High-Tech Santé Médecine Droit-Finances

Télécharger

MSN 2009

Rechercher : dans
Par :

Infection par le virus Win32 Virut

Dernière réponse le 13 jun 2009 à 16:33:41 Charlotte*, le 16 mai 2009 à 11:47:25 
 Signaler ce message aux modérateurs

Bonjour,

AVG a détecté le virus "Win 32 Virut" sur mon ordinateur et ne semble pas arriver à le supprimer.

Depuis, mon ordinateur est très lent, il ouvre des pages intempestives sur Internet, et bloque encore plus quand je suis sur Outlook.
Il m'envoie également des pages d'erreurs en me disant qu'il doit fermer les fichiers "32 scr", 28 scr...

J'ai fait un scan spybot qui a détecté virtumonde(que j'ai eu il y a longtemps et que je pensais avoir supprimé) et AStakiller.

J'ai également nétoyé mon ordi avec ccleaner.

Comment faire pour régler mon problème ?

Merci de m'aider

Charlotte

Configuration: Windows XP Internet Explorer 6.0

Posez votre question Répondre

1

Destrio5, le 16 mai 2009 à 11:50:46

Bonjour,

Ça sent mauvais, on va vérifier la présence de Virut.

--> Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

--> Double-clique sur RSIT.exe afin de lancer le programme.
(Sous Vista, il faut cliquer droit sur RSIT.exe et choisir Exécuter en tant qu'administrateur)

--> Clique sur Continue à l'écran Disclaimer.

--> Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

--> Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

Note : les rapports sont sauvegardés dans le dossier C:\rsit.

   
Répondre à Destrio5

2

Charlotte*, le 16 mai 2009 à 14:56:06

Bonjour,

Merci pour ta réponse.

J'ai téléchargé le logitiel en question qui m'a envoyé le rapport suivant.

Sinon, entre temps, j'ai téléchargé Dr Web qui m'a fait supprimer deux fichiers : "backdoor" et trojan download 36229. Au redémarge de mon ordi, l'ordi m'a envoyé pls message avant l'écran windows en me demandant d'appuyer sur des touches F12, F3... j'ai cru qu'il ne redémarrait pas...

C'est grave ? J'ai comme l'impression que mon ordi est vérolé de partout. J'avais déjà eu il y a longtemps virtumonde, puis backdoor dont j'avais pu me débarasser grace à ce forum.

Merci de m'aider.

Charlotte

--------

Logfile of random's system information tool 1.06 (written by random/random)
Run by lot at 2009-05-16 14:44:39
Microsoft Windows XP Édition familiale Service Pack 1
System drive C: has 5 GB (13%) free of 35 GB
Total RAM: 511 MB (3% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:46, on 2009-05-16
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\EPSON\eEBAPI\eEBSVC.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\Program Files\SPAMfighter\sfus.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\BCMSMMSG.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Dell\Media Experience\PCMService.exe
C:\Program Files\Apoint\Apntex.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\SPAMfighter\SFAgent.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Documents and Settings\lot\Bureau\launch.exe
C:\DOCUME~1\lot\LOCALS~1\Temp\RarSFX1\7yh9k4.exe
C:\WINDOWS\system32\ntvdm.exe
C:\DOCUME~1\lot\LOCALS~1\Temp\RarSFX1\agff4.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\system\mysmas.exe
C:\Documents and Settings\lot\Bureau\RSIT.exe
C:\Program Files\trend micro\lot.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2FCC8E53-9545-4D7A-9176-7B4364C859D3} - C:\WINDOWS\System32\pMddApmN.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\eoRezo\EoAdv\EoRezobho.dll (file missing)
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\System32\awtrOiJa.dll
O2 - BHO: {ee2cc95c-7efe-cb48-8524-a68b89f40708} - {80704f98-b86a-4258-84bc-efe7c59cc2ee} - C:\WINDOWS\System32\arfawl.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [PC-CAM 300 STI App Registration] RunDLL32.exe Pd016pin.dll,RunDLL32EP 513
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Program Files\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [WSSVC] C:\WINDOWS\system\smsc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Outil de détection de support Picture Motion Browser.lnk = C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\System32\GPhotos.scr/200
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.photostation.fr/aurigma/ImageUploader4.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab
O20 - Winlogon Notify: awtrOiJa - C:\WINDOWS\SYSTEM32\awtrOiJa.dll
O20 - Winlogon Notify: xxyvsRlj - xxyvsRlj.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\eEBAPI\eEBSVC.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: MYS Mutex Algorithm Service - Unknown owner - C:\WINDOWS\system\mysmas.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: SPAMfighter Update Service - SPAMfighter ApS - C:\Program Files\SPAMfighter\sfus.exe
End of file - 10506 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\Rappel d'abonnement 1 auprès de l'ISP.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Aide pour le lien d'Adobe PDF Reader - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-23 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2FCC8E53-9545-4D7A-9176-7B4364C859D3}]
C:\WINDOWS\System32\pMddApmN.dll [2009-05-15 237568]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2007-08-31 1122128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5CA3D70E-1895-11CF-8E15-001234567890}]
DriveLetterAccess - C:\WINDOWS\system32\dla\tfswshx.dll [2004-03-15 118836]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}]
EoBho Class - C:\Program Files\eoRezo\EoAdv\EoRezobho.dll []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}]
C:\WINDOWS\System32\awtrOiJa.dll [2009-05-16 35328]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{80704f98-b86a-4258-84bc-efe7c59cc2ee}]
C:\WINDOWS\System32\arfawl.dll [2009-05-16 99328]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
Google Toolbar Helper - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll [2009-03-18 251504]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll [2009-05-15 668656]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E99421FB-68DD-40F0-B4AC-B7027CAE2F1A}]
EpsonToolBandKicker Class - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll [2005-02-21 368640]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{8E718888-423F-11D2-876E-00A0C9082467} - &Radio - C:\WINDOWS\System32\msdxm.ocx [2002-08-30 846364]
{BA52B914-B692-46c4-B683-905236F6F655}
{EE5D279F-081B-4404-994D-C6B60AAEBA6D} - EPSON Web-To-Page - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll [2005-02-21 368640]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - &Google Toolbar - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll [2009-03-18 251504]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"BCMSMMSG"=C:\WINDOWS\BCMSMMSG.exe [2003-08-29 122880]
"Apoint"=C:\Program Files\Apoint\Apoint.exe [2004-02-02 155648]
"PRONoMgr.exe"=C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe [2003-05-28 86016]
"dla"=C:\WINDOWS\system32\dla\tfswctrl.exe [2004-03-15 122933]
"PCMService"=C:\Program Files\Dell\Media Experience\PCMService.exe [2004-04-11 290816]
"WOOWATCH"=C:\PROGRA~1\Wanadoo\Watch.exe [2004-10-13 24576]
"PC-CAM 300 STI App Registration"=Pd016pin.dll,RunDLL32EP 513 []
"EPSON Stylus C66 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE [2003-11-26 99840]
"WOOTASKBARICON"=C:\PROGRA~1\Wanadoo\TaskbarIcon.exe [2004-10-13 49152]
"adiras"=adiras.exe []
"EoEngine"= []
"EoWeather"= []
"TkBellExe"=C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe [2007-07-02 185896]
"QuickTime Task"=C:\Program Files\QuickTime\qttask.exe [2007-06-29 286720]
"AVG7_CC"=C:\PROGRA~1\Grisoft\AVG7\avgcc.exe [2009-05-15 590848]
"NvCplDaemon"=C:\WINDOWS\System32\NvCpl.dll [2004-10-26 4632576]
"nwiz"=nwiz.exe /installquiet []
"Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-01-11 39792]
"SPAMfighter Agent"=C:\Program Files\SPAMfighter\SFAgent.exe [2008-10-22 325768]
"WSSVC"=C:\WINDOWS\system\smsc.exe [2009-05-16 23552]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\System32\ctfmon.exe [2002-08-30 13312]
"Yahoo! Pager"=C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet []
"Sonic RecordNow!"= []
"WOOKIT"=C:\PROGRA~1\Wanadoo\GestMaj.exe [2004-10-13 24576]
"updateMgr"=C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 -reboot 1 []
"swg"=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2007-06-27 68856]

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
DSLMON.lnk - C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
EPSON Status Monitor 3 Environment Check(2).lnk - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\E_SRCV02.EXE
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE

C:\Documents and Settings\lot\Menu Démarrer\Programmes\Démarrage
Adobe Gamma.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
Outil de détection de support Picture Motion Browser.lnk - C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\awtrOiJa]
C:\WINDOWS\system32\awtrOiJa.dll [2009-05-16 35328]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Sebring]
C:\WINDOWS\System32\LgNotify.dll [2004-01-12 110592]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxyvsRlj]
xxyvsRlj.dll []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"=C:\WINDOWS\System32\awtrOiJa.dll [2009-05-16 35328]
"{5460969a-b04b-48cf-ba29-59833dcc85e7}"=C:\WINDOWS\System32\arfawl.dll [2009-05-16 99328]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"authentication packages"=msv1_0
C:\WINDOWS\System32\pMddApmN

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\lsass]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MYS Mutex Algorithm Service]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SVCWINSPOOL]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\lsass]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\MYS Mutex Algorithm Service]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\SVCWINSPOOL]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======File associations======

.js - open -

======List of files/folders created in the last 1 months======

2009-05-16 14:45:03 ----D---- C:\Program Files\trend micro
2009-05-16 14:44:39 ----D---- C:\rsit
2009-05-16 14:35:06 ----A---- C:\WINDOWS\System32\vtUnkiJa.dll
2009-05-16 12:47:53 ----A---- C:\WINDOWS\System32\efcCvWOF.dll
2009-05-16 12:47:38 ----A---- C:\WINDOWS\System32\x.exe
2009-05-16 12:07:20 ----A---- C:\WINDOWS\System32\lixprlmx.dll
2009-05-16 12:07:20 ----A---- C:\WINDOWS\System32\arfawl.dll
2009-05-16 12:07:08 ----A---- C:\WINDOWS\System32\fccdbYOg.dll
2009-05-16 11:31:14 ----A---- C:\WINDOWS\System32\ddcApoLD.dll
2009-05-16 10:26:25 ----A---- C:\WINDOWS\System32\mcrh.tmp
2009-05-16 10:26:08 ----A---- C:\WINDOWS\System32\khfCuUOE.dll
2009-05-16 09:58:28 ----A---- C:\WINDOWS\System32\awtrOiJa.dll
2009-05-15 23:55:15 ----A---- C:\WINDOWS\System32\qvvtga.dll
2009-05-15 23:55:15 ----A---- C:\WINDOWS\System32\nkxgwkyo.dll
2009-05-15 23:55:08 ----A---- C:\WINDOWS\System32\6f90c49c-.txt
2009-05-15 23:51:57 ----ASH---- C:\WINDOWS\System32\NmpAddMp.ini2
2009-05-15 23:51:56 ----ASH---- C:\WINDOWS\System32\NmpAddMp.ini
2009-05-15 23:51:54 ----A---- C:\WINDOWS\System32\pMddApmN.dll
2009-05-15 00:01:04 ----A---- C:\deticeji941.txt
2009-05-14 23:57:10 ----A---- C:\WINDOWS\System32\msvcrt2.dll

======List of files/folders modified in the last 1 months======

2009-05-16 14:45:03 ----RD---- C:\Program Files
2009-05-16 14:38:42 ----RHD---- C:\$VAULT$.AVG
2009-05-16 14:37:12 ----D---- C:\WINDOWS\SYSTEM32
2009-05-16 14:36:51 ----D---- C:\WINDOWS\SYSTEM
2009-05-16 14:35:40 ----D---- C:\WINDOWS\Temp
2009-05-16 14:08:48 ----A---- C:\WINDOWS\ModemLog_BCM V.92 56K Modem.txt
2009-05-16 14:07:58 ----D---- C:\WINDOWS
2009-05-16 13:50:29 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-05-16 12:54:10 ----D---- C:\Documents and Settings\All Users\Application Data\AVG7
2009-05-16 12:07:44 ----D---- C:\Program Files\SPAMfighter
2009-05-16 09:59:32 ----D---- C:\Documents and Settings\lot\Application Data\AVG7
2009-05-16 00:32:59 ----A---- C:\WINDOWS\wininit.ini
2009-05-15 00:30:41 ----D---- C:\WINDOWS\Minidump
2009-05-15 00:25:55 ----D---- C:\WINDOWS\Prefetch
2009-05-08 21:32:12 ----D---- C:\WINDOWS\System32\CatRoot2
2009-05-08 14:47:55 ----D---- C:\Program Files\Wanadoo
2009-05-08 13:56:00 ----HD---- C:\WINDOWS\INF

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 Avg7Core;AVG7 Kernel; C:\WINDOWS\System32\Drivers\avg7core.sys [2008-01-06 821856]
R1 Avg7RsW;AVG7 Wrap Driver; C:\WINDOWS\System32\Drivers\avg7rsw.sys [2008-01-06 4224]
R1 Avg7RsXP;AVG7 Resident Driver XP; C:\WINDOWS\System32\Drivers\avg7rsxp.sys [2008-01-06 27776]
R1 AvgClean;AVG7 Clean Driver; C:\WINDOWS\System32\Drivers\avgclean.sys [2008-01-06 10760]
R1 cdrbsdrv;cdrbsdrv; C:\WINDOWS\System32\drivers\cdrbsdrv.sys [2004-03-08 13567]
R1 omci;OMCI WDM Device Driver; C:\WINDOWS\System32\DRIVERS\omci.sys [2004-02-13 17153]
R1 sscdbhk5;sscdbhk5; C:\WINDOWS\system32\drivers\sscdbhk5.sys [2004-01-14 5621]
R1 ssrtln;ssrtln; C:\WINDOWS\system32\drivers\ssrtln.sys [2004-01-14 23219]
R2 AvgTdi;AVG Network Redirector; C:\WINDOWS\System32\Drivers\avgtdi.sys [2008-01-06 4960]
R2 CdaC15BA;CdaC15BA; \??\C:\WINDOWS\System32\drivers\CDAC15BA.SYS []
R2 drvnddm;drvnddm; C:\WINDOWS\system32\drivers\drvnddm.sys [2004-02-27 40480]
R2 s24trans;WLAN Transport; C:\WINDOWS\System32\DRIVERS\s24trans.sys [2004-01-09 10970]
R2 tfsnboio;tfsnboio; C:\WINDOWS\system32\dla\tfsnboio.sys [2004-03-15 25685]
R2 tfsncofs;tfsncofs; C:\WINDOWS\system32\dla\tfsncofs.sys [2004-03-15 34837]
R2 tfsndrct;tfsndrct; C:\WINDOWS\system32\dla\tfsndrct.sys [2004-03-15 4117]
R2 tfsndres;tfsndres; C:\WINDOWS\system32\dla\tfsndres.sys [2004-03-15 2265]
R2 tfsnifs;tfsnifs; C:\WINDOWS\system32\dla\tfsnifs.sys [2004-03-15 85972]
R2 tfsnopio;tfsnopio; C:\WINDOWS\system32\dla\tfsnopio.sys [2004-03-15 14229]
R2 tfsnpool;tfsnpool; C:\WINDOWS\system32\dla\tfsnpool.sys [2004-03-15 6357]
R2 tfsnudf;tfsnudf; C:\WINDOWS\system32\dla\tfsnudf.sys [2004-03-15 98580]
R2 tfsnudfa;tfsnudfa; C:\WINDOWS\system32\dla\tfsnudfa.sys [2004-03-15 100597]
R2 usbhub;Creative PC-CAM 300 (Composite); C:\WINDOWS\System32\DRIVERS\usbhub.sys [2004-04-10 53120]
R3 ApfiltrService;Alps Touch Pad Filter Driver for Windows 2000/XP; C:\WINDOWS\System32\DRIVERS\Apfiltr.sys [2003-08-21 94600]
R3 Arp1394;Protocole client ARP 1394; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2002-08-30 57344]
R3 bcm4sbxp;Broadcom 440x 10/100 Integrated Controller XP Driver; C:\WINDOWS\System32\DRIVERS\bcm4sbxp.sys [2003-06-02 43136]
R3 BCMModem;BCM V.92 56K Modem; C:\WINDOWS\System32\DRIVERS\BCMSM.sys [2003-08-29 1101696]
R3 CmBatt;Pilote pour Batterie à méthode de contrôle ACPI Microsoft; C:\WINDOWS\System32\DRIVERS\CmBatt.sys [2002-08-29 13184]
R3 gv3;Pilote processeur Intel GV3; C:\WINDOWS\System32\DRIVERS\gv3.sys [2002-11-20 33792]
R3 HidUsb;Pilote de classe HID Microsoft; C:\WINDOWS\System32\DRIVERS\hidusb.sys [2001-08-17 9600]
R3 mouhid;Pilote HID de souris; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-23 12288]
R3 NIC1394;Pilote réseau 1394; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2002-08-30 57984]
R3 nv;nv; C:\WINDOWS\System32\DRIVERS\nv4_mini.sys [2004-10-26 2830688]
R3 STAC97;Audio Driver (WDM) - SigmaTel CODEC; C:\WINDOWS\system32\drivers\stac97.sys [2004-05-12 258704]
R3 usbehci;Pilote miniport de contrôleur hôte amélioré USB 2.0 Microsoft; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2004-04-10 25216]
R3 usbuhci;Pilote miniport de contrôleur hôte universel USB Microsoft; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2004-04-10 19328]
R3 w70n51;Pilote Intel(R) PRO/Wireless 7100 Adapter; C:\WINDOWS\System32\DRIVERS\w70n51.sys [2004-01-13 2482176]
S1 P3;Pilote processeur Intel Pentium III; C:\WINDOWS\System32\DRIVERS\p3.sys [2002-12-12 40448]
S2 ADILOADER;General Purpose USB Driver (adildr.sys); C:\WINDOWS\System32\Drivers\adildr.sys [2004-03-02 50007]
S3 adiusbaw;USB ADSL WAN Adapter; C:\WINDOWS\System32\DRIVERS\adiusbaw.sys [2004-03-02 127065]
S3 catchme;catchme; \??\C:\DOCUME~1\lot\LOCALS~1\Temp\catchme.sys []
S3 CCDECODE;Closed Caption Decoder; C:\WINDOWS\System32\DRIVERS\CCDECODE.sys [2003-02-17 16384]
S3 EL90XBC;Pilote de la carte EtherLink XL 90XB/C 3Com; C:\WINDOWS\System32\DRIVERS\el90xbc5.sys [2001-08-17 66591]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink Converter; C:\WINDOWS\system32\drivers\MSTEE.sys [2002-12-12 5504]
S3 NABTSFEC;NABTS/FEC VBI Codec; C:\WINDOWS\System32\DRIVERS\NABTSFEC.sys [2003-02-17 83968]
S3 NdisIP;Microsoft TV/Video Connection; C:\WINDOWS\System32\DRIVERS\NdisIP.sys [2003-02-17 10112]
S3 PCANDIS5;PCANDIS5 Protocol Driver; \??\C:\WINDOWS\System32\PCANDIS5.SYS []
S3 PD016BLK;Creative PC-CAM 300 (Still Image); C:\WINDOWS\System32\DRIVERS\PD016blk.sys [2002-06-21 28377]
S3 PD016VID;Creative PC-CAM 300 (Video); C:\WINDOWS\System32\DRIVERS\PD016vid.sys [2002-06-21 433408]
S3 se59bus;Sony Ericsson Device 089 driver (WDM); C:\WINDOWS\System32\DRIVERS\se59bus.sys [2006-09-05 61536]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\System32\DRIVERS\SLIP.sys [2003-02-17 10880]
S3 SONYPVU1;Pilote de filtrage Sony USB (SONYPVU1); C:\WINDOWS\System32\DRIVERS\SONYPVU1.SYS [2001-08-17 7552]
S3 streamip;BDA IPSink; C:\WINDOWS\System32\DRIVERS\StreamIP.sys [2003-02-17 14976]
S3 USB_RNDIS;ADI Remote NDIS Network Device Driver; C:\WINDOWS\System32\DRIVERS\usb8023.sys [2002-08-30 11136]
S3 usbccgp;Pilote parent générique USB Microsoft; C:\WINDOWS\System32\DRIVERS\usbccgp.sys [2004-04-10 30464]
S3 usbprint;Classe d'imprimantes USB Microsoft; C:\WINDOWS\System32\DRIVERS\usbprint.sys [2002-08-29 24960]
S3 usbscan;Pilote de scanneur USB; C:\WINDOWS\System32\DRIVERS\usbscan.sys [2002-08-29 14208]
S3 USBSTOR;Pilote de stockage de masse USB; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2002-08-29 21760]
S3 wanatw;WAN Miniport (ATW); C:\WINDOWS\System32\DRIVERS\wanatw4.sys []
S3 WSTCODEC;World Standard Teletext Codec; C:\WINDOWS\System32\DRIVERS\WSTCODEC.SYS [2003-02-17 18688]
S4 agpCPQ;Filtre de bus AGP Compaq; C:\WINDOWS\System32\DRIVERS\agpCPQ.sys [2001-08-17 29056]
S4 alim1541;Filtre de bus AGP ALI; C:\WINDOWS\System32\DRIVERS\alim1541.sys [2001-08-17 27648]
S4 amdagp;Pilote de filtre du bus AMD AGP; C:\WINDOWS\System32\DRIVERS\amdagp.sys [2001-08-17 27648]
S4 cbidf;cbidf; C:\WINDOWS\System32\DRIVERS\cbidf2k.sys [2001-08-17 13952]
S4 sisagp;Filtre de bus AGP SIS; C:\WINDOWS\System32\DRIVERS\sisagp.sys [2001-08-17 26112]
S4 viaagp;Filtre de bus AGP VIA; C:\WINDOWS\System32\DRIVERS\viaagp.sys [2001-08-17 27392]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Avg7Alrt;AVG7 Alert Manager Server; C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe [2008-01-06 418816]
R2 Avg7UpdSvc;AVG7 Update Service; C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe [2008-01-06 49664]
R2 AVGEMS;AVG E-mail Scanner; C:\PROGRA~1\Grisoft\AVG7\avgemc.exe [2008-01-06 406528]
R2 C-DillaCdaC11BA;C-DillaCdaC11BA; C:\WINDOWS\System32\drivers\CDAC11BA.EXE [2006-02-13 54784]
R2 EpsonBidirectionalService;EpsonBidirectionalService; C:\Program Files\Fichiers communs\EPSON\eEBAPI\eEBSVC.exe [2003-12-05 73728]
R2 FTRTSVC;France Telecom Routing Table Service; C:\WINDOWS\System32\FTRTSVC.exe [2004-08-23 40960]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\System32\nvsvc32.exe [2004-10-26 127044]
R2 RegSrvc;RegSrvc; C:\WINDOWS\System32\RegSrvc.exe [2004-01-09 122880]
R2 S24EventMonitor;Spectrum24 Event Monitor; C:\WINDOWS\System32\S24EvMon.exe [2004-01-09 303171]
R2 SPAMfighter Update Service;SPAMfighter Update Service; C:\Program Files\SPAMfighter\sfus.exe [2008-10-22 184968]
R3 usnjsvc;Service Messenger Sharing Folders USN Journal Reader; C:\Program Files\MSN Messenger\usnsvc.exe [2007-01-19 97136]
S2 Fax;Fax; C:\WINDOWS\system32\fxssvc.exe [2002-08-30 251392]
S2 MYS Mutex Algorithm Service;MYS Mutex Algorithm Service; C:\WINDOWS\system\mysmas.exe [2009-05-16 74752]
S3 Adobe LM Service;Adobe LM Service; C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe [2007-04-05 72704]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [2004-07-15 32768]
S3 NetSvc;Intel NCS NetService; C:\Program Files\Intel\NCS\Sync\NetSvc.exe [2003-04-29 139264]

-----------------EOF-----------------

   
Répondre à Charlotte*

3

Destrio5, le 16 mai 2009 à 14:58:07

/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\

--> Télécharge ComboFix (de sUBs) sur ton Bureau.
--> Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
--> Il va te demander d'installer la console de récupération : accepte.
--> Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix

   
Répondre à Destrio5

4

Charlotte*, le 17 mai 2009 à 00:45:24

Bonsoir,

Voici donc le rapport de Combofix. J'attend mtn la suite des opérations.

Merci

ComboFix 09-05-16.05 - lot 2009-05-17 0:24.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.1.1252.1.1036.18.511.152 [GMT 2:00]
Lancé depuis: c:\documents and settings\lot\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system\lsass.exe
c:\windows\system\smsc.exe
c:\windows\system32\arfawl.dll
c:\windows\system32\awtrOiJa.dll
c:\windows\system32\cnyspnhu.ini
c:\windows\system32\ddcApoLD.dll
c:\windows\system32\efcCvWOF.dll
c:\windows\system32\fccdbYOg.dll
c:\windows\system32\itayunmj.ini
c:\windows\system32\iuifndvm.ini
c:\windows\system32\iulqidil.ini
c:\windows\system32\jkblnlsf.ini
c:\windows\system32\kgdxojob.ini
c:\windows\system32\khfCuUOE.dll
c:\windows\system32\lixprlmx.dll
c:\windows\system32\mcrh.tmp
c:\windows\system32\mevnkklc.ini
c:\windows\system32\nkxgwkyo.dll
c:\windows\system32\NmpAddMp.ini
c:\windows\SYSTEM32\NmpAddMp.ini2
c:\windows\system32\nmwahtqt.ini
c:\windows\system32\oicktymc.ini
c:\windows\system32\oqtnitxr.ini
c:\windows\system32\oummatag.ini
c:\windows\system32\pMddApmN.dll
c:\windows\system32\qvvtga.dll
c:\windows\system32\semasjey.dll
c:\windows\system32\sgqhwdjd.ini
c:\windows\system32\somovyug.ini
c:\windows\system32\syvxfolb.ini
c:\windows\system32\uvbtycue.ini
c:\windows\system32\uyvdywkw.ini
c:\windows\system32\vbknprjm.ini
c:\windows\system32\vtUnkiJa.dll
c:\windows\system32\vuixennf.ini
c:\windows\system32\vxqeehli.ini
c:\windows\system32\x.exe
c:\windows\system32\yjpextrc.ini
c:\windows\system32\yyvyllvs.ini
c:\windows\system32\zjnisn.dll
c:\windows\Temp\[u]0/u0.exe
c:\windows\Temp\34.exe
c:\windows\Temp\40.exe
c:\windows\Temp\61.exe
c:\windows\Temp\78.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-04-16 au 2009-05-16 ))))))))))))))))))))))))))))))))))))
.

2009-05-16 12:45 . 2009-05-16 12:46 -------- d-----w c:\program files\trend micro
2009-05-16 12:44 . 2009-05-16 12:47 -------- d-----w C:\rsit
2009-05-16 12:36 . 2009-05-16 12:36 74752 --sh--r c:\windows\system\mysmas.exe
2009-05-16 10:47 . 2009-05-16 10:47 -------- d-----w c:\documents and settings\lot\DoctorWeb
2009-05-16 10:21 . 2009-05-16 10:21 81920 ----a-w c:\windows\system32\51.scr
2009-05-16 10:16 . 2009-05-16 10:16 74752 ----a-w c:\windows\system32\31.scr
2009-05-16 10:12 . 2009-05-16 10:12 74752 ----a-w c:\windows\system32\21.scr
2009-05-16 09:32 . 2009-05-16 10:19 81920 ----a-w c:\windows\system32\26.scr
2009-05-16 08:15 . 2009-05-16 08:15 81920 ----a-w c:\windows\system32\15.scr
2009-05-16 08:01 . 2009-05-16 08:01 81920 ----a-w c:\windows\system32\84.scr
2009-05-15 21:59 . 2009-05-15 21:59 81920 ----a-w c:\windows\system32\32.scr
2009-05-15 21:58 . 2009-05-15 21:58 81920 ----a-w c:\windows\system32\28.scr
2009-05-15 21:47 . 2009-05-15 21:47 81920 ----a-w c:\windows\system32\88.scr
2009-05-14 23:10 . 2009-05-16 08:13 81920 ----a-w c:\windows\system32\23.scr
2009-05-14 23:10 . 2009-05-16 08:14 81920 ----a-w c:\windows\system32\[u]0/u7.scr
2009-05-14 23:09 . 2009-05-14 23:09 23552 ----a-w c:\windows\system32\22.scr
2009-05-14 23:07 . 2009-05-14 23:07 23552 ----a-w c:\windows\system32\64.scr
2009-05-14 23:06 . 2009-05-14 23:06 23552 ----a-w c:\windows\system32\66.scr
2009-05-14 23:02 . 2009-05-14 23:02 23552 ----a-w c:\windows\system32\44.scr
2009-05-14 22:59 . 2009-05-14 23:11 23552 ----a-w c:\windows\system32\52.scr
2009-05-14 22:59 . 2009-05-14 22:59 23552 ----a-w c:\windows\system32\81.scr
2009-05-14 22:56 . 2009-05-14 22:56 23552 ----a-w c:\windows\system32\[u]0/u4.scr
2009-05-14 22:51 . 2009-05-14 23:03 23552 ----a-w c:\windows\system32\[u]0/u3.scr
2009-05-14 22:50 . 2009-05-14 22:50 23552 ----a-w c:\windows\system32\67.scr
2009-05-14 22:47 . 2009-05-16 08:08 74752 ----a-w c:\windows\system32\[u]0/u5.scr
2009-05-14 22:43 . 2009-05-14 22:43 23552 ----a-w c:\windows\system32\78.scr
2009-05-14 22:41 . 2009-05-16 10:10 81920 ----a-w c:\windows\system32\74.scr
2009-05-14 22:41 . 2009-05-16 08:13 81920 ----a-w c:\windows\system32\83.scr
2009-05-14 22:40 . 2009-05-14 22:57 23552 ----a-w c:\windows\system32\[u]0/u8.scr
2009-05-14 22:39 . 2009-05-16 10:13 23552 ----a-w c:\windows\system32\[u]0/u2.scr
2009-05-14 22:36 . 2009-05-14 22:36 23552 ----a-w c:\windows\system32\41.scr
2009-05-14 22:36 . 2009-05-14 22:52 23552 ----a-w c:\windows\system32\18.scr
2009-05-14 22:29 . 2009-05-14 22:57 23552 ----a-w c:\windows\system32\71.scr
2009-05-14 22:29 . 2009-05-14 22:29 23552 ----a-w c:\windows\system32\30.scr
2009-05-14 22:26 . 2009-05-14 22:26 23552 ----a-w c:\windows\system32\27.scr
2009-05-14 22:25 . 2009-05-16 10:08 23552 ----a-w c:\windows\system32\55.scr
2009-05-14 22:24 . 2009-05-16 08:00 81920 ----a-w c:\windows\system32\65.scr
2009-05-14 22:23 . 2009-05-14 23:09 23552 ----a-w c:\windows\system32\73.scr
2009-05-14 22:22 . 2009-05-16 22:27 81920 ----a-w c:\windows\system32\40.scr
2009-05-14 22:21 . 2009-05-14 22:21 23552 ----a-w c:\windows\system32\48.scr
2009-05-14 22:20 . 2009-05-14 22:20 23552 ----a-w c:\windows\system32\14.scr
2009-05-14 22:19 . 2009-05-16 12:36 23552 ----a-w c:\windows\system32\[u]0/u6.scr
2009-05-14 22:15 . 2009-05-16 10:17 74752 ----a-w c:\windows\system32\10.scr
2009-05-14 22:13 . 2009-05-14 22:13 23552 ----a-w c:\windows\system32\17.scr
2009-05-14 22:12 . 2009-05-16 22:22 81920 ----a-w c:\windows\system32\58.scr
2009-05-14 22:12 . 2009-05-14 22:12 23552 ----a-w c:\windows\system32\62.scr
2009-05-14 22:10 . 2009-05-14 22:10 23552 ----a-w c:\windows\system32\[u]0/u0.scr
2009-05-14 22:09 . 2009-05-14 22:09 23552 ----a-w c:\windows\system32\12.scr
2009-05-14 22:07 . 2009-05-14 22:20 23552 ----a-w c:\windows\system32\61.scr
2009-05-14 22:06 . 2009-05-14 22:59 23552 ----a-w c:\windows\system32\60.scr
2009-05-14 22:02 . 2009-05-16 08:27 23552 ----a-w c:\windows\system32\77.scr
2009-05-14 22:01 . 2009-05-14 22:28 23552 ----a-w c:\windows\system32\38.scr
2009-05-14 22:01 . 2009-05-16 07:59 23552 ----a-w c:\windows\system32\85.scr
2009-05-14 22:00 . 2009-05-14 22:25 23552 ----a-w c:\windows\system32\54.scr
2009-05-14 22:00 . 2009-05-16 22:23 81920 ----a-w c:\windows\system32\37.scr
2009-05-14 22:00 . 2009-05-16 12:49 74752 ----a-w c:\windows\system32\[u]0/u1.scr
2009-05-14 21:57 . 2009-05-14 21:57 102413 ----a-w c:\windows\system32\msvcrt2.dll
2009-05-14 21:57 . 2009-05-14 21:57 23552 ----a-w c:\windows\system32\82.scr

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-16 22:17 . 2008-11-14 09:11 -------- d-----w c:\program files\SPAMfighter
2009-05-08 12:47 . 2004-09-27 15:26 -------- d-----w c:\program files\Wanadoo
2009-04-13 16:25 . 2006-02-26 20:32 -------- d-----w c:\program files\MagicDVDRipper
2009-04-04 15:35 . 2004-09-27 15:20 -------- d--h--w c:\program files\InstallShield Installation Information
2009-04-04 15:34 . 2006-02-23 22:24 -------- d-----w c:\program files\Macromedia
2009-04-04 15:32 . 2004-10-03 18:03 -------- d-----w c:\program files\Creative
2009-03-29 11:16 . 2004-09-27 15:05 64922 ----a-w c:\windows\system32\perfc00C.dat
2009-03-29 11:16 . 2004-09-27 15:05 447222 ----a-w c:\windows\system32\perfh00C.dat
2009-03-18 13:01 . 2007-05-17 12:42 -------- d-----w c:\program files\Google
2006-11-20 21:04 . 2006-11-20 21:04 1025896 ----a-w c:\program files\spamfighter_web.exe
2006-04-24 18:15 . 2006-02-26 20:35 11270 --sha-w c:\windows\SYSTEM32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\ctfmon.exe" [2002-08-30 13312]
"WOOKIT"="c:\progra~1\Wanadoo\GestMaj.exe" [2004-10-13 24576]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-27 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"Apoint"="c:\program files\Apoint\Apoint.exe" [2004-02-02 155648]
"PRONoMgr.exe"="c:\program files\Intel\NCS\PROSet\PRONoMgr.exe" [2003-05-28 86016]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2004-03-15 122933]
"PCMService"="c:\program files\Dell\Media Experience\PCMService.exe" [2004-04-11 290816]
"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-10-13 24576]
"EPSON Stylus C66 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE" [2003-11-26 99840]
"WOOTASKBARICON"="c:\progra~1\Wanadoo\TaskbarIcon.exe" [2004-10-13 49152]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-07-02 185896]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-06-29 286720]
"AVG7_CC"="c:\progra~1\Grisoft\AVG7\avgcc.exe" [2009-05-14 590848]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2004-10-26 4632576]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"SPAMfighter Agent"="c:\program files\SPAMfighter\SFAgent.exe" [2008-10-22 325768]
"BCMSMMSG"="BCMSMMSG.exe" - c:\windows\BCMSMMSG.exe [2003-08-29 122880]
"PC-CAM 300 STI App Registration"="Pd016pin.dll" - c:\windows\SYSTEM32\PD016Pin.dll [2002-06-06 28672]
"nwiz"="nwiz.exe" - c:\windows\SYSTEM32\nwiz.exe [2004-10-26 921600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-08-30 13312]
"AVG7_Run"="c:\progra~1\Grisoft\AVG7\avgw.exe" [2008-01-06 219136]

c:\documents and settings\lot\Menu Démarrer\Programmes\Démarrage\
Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2004-10-9 110592]
Outil de détection de support Picture Motion Browser.lnk - c:\program files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe [2007-7-12 200704]

c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\
DSLMON.lnk - c:\program files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2006-11-25 962661]
EPSON Status Monitor 3 Environment Check(2).lnk - c:\windows\SYSTEM32\SPOOL\DRIVERS\W32X86\3\E_SRCV02.EXE [2006-10-12 131584]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring]
2004-01-12 05:55 110592 ----a-w c:\windows\SYSTEM32\LgNotify.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MYS Mutex Algorithm Service]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"DVDLauncher"="c:\program files\CyberLink\PowerDVD\DVDLauncher.exe"
"NvCplDaemon"=RUNDLL32.EXE c:\windows\System32\NvCpl.dll,NvStartup
"nwiz"=nwiz.exe /installquiet
"SunJavaUpdateSched"=c:\program files\Java\j2re1.4.2_03\bin\jusched.exe
"bacstray"=BacsTray.exe
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" -atboottime
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
"UpdateManager"="c:\program files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

R2 SPAMfighter Update Service;SPAMfighter Update Service;c:\program files\SPAMfighter\sfus.exe [2008-10-22 184968]
S2 MYS Mutex Algorithm Service;MYS Mutex Algorithm Service;c:\windows\SYSTEM\mysmas.exe [2009-05-16 74752]
S3 PD016BLK;Creative PC-CAM 300 (Still Image);c:\windows\SYSTEM32\DRIVERS\PD016blk.sys [2004-10-03 28377]
S3 PD016VID;Creative PC-CAM 300 (Video);c:\windows\SYSTEM32\DRIVERS\PD016vid.sys [2004-10-03 433408]
.
Contenu du dossier 'Tâches planifiées'

2009-04-17 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-06-03 12:42]

2004-10-01 c:\windows\Tasks\Rappel d'abonnement 1 auprès de l'ISP.job
- c:\windows\System32\OOBE\OOBEBALN.EXE [2002-08-30 06:00]
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{34A3DDED-202E-41D3-87B0-1940B754F866} - c:\windows\System32\pMddApmN.dll
BHO-{3a9ccf3a-c655-4d1a-8335-163de9530a4a} - c:\windows\System32\zjnisn.dll
HKCU-Run-Yahoo! Pager - c:\program files\Yahoo!\Messenger\ypager.exe
HKCU-Run-updateMgr - c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
HKCU-Run-Sonic RecordNow! - (no file)
HKLM-Run-WSSVC - c:\windows\system\smsc.exe
HKLM-Run-ilasss - c:\windows\system\lsass.exe
HKLM-Run-adiras - adiras.exe
HKLM-Run-EoEngine - (no file)
HKLM-Run-EoWeather - (no file)
ShellExecuteHooks-{8404028c-cebf-4dfd-8e9a-ab6fa8b2c375} - c:\windows\System32\zjnisn.dll
Notify-xxyvsRlj - xxyvsRlj.dll
SafeBoot-lsass
SafeBoot-SVCWINSPOOL


.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
mStart Page = hxxp://www.euro.dell.com/countries/fr/fra/gen/default.htm
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\System32\GPhotos.scr/200
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-17 00:37
Windows 5.1.2600 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(824)
c:\windows\system32\ODBC32.dll
c:\windows\System32\msctfime.ime
c:\windows\System32\LgNotify.dll

- - - - - - - > 'lsass.exe'(880)
c:\windows\System32\dssenh.dll

- - - - - - - > 'explorer.exe'(3872)
c:\windows\System32\msctfime.ime
c:\windows\System32\msi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\SYSTEM32\S24EvMon.exe
c:\program files\Fichiers communs\EPSON\eEBAPI\eEBSvc.exe
c:\progra~1\Grisoft\AVG7\avgamsvr.exe
c:\progra~1\Grisoft\AVG7\avgupsvc.exe
c:\progra~1\Grisoft\AVG7\avgemc.exe
c:\windows\SYSTEM32\DRIVERS\CDAC11BA.EXE
c:\windows\SYSTEM32\FTRTSVC.exe
c:\windows\SYSTEM32\nvsvc32.exe
c:\windows\SYSTEM32\RegSrvc.exe
c:\windows\SYSTEM32\ZCfgSvc.exe
c:\windows\SYSTEM32\1XConfig.exe
c:\program files\Apoint\ApntEx.exe
c:\windows\SYSTEM32\msiexec.exe
.
**************************************************************************
.
Heure de fin: 2009-05-16 0:40 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-05-16 22:39

Avant-CF: 4,788,731,904 octets libres
Après-CF: 4,888,682,496 octets libres

262 --- E O F --- 2008-01-20 12:53

   
Répondre à Charlotte*

5

Destrio5, le 17 mai 2009 à 00:47:34

--> Fais analyser ce fichier : c:\windows\SYSTEM\mysmas.exe

--> Sur VirusTotal et poste le lien de l'analyse.

   
Répondre à Destrio5

6

Charlotte*, le 17 mai 2009 à 00:52:17

Fichier hue.exe reçu le 2009.05.15 00:44:02 (CET)
Situation actuelle: terminé

Résultat: 8/40 (20.00%)
Formaté Impression des résultats
Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.101 2009.05.14 Trojan.Vundo!IK
AhnLab-V3 5.0.0.2 2009.05.14 -
AntiVir 7.9.0.166 2009.05.14 -
Antiy-AVL 2.0.3.1 2009.05.14 -
Authentium 5.1.2.4 2009.05.14 -
Avast 4.8.1335.0 2009.05.13 -
AVG 8.5.0.327 2009.05.14 -
BitDefender 7.2 2009.05.14 -
CAT-QuickHeal 10.00 2009.05.14 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.05.14 -
Comodo 1157 2009.05.08 -
DrWeb 5.0.0.12182 2009.05.14 -
eSafe 7.0.17.0 2009.05.14 Suspicious File
eTrust-Vet 31.6.6505 2009.05.14 -
F-Prot 4.4.4.56 2009.05.14 -
F-Secure 8.0.14470.0 2009.05.14 -
Fortinet 3.117.0.0 2009.05.14 -
GData 19 2009.05.14 -
Ikarus T3.1.1.49.0 2009.05.14 Trojan.Vundo
K7AntiVirus 7.10.735 2009.05.14 -
Kaspersky 7.0.0.125 2009.05.14 -
McAfee 5615 2009.05.14 -
McAfee+Artemis 5615 2009.05.14 -
McAfee-GW-Edition 6.7.6 2009.05.14 -
Microsoft 1.4602 2009.05.14 VirTool:Win32/DelfInject.gen!J
NOD32 4076 2009.05.14 a variant of Win32/Injector.OI
Norman 6.01.05 2009.05.14 -
nProtect 2009.1.8.0 2009.05.14 -
Panda 10.0.0.14 2009.05.14 -
PCTools 4.4.2.0 2009.05.13 -
Prevx 3.0 2009.05.15 -
Rising 21.29.34.00 2009.05.14 -
Sophos 4.41.0 2009.05.14 -
Sunbelt 3.2.1858.2 2009.05.14 -
Symantec 1.4.4.12 2009.05.14 -
TheHacker 6.3.4.1.326 2009.05.14 -
TrendMicro 8.950.0.1092 2009.05.14 -
VBA32 3.12.10.5 2009.05.14 -
ViRobot 2009.5.14.1735 2009.05.14 Worm.Win32.P2P-Palevo.96768
VirusBuster 4.6.5.0 2009.05.14 Trojan.Inject.Gen.5
Information additionnelle
File size: 74752 bytes
MD5...: c4098c3b08874f6915fa14a9278f31b3
SHA1..: 83091f16782bd82b9010b1c8d3399dee3f41cea6
SHA256: d406d350fc261313d4fed434600f7ba490f78c3744ac3a0f9a479d7fde4f­94db
SHA512: 59745cdd8d1772c15d82b873493463775fe43d9ce8f73ae159f4a67db663­8a35
6abd585731e4d789e44e08b192e44459d4e30090e52356f70ce8f4d9b7da­2ef0
ssdeep: 1536:9Ybom7Ypo9tv0cZ/VJIlrYPsETSMeMjT:wrV9tvtIlrYPsETS

PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3346
timedatestamp.....: 0x4a0896d5 (Mon May 11 21:21:25 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x6394 0x6400 6.53 fca9fdc952b536eb21fe4a243edaa725
.rdata 0x8000 0x93c 0xa00 5.15 d113629e51ae0a4fcc755612289ff002
.data 0x9000 0x41a0 0x2c00 1.17 6314549d7b99e77a0283558c401dd45a
.tls 0xe000 0x0 0x8600 7.98 991d6a3d78e6910e2ae03f0203104d29

( 2 imports )
> KERNEL32.dll: OpenProcess, GetModuleHandleA, CopyFileA, HeapAlloc, HeapFree, RtlUnwind, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, GetModuleFileNameA, GetEnvironmentVariableA, GetVersionExA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, WriteFile, GetLastError, SetFilePointer, GetCPInfo, GetACP, GetOEMCP, GetProcAddress, LoadLibraryA, SetStdHandle, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, FlushFileBuffers, CloseHandle
> ADVAPI32.dll: RegOpenKeyA, RegQueryValueExA, RegCloseKey

( 0 exports )

PDFiD.: -
RDS...: NSRL Reference Data Set
-

   
Répondre à Charlotte*

7

Charlotte*, le 17 mai 2009 à 00:52:22

Fichier hue.exe reçu le 2009.05.15 00:44:02 (CET)
Situation actuelle: terminé

Résultat: 8/40 (20.00%)
Formaté Impression des résultats
Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.101 2009.05.14 Trojan.Vundo!IK
AhnLab-V3 5.0.0.2 2009.05.14 -
AntiVir 7.9.0.166 2009.05.14 -
Antiy-AVL 2.0.3.1 2009.05.14 -
Authentium 5.1.2.4 2009.05.14 -
Avast 4.8.1335.0 2009.05.13 -
AVG 8.5.0.327 2009.05.14 -
BitDefender 7.2 2009.05.14 -
CAT-QuickHeal 10.00 2009.05.14 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.05.14 -
Comodo 1157 2009.05.08 -
DrWeb 5.0.0.12182 2009.05.14 -
eSafe 7.0.17.0 2009.05.14 Suspicious File
eTrust-Vet 31.6.6505 2009.05.14 -
F-Prot 4.4.4.56 2009.05.14 -
F-Secure 8.0.14470.0 2009.05.14 -
Fortinet 3.117.0.0 2009.05.14 -
GData 19 2009.05.14 -
Ikarus T3.1.1.49.0 2009.05.14 Trojan.Vundo
K7AntiVirus 7.10.735 2009.05.14 -
Kaspersky 7.0.0.125 2009.05.14 -
McAfee 5615 2009.05.14 -
McAfee+Artemis 5615 2009.05.14 -
McAfee-GW-Edition 6.7.6 2009.05.14 -
Microsoft 1.4602 2009.05.14 VirTool:Win32/DelfInject.gen!J
NOD32 4076 2009.05.14 a variant of Win32/Injector.OI
Norman 6.01.05 2009.05.14 -
nProtect 2009.1.8.0 2009.05.14 -
Panda 10.0.0.14 2009.05.14 -
PCTools 4.4.2.0 2009.05.13 -
Prevx 3.0 2009.05.15 -
Rising 21.29.34.00 2009.05.14 -
Sophos 4.41.0 2009.05.14 -
Sunbelt 3.2.1858.2 2009.05.14 -
Symantec 1.4.4.12 2009.05.14 -
TheHacker 6.3.4.1.326 2009.05.14 -
TrendMicro 8.950.0.1092 2009.05.14 -
VBA32 3.12.10.5 2009.05.14 -
ViRobot 2009.5.14.1735 2009.05.14 Worm.Win32.P2P-Palevo.96768
VirusBuster 4.6.5.0 2009.05.14 Trojan.Inject.Gen.5
Information additionnelle
File size: 74752 bytes
MD5...: c4098c3b08874f6915fa14a9278f31b3
SHA1..: 83091f16782bd82b9010b1c8d3399dee3f41cea6
SHA256: d406d350fc261313d4fed434600f7ba490f78c3744ac3a0f9a479d7fde4f­94db
SHA512: 59745cdd8d1772c15d82b873493463775fe43d9ce8f73ae159f4a67db663­8a35
6abd585731e4d789e44e08b192e44459d4e30090e52356f70ce8f4d9b7da­2ef0
ssdeep: 1536:9Ybom7Ypo9tv0cZ/VJIlrYPsETSMeMjT:wrV9tvtIlrYPsETS

PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3346
timedatestamp.....: 0x4a0896d5 (Mon May 11 21:21:25 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x6394 0x6400 6.53 fca9fdc952b536eb21fe4a243edaa725
.rdata 0x8000 0x93c 0xa00 5.15 d113629e51ae0a4fcc755612289ff002
.data 0x9000 0x41a0 0x2c00 1.17 6314549d7b99e77a0283558c401dd45a
.tls 0xe000 0x0 0x8600 7.98 991d6a3d78e6910e2ae03f0203104d29

( 2 imports )
> KERNEL32.dll: OpenProcess, GetModuleHandleA, CopyFileA, HeapAlloc, HeapFree, RtlUnwind, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, GetModuleFileNameA, GetEnvironmentVariableA, GetVersionExA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, WriteFile, GetLastError, SetFilePointer, GetCPInfo, GetACP, GetOEMCP, GetProcAddress, LoadLibraryA, SetStdHandle, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, FlushFileBuffers, CloseHandle
> ADVAPI32.dll: RegOpenKeyA, RegQueryValueExA, RegCloseKey

( 0 exports )

PDFiD.: -
RDS...: NSRL Reference Data Set
-

   
Répondre à Charlotte*

8

Destrio5, le 17 mai 2009 à 00:53:24

Ce n'est pas bon.

   
Répondre à Destrio5

9

Charlotte*, le 17 mai 2009 à 00:54:28

Ha!????

C'est à dire ?

C'est grave ?

   
Répondre à Charlotte*

10

Destrio5, le 17 mai 2009 à 00:55:11

D'après le rapport, c'est un fichier hue.exe et non mysmas.exe qui a été analysé.

   
Répondre à Destrio5

11

Charlotte*, le 17 mai 2009 à 01:00:00

Oups... désolée.

Fichier mysmas.exe reçu le 2009.05.17 00:56:52 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 17/40 (42.5%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 2.
L'heure estimée de démarrage est entre 49 et 70 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:


Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.101 2009.05.16 Trojan.Vundo!IK
AhnLab-V3 5.0.0.2 2009.05.16 -
AntiVir 7.9.0.168 2009.05.15 -
Antiy-AVL 2.0.3.1 2009.05.15 -
Authentium 5.1.2.4 2009.05.16 -
Avast 4.8.1335.0 2009.05.16 Win32:Inject-SV
AVG 8.5.0.336 2009.05.16 SHeur2.AFUL
BitDefender 7.2 2009.05.17 -
CAT-QuickHeal 10.00 2009.05.15 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.05.16 -
Comodo 1157 2009.05.08 -
DrWeb 5.0.0.12182 2009.05.17 -
eSafe 7.0.17.0 2009.05.14 Suspicious File
eTrust-Vet 31.6.6508 2009.05.16 -
F-Prot 4.4.4.56 2009.05.16 -
F-Secure 8.0.14470.0 2009.05.16 -
Fortinet 3.117.0.0 2009.05.16 PossibleThreat
GData 19 2009.05.17 Win32:Inject-SV
Ikarus T3.1.1.49.0 2009.05.16 Trojan.Vundo
K7AntiVirus 7.10.737 2009.05.16 -
Kaspersky 7.0.0.125 2009.05.16 -
McAfee 5617 2009.05.16 -
McAfee+Artemis 5617 2009.05.16 Artemis!C4098C3B0887
McAfee-GW-Edition 6.7.6 2009.05.15 -
Microsoft 1.4602 2009.05.16 VirTool:Win32/DelfInject.gen!J
NOD32 4080 2009.05.15 a variant of Win32/Injector.OI
Norman 6.01.05 2009.05.16 -
nProtect 2009.1.8.0 2009.05.16 -
Panda 10.0.0.14 2009.05.16 -
PCTools 4.4.2.0 2009.05.16 -
Prevx 3.0 2009.05.17 High Risk Cloaked Malware
Rising 21.29.52.00 2009.05.16 Trojan.DL.Win32.Undef.ekx
Sophos 4.41.0 2009.05.16 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.05.16 VirTool-Win32/DelfInject.gen!J
Symantec 1.4.4.12 2009.05.17 -
TheHacker 6.3.4.1.326 2009.05.15 -
TrendMicro 8.950.0.1092 2009.05.15 -
VBA32 3.12.10.5 2009.05.16 -
ViRobot 2009.5.15.1737 2009.05.15 Worm.Win32.P2P-Palevo.96768
VirusBuster 4.6.5.0 2009.05.16 Trojan.Inject.Gen.5
Information additionnelle
File size: 74752 bytes
MD5...: c4098c3b08874f6915fa14a9278f31b3
SHA1..: 83091f16782bd82b9010b1c8d3399dee3f41cea6
SHA256: d406d350fc261313d4fed434600f7ba490f78c3744ac3a0f9a479d7fde4f94db
SHA512: 59745cdd8d1772c15d82b873493463775fe43d9ce8f73ae159f4a67db6638a35
6abd585731e4d789e44e08b192e44459d4e30090e52356f70ce8f4d9b7da2ef0
ssdeep: 1536:9Ybom7Ypo9tv0cZ/VJIlrYPsETSMeMjT:wrV9tvtIlrYPsETS

PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3346
timedatestamp.....: 0x4a0896d5 (Mon May 11 21:21:25 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x6394 0x6400 6.53 fca9fdc952b536eb21fe4a243edaa725
.rdata 0x8000 0x93c 0xa00 5.15 d113629e51ae0a4fcc755612289ff002
.data 0x9000 0x41a0 0x2c00 1.17 6314549d7b99e77a0283558c401dd45a
.tls 0xe000 0x0 0x8600 7.98 991d6a3d78e6910e2ae03f0203104d29

( 2 imports )
> KERNEL32.dll: OpenProcess, GetModuleHandleA, CopyFileA, HeapAlloc, HeapFree, RtlUnwind, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, GetModuleFileNameA, GetEnvironmentVariableA, GetVersionExA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, WriteFile, GetLastError, SetFilePointer, GetCPInfo, GetACP, GetOEMCP, GetProcAddress, LoadLibraryA, SetStdHandle, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, FlushFileBuffers, CloseHandle
> ADVAPI32.dll: RegOpenKeyA, RegQueryValueExA, RegCloseKey

( 0 exports )

PDFiD.: -
RDS...: NSRL Reference Data Set
-
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=5B247D17004CF6F3246E015C99FF5F00DC0C7961' target='_blank'>http://info.prevx.com/...

   
Répondre à Charlotte*

12

Charlotte*, le 17 mai 2009 à 01:02:10

Fichier hue.exe reçu le 2009.05.15 00:44:02 (CET)
Situation actuelle: terminé

Résultat: 8/40 (20.00%)
Formaté Impression des résultats
Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.101 2009.05.14 Trojan.Vundo!IK
AhnLab-V3 5.0.0.2 2009.05.14 -
AntiVir 7.9.0.166 2009.05.14 -
Antiy-AVL 2.0.3.1 2009.05.14 -
Authentium 5.1.2.4 2009.05.14 -
Avast 4.8.1335.0 2009.05.13 -
AVG 8.5.0.327 2009.05.14 -
BitDefender 7.2 2009.05.14 -
CAT-QuickHeal 10.00 2009.05.14 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.05.14 -
Comodo 1157 2009.05.08 -
DrWeb 5.0.0.12182 2009.05.14 -
eSafe 7.0.17.0 2009.05.14 Suspicious File
eTrust-Vet 31.6.6505 2009.05.14 -
F-Prot 4.4.4.56 2009.05.14 -
F-Secure 8.0.14470.0 2009.05.14 -
Fortinet 3.117.0.0 2009.05.14 -
GData 19 2009.05.14 -
Ikarus T3.1.1.49.0 2009.05.14 Trojan.Vundo
K7AntiVirus 7.10.735 2009.05.14 -
Kaspersky 7.0.0.125 2009.05.14 -
McAfee 5615 2009.05.14 -
McAfee+Artemis 5615 2009.05.14 -
McAfee-GW-Edition 6.7.6 2009.05.14 -
Microsoft 1.4602 2009.05.14 VirTool:Win32/DelfInject.gen!J
NOD32 4076 2009.05.14 a variant of Win32/Injector.OI
Norman 6.01.05 2009.05.14 -
nProtect 2009.1.8.0 2009.05.14 -
Panda 10.0.0.14 2009.05.14 -
PCTools 4.4.2.0 2009.05.13 -
Prevx 3.0 2009.05.15 -
Rising 21.29.34.00 2009.05.14 -
Sophos 4.41.0 2009.05.14 -
Sunbelt 3.2.1858.2 2009.05.14 -
Symantec 1.4.4.12 2009.05.14 -
TheHacker 6.3.4.1.326 2009.05.14 -
TrendMicro 8.950.0.1092 2009.05.14 -
VBA32 3.12.10.5 2009.05.14 -
ViRobot 2009.5.14.1735 2009.05.14 Worm.Win32.P2P-Palevo.96768
VirusBuster 4.6.5.0 2009.05.14 Trojan.Inject.Gen.5
Information additionnelle
File size: 74752 bytes
MD5...: c4098c3b08874f6915fa14a9278f31b3
SHA1..: 83091f16782bd82b9010b1c8d3399dee3f41cea6
SHA256: d406d350fc261313d4fed434600f7ba490f78c3744ac3a0f9a479d7fde4f­94db
SHA512: 59745cdd8d1772c15d82b873493463775fe43d9ce8f73ae159f4a67db663­8a35
6abd585731e4d789e44e08b192e44459d4e30090e52356f70ce8f4d9b7da­2ef0
ssdeep: 1536:9Ybom7Ypo9tv0cZ/VJIlrYPsETSMeMjT:wrV9tvtIlrYPsETS

PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3346
timedatestamp.....: 0x4a0896d5 (Mon May 11 21:21:25 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x6394 0x6400 6.53 fca9fdc952b536eb21fe4a243edaa725
.rdata 0x8000 0x93c 0xa00 5.15 d113629e51ae0a4fcc755612289ff002
.data 0x9000 0x41a0 0x2c00 1.17 6314549d7b99e77a0283558c401dd45a
.tls 0xe000 0x0 0x8600 7.98 991d6a3d78e6910e2ae03f0203104d29

( 2 imports )
> KERNEL32.dll: OpenProcess, GetModuleHandleA, CopyFileA, HeapAlloc, HeapFree, RtlUnwind, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, GetModuleFileNameA, GetEnvironmentVariableA, GetVersionExA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, WriteFile, GetLastError, SetFilePointer, GetCPInfo, GetACP, GetOEMCP, GetProcAddress, LoadLibraryA, SetStdHandle, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, FlushFileBuffers, CloseHandle
> ADVAPI32.dll: RegOpenKeyA, RegQueryValueExA, RegCloseKey

( 0 exports )

PDFiD.: -
RDS...: NSRL Reference Data Set
-

   
Répondre à Charlotte*

13

Destrio5, le 17 mai 2009 à 01:05:51

---> Désactive ton antivirus le temps de la manipulation car OTMoveIt3 est détecté comme une infection à tort.

---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau.

---> Double-clique sur OTMoveIt3.exe afin de le lancer.

---> Copie (Ctrl+C) le texte suivant ci-dessous :





:processes
explorer.exe

:services
MYS Mutex Algorithm Service

:files
c:\windows\system\mysmas.exe
c:\windows\system32\??.scr
c:\windows\system32\msvcrt2.dll

:commands
[purity]
[emptytemp]
[reboot]





---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

   
Répondre à Destrio5

14

Charlotte*, le 17 mai 2009 à 01:25:49

Voici le rapport en question.

Je pars me coucher mais serais d'attaque à nouveau demain soir si le virus est toujours là.

Combofix disait "LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE ". Est ce embettant ? A quoi cela sert-il ? Je peux rarement éteindre mon ordi du premier coup et ait souvent des messages d'erreur avant de le fermer. Cela a t-il un lien?

bonne nuit et merci pour ta disponibilité.

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========

Service\Driver MYS Mutex Algorithm Service deleted successfully.
========== FILES ==========
c:\windows\system\mysmas.exe moved successfully.
c:\windows\system32\00.scr moved successfully.
c:\windows\system32\01.scr moved successfully.
c:\windows\system32\02.scr moved successfully.
c:\windows\system32\03.scr moved successfully.
c:\windows\system32\04.scr moved successfully.
c:\windows\system32\05.scr moved successfully.
c:\windows\system32\06.scr moved successfully.
c:\windows\system32\07.scr moved successfully.
c:\windows\system32\08.scr moved successfully.
c:\windows\system32\10.scr moved successfully.
c:\windows\system32\12.scr moved successfully.
c:\windows\system32\14.scr moved successfully.
c:\windows\system32\15.scr moved successfully.
c:\windows\system32\17.scr moved successfully.
c:\windows\system32\18.scr moved successfully.
c:\windows\system32\21.scr moved successfully.
c:\windows\system32\22.scr moved successfully.
c:\windows\system32\23.scr moved successfully.
c:\windows\system32\26.scr moved successfully.
c:\windows\system32\27.scr moved successfully.
c:\windows\system32\28.scr moved successfully.
c:\windows\system32\30.scr moved successfully.
c:\windows\system32\31.scr moved successfully.
c:\windows\system32\32.scr moved successfully.
c:\windows\system32\37.scr moved successfully.
c:\windows\system32\38.scr moved successfully.
c:\windows\system32\40.scr moved successfully.
c:\windows\system32\41.scr moved successfully.
c:\windows\system32\44.scr moved successfully.
c:\windows\system32\48.scr moved successfully.
c:\windows\system32\51.scr moved successfully.
c:\windows\system32\52.scr moved successfully.
c:\windows\system32\54.scr moved successfully.
c:\windows\system32\55.scr moved successfully.
c:\windows\system32\58.scr moved successfully.
c:\windows\system32\60.scr moved successfully.
c:\windows\system32\61.scr moved successfully.
c:\windows\system32\62.scr moved successfully.
c:\windows\system32\64.scr moved successfully.
c:\windows\system32\65.scr moved successfully.
c:\windows\system32\66.scr moved successfully.
c:\windows\system32\67.scr moved successfully.
c:\windows\system32\71.scr moved successfully.
c:\windows\system32\73.scr moved successfully.
c:\windows\system32\74.scr moved successfully.
c:\windows\system32\77.scr moved successfully.
c:\windows\system32\78.scr moved successfully.
c:\windows\system32\81.scr moved successfully.
c:\windows\system32\82.scr moved successfully.
c:\windows\system32\83.scr moved successfully.
c:\windows\system32\84.scr moved successfully.
c:\windows\system32\85.scr moved successfully.
c:\windows\system32\88.scr moved successfully.
LoadLibrary failed for c:\windows\system32\msvcrt2.dll
c:\windows\system32\msvcrt2.dll NOT unregistered.
c:\windows\system32\msvcrt2.dll moved successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\lot\LOCALS~1\Temp\JET5350.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\lot\Local Settings\Temporary Internet Files\Content.IE5\HIY8LYKC\affich-12475334-infection-par-le-virus-win32-virut[2] scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\lot\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\INDEX.DAT scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
Temp folders emptied.

OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 05172009_011019

Files moved on Reboot...
File C:\DOCUME~1\lot\LOCALS~1\Temp\JET5350.tmp not found!
C:\Documents and Settings\lot\Local Settings\Temporary Internet Files\Content.IE5\HIY8LYKC\affich-12475334-infection-par-le-virus-win32-virut[2] moved successfully.

   
Répondre à Charlotte*

15

Destrio5, le 17 mai 2009 à 01:30:31

"Combofix disait "LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE ". Est ce embettant ? A quoi cela sert-il ?"
---> Si le PC aurait planté, la console aurait été pratique.

"Je peux rarement éteindre mon ordi du premier coup et ait souvent des messages d'erreur avant de le fermer. Cela a t-il un lien?"
---> Nous n'avons pas fini de le désinfecter même si on a supprimé pas mal d'infections.

---> Menu Démarrer > Exécuter > Tape combofix /u et valide.

---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
---> Sélectionne Exécuter un examen rapide.
---> Clique sur Rechercher. L'analyse démarre.

A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
---> Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.

   
Répondre à Destrio5

16

Charlotte*, le 17 mai 2009 à 21:40:20

Malwarebytes' Anti-Malware 1.36
Version de la base de données: 2145
Windows 5.1.2600 Service Pack 1

17/05/2009 21:39:41
mbam-log-2009-05-17 (21-39-41).txt

Type de recherche: Examen rapide
Eléments examinés: 79199
Temps écoulé: 6 minute(s), 27 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Bonjour,

Voici le nouveau rapport...

Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MYS Mutex Algorithm Service (Backdoor.IRCBot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MYS Mutex Algorithm Service (Backdoor.IRCBot) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\SYSTEM32\x.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Program Files\eoRezo (Rogue.Eorezo) -> Delete on reboot.
C:\WINDOWS\SYSTEM\mysmas.exe (Backdoor.IRCBot) -> Quarantined and deleted successfully.

   
Répondre à Charlotte*

17

Destrio5, le 17 mai 2009 à 22:18:13

● Relance MBAM, va dans Quarantaine et supprime tout.

● Télécharge Ad-Remover (de Cyrildu17 / C_XX) sur ton Bureau.

/!\ Déconnecte-toi d'Internet et ferme toutes applications en cours. /!\

● Double-clique sur le programme d'installation, installe-le dans son emplacement par défaut (C:\Program Files).
● Double-clique sur le raccourci d'Ad-Remover située sur ton Bureau.
(Sous Vista, il faut cliquer droit sur le raccourci d'Ad-Remover et choisir Exécuter en tant qu'administrateur)
● Au menu principal, choisis l'option A.
● Poste le rapport généré (C:\Ad-Report-Scan-(date).log).

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

Note : "Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.

   
Répondre à Destrio5

18

Charlotte*, le 17 mai 2009 à 22:54:45

+-----------------| Added Scan:
.

---- Internet Explorer Version 6.0.2800.1106 ----

[HKEY_CURRENT_USER\..\Internet Explorer\Main]

Search bar: hxxp://www.google.com/ie
Search Page: hxxp://www.google.com
Start Page: hxxp://www.google.fr/

[HKEY_USERS\S-1-5-21-199171104-647130974-2077177671-1006\..\­Internet Explorer\Main]

Search bar: hxxp://www.google.com/ie
Search Page: hxxp://www.google.com
Start Page: hxxp://www.google.fr/

[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://www.euro.dell.com/countries/fr/fra/gen/default.htm

[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]


=========== Suspicious ==========


+-----------------------------------------------------------­----------------+

2537 Byte(s) - C:\Ad-Report-Scan-17.05.2009.log

1 File(s) - C:\Program Files\Ad-remover\BACKUP
0 File(s) - C:\Program Files\Ad-remover\QUARANTINE

End at: 22:44:20 | 17/05/2009
.
+-----------------| E.O.F
.

   
Répondre à Charlotte*

19

Destrio5, le 17 mai 2009 à 22:58:30

Le rapport est incomplet.

   
Répondre à Destrio5

20

Charlotte*, le 17 mai 2009 à 23:07:17

------- LOGFILE OF AD-REMOVER 1.1.4.0 | ONLY XP/VISTA -------

Updated by C_XX on 17/05/2009 at 19:30
Contact: AdRemover.contact@gmail.com
Website: http://pagesperso-orange.fr/NosTools/ad_remover.html

Start at: 22:37:36, 17/05/2009 | Boot mode: Normal Boot
Option: Scan | Executed from: C:\Program Files\Ad-remover\
Operating System: Microsoft® Windows XP™ Service Pack 1 v5.1.2600
Computer Name: CHARLOTTE
Current User: lot - Administrator


============ Known Adwares Found ============

.
.
C:\Documents and Settings\lot\Cookies\lot@atdmt[1].txt
C:\Documents and Settings\lot\Cookies\lot@bs.serving-sys[2].txt

+-----------------| Eorezo Elements Found:

HKCR\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKCR\EoRezoBHO.EoBho
HKCR\EoRezoBHO.EoBho.1
HKCR\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKCR\Typelib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKCU\Software\EoRezo
HKLM\Software\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-3972369­6E350}
HKLM\Software\Classes\EoRezoBHO.EoBho
HKLM\Software\Classes\EoRezoBHO.EoBho.1
HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF­2BD778F}
HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C­89C56013A}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Brow­ser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKU\S-1-5-21-199171104-647130974-2077177671-1006\Software\Eo­rezo
.
C:\Program Files\EoRezo
C:\Documents and Settings\lot\Application Data\EoRezo

+-----------------| It's TV Elements Found:

HKLM\Software\ItsLabel
.

+-----------------| Sweetim Elements Found:

.

+-----------------| Added Scan:
.

---- Internet Explorer Version 6.0.2800.1106 ----

[HKEY_CURRENT_USER\..\Internet Explorer\Main]

Search bar: hxxp://www.google.com/ie
Search Page: hxxp://www.google.com
Start Page: hxxp://www.google.fr/

[HKEY_USERS\S-1-5-21-199171104-647130974-2077177671-1006\..\­Internet Explorer\Main]

Search bar: hxxp://www.google.com/ie
Search Page: hxxp://www.google.com
Start Page: hxxp://www.google.fr/

[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://www.euro.dell.com/countries/fr/fra/gen/default.htm

[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]


=========== Suspicious ==========


+-----------------------------------------------------------­----------------+

2537 Byte(s) - C:\Ad-Report-Scan-17.05.2009.log

1 File(s) - C:\Program Files\Ad-remover\BACKUP
0 File(s) - C:\Program Files\Ad-remover\QUARANTINE

End at: 22:44:20 | 17/05/2009
.
+-----------------| E.O.F
.

   
Répondre à Charlotte*

21

Destrio5, le 17 mai 2009 à 23:08:36

/!\ Déconnecte-toi et ferme toutes applications en cours /!\

● Double-clique sur AD-Remover pour le lancer : au menu principal, choisis l'option B.

● Coche A à l'écran de sélection :
http://sd-1.archive-host.com/membres/up/16506160323759868/Capturer-ADR.JPG

● Puis choisis S, le programme va travailler.

● Poste le rapport qui apparaît à la fin (C:\Ad-Report-Clean-(date).log).

/!\ Si le Bureau ne réapparaît pas, presse Ctrl + Alt + Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide /!\

   
Répondre à Destrio5
88 réponses 12345 Suivant
Posez votre question Répondre
Ils ont besoin de votre aide
Collection CommentÇaMarche.net