818:TCP:Logix 44818

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\RemoteAdminSettings]
"Enabled"= 0 (0x0)

R3 fwkbdrtm;fwkbdrtm;c:\windows\system32\drivers\fwkbdrtm.sys [2008-08-01 5632]
R4 almservice;Automation License Manager Service;c:\program files\common files\Siemens\SWS\almsrv\almsrvx.exe [2008-05-20 1146880]
R4 CCAgent;CCAgent;c:\program files\common files\Siemens\ace\bin\CCAgent.exe [2007-06-28 266307]
R4 CCEServer;CCEServer;c:\program files\common files\Siemens\ace\bin\CCEServer.exe [2007-06-28 192581]
R4 Dpmtrcdd;Dpmtrcdd;c:\windows\system32\drivers\dpmtrcdd.sys [2007-06-25 28363]
R4 LMIInfo;LogMeIn Kernel Information Provider;c:\program files\LogMeIn\x86\rainfo.sys [2007-09-12 12856]
R4 LMIRfsDriver;LogMeIn Remote File System Driver;c:\windows\system32\drivers\LMIRfsDriver.sys [2007-11-19 47640]
R4 MSSQL$WINCCFLEXEXPRESS;SQL Server (WINCCFLEXEXPRESS);c:\program files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2008-02-26 29183504]
R4 Peakcan;Peakcan;c:\windows\system32\drivers\PEAKCAN.SYS [2007-12-03 177296]
R4 RedundancyControl;RedundancyControl;c:\program files\common files\Siemens\ace\bin\RedundancyControl.exe [2007-06-28 331853]
R4 RedundancyState;RedundancyState;c:\program files\common files\Siemens\ace\bin\RedundancyState.exe [2007-06-28 110667]
R4 s7asysvx;S7 Global Services;c:\program files\Siemens\Step7\S7BIN\s7asysvx.exe [2008-07-14 69685]
R4 s7odpx2x;SIMATIC MPI/PROFIBUS DPX2 Driver;c:\windows\system32\drivers\s7odpx2x.sys [2008-07-03 77312]
R4 s7oiehsx;SIMATIC IEPG Help Service;c:\program files\common files\Siemens\S7IEPG\s7oiehsx.exe [2008-07-03 1571912]
R4 S7opcsrtx;PROFINET IO RT-Protocol (LLDP);c:\windows\system32\drivers\s7opcsrtx.sys [2008-07-03 31232]
R4 s7osmcax;s7osmcax;c:\windows\system32\drivers\s7osmcax.sys [2008-07-03 173568]
R4 s7snsrtx;PROFINET IO RT-Protocol;c:\windows\system32\drivers\s7snsrtx.sys [2007-07-30 71168]
R4 S7TraceServiceX;S7TraceServiceX;c:\program files\Fichiers communs\Siemens\Automation\TraceEngine\bin\S7TraceServiceX.exe [2008-07-03 240712]
R4 SCSMonitor;SCSMonitor;c:\program files\common files\Siemens\ace\bin\SCSMX.exe [2007-06-28 122945]
S3 CCEClient;CCEClient;c:\program files\common files\Siemens\ace\bin\CCEClient.exe [2007-06-28 225349]
S3 dpmcslv;dpmcslv;c:\windows\system32\drivers\dpmcslv.sys [2005-07-04 68280]
S3 S5S7DRV;S5S7DRV;c:\s5w\s5s7drv.sys [2008-04-24 51640]
S3 s7oefs_x;SIMATIC MPI/EFS Driver;c:\windows\system32\drivers\s7oefs_x.sys [2002-10-18 30512]
S3 s7oppinx;s7oppinx;c:\windows\system32\drivers\s7oppinx.sys [2008-07-03 124928]
S3 S7OUPC2X;SIMATIC PC Adapter USB Driver;c:\windows\system32\drivers\s7oupc2x.sys [2007-11-19 21536]
S4 LMIRfsClientNP;LMIRfsClientNP; [x]
S4 SsfdcPp;Parallel Port Ssfdc Programmer Driver;c:\windows\system32\drivers\SsfdcPp.sys [2007-12-12 12583]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
.
Contenu du dossier 'Tâches planifiées'

2009-01-06 c:\windows\Tasks\SyncBack Pc Vers H.job
- c:\program files\2BrightSparks\SyncBack\SyncBack.exe [2008-02-12 10:19]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyServer = 192.168.1.2:8080
uInternet Settings,ProxyOverride = <local>
Trusted Zone: chat.tchatche.com
Trusted Zone: fr.mg40.mail.yahoo.com

c:\windows\bdoscandellang.ini - c:\windows\bdoscandel.exe
c:\windows\Downloaded Program Files\live.ini
c:\windows\Downloaded Program Files\scanoptions.tsi
c:\windows\Downloaded Program Files\lang.ini
c:\windows\Downloaded Program Files\ipsupd.dll
c:\windows\Downloaded Program Files\bdupd.dll
c:\windows\Downloaded Program Files\libfn.dll
c:\windows\Downloaded Program Files\bdcore.dll
c:\windows\Downloaded Program Files\oscan8.ocx
O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}
hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
c:\windows\Downloaded Program Files\oscan8.inf
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-06 12:54:58
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*NULL*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(728)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\LMIinit.dll
c:\windows\system32\LMIRfsClientNP.dll
.
Heure de fin: 2009-01-06 12:56:12
ComboFix-quarantined-files.txt  2009-01-06 11:56:10

Avant-CF: 5 990 608 896 octets libres
Après-CF: 6,035,177,472 octets libres

264	--- E O F ---	2008-12-08 11:00:12

Répondre à varach

chimay8, le 6 jan 2009 à 13:50:25

Mwouais,
rien de dramatique

Télécharge SDfix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. Tu peux suivre le tutorial SDFix de Malekal pour t'aider :

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
Redémarre ton ordinateur
Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.

Déroule la liste des instructions ci-dessous :
Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
Appuie sur Y pour commencer le nettoyage.

Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

Si SDFix ne se lance pas
Clique sur Démarrer > Exécuter
Copie/colle ceci :
%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe

Clique sur Ok.
Redémarre et essaie de relance SDFix. Bouh!! Les méchants virus...

Répondre à chimay8

varach, le 6 jan 2009 à 13:51:10

C parti ......

Répondre à varach

varach, le 6 jan 2009 à 14:08:16

Le rapport

[b]SDFix: Version 1.240 /b
Run by Utilisateur on 06/01/2009 at 13:56

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services /b:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files /b: 

No Trojan Files Found






Removing Temp Files

[b]ADS Check /b:
 


                                 [b]Final Check /b:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-06 14:03:54
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update]
"OfflineDetectionPending"=dword:00000001

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services /b:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\UltraVNC\\winvnc.exe"="C:\\Program Files\\UltraVNC\\winvnc.exe:*:Enabled:UltraVnc"
"C:\\Program Files\\Siemens\\Step7\\S7BIN\\S7tgtopx.exe"="C:\\Program Files\\Siemens\\Step7\\S7BIN\\S7tgtopx.exe:*:Enabled:SIEMENS STEP7 SIMATIC Manager"
"C:\\Program Files\\Siemens\\Step7\\S7INF\\S7usiapx.exe"="C:\\Program Files\\Siemens\\Step7\\S7INF\\S7usiapx.exe:*:Enabled:SIEMENS STEP7 S7InfoBox"
"C:\\WINDOWS\\system32\\s7otbxsx.exe"="C:\\WINDOWS\\system32\\s7otbxsx.exe:*:Enabled:SIEMENS STEP7 Block Administration"
"C:\\Program Files\\common files\\Siemens\\ace\\bin\\CCAgent.exe"="C:\\Program Files\\common files\\Siemens\\ace\\bin\\CCAgent.exe:*:Enabled:CCAgent"
"C:\\Program Files\\common files\\Siemens\\ace\\bin\\CCEServer.exe"="C:\\Program Files\\common files\\Siemens\\ace\\bin\\CCEServer.exe:*:Enabled:CCEServer"
"C:\\Program Files\\common files\\Siemens\\ace\\bin\\RedundancyControl.exe"="C:\\Program Files\\common files\\Siemens\\ace\\bin\\RedundancyControl.exe:*:Enabled:RedundancyControl"
"C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"C:\\Program Files\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2008\\HmiES.exe"="C:\\Program Files\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2008\\HmiES.exe:*:Enabled:SIMATIC WinCC flexible 2008 Application"
"C:\\Program Files\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2008\\TraceServer.exe"="C:\\Program Files\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2008\\TraceServer.exe:*:Enabled:SIMATIC WinCC flexible 2008 Trace Server"
"C:\\Program Files\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2008 Runtime\\Miniweb.exe"="C:\\Program Files\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2008 Runtime\\Miniweb.exe:*:Disabled:WinCC flexible RT Module MiniWeb"
"C:\\Program Files\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2008 Runtime\\SmartServer.exe"="C:\\Program Files\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2008 Runtime\\SmartServer.exe:*:Disabled:WinCC flexible RT Module SmartServer"
"C:\\Program Files\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2008 Runtime\\HmiLoad.exe"="C:\\Program Files\\Siemens\\SIMATIC WinCC flexible\\WinCC flexible 2008 Runtime\\HmiLoad.exe:*:Enabled:WinCC flexible RT Module HmiLoad"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Fichiers communs\\ArchestrA\\aaLogger.exe"="C:\\Program Files\\Fichiers communs\\ArchestrA\\aaLogger.exe:*:Enabled:aaLogger.exe"
"C:\\Program Files\\Fichiers communs\\ArchestrA\\slssvc.exe"="C:\\Program Files\\Fichiers communs\\ArchestrA\\slssvc.exe:*:Enabled:Slssvc.exe"
"C:\\Program Files\\Wonderware\\InTouch\\wm.exe"="C:\\Program Files\\Wonderware\\InTouch\\wm.exe:*:Enabled:wm.exe"
"C:\\WINDOWS\\system32\\mmc.exe"="C:\\WINDOWS\\system32\\mmc.exe:*:Enabled:mmc.exe"
"C:\\WINDOWS\\system32\\OpcEnum.exe"="C:\\WINDOWS\\system32\\OpcEnum.exe:*:Enabled:OPCEnum.exe"
"C:\\WINDOWS\\system32\\dllhost.exe"="C:\\WINDOWS\\system32\\dllhost.exe:*:Enabled:dllhost.exe"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Fichiers communs\\ArchestrA\\aaLogger.exe"="C:\\Program Files\\Fichiers communs\\ArchestrA\\aaLogger.exe:*:Enabled:aaLogger.exe"
"C:\\Program Files\\Fichiers communs\\ArchestrA\\slssvc.exe"="C:\\Program Files\\Fichiers communs\\ArchestrA\\slssvc.exe:*:Enabled:Slssvc.exe"
"C:\\Program Files\\Wonderware\\InTouch\\wm.exe"="C:\\Program Files\\Wonderware\\InTouch\\wm.exe:*:Enabled:wm.exe"
"C:\\WINDOWS\\system32\\mmc.exe"="C:\\WINDOWS\\system32\\mmc.exe:*:Enabled:mmc.exe"
"C:\\Program Files\\Fichiers communs\\ArchestrA\\DASAgent.exe"="C:\\Program Files\\Fichiers communs\\ArchestrA\\DASAgent.exe:*:Enabled:DASAgent.exe"
"C:\\WINDOWS\\system32\\OpcEnum.exe"="C:\\WINDOWS\\system32\\OpcEnum.exe:*:Enabled:OPCEnum.exe"
"C:\\WINDOWS\\system32\\dllhost.exe"="C:\\WINDOWS\\system32\\dllhost.exe:*:Enabled:dllhost.exe"

[b]Remaining Files /b:



[b]Files with Hidden Attributes /b:

Thu 10 Apr 2008            88 ..SHR --- "C:\Documents and Settings\All Users\Application Data\3B54EF5A91.sys"
Thu 10 Apr 2008         2,516 A.SH. --- "C:\Documents and Settings\All Users\Application Data\KGyGaAvL.sys"
Wed 26 Mar 2008         4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Thu 23 Jan 2003        65,952 ..SHR --- "C:\Program Files\Autodesk\Autodesk Express Viewer\Setup.exe"
Mon 26 May 2008             0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Mon 26 May 2008             0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"
Tue  6 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\0b2a5d3729102bcb5f9c439959308769\BIT7.tmp"
Tue  6 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\1a79d286b69e512b23d951bb64a72265\BIT5.tmp"
Tue  6 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\37cc3320d848589a26c262a19e379099\BITC.tmp"
Tue  6 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\396049922280871121dbde1adcfa780a\BITD.tmp"
Fri 19 Dec 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\405ae8e48aa46e265982686e1678047b\BIT492.tmp"
Tue  6 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\4f48480c3bff7fa275c02353aba158bb\BITF.tmp"
Tue  6 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\72ae9b28c31b455ef5c8ceea36724fb8\BITA.tmp"
Tue  6 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\850294be8fc47beacbce9b6c332e9d59\BIT9.tmp"
Tue  6 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\916bfa969481cdaef14e1805a5f36838\BIT4.tmp"
Tue  6 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\b15f12905daf2d5f4bb1d398773d75a0\BITB.tmp"
Mon 19 Nov 2007             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\cc102203f99c8c6ebf1523556f8411b6\BIT4B.tmp"
Tue  6 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\dcfb3f0fee0b76240a4ce7e93515b1e3\BIT8.tmp"
Tue  6 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\fc379404d05b26b2f6ffb6c71844aaf2\BITE.tmp"
Tue  6 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\fcf5cd6cb2fc221b406515dd1d2eb26b\BIT6.tmp"

[b]Finished!/b

Répondre à varach

chimay8, le 6 jan 2009 à 14:28:46

C'est cool,

par sureté
fais ceci

Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton Bureau.
http://www.malwarebytes.org/

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le ici : http://www.malekal.com/download/comctl32.ocx )

A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.
Double-clique sur l'icône "Download_mbam-setup.exe" sur ton bureau pour démarrer le programme d'installation.

Pendant l'installation, suis les indications n'apporte aucune modification aux réglages par défaut et en fin d'installation, vérifie que les options "Update Malwarebytes' Anti-Malware" et "Launch Malwarebytes' Anti-Malware" soit cochées.
MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue.
La fenêtre principale de MBAM s'affiche :
Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.
MBAM analyse ton ordinateur.
L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.
A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.
Si des malwares sont détectés, leur liste s'affiche.
***EN CLIQUANT SUR SUPPRESSION(?)FAIT LE*** , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)
Ferme MBAM en cliquant sur Quitter.
Poste le rapport dans ta réponse Bouh!! Les méchants virus...

Répondre à chimay8

varach, le 6 jan 2009 à 15:22:48

Ci joint le rapport .. et encore merci

Malwarebytes' Anti-Malware 1.32
Version de la base de données: 1624
Windows 5.1.2600 Service Pack 2

06/01/2009 15:21:54
mbam-log-2009-01-06 (15-21-54).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 175539
Temps écoulé: 49 minute(s), 45 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Répondre à varach

chimay8, le 6 jan 2009 à 15:25:35

Ok,

tu n'es plus infecté

Supprime Combofix ainsi :
~>Clique sur " Démarrer " ~> " Exécuter "( ou combine la touche Windows + R ) -> copie/colle cette ligne :

ComboFix /u

( laisse l'espace entre Combofix et /u )

~>Valide .

Télécharge ToolsCleaner sur ton bureau.
-->
http://www.commentcamarche.net/telecharger/telechargement 34055291 toolscleaner

# Clique sur "Recherche" et laisse le scan agir ...
# Clique sur "Suppression" pour finaliser.
# Tu peux, si tu le souhaites, te servir des Options facultatives.
# Clique sur Quitter pour obtenir le rapport.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

ensuite

Télécharges : - CCleaner (n'installe pas la barre d'outil Yahoo)
http://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corrigé ton registre .Lors de l'installation, avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 première.
Une fois le prg instalé et lancé, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures"( Par la suite, laisse-le avec ses réglages par défaut. C'est tout ).

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

---> Utilisation:
! déconnectes toi et fermes toutes applications en cours !
* vas dans "nettoyeur" : fait analyse puis nettoyage
* vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

***très important***

Suppression des points de restauration :
1.Ouvre le Menu Démarrer
2.Clique-droit sur Poste de travail
3.Clique sur Propriétés
4.Positionne-toi dans l'onglet Restauration du système
5.Coche "Désactiver la restauration système"
6.Valide par Ok
7.Redémarre ton pc
8.Reproduis les manipulations 1 à 3
9.Décoche "Désactiver la restauration système"
10.Valide par Ok

sous vista
http://www.01net.com/article/349586.html
http://www.commentcamarche.net/faq/sujet 13214 desactiver reactiver la restauration systeme de vista

Ne pas oublier de créer un nouveau point de restauration en procédant comme indiqué sur le lien ci dessous

http://www.vulgarisation-informatique.com/creer-point-restauration.php

si tu n as pas d autres soucis change le statut du sujet en resolu stp

Bouh!! Les méchants virus...

Répondre à chimay8

varach, le 6 jan 2009 à 15:27:58

OK merci pour ton aide . je met resolu

yann

Répondre à varach

Posez votre question Répondre