Partager vos
astuces Bricolage
Posez votre question Signaler

TR/Crypt.ZPACK.gen

Daxilane 21Messages postés 3 février 2009Date d'inscription - Dernière réponse le 2 nov. 2009 à 23:06
Bonjour,
Je sais qu'il y a déjà eu plusieurs post sur ce sujet, mais il semblent clos et je n'ai pas trrouvé de solution claire en définitive car chaque cas à l'air différent...
Voià mon problème : j'ai 2 ordinateurs en réseau et depuis deux semaines, Avira me signale (sur les 2 PC) la présence de TR/Crypt.ZPACK.gen dans plusieurs fichiers. J'ai tenté de les supprimer en passant en mode diagnostique, mais certains ne semble pas exister (c:/windows/system32/x) et les autres reviennent peu de temps après suppression... Avira et Malwarebytes semlent également impuissants pour les supprimer...
D'autres symptomes sont également apparus, une ou deux fois par jour le pc principale gèle complétement, seule solution : reboot. Et régulièrement la catre son INTÉGRÉE "disparait" comme par magie donnant droit à un message d'erreur indiquant "Périfirique audio non instalé".
Voilà, à part ça, tout va bien :)
Merci d'avance pour votre aide.
Lire la suite 

TR/Crypt.ZPACK.gen »

29 réponses
Réponse
+0
moins plus
nanard4700 7692Messages postés 17 juillet 2007Date d'inscription 14 février 2012Dernière intervention 19 oct. 2009 à 17:22
Bonjour

• Télécharge : http://images.malwareremoval.com/random/RSIT.exe
/!\ Important (Sous Vista) /!\
Vous devez exécuter RSIT avec les droits d'administrateur, pour cela Clique droit sur RSIT et "Lancer en tant qu'administrateur"
• Double clique sur RSIT.exe pour lancer l'outil.
• Clique sur 'Continue' à l'écran Disclaimer.
• Si l'outil Hijackthis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
• Une fois le scan fini , 2 rapports vont apparaitre. Poste le contenu des 2 rapports.
( C:\RSIT\log.txt et C:\RSIT\info.txt )
• CTRL A pour sélectionner tout, CTRL C pour copier et puis CTRL V pour coller

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Daxilane 21Messages postés 3 février 2009Date d'inscription 24 oct. 2009 à 15:10
Merci de ta réponse.
Alors voilà pour le log.txt :

Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-10-24 15:08:00
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 43 GB (64%) free of 68 GB
Total RAM: 503 MB (48% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:08:13, on 24/10/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\UltraVNC\WinVNC.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\SMINST\Scheduler.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Program Files\trend micro\Administrateur.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=217.19.195.242:8082;http=217.19.195.242:80;https=217.19.195.242:8081
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 217.19.195.242;152.50.*;*.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [SetRefresh] C:\Program Files\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [SDMSSplash] "C:\Program Files\HP_SDMS\SDMSSplash\launcher.exe" "launchdir=C:\Program Files\HP_SDMS\SDMSSplash"
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D80A6D1-B500-47DA-82B8-EB9875F85B4D} (Google Gadget Control) - http://dl.google.com/dl/desktop/nv/GoogleGadgetPluginIEWin.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C9AF0287-9531-4196-89DE-095FCCABAB58}: NameServer = 217.19.192.128,217.19.192.137
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Desktop Manager 5.8.809.23506 (GoogleDesktopManager-092308-165331) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: VNC Server (winvnc) - UltraVNC - C:\Program Files\UltraVNC\WinVNC.exe
O24 - Desktop Component 0: (no name) - http://i266.photobucket.com/...

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
nanard4700 7692Messages postés 17 juillet 2007Date d'inscription 14 février 2012Dernière intervention 24 oct. 2009 à 15:35
C'est une infection par support amovible.

• Télécharge et install: UsbFix.exe par Chiquitine29
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
• Double clic sur le raccourci UsbFix présent sur ton bureau .
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]
• Laisse travailler l'outil.
• Ensuite post le rapport UsbFix.txt qui apparaitra.
• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Daxilane 21Messages postés 3 février 2009Date d'inscription 24 oct. 2009 à 20:48
Le problème c'est que je n'ai pas sous la main tous les supports USB qui ont été utilisés sur mes PC depuis l'infection... Voilà ce que j'optiens avec les miens :


############################## | UsbFix V6.045 |

User : Administrateur () # RECAMIENS
Update on 24/10/2009 by Chiquitine29, C_XX & Chimay8
Start at: 20:46:48 | 24/10/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) D CPU 3.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.26 [ (!) Disabled | (!) Outdated ]

C:\ -> Disque fixe local # 66,51 Go (42,24 Go free) # NTFS
D:\ -> Disque fixe local # 8,01 Go (6,27 Go free) [HP_RECOVERY] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible # 3,76 Go (2,57 Go free) [CLEF_2_JS] # FAT32
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque amovible
K:\ -> Disque amovible # 3,84 Go (3,51 Go free) [STORE N GO] # FAT32
L:\ -> Disque amovible # 7,82 Go (7,74 Go free) # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\UltraVNC\WinVNC.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\SMINST\Scheduler.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxtray.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

C:\Documents and Settings\Administrateur\RavMonLog
D:\autorun.inf
G:\RavMonLog
K:\autorun.inf
K:\adober.exe
K:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
K:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665
L:\autorun.inf
L:\adober.exe
L:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
L:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665

################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\D
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480

HKCU\..\..\Explorer\MountPoints2\{16aca3e5-d23d-11db-a710-0019bb587234}
Shell\Auto\command =J:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{1bdb9d49-c8a8-11db-a708-0019bb587234}
Shell\Auto\command =J:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{5a74c780-c816-11db-a707-0019bb587234}
Shell\Auto\command =J:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{6359ea64-7717-11dc-a7b2-0019bb587234}
Shell\Auto\command =J:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{927b280e-8b76-11dc-a7d8-0019bb587234}
Shell\Auto\command =AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{99991d3f-c781-11db-a705-806d6172696f}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480

HKCU\..\..\Explorer\MountPoints2\{b0c9d66a-7e45-11dd-a8b5-0019bb587234}
Shell\Auto\command =F:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{b28b199a-21ef-11dd-a85a-0019bb587234}
Shell\AutoRun\command =J:\launcher.exe

HKCU\..\..\Explorer\MountPoints2\{dcd3549d-8924-11dc-a7cf-0019bb587234}
Shell\Auto\command =AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{ec5fbeba-07da-11de-a941-0019bb587234}
Shell\Auto\command =F:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{efcb89e6-3ad4-11dc-a774-0019bb587234}
Shell\AutoRun\command =F:\ReadMe.exe

HKCU\..\..\Explorer\MountPoints2\{efcb89e7-3ad4-11dc-a774-0019bb587234}
Shell\Auto\command =M:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{fecdc0a8-6d4d-11de-a99f-0019bb587234}
Shell\AutoRun\command =F:\EmDesk.exe
Shell\EmDesk\command =F:\EmDesk.exe

################## | Suspect | http://www.virustotal.com |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.045 ! |

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
nanard4700 7692Messages postés 17 juillet 2007Date d'inscription 14 février 2012Dernière intervention 24 oct. 2009 à 20:57
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir
• Double clic sur le raccourci UsbFix présent sur ton bureau
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
• Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]
• Ton bureau disparaitra et le pc redémarrera .
• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
• Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .
• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Daxilane 21Messages postés 3 février 2009Date d'inscription 24 oct. 2009 à 21:12
############################## | UsbFix V6.045 |

User : Administrateur (Administrateurs) # RECAMIENS
Update on 24/10/2009 by Chiquitine29, C_XX & Chimay8
Start at: 21:07:07 | 24/10/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) D CPU 3.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.26 [ (!) Disabled | (!) Outdated ]

C:\ -> Disque fixe local # 66,51 Go (42,25 Go free) # NTFS
D:\ -> Disque fixe local # 8,01 Go (6,27 Go free) [HP_RECOVERY] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible # 3,76 Go (2,57 Go free) [CLEF_2_JS] # FAT32
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque amovible
K:\ -> Disque amovible # 3,84 Go (3,51 Go free) [STORE N GO] # FAT32
L:\ -> Disque amovible # 7,82 Go (7,74 Go free) # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\UltraVNC\WinVNC.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe

################## | Fichiers # Dossiers infectieux |

Supprimé ! C:\Documents and Settings\Administrateur\RavMonLog
Supprimé ! D:\autorun.inf
Supprimé ! G:\RavMonLog
Supprimé ! K:\adober.exe
Supprimé ! K:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
Supprimé ! K:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665
Supprimé ! L:\adober.exe
Supprimé ! L:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
Supprimé ! L:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665

################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\D\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{16aca3e5-d23d-11db-a710-0019bb587234}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{1bdb9d49-c8a8-11db-a708-0019bb587234}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{5a74c780-c816-11db-a707-0019bb587234}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{6359ea64-7717-11dc-a7b2-0019bb587234}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{927b280e-8b76-11dc-a7d8-0019bb587234}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{b0c9d66a-7e45-11dd-a8b5-0019bb587234}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{b28b199a-21ef-11dd-a85a-0019bb587234}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{dcd3549d-8924-11dc-a7cf-0019bb587234}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{ec5fbeba-07da-11de-a941-0019bb587234}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{efcb89e6-3ad4-11dc-a774-0019bb587234}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{efcb89e7-3ad4-11dc-a774-0019bb587234}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{fecdc0a8-6d4d-11de-a99f-0019bb587234}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[15/07/2002 12:19|--a------|82] C:\Blacksoft.url
[16/10/2009 21:11|-rahs----|212] C:\boot.ini
[02/03/2006 04:00|-rahs----|4952] C:\Bootfont.bin
[02/10/2007 09:26|--a------|74] C:\CMLoader.log
[26/01/2003 11:39|--a------|32768] C:\control.dll
[26/01/2003 11:40|--a------|20480] C:\Express.exe
[26/01/2003 11:39|--a------|86016] C:\FileDlg.ocx
[01/01/2003 20:34|--a------|16764] C:\help.chm
[?|?|?] C:\hiberfil.sys
[26/01/2003 11:40|--a------|98304] C:\ichaos.dll
[26/01/2003 11:38|--a------|36864] C:\init.dll
[23/04/2008 16:59|-rahs----|0] C:\IO.SYS
[22/02/2003 12:26|--a------|28672] C:\language.dll
[22/02/2003 11:40|--a------|12] C:\mkf.dat
[23/04/2008 16:59|-rahs----|0] C:\MSDOS.SYS
[02/03/2006 04:00|--ahs----|47564] C:\ntdetect.com
[02/03/2006 04:00|--ahs----|251712] C:\ntldr
[?|?|?] C:\pagefile.sys
[24/10/2009 21:09|--a------|4780] C:\UsbFix.txt
[26/01/2003 11:38|--a------|225280] C:\utilites.dll
[17/06/2008 00:04|--a------|96449884] D:\2358_MissKetty06[1].mp3
[01/07/2005 16:16|--ahs----|102] D:\Desktop.ini
[22/11/2004 20:28|--ahs----|8130] D:\Folder.htt
[03/11/2005 12:29|--ahs----|0] D:\HP_RECOVERY
[30/11/2004 16:01|--ahs----|73728] D:\Info.exe
[13/02/2007 13:59|--ahs----|1202] D:\MASTER.LOG
[29/08/2002 08:00|--ahs----|47580] D:\NTDETECT.COM
[12/05/2006 17:07|--ahs----|0] D:\NTFS
[29/08/2002 08:00|--ahs----|245920] D:\NTLDR
[10/09/2002 14:58|--ahs----|181616] D:\protect.ed
[29/08/2002 08:00|--ahs----|245920] D:\STLDR
[08/02/2002 20:44|--ahs----|88038] D:\Warning.bmp
[25/03/2005 17:00|--ahs----|10] D:\WIN51
[22/01/2001 22:00|--ahs----|11] D:\WIN51.B2
[25/07/2001 22:00|--ahs----|11] D:\WIN51.RC1
[26/07/2001 03:47|--ahs----|11] D:\WIN51.RC2
[25/03/2005 17:00|--ahs----|10] D:\WIN51IA
[25/03/2005 17:00|--ahs----|10] D:\WIN51IA.SP1
[18/08/2001 22:00|--ahs----|10] D:\WIN51IC
[20/03/2001 22:00|--ahs----|11] D:\WIN51IC.B2
[25/07/2001 22:00|--ahs----|11] D:\WIN51IC.RC1
[25/07/2001 22:00|--ahs----|11] D:\WIN51IC.RC2
[17/08/2001 22:00|--ahs----|10] D:\WIN51IP
[22/01/2001 22:00|--ahs----|11] D:\WIN51IP.B2
[26/07/2001 03:47|--ahs----|11] D:\WIN51IP.RC2
[17/08/2001 22:00|--ahs----|10] D:\WIN51IP.SP1
[17/08/2001 22:00|--ahs----|10] D:\WIN51IP2
[25/03/2005 17:00|--ahs----|167] D:\WINBOM.INI
[12/05/2006 17:07|--ahs----|0] D:\XGA
[24/10/2009 20:43|--a------|817760] G:\UsbFix.exe
[24/12/2008 21:24|--ah-----|512] G:\NIKON001.DSC
[03/05/2009 15:37|---hs----|348160] G:\msvcr71.dll
[05/05/2009 16:54|--a------|207] G:\Toute l'information des terminaux mobiles.url
[05/05/2009 16:57|--a------|139539] G:\Radar_Fr.zip
[09/05/2009 17:45|--a------|194] G:\[HTC Touch HD] Astuces + logiciels en tout genre pour votre HD.url
[29/01/2009 18:38|--a------|3968] G:\j0424748.wmf
[29/01/2009 18:38|--a------|7098] G:\j0432618.png
[29/01/2009 18:38|--a------|13052] G:\j0432666.png
[29/01/2009 18:38|--a------|12806] G:\j0432667.png
[29/01/2009 18:38|--a------|19960] G:\j0432676.png
[29/01/2009 18:38|--a------|19920] G:\j0432677.png
[29/01/2009 18:38|--a------|27878] G:\j0432678.png
[29/01/2009 18:38|--a------|28088] G:\j0432679.png
[11/09/2009 10:16|--a------|21504] G:\Cinema_REC.doc
[11/09/2009 10:30|--a------|63488] G:\SORTAIS_Jerome.doc
[25/08/2009 20:22|--a------|3921920] K:\P 09.xls
[25/08/2009 18:47|--a------|87040] K:\COMPTEUR annualisation.xls
[14/06/2009 22:03|--a------|3985408] K:\P 08.xls
[22/08/2009 15:55|--a------|419328] K:\P REC 08 09.xls
[02/02/2008 18:25|---hs----|348160] K:\msvcr71.dll
[12/03/2009 13:32|--a------|26624] K:\REC 2011.xls
[02/02/2008 18:36|---hs----|6144] K:\Thumbs.db
[16/10/2009 17:59|--a------|133120] K:\CONF REC2009.xls
[31/12/2008 20:37|--a------|222720] K:\CONF REC2008.xls
[23/09/2008 15:44|--a------|3609088] K:\P 07.xls
[27/12/2008 17:35|--a------|166400] K:\P REC 2008.xls
[17/05/2009 15:33|--a------|498176] K:\Cabine 2009.XLS
[23/12/2005 16:33|--a------|3234816] K:\P05.xls
[16/10/2009 18:00|--a------|1542656] K:\AMIENS feuille conf NOUVEAU PAIE NOV 06 marie-luce.xls
[20/02/2009 15:39|--a------|37376] K:\CDD 25 H.doc
[28/05/2009 18:08|--a------|2755072] K:\Perso3_2009 multiplexe.xls
[13/01/2009 19:49|--a------|23552] K:\Emargement Paye.xls
[19/05/2009 14:57|--a------|13645] K:\20042009_bbp.txt
[25/08/2005 21:40|--a------|1633280] K:\PLANNING HALL 2004.BACK-up.XLS
[02/09/2009 19:49|--a------|24064] K:\Stat CP 0.xls
[05/12/2004 18:40|--a------|3137536] K:\PLANNING HALL 2003.XLS
[22/10/2009 15:48|--a------|17408] K:\SSIAP 2009.xls
[23/10/2009 19:29|--a------|466944] L:\P REC 08 09.xls
[24/10/2009 20:50|--a------|4198400] L:\P 09.xls
[31/08/2009 17:31|--a------|95232] L:\COMMANDE MONNAIE&VERST LOOMIS.xls
[31/08/2009 17:32|--a------|36199424] L:\matrice nouveau CLOTURE.xls
[31/08/2009 17:27|--a------|45568] L:\SUIVI EXO.xls
[18/09/2009 17:17|--a------|23552] L:\Forfait REC 09.xls
[30/09/2009 21:45|--a------|313856] L:\P REC trois.xls
[20/10/2009 09:18|---hs----|348160] L:\msvcr71.dll
[24/10/2009 20:43|--a------|817760] L:\UsbFix.exe
[05/09/2009 21:44|--a------|36206592] L:\NEO CLOTURE.xls
[18/09/2009 15:56|--a------|23040] L:\Forfait REC 08.xls
[18/09/2009 16:01|--a------|16384] L:\CHQ NOEL 2009.xls

################## | Vaccination |

# C:\autorun.inf -> Folder created by UsbFix.
# D:\autorun.inf -> Folder created by UsbFix.
# G:\autorun.inf -> Folder created by UsbFix.
# K:\autorun.inf -> Folder created by UsbFix.
# L:\autorun.inf -> Folder created by UsbFix.

################## | Suspect | http://www.virustotal.com |


################## | Cracks / Keygens / Serials |


################## | Upload |

Veuillez envoyer le fichier : C:\DOCUME~1\ADMINI~1\Bureau\UsbFix_Upload_Me_RECAMIENS.zip : http://forum-aide-contre-virus.be/usbfix/choix_fichier.php
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.045 ! |

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
nanard4700 7692Messages postés 17 juillet 2007Date d'inscription 14 février 2012Dernière intervention 25 oct. 2009 à 10:00
Veuillez envoyer le fichier : C:\DOCUME~1\ADMINI~1\Bureau\UsbFix_Upload_Me_RECAMIENS.zip : http://forum-aide-contre-virus.be/usbfix/choix_fichier.php
Merci pour votre contribution .

********************************************************************************

• Bonjour

• Télécharge et installe : Malwarebyte’s Anti-Malware
• (NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici : http://www.malekal.com/download/comctl32.ocx)
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
• Sélectionne tes disques durs" puis clique sur "Lancer l’examen"
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer, clique sur Yes
• Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.)
• Si tu as besoin d’aide regarde ce tutorial
http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php



Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Daxilane 21Messages postés 3 février 2009Date d'inscription 25 oct. 2009 à 11:36
Bonjour,
voici le rapport de Malware, peut-être la fin de ce dur combat??? ;)

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3029
Windows 5.1.2600 Service Pack 2

25/10/2009 11:35:40
mbam-log-2009-10-25 (11-35-40).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 140530
Temps écoulé: 20 minute(s), 56 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
nanard4700 7692Messages postés 17 juillet 2007Date d'inscription 14 février 2012Dernière intervention 25 oct. 2009 à 12:23
• Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille vivement d’installer et d'utiliser le navigateur firefox Une fois que c'est fait, lance le et installe l’ extension de sécurité suivantes : adblock plus
pour bloquer les publicités ;

• WOT - Extension pour ton navigateur internet :
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/3456
Pour internet explorer : http://www.mywot.com/en/download/ie
-------------------------------------------------------------------------------------------------------------------------

 Je conseille de mettre a jour internet explorer même si vous ne l’utilisé jamais. Les MAJ systéme se font par le biais de IE. Par conséquent on évite les failles de sécurité.
• Télécharger IE8 : ici

• Si Java n'est pas à jour, c'est une faille de sécurité.
Il faut d'abord désinstaller l'ancienne version : Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes et désinstalle les.
Ensuite, télécharge et installe la nouvelle version depuis le site officiel de java : http://java.com/fr/

• Si Adobe Reader n’est pas à jour, c’est une faille de sécurité. Désinstalle le en allant dans menu démarrer --> panneau de configuration --> ajout/suppression de programmes. Puis télécharge et installe la nouvelle version. http://www.adobe.com/fr/products/reader/

• Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : Update Checker http://www.commentcamarche.net/...
Installe le avec les paramètres par défaut en cliquant chaques fois sur Suivant.

Une fois installé, patiente quelques secondes et tu verras apparaître une icône verte dans ta barre des tâches te signalant qu'il y a des mises à jour disponibles.

Double-cliques sur l'icône pour être redirrigé sur le site de téléchargement des mises à jour.

* Un conseil : n'installe pas les BETA
====================================================
Pour éliminer les programmes de desinfections.

• Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.(sur un des 2 liens)
http://pc-system.fr/TC/ToolsCleaner2.exe
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
• Clique sur Recherche et laisse le scan se terminer.
• Clique, sur Suppression pour finaliser.
• Tu peux, si tu le souhaites, te servir des Options facultatives.
• Clique sur Quitter, pour que le rapport puisse se créer.
• Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).
-----------------------------------------------------------------------------------------------------------------------------------
Désactive et réactive la Restauration du système sous windows xp.
Le fait de faire cette manipulation va supprimer tous les virus qui auraient pu se loger dans les
points de restauration que tu avais créé auparavant.. Il est donc recommandé de la faire :
[1] Dans la barre des tâches de Windows, clique sur Démarrer.
[2] Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.
[3 ] Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"
[4 ] Clique sur Appliquer.
[5 ] Ensuite décoche "Désactiver la restauration du systeme"
[6 ] clique sur appliquer puis ok
[7 ] vas créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du systeme => créer un point de restauration => tu mets un nom :(exemple :fin de désinfections) puis tu valides.
[8]Pensé a vider la corbeille.
------------------------------------------------------------------------------------------------------------------------------

Tu peux mettre ton problème résolu !!Comment mettre résolu ??



Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Daxilane 21Messages postés 3 février 2009Date d'inscription 25 oct. 2009 à 12:50
Super! Merci beaucoup!
Je vais suivre tous tes conseils de mise à jour et de sécurité.
Je suppose que pour mon deuxième PC, qui présente les même symptômes, je n'ai qu'à refaire la même procédure??
En tout cas, un grand merci!

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
nanard4700 7692Messages postés 17 juillet 2007Date d'inscription 14 février 2012Dernière intervention 25 oct. 2009 à 12:55
attention les procédures ne s'appliquent que pour le pc désinfecté au dessus.Mémé symptômes ne veut pas dire infections similaires.

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Daxilane 21Messages postés 3 février 2009Date d'inscription 1 nov. 2009 à 14:21
Bonjour,
Je reviens vers toi, car le problème reste entier!

Suite aux manipulations que tu m'as indiqué, le PC était "propre", mais 2h plus tard, le problème recommençait.
Alerte de Avira, même virus, mêmes emplacements.
Depuis le pc bloque aux bout de quelque minute en me disant qu'une instruction ne peut pas être "read" ce qui entraine la désactivation du son et le PC n'est plus accessible sur le réseau, certains fichiers excel (les plus lourds) ne veulent plus s'ouvrir, je ne peux même plus utiliser UsbFix et le PC rame à mort alors que l'utilisation de l'UC reste très basse...

HELP!!!!!

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
nanard4700 7692Messages postés 17 juillet 2007Date d'inscription 14 février 2012Dernière intervention 1 nov. 2009 à 14:37
post un nouveau rapport rsit

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Daxilane 21Messages postés 3 février 2009Date d'inscription 1 nov. 2009 à 14:43
Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-11-01 14:42:46
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 43 GB (62%) free of 68 GB
Total RAM: 503 MB (17% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:42:55, on 01/11/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\UltraVNC\WinVNC.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Program Files\trend micro\Administrateur.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=217.19.195.242:8082;http=217.19.195.242:80;https=217.19.195.242:8081
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 217.19.195.242;152.50.*;*.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WOT Helper - {C920E44A-7F78-4E64-BDD7-A57026E7FEB7} - C:\Program Files\WOT\WOT.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: WOT - {71576546-354D-41c9-AAE8-31F2EC22BF0D} - C:\Program Files\WOT\WOT.dll
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [SetRefresh] C:\Program Files\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [SDMSSplash] "C:\Program Files\HP_SDMS\SDMSSplash\launcher.exe" "launchdir=C:\Program Files\HP_SDMS\SDMSSplash"
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [FileHippo.com] "C:\Program Files\FileHippo.com\UpdateChecker.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D80A6D1-B500-47DA-82B8-EB9875F85B4D} (Google Gadget Control) - http://dl.google.com/dl/desktop/nv/GoogleGadgetPluginIEWin.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C9AF0287-9531-4196-89DE-095FCCABAB58}: NameServer = 217.19.192.128,217.19.192.137
O18 - Protocol: wot - {C2A44D6B-CB9F-4663-88A6-DF2F26E4D952} - C:\Program Files\WOT\WOT.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Desktop Manager 5.8.809.23506 (GoogleDesktopManager-092308-165331) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: VNC Server (winvnc) - UltraVNC - C:\Program Files\UltraVNC\WinVNC.exe
O24 - Desktop Component 0: (no name) - http://i266.photobucket.com/...

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Daxilane 21Messages postés 3 février 2009Date d'inscription 1 nov. 2009 à 14:51
Le fait que les PCs soient en raiseau n'est il pas la cause d'une réinfection constante???

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
nanard4700 7692Messages postés 17 juillet 2007Date d'inscription 14 février 2012Dernière intervention 1 nov. 2009 à 15:43
Téléchargez : AVPTool sur votre Bureau.

# Lancez l'exécutable intitulé setup_7.0xxxxx en double-cliquant dessus.
# Répondez Oui à la question Do you want to continue installation ?.
# Cliquez sur Next pour les deux fenêtres suivantes : AVPTool s'installe sur votre Bureau dans un dossier nommé Kaspersky Lab Tool.
# L'outil se lance tout seul : cochez toutes les cases dans l'onglet Automatic Scan.
# Cliquez maintenant sur Scan. Le scan commence, une nouvelle fenêtre s'ouvre indiquant la progression du balayage en pourcentage.
# A la fin du scan, AVPTool signale les objets infectés par l'intermédiaire d'un pop-up : cochez alors Apply to all et cliquez sur Disinfect ou sur Delete selon ce que propose la fenêtre.
# Une fois les infections traitées par l'intermédiaire des pop-ups, il se peut que des fichiers malsains n'aient pas été supprimés : ils apparaissent en rouge dans la liste : cliquez alors sur le bouton Neutralize all de la fenêtre de progression du scan : si une pop-up indique qu'il faut redémarrer, acceptez en cliquant sur OK.
# Rendez-vous maintenant dans l'onglet Events de la fenêtre de progression du scan et décochez Show all events.
# Cliquez enfin sur Reports puis Save to file et enregistrez le rapport sur votre Bureau sous le nom Rapport AVPTool.
# Fermez les fenêtres d'AVPTool : un message apparaît proposant de désinstaller le logiciel : choisissez Yes.
# Un message d'alerte indique que le PC doit être redémarré pour finir la désinstallation. À la question Would you like to restart now, répondez Oui et laissez votre ordinateur redémarrer en Mode normal.
# Postez le rapport dans votre prochaine réponse si vous avez créé un sujet sur le forum Virus/Sécurité.

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Daxilane 21Messages postés 3 février 2009Date d'inscription 1 nov. 2009 à 18:48
Désolé, ton lien est mort, mais je me suis débrouillé pour le télécharger.
En ce qui concerne le scan : ça fait 2h qu'il tourne et ça n'avance pas! Il est trop lourd pour l'état actuel de mon système...
Je bloque à 41%

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
nanard4700 7692Messages postés 17 juillet 2007Date d'inscription 14 février 2012Dernière intervention 1 nov. 2009 à 19:54
Le scan peux durer 12h.
Sinon fait celui ci.
• Télécharge: ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe sur ton bureau.
• Double-clique sur drweb-cureit.exe et clique sur Commencer le scan.
• Si il trouve des processus infectés, clique sur le bouton Oui pour Tout à l'invite.
• Lorsque le scan rapide est terminé, clique sur Options > Changer la configuration.
• Choisis l'onglet Scanner, et décoche Analyse heuristique.
• De retour à la fenêtre principale : choisis Analyse complète.
• Clique la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, ferme-la.
• Clique Oui pour Tout si un fichier est détecté.
• A la fin du scan, si des infections sont trouvées, clique sur Tout sélectionner, puis surDésinfecter.
• Si la désinfection est impossible, clique sur Quarantaine.
• Au menu principal de l'outil, en haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport.
• Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv.
• Ferme Dr.Web CureIt!
• /!\ Important /!\ Redémarre ton ordinateur car certains fichiers peuvent être déplacés/réparés au redémarrage.
• Après le redémarrage, fais un copié/collé du rapport dans ta prochaine réponse

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Daxilane 21Messages postés 3 février 2009Date d'inscription 1 nov. 2009 à 21:24
Bon, le scan avec DrWeb est en train de se faire. Le premier avec AVPTool a planté et pas moyen de recommancer...

Pendant ce temps, j'ai 2 questions à te poser :
-puis-je faire ces mêmes scan en branchant en esclave le HD de ce PC sur un autre PC "stable" et non infecté? Ca irait beaucoup plus vite et moins de risque de plantage
-penses-tu que le virus se cache dans mes documents? Car si je peux sauvegarder mes doc sur un HD externe, ça ne me pose pas de problème de formater.

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Daxilane 21Messages postés 3 février 2009Date d'inscription 1 nov. 2009 à 21:32
Pas de virus avec DrWeb en analyse rapide...

 Ajouter un commentaire
Ajouter un commentaire
1 2 Suivant
Posez votre question
Ce document intitulé « TR/Crypt.ZPACK.gen » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
5 extensions si vous voulez revenir à l'ancien Facebook
TR/Crypt.ZPACK.gen - page 2