Recherche
Posez votre question Signaler

Virus Trojan / Scan HJTInstall.exe

aftertab - Dernière réponse le 24 mai 2009 à 04:37
Bonjour,
J'ai un problème de virus sur mon PC.
Le système se fige au démarrage, j'ai Antivir qui s'affole et je n'arrive plus à me connecter à Internet.
Comme expliqué sur le forum, j'ai installé HJTInstall.exe, j'ai fait un scan et voilà ce que j'obtiens :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:53:43, on 23/05/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\GUARDGUI.EXE
C:\Program Files\Avira\AntiVir Desktop\GUARDGUI.EXE
C:\Program Files\Avira\AntiVir Desktop\GUARDGUI.EXE
C:\Program Files\Avira\AntiVir Desktop\GUARDGUI.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\GUARDGUI.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: {50ec0944-4e4f-22ba-6b04-f40d9ecc05a2} - {2a50cce9-d04f-40b6-ab22-f4e44490ce05} - C:\WINDOWS\system32\awulzt.dll (file missing)
O2 - BHO: (no name) - {9c7e65be-347f-425f-aba3-8a0f52fa2a63} - C:\WINDOWS\system32\badufega.dll (file missing)
O2 - BHO: (no name) - {A11C5AA1-0522-4E2C-8B55-61EC322A00BB} - C:\WINDOWS\system32\efcYRHWq.dll
O2 - BHO: (no name) - {C7433973-9EF2-45E5-A166-1F623F759A4C} - C:\WINDOWS\system32\efcYRjKC.dll
O2 - BHO: (no name) - {EA80792A-49D6-499E-B2C1-141D1D247C93} - C:\WINDOWS\system32\rqRHaYrp.dll (file missing)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [2426b83b] rundll32.exe "C:\WINDOWS\system32\ivcqouia.dll",b
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [kadejalune] Rundll32.exe "C:\WINDOWS\system32\sezilale.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [] C:\Documents and Settings\Mathieu\Application Data\Adobe\Player.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE R�SEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\zarefawa.dll
O20 - Winlogon Notify: efcYRHWq - C:\WINDOWS\SYSTEM32\efcYRHWq.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
Lire la suite 
Réponse
+1
moins plus
Salut,

Télécharge ComboFix (de sUBs) sur ton Bureau.

/!\Désactive temporairement toute protection résidente /!\ (Antivirus, antispywares..)
Double clique sur ComboFix.exe.
Accepte la licence en cliquant sur Oui.
Le programme va te demander si tu souhaites installer la Console de Récupération. C'est une précaution, au cas où l'ordinateur tomberait en panne. Je te conseille donc de l'installer, ça ne coûte rien, et ça pourrait potentiellement servir !
Lorsque l'opération sera terminée, un rapport apparaîtra. Poste ce rapport dans ta prochaine réponse.


Le rapport se trouve ici : %SystemDrive%\ComboFix.txt (%systemdrive% étant la partition où est installée Windows; C:\ en général)

Aide :Comment utiliser ComboFix.

Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.
Ajouter un commentaire
Réponse
+0
moins plus
Salut V-X et merci,

J'obtiens le rapport suivant :

ComboFix 09-05-22.05 - Mathieu 23/05/2009 9:45.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.3574.3129 [GMT 2:00]

LancÈ depuis: c:\documents and settings\Mathieu\Bureau\ComboFix.exe

AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

.

[color=purple]Les fichiers ci-dessous ont ÈtÈ dÈsactivÈs pendant l'exÈcution:/color

c:\windows\system32\zarefawa.dll





(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.



c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat

c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat

c:\windows\IE4 Error Log.txt

c:\windows\system32\aiuoqcvi.ini

c:\windows\system32\CKjRYcfe.ini

c:\windows\system32\CKjRYcfe.ini2

c:\windows\system32\cqdlwrfj.dll

c:\windows\system32\ddcCSIaA.dll

c:\windows\system32\efcYRHWq.dll

c:\windows\system32\efcYRjKC.dll

c:\windows\system32\fccaXnom.dll

c:\windows\system32\geBqNghE.dll

c:\windows\system32\givhsc.dll

c:\windows\system32\hgGvsqOE.dll

c:\windows\system32\iiffDVnl.dll

c:\windows\system32\iifgGXpn.dll

c:\windows\system32\jkkIASjj.dll

c:\windows\system32\lepefihi.dll

c:\windows\system32\ljJYsssP.dll

c:\windows\system32\lsuqem.dll

c:\windows\system32\mlJAtTmN.dll

c:\windows\system32\mlJBRKBu.dll

c:\windows\system32\nwwkcjgl.dll

c:\windows\system32\prYaHRqr.ini

c:\windows\system32\prYaHRqr.ini2

c:\windows\system32\qoMedCuS.dll

c:\windows\system32\rqRIcBQk.dll

c:\windows\system32\sezilale.dll

c:\windows\system32\tuvTnLeC.dll

c:\windows\system32\urqOFuVm.dll

c:\windows\system32\urqPiIcC.dll

c:\windows\system32\vhmygxxe.dll

c:\windows\system32\vtUnopPI.dll

c:\windows\system32\vtUopQHY.dll

c:\windows\system32\wvUmmNhH.dll

c:\windows\system32\wvUnOICR.dll

c:\windows\system32\xhybcaen.dll

c:\windows\system32\yaywurqq.dll

c:\windows\system32\yaywuuUN.dll



----- BITS: Il y a peut-Ítre des sites infectÈs -----



hxxp://78.157.143.163

hxxp://91.203.93.6

.

((((((((((((((((((((((((((((( Fichiers crÈÈs du 2009-04-23 au 2009-05-23 ))))))))))))))))))))))))))))))))))))

.



2009-05-23 06:51 . 2009-05-23 06:51 -------- d-----w c:\program files\Trend Micro

2009-05-23 06:20 . 2009-05-23 06:20 -------- d-----w c:\documents and settings\Administrateur\Local Settings\Application Data\Mozilla

2009-05-22 19:01 . 2009-05-22 19:01 -------- d-s---w c:\documents and settings\Vanina\UserData

2009-05-19 15:10 . 2009-05-19 15:10 -------- d-----w c:\documents and settings\Ylona\Application Data\HP

2009-05-18 17:32 . 2009-05-18 17:32 -------- d-----w c:\documents and settings\Mathieu\Local Settings\Application Data\Apple Computer

2009-05-18 16:42 . 2009-05-18 16:44 -------- d-----w c:\documents and settings\Ylona\Local Settings\Application Data\Adobe

2009-05-14 10:53 . 2009-05-14 10:53 68464 ----a-w c:\documents and settings\Ylona\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-05-13 14:11 . 2009-05-13 14:11 -------- d-----w c:\documents and settings\Ylona\Local Settings\Application Data\Mozilla

2009-05-12 20:04 . 2009-05-12 21:18 -------- d-----w c:\windows\system32\Adobe

2009-05-12 18:28 . 2009-05-20 17:51 -------- d-----w c:\documents and settings\Vanina\Local Settings\Application Data\Adobe

2009-05-11 12:20 . 2009-05-22 23:10 -------- d-----w c:\program files\eMule

2009-05-11 08:24 . 2009-05-11 08:24 -------- d-----w c:\documents and settings\All Users\Application Data\FLEXnet

2009-05-11 08:22 . 2009-05-11 08:22 -------- d-----w c:\documents and settings\Mathieu\Application Data\Image Zone Express

2009-05-11 08:21 . 2009-05-11 08:21 -------- d-s---w c:\documents and settings\Mathieu\UserData

2009-05-11 08:15 . 2009-05-11 08:15 -------- d-----w c:\documents and settings\All Users\Application Data\HP

2009-05-11 08:14 . 2009-05-11 08:15 -------- d-----w c:\program files\Fichiers communs\HP

2009-05-11 08:13 . 2009-05-11 08:13 -------- d-----w c:\program files\Hewlett-Packard

2009-05-11 08:12 . 2009-05-11 08:12 -------- d-----w c:\program files\Fichiers communs\Hewlett-Packard

2009-05-11 08:12 . 2005-03-08 04:43 16496 ----a-r c:\windows\system32\drivers\HPZipr12.sys

2009-05-11 08:12 . 2005-03-08 04:43 51120 ----a-r c:\windows\system32\drivers\HPZid412.sys

2009-05-11 08:11 . 2005-03-08 04:43 21744 ----a-r c:\windows\system32\drivers\HPZius12.sys

2009-05-11 08:11 . 2004-08-03 20:58 15104 -c--a-w c:\windows\system32\dllcache\usbscan.sys

2009-05-11 08:11 . 2004-08-03 20:58 15104 ----a-w c:\windows\system32\drivers\usbscan.sys

2009-05-11 08:07 . 2009-05-11 08:15 -------- d-----w c:\program files\HP

2009-05-11 08:06 . 2004-08-03 21:01 25856 -c--a-w c:\windows\system32\dllcache\usbprint.sys

2009-05-11 08:06 . 2004-08-03 21:01 25856 ----a-w c:\windows\system32\drivers\usbprint.sys

2009-05-11 08:06 . 2009-05-11 08:17 113600 ----a-w c:\windows\hpoins07.dat

2009-05-11 08:06 . 2005-05-24 06:50 21124 ------w c:\windows\hpomdl07.dat

2009-05-11 08:05 . 2009-05-11 08:18 -------- d-----w c:\documents and settings\Mathieu\Application Data\HP

2009-05-10 14:02 . 2009-05-23 07:15 -------- d-----w c:\documents and settings\Mathieu\Application Data\dvdcss

2009-05-10 14:02 . 2009-05-10 14:02 -------- d-----w c:\documents and settings\Mathieu\Application Data\vlc

2009-05-10 14:01 . 2009-05-10 14:01 -------- d-----w c:\program files\VideoLAN

2009-05-10 09:46 . 2009-05-10 09:46 -------- d-----w c:\program files\Fichiers communs\Adobe AIR

2009-05-10 09:45 . 2009-05-18 22:47 -------- d-----w c:\documents and settings\Mathieu\Local Settings\Application Data\Adobe

2009-05-10 09:42 . 2009-05-10 09:42 -------- d-----w c:\program files\Fichiers communs\Macrovision Shared

2009-05-10 09:40 . 2009-05-11 15:41 -------- d-----w c:\program files\Fichiers communs\Adobe

2009-05-09 20:30 . 2009-05-09 20:30 -------- d-----w c:\documents and settings\Mathieu\Local Settings\Application Data\Mozilla

2009-05-09 19:47 . 2009-05-09 19:47 -------- d-----w c:\documents and settings\NetworkService\Local Settings\Application Data\Apple

2009-05-07 18:26 . 2009-05-07 18:27 -------- d-----w c:\program files\QuickTime

2009-05-07 18:26 . 2009-05-07 18:26 -------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer

2009-05-07 18:26 . 2009-05-07 18:26 -------- d-----w c:\documents and settings\Vanina\Local Settings\Application Data\Apple

2009-05-07 18:26 . 2009-05-07 18:26 -------- d-----w c:\program files\Apple Software Update

2009-05-07 18:26 . 2009-05-07 18:26 -------- d-----w c:\documents and settings\All Users\Application Data\Apple

2009-05-07 18:26 . 2009-05-07 18:26 -------- d-----w c:\documents and settings\Vanina\Local Settings\Application Data\Apple Computer

2009-05-07 18:15 . 2009-05-07 18:15 0 ----a-w c:\windows\nsreg.dat

2009-05-07 18:15 . 2009-05-07 18:15 -------- d-----w c:\documents and settings\Vanina\Local Settings\Application Data\Mozilla

2009-05-04 17:43 . 2009-05-04 17:43 -------- d-s---w c:\documents and settings\Ylona\UserData



.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-05-19 15:17 . 2002-09-07 00:00 49734 ----a-w c:\windows\system32\perfc00C.dat

2009-05-19 15:17 . 2002-09-07 00:00 370832 ----a-w c:\windows\system32\perfh00C.dat

2009-05-11 08:05 . 2009-05-03 17:25 68464 ----a-w c:\documents and settings\Mathieu\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-05-04 19:20 . 2009-05-03 17:19 86331 ----a-w c:\windows\pchealth\helpctr\OfflineCache\index.dat

2009-05-04 15:01 . 2009-05-04 15:01 -------- d-----w c:\documents and settings\Ylona\Application Data\Nero

2009-05-04 14:56 . 2009-05-04 14:56 -------- d-----w c:\documents and settings\Vanina\Application Data\Nero

2009-05-03 18:51 . 2009-05-03 18:14 -------- d-----w c:\program files\Fichiers communs\Nero

2009-05-03 18:51 . 2009-05-03 18:14 -------- d-----w c:\documents and settings\All Users\Application Data\Nero

2009-05-03 18:51 . 2009-05-03 18:51 -------- d-----w c:\program files\Nero

2009-05-03 18:31 . 2009-05-03 18:31 237568 ----a-w c:\windows\system32\rqRHaYrp.VIR

2009-05-03 18:23 . 2009-05-03 18:23 -------- d-----w c:\documents and settings\Mathieu\Application Data\Nero

2009-05-03 17:56 . 2009-05-03 17:53 -------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help

2009-05-03 17:55 . 2009-05-03 17:55 -------- d-----w c:\program files\Microsoft Works

2009-05-03 17:55 . 2009-05-03 17:55 -------- d-----w c:\program files\MSBuild

2009-05-03 17:52 . 2009-05-03 17:34 -------- d-----w c:\program files\ASUS

2009-05-03 17:52 . 2009-05-03 17:28 -------- d--h--w c:\program files\InstallShield Installation Information

2009-05-03 17:51 . 2009-05-03 17:39 -------- d-----w c:\documents and settings\Mathieu\Application Data\DAEMON Tools Lite

2009-05-03 17:51 . 2009-05-03 17:51 -------- d-----w c:\documents and settings\All Users\Application Data\DAEMON Tools Lite

2009-05-03 17:51 . 2009-05-03 17:51 -------- d-----w c:\program files\DAEMON Tools Toolbar

2009-05-03 17:51 . 2009-05-03 17:51 -------- d-----w c:\program files\DAEMON Tools Lite

2009-05-03 17:45 . 2009-05-03 17:43 96104 ----a-w c:\windows\system32\drivers\avipbb.sys

2009-05-03 17:45 . 2009-05-03 17:43 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys

2009-05-03 17:42 . 2009-05-03 17:42 -------- d-----w c:\program files\Avira

2009-05-03 17:42 . 2009-05-03 17:42 -------- d-----w c:\documents and settings\All Users\Application Data\Avira

2009-05-03 17:39 . 2009-05-03 17:39 721904 ----a-w c:\windows\system32\drivers\sptd.sys

2009-05-03 17:34 . 2009-05-03 17:31 -------- d-----w c:\program files\Fichiers communs\InstallShield

2009-05-03 17:32 . 2009-05-03 17:28 -------- d-----w c:\program files\Realtek

2009-05-03 17:31 . 2009-05-03 17:31 315392 ----a-w c:\windows\HideWin.exe

2009-05-03 17:29 . 2009-05-03 17:29 -------- d-----w c:\program files\Intel

2009-05-03 17:28 . 2009-05-03 17:28 -------- d-----w c:\documents and settings\Mathieu\Application Data\InstallShield

2009-05-03 17:20 . 2009-05-03 17:20 -------- d-----w c:\program files\microsoft frontpage

2009-05-03 17:19 . 2009-05-03 17:19 -------- d-----w c:\program files\Services en ligne

2009-05-03 17:18 . 2009-05-03 17:18 21892 ----a-w c:\windows\system32\emptyregdb.dat

2009-02-22 23:57 . 2009-02-22 23:57 26624 --sha-w c:\windows\system32\pozimadu.dll

2009-02-22 11:52 . 2009-02-22 11:52 49152 ----a-w c:\windows\system32\zarefawa.dll.vir

.



((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les ÈlÈments vides & les ÈlÈments initiaux lÈgitimes ne sont pas listÈs

REGEDIT4



[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" [2008-06-24 1840424]



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-11-08 141848]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-11-08 166424]

"Persistence"="c:\windows\system32\igfxpers.exe" [2007-11-08 137752]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-06-08 2221352]

"NeroFilterCheck"="c:\program files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2008-06-19 570664]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-01-05 413696]

"AdobeCS4ServiceManager"="c:\program files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]

"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]

"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2008-01-29 16859648]



[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]



c:\documents and settings\All Users\Menu DÇmarrer\Programmes\DÇmarrage\

HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2005-5-11 282624]



[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=c:\windows\system32\zarefawa.dll



[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000001



[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Program Files\\Fichiers communs\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

"c:\\Program Files\\eMule\\emule.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=



[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"5353:TCP"= 5353:TCP:Adobe CSI CS4



R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [03/05/2009 19:43 108289]

.

Contenu du dossier 'T‚ches planifiÈes'



2009-05-16 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

.

- - - - ORPHELINS SUPPRIMES - - - -



BHO-{2a50cce9-d04f-40b6-ab22-f4e44490ce05} - c:\windows\system32\awulzt.dll

BHO-{9c7e65be-347f-425f-aba3-8a0f52fa2a63} - c:\windows\system32\badufega.dll

BHO-{C7433973-9EF2-45E5-A166-1F623F759A4C} - c:\windows\system32\efcYRjKC.dll

BHO-{EA80792A-49D6-499E-B2C1-141D1D247C93} - c:\windows\system32\rqRHaYrp.dll

HKLM-Run-2426b83b - c:\windows\system32\ivcqouia.dll

HKLM-Run-kadejalune - c:\windows\system32\sezilale.dll

ShellExecuteHooks-{ea145999-a48f-40f5-ae8d-0530c76b12c6} - c:\windows\system32\awulzt.dll

SafeBoot-procexp90.Sys





.

------- Examen supplÈmentaire -------

.

uStart Page = hxxp://www.google.fr/

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\Mathieu\Application Data\Mozilla\Firefox\Profiles\x997t1r1.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/

.



**************************************************************************



catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-05-23 09:53

Windows 5.1.2600 Service Pack 2 NTFS



Recherche de processus cachÈs ...



Recherche d'ÈlÈments en dÈmarrage automatique cachÈs ...



Recherche de fichiers cachÈs ...



Scan terminÈ avec succËs

Fichiers cachÈs: 0



**************************************************************************

.

--------------------- DLLs chargÈes dans les processus actifs ---------------------



- - - - - - - > 'explorer.exe'(2376)

c:\windows\system32\msi.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Avira\AntiVir Desktop\avguard.exe

c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe

c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe

c:\windows\system32\IoctlSvc.exe

c:\windows\system32\wdfmgr.exe

c:\windows\system32\igfxsrvc.exe

c:\program files\Fichiers communs\Nero\Lib\NMIndexingService.exe

c:\program files\HP\Digital Imaging\bin\hpqste08.exe

c:\program files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe

.

**************************************************************************

.

Heure de fin: 2009-05-23 9:56 - La machine a redÈmarrÈ

ComboFix-quarantined-files.txt 2009-05-23 07:56



Avant-CF: 81†185†669†120 octets libres

AprËs-CF: 82†088†685†568 octets libres



WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect



250 --- E O F --- 2009-05-03 17:35
Ajouter un commentaire
Réponse
+0
moins plus
Re,

DESINSTALLER COMBOFIX

ComboFix /u

* Clique sur Démarrer, puis sur Exécuter: une fenêtre d'invite s'ouvre.
* Colle la ligne que tu as préalablement copiée dans la fenêtre d'invite

http://img362.imageshack.us/img362/4190/20080629180121lz8.jpg

Appuie sur OK pour valider

Redémarre ton PC.
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
▶ Télécharge random's system information tool (RSIT) et enregistre le sur ton bureau.

▶ Double clique sur RSIT.exe pour lancer l'outil.

▶ Clique sur ' continue ' à l'écran Disclaimer.

Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

▶ Une fois le scan fini , 2 rapports vont apparaitre. Poste le contenu des 2 rapports séparément.
( log.txt & info.txt )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.
aftertab- 23 mai 2009 à 11:01
J'ai un peu du mal car l'ordi rame sévèrement...
Mais voilà le rapport LOG :

Logfile of random's system information tool 1.06 (written by random/random)

Run by Mathieu at 2009-05-23 10:59:09

Microsoft Windows XP Professionnel Service Pack 2

System drive C: has 78 GB (65%) free of 120 GB

Total RAM: 3574 MB (88% free)



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:59:12, on 23/05/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe

C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

C:\WINDOWS\system32\IoctlSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Mathieu\Bureau\RSIT.exe

C:\Program Files\Trend Micro\HijackThis\Mathieu.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe

O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe


Répondre
aftertab- 23 mai 2009 à 12:59
Après ces 2 rapports je fais quoi ?
Merci d'avance.
Répondre
Ajouter un commentaire
Réponse
+0
moins plus
Re,

Télécharge Toolbar-S&D (Team IDN) sur ton Bureau

!! Déconnectes toi et fermes toute tes applications en cours le temps de la manipe !!

▶ Double-cliques sur l'.exe pour lancer l'installe et laisses toi guider ...

▶ Une fois fait, cliques sur le raccourci créé sur ton bureau pour lancer l'outil .

▶ Choisis l'option 1 ( "recherche") et tapes "entrée" .

▶Une fois le scan finit , un rapport va apparaître, copie/colles l'intégralité
de son contenu dans ta prochaine réponse ...

( le rapport est en outre sauvegardé ici -> C:\TB.txt )

Tutoriel Toolbard-S&D

Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.
aftertab- 23 mai 2009 à 17:43
OK.
Le rapport TB est le suivant :



-----------\\ ToolBar S&D 1.2.8 XP/Vista



Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2

X86-based PC ( Multiprocessor Free : Processeur Intel Pentium III Xeon )

BIOS : BIOS Date: 10/22/08 20:24:34 Ver: 08.00.12

USER : Mathieu ( Administrator )

BOOT : Normal boot

Antivirus : AntiVir Desktop 9.0.1.26 (Activated)

C:\ (Local Disk) - NTFS - Total:117 Go (Free:76 Go)

D:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)

E:\ (Local Disk) - NTFS - Total:348 Go (Free:347 Go)

F:\ (USB) - FAT32 - Total:7636 Mo (Free:4 Go)



"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )

Option : [1] ( 23/05/2009|17:41 )



-----------\\ Recherche de Fichiers / Dossiers ...



C:\Program Files\DAEMON Tools Toolbar



-----------\\ [..\Internet Explorer\Main]



[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Local Page"="C:\\WINDOWS\\system32\\blank.htm"

"Start Page"="http://www.google.fr/"

"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"



[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"

"Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"

"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"

"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"





--------------------\\ Recherche d'autres infections





Aucune autre infection trouvÈe !





1 - "C:\ToolBar SD\TB_1.txt" - 23/05/2009|17:42 - Option : [1]



-----------\\ Fin du rapport a 17:42:49,12
Répondre
Ajouter un commentaire
Réponse
+0
moins plus
Re,

▶ Nettoyage avec ToolBar S&D :

!! Déconnectes toi et fermes toute tes applications en cours le temps de la manipe !!

▶Relances Toolbar-S&D en double-cliquant sur le raccourci.

▶ Tapes sur l'option 2 ( "nettoyage" ) puis tapes sur "Entrée".

Note : Ne touches à rien lors de la suppression !!

▶ Un rapport sera généré à la fin du processus : postes son contenu dans ta prochaine réponse

Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.
aftertab- 23 mai 2009 à 18:01
Voilà le rapport après la phase Suppression :



-----------\\ ToolBar S&D 1.2.8 XP/Vista



Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2

X86-based PC ( Multiprocessor Free : Processeur Intel Pentium III Xeon )

BIOS : BIOS Date: 10/22/08 20:24:34 Ver: 08.00.12

USER : Mathieu ( Administrator )

BOOT : Normal boot

Antivirus : AntiVir Desktop 9.0.1.26 (Not Activated)

C:\ (Local Disk) - NTFS - Total:117 Go (Free:76 Go)

D:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)

E:\ (Local Disk) - NTFS - Total:348 Go (Free:347 Go)



"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )

Option : [2] ( 23/05/2009|18:00 )



-----------\\ SUPPRESSION



Supprime! - C:\Program Files\DAEMON Tools Toolbar



-----------\\ Recherche de Fichiers / Dossiers ...





-----------\\ [..\Internet Explorer\Main]



[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Local Page"="C:\\WINDOWS\\system32\\blank.htm"

"Start Page"="http://www.google.fr/"

"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"



[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"

"Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"

"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"

"Start Page"="http://www.msn.com/"





--------------------\\ Recherche d'autres infections





Aucune autre infection trouvÈe !





1 - "C:\ToolBar SD\TB_1.txt" - 23/05/2009|17:42 - Option : [1]

2 - "C:\ToolBar SD\TB_2.txt" - 23/05/2009|18:01 - Option : [2]



-----------\\ Fin du rapport a 18:01:25,48
Répondre
Ajouter un commentaire
Réponse
+0
moins plus
Re,

Télécharge et installe MalwareByte's Anti-Malware
Malwarebyte

Mets le à jour

▶ Double clique sur le raccourci de MalwareByte's Anti-Malware qui est sur le bureau.

▶ Sélectionne Exécuter un examen COMPLET si ce n'est pas déjà fait

▶ clique sur Rechercher

▶ Une fois le scan terminé, une fenêtre s'ouvre, clique sur sur Ok

Si MalwareByte's n'a rien détecté, clique sur Ok Un rapport va apparaître ferme-le.

Si MalwareByte's a détecté des infections, clique sur Afficher les résultats ensuite sur Supprimer la sélection

Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok

Tutoriel pour MalwareByte's

Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.
aftertab- 23 mai 2009 à 18:27
Comme prévu, j'ai du redémarrer l'ordi.
Le rapport généré est le suivant :

Malwarebytes' Anti-Malware 1.36

Version de la base de donnÈes: 2170

Windows 5.1.2600 Service Pack 2



23/05/2009 18:25:07

mbam-log-2009-05-23 (18-25-07).txt



Type de recherche: Examen complet (C:\|E:\|)

ElÈments examinÈs: 171318

Temps ÈcoulÈ: 13 minute(s), 26 second(s)



Processus mÈmoire infectÈ(s): 0

Module(s) mÈmoire infectÈ(s): 0

ClÈ(s) du Registre infectÈe(s): 0

Valeur(s) du Registre infectÈe(s): 0

ElÈment(s) de donnÈes du Registre infectÈ(s): 1

Dossier(s) infectÈ(s): 0

Fichier(s) infectÈ(s): 28



Processus mÈmoire infectÈ(s):

(Aucun ÈlÈment nuisible dÈtectÈ)



Module(s) mÈmoire infectÈ(s):

(Aucun ÈlÈment nuisible dÈtectÈ)



ClÈ(s) du Registre infectÈe(s):

(Aucun ÈlÈment nuisible dÈtectÈ)



Valeur(s) du Registre infectÈe(s):

(Aucun ÈlÈment nuisible dÈtectÈ)



ElÈment(s) de donnÈes du Registre infectÈ(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.



Dossier(s) infectÈ(s):

(Aucun ÈlÈment nuisible dÈtectÈ)



Fichier(s) infectÈ(s):

C:\Qoobox\Quarantine\C\WINDOWS\system32\efcYRHWq.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\Qoobox\Quarantine\C\WINDOWS\system32\fccaXnom.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\Qoobox\Quarantine\C\WINDOWS\system32\geBqNghE.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\Qoobox\Quarantine\C\WINDOWS\system32\hgGvsqOE.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\Qoobox\Quarantine\C\WINDOWS\system32\iiffDVnl.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\Qoobox\Quarantine\C\WINDOWS\system32\jkkIASjj.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\Qoobox\Quarantine\C\WINDOWS\system32\ljJYsssP.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\Qoobox\Quarantine\C\WINDOWS\system32\qoMedCuS.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\Qoobox\Quarantine\C\WINDOWS\system32\urqOFuVm.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\Qoobox\Quarantine\C\WINDOWS\system32\urqPiIcC.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\Qoobox\Quarantine\C\WINDOWS\system32\vtUopQHY.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{DA5FAFB0-0C8A-4E89-9633-B93296314746}\RP16\A0000401.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{DA5FAFB0-0C8A-4E89-9633-B93296314746}\RP18\A0000912.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{DA5FAFB0-0C8A-4E89-9633-B93296314746}\RP36\A0001798.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{DA5FAFB0-0C8A-4E89-9633-B93296314746}\RP39\A0002837.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{DA5FAFB0-0C8A-4E89-9633-B93296314746}\RP39\A0004898.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{DA5FAFB0-0C8A-4E89-9633-B93296314746}\RP39\A0004899.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{DA5FAFB0-0C8A-4E89-9633-B93296314746}\RP39\A0004901.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{DA5FAFB0-0C8A-4E89-9633-B93296314746}\RP39\A0004902.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{DA5FAFB0-0C8A-4E89-9633-B93296314746}\RP39\A0004904.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{DA5FAFB0-0C8A-4E89-9633-B93296314746}\RP39\A0004905.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{DA5FAFB0-0C8A-4E89-9633-B93296314746}\RP39\A0004911.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{DA5FAFB0-0C8A-4E89-9633-B93296314746}\RP39\A0004914.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{DA5FAFB0-0C8A-4E89-9633-B93296314746}\RP39\A0004861.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{DA5FAFB0-0C8A-4E89-9633-B93296314746}\RP39\A0004897.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{DA5FAFB0-0C8A-4E89-9633-B93296314746}\RP39\A0004915.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{DA5FAFB0-0C8A-4E89-9633-B93296314746}\RP39\A0004918.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\pozimadu.dll (Trojan.Vundo) -> Quarantined and deleted successfully.


Ca veut dire que c'est bon ?
Répondre
Ajouter un commentaire
Réponse
+0
moins plus
Re,

Supprime la quarantaine de malwarebyte et ensuite fait ce qui suit dans l'ordre.

Télécharge OTC de OldTimer sur ton Bureau

Lance OTCleanIt avec un double-clic (sous Vista, lance-le en cliquant droit sur OTCleanIt.exe et en sélectionnant "exécuter en tant qu'administrateur")

Appuie sur le bouton "CleanUp!"

A la question "begin cleanup process?", réponds "YES"

A la fin de l'opération, si OTCleanIt demande de redémarrer ("Do you want to reboot now?"), ferme ce que tu es en train de faire (internet, documents divers...) et clique sur "YES":

Au redémarrage, OTCleanIt aura supprimé les outils de désinfection, et se sera même auto-détruit!
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Dans le menu Démarrer, clique droit sur l'icône Poste de travail.
Dans le menu contextuel qui s'affiche, clique sur Propriétés .
Dans l'onglet Restauration du système de la fenêtre qui suit, coche la
case Désactiver la Restauration du système sur tous les lecteurs, clique sur
Appliquer et, quand un message te le demande, confirme la désactivation.
Après quelques secondes d'attente (ou après avoir redémarré le PC), réactive la
Restauration du système en suivant la même procédure que précédemment, mais,
cette fois, en décochant la case Désactiver la Restauration du système sur
tous les lecteurs. Clique sur OK.
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
> Fais un scan en ligne avec Kaspersky : Kaspersky

N.B. : Le scan ne marche que sous Internet Explorer.

- Commence par connecter tout ton matériel de stockage à ton PC (clés USB, DD amovible...). Allume les si necessaire.

- Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >.

- On va te demander de télécharger un contrôle active x, accepte .

- Dans le menu < Choisissez la cible de l'analyse >, sélectionne < Poste de travail >. Le scan va commencer.

- Poste le rapport qui sera généré stp. (clique sur <enregistrer le rapport> puis sauvegarde-le sur ton bureau en choisissant "fichier texte (*.txt)" pour l'extension).
S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : clic ici


Rappel : le scan est à faire sous Internet Explorer
Tuto ici si problème

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
Pour le rapport Kaspersky il faut que tu choisisses "Afficher le rapport" puis que tu l'enregistres sur ton bureau sous forme de fichier texte (type de fichier "tous les fichiers").
aftertab- 23 mai 2009 à 20:54
Après une longue analyse, Kaspersky me dit que tous mes fichiers sont sains.
Le rapport :

-------------------------------------------------------------------------------

KASPERSKY ON-LINE SCANNER REPORT

Saturday, May 23, 2009 8:54:23 PM

Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version : 5.0.84.2

Dernière mise à jour de la base antivirus Kaspersky : 23/05/2009

Enregistrements dans la base antivirus Kaspersky : 2015875

-------------------------------------------------------------------------------



Paramètres d'analyse:

Analyser avec la base antivirus suivante: standard

Analyser les archives: vrai

Analyser les bases de messagerie: vrai



Cible de l'analyse - Poste de travail:

C:\

D:\

E:\

F:\



Statistiques de l'analyse:

Total d'objets analysés: 303052

Nombre de virus trouvés: 0

Nombre d'objets infectés: 0 / 0

Nombre d'objets suspects: 0

Durée de l'analyse: 01:48:44



Nom de l'objet infecté / Nom du virus / Dernière action

C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\avguard.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Nero\Nero8\Nero BackItUp\Cache\NeroBackItUpScheduler3.log L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Mathieu\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Mathieu\Local Settings\Application Data\Ahead\Nero Home\bl.db L'objet est verrouillé ignoré

C:\Documents and Settings\Mathieu\Local Settings\Application Data\Ahead\Nero Home\is2.db L'objet est verrouillé ignoré

C:\Documents and Settings\Mathieu\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Mathieu\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Mathieu\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Mathieu\Local Settings\Historique\History.IE5\MSHist012009052320090524\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Mathieu\Local Settings\Temp\hpodvd09.log L'objet est verrouillé ignoré

C:\Documents and Settings\Mathieu\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Mathieu\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\Mathieu\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Program Files\Nero\Nero8\Nero BackItUp\BIU1.txt L'objet est verrouillé ignoré

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\System Volume Information\_restore{DA5FAFB0-0C8A-4E89-9633-B93296314746}\RP40\change.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\DataStore\DataStore.edb L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.log L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\ODiag.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\OSession.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

E:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré



Analyse terminée.



Je voulais vraiment te remercier.
Ca a l'air de rouler !!
Répondre
Ajouter un commentaire
Réponse
+0
moins plus
Re,

Désinstalle le scan online et fait ce qui suit:

Met à jour ton WINDOWS:
WINDOWS XP SP3
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Met à jour internet explorer:
Windows Internet Explorer 7
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Des informations intéressantes pour toi et ton PC :

Conserve malwarebyte et CCLEANER et fait des scans réguliers avec malwarebyte en mode normal et en mode sans échec.

Nettoie ton PC avec CCLEANER toutes les semaines suit les information donner précèdement.

▶ Comportement à adopter avec son PC :ici
et pourquoi ( exemple ) :ici

▶ Surveillance :
Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus puis avec ton anti-spyware (après les avoir mis à jour bien sur !) et supprime ce qu'ils peuvent trouver (où mets en quarantaine, en pensant à la vider ultérieurement).

▶ Pourquoi ? Pour éviter de se retrouver dans ce genre de situation ( peu commune mais ...) :
->ici

=============================================================

=> Il faut mettre a jour la console Java régulièrement aussi :

Pourquoi

Donc pour se faire, rends toi ici et télécharge la dernière version (si ta version actuelle n'est pas à jour) ou ici
Après avoir installé la dernière version, désinstalle les anciennes versions (de Java) afin d’éliminer les failles de sécurité présentes dans ces anciennes versions.
via Démarrer / Paramètres / Panneau de config / et dans Ajout/Suppression de programmes navigue jusqu'aux anciennes versions de la console Java qui s'y trouvent, puis clique sur « Supprimer », suis les invites de commandes dans la boite de dialogue qui va s'ouvrir afin d'amener la désinstallation à son terme.
Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé .
Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.
============================================================Mise à jour de Adobe :

Pour Flash, c'est ici
Si tu utilises Acrobat Reader (PDF), c'est

Les mises à jour, sont primordiale, de nombreuse infection utilisent des failles de Java ou de Flash, télécharger la dernière version comble de nombreux "trous" de sécurité.
Les antivirus détectent mal ce genre d'infection.


=============================================================

▶ Afin d’éviter les autres failles de sécurité des différents programmes présents sur ton PC :

Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l’est pas. ici
Tutoriel
-Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici a gauche en bas de page.

===========================================================

▶ teste l'efficacité de ton pare-feu ici ( à titre indicatif ):
ici

▶ tests firewall: ici

▶ Un complément au pare-feu pour fermer les ports risqués (dangereux, s’ils restent ouverts) :

ZebProtect (application ne nécessitant pas d’installation à lancer et paramétrer une unique fois) ici

Tutoriel

================================================================
▶ Pour une meilleur sécurité lorsque tu surfes , je te conseille d'utiliser FireFox :
télécharge le ici -> firefox

( Attention : toujours garder IE sur son PC ! Il est indispensable pour les mises à jour de ton système ainsi que pour pas mal de choses, comme les scan d'antivirus en ligne, ect... )

Tutorial pour sécuriser Firefox

=================================================================
Rappel sur les principales causes d'infection :


▶ L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci :

Les dangers des cracks

▶ Le crack dans toute sa splendeur, journal d'une infection attendue :
ici

▶ Autres exemples en image , où comment s'infiltre une infection par un pseudo crack :
ici


▶ Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent):

Les conséquences du P2P

▶ Pourquoi éviter le P2P :
> ici
> et ici
> et la


▶ Faire attention avec les ActiveX :
ici
et comment :



▶ Prévention sur deux autres types d'infection d'actualité :

▶ MSN prévention :
ici
-> autre danger grandissant , le " phishing " (= hameçonnage ) :
ici


▶ Infection par supports amovibles (clefs usb, flash, DD externes ..) :
ici
ici

=================================================================
▶ Prévention & Sécurité sur internet

projet anti-malware
Ajouter un commentaire
Ce document intitulé «  Virus Trojan / Scan HJTInstall.exe  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes.

Le fait d'être membre vous permet d'avoir des options supplémentaires.