Les Allergies
Alimentaires
Posez votre question Signaler

Virus (rootkit ?) [Résolu]

cms 44Messages postés 7 novembre 2005Date d'inscription - Dernière réponse le 25 oct. 2009 à 01:07
Bonjour à tous,
voilà j'ai des pbs sur mon ordi dus à un virus. c'est avast qui m'a d'abord alerté par deux types de messages :
1. "un virus a été détecté, type rootkit : C:\nds0q.exe
2. bouclier web : "tentative d'accès à yahoo69. ..."
Puis en allant dans msconfig, j'ai vu : "herss.exe" au démarrage cequi est nouveau.
Et impossible de localiser le fichier car je ne peux plus afficher les fichiers cachés !
Puis j'ai constaté d'autres problèmes : quand j'ouvre le disque C:, il me met la fenêtre "avec quel programme voulez vous ouvrir ce fichier ?" !!!
après recherche, j'ai vu que "herss" serait un rootkit. J'ai donc fait un scan avec "panda" (aucun résultat), avec "sophos" (qqs résultats que j'ai virés mais cela n'a rien changé).
j'ai aussi passé mbam (qqs résultats que j'ai virés mais cela n'a rien changé).
Si quelqu'un pouvait m'aider, ce serait sympa. Merci d'avance.
PS : voici mon rapport HJT :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:42:26, on 22/10/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
c:\apps\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\SearchIndexer.exe
c:\apps\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
C:\Program Files\Sophos\Sophos Anti-Rootkit\sargui.exe
C:\HijackThis\HijackThis.exe
D:\Documents and Settings\olivier\Local Settings\Temp\dgrjxn.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webmail.numericable.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O15 - Trusted Zone: http://www.aix-mrs.iufm.fr
O16 - DPF: {275D2217-FFE8-46B5-8FD2-B18CA0B7EE36} (Seagate SeaTools Online French) - file:///C:/DRIVERS/snapsys/HDDDiag/bin/npseatools.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AOL Connectivity Service (AOL ACS) - Unknown owner - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\apps\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\apps\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Lire la suite 

Virus (rootkit ?) »

14 réponses
Réponse
+0
moins plus
Chiquitine29 1443Messages postés 12 août 2009Date d'inscription 22 oct. 2009 à 15:53
Salut ,

• Télécharge UsbFix sur ton bureau .

http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
http://forum-aide-contre-virus.be/download/Chiquitine29/UsbFix.exe
http://forum-aide-contre-virus.be/download/UsbFix.html
http://www.commentcamarche.net/telecharger/telecharger-34066197-usbfix

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

• Double clic sur "UsbFix.exe" présent sur ton bureau .

• Choisis l'option F pour français et tape sur [entrée] .

• Choisis l'option 1 ( Recherche ) et tape sur [entrée] .

• Laisse travailler l'outil.

Ensuite post le rapport UsbFix.txt qui apparaitra.

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+0
moins plus
cms 44Messages postés 7 novembre 2005Date d'inscription 22 oct. 2009 à 16:06
Bonjor Chiquitine29,

tout d'abord merci de t'occuper de mon cas !

j'ai fait ce q'ue tu m'as dit et voici le rapport :


############################## | UsbFix V6.043 |

User : olivier (Administrateurs) # SN115895780316
Update on 21/10/2009 by Chiquitine29, C_XX & Chimay8
Start at: 16:00:55 | 22/10/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Athlon(tm) 64 Processor 3400+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : avast! antivirus 4.8.1351 [VPS 091021-0] 4.8.1351 [ Enabled | Updated ]
FW : ZoneAlarm Firewall[ Enabled ]8.0.298.000

C:\ -> Disque fixe local # 29,99 Go (12,56 Go free) [HDD] # NTFS
D:\ -> Disque fixe local # 202,89 Go (60,22 Go free) [DATA] # NTFS
E:\ -> Disque CD-ROM # 681,91 Mo (0 Mo free) [CDA_Default-Expr] # CDFS
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque CD-ROM
L:\ -> Disque amovible # 243,24 Mo (169,25 Mo free) # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
c:\apps\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\SearchIndexer.exe
c:\apps\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\WINDOWS\system32\SearchFilterHost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

D:\DOCUME~1\olivier\LOCALS~1\Temp\cvasds0.dll
D:\DOCUME~1\olivier\LOCALS~1\Temp\herss.exe
C:\autorun.inf
C:\autorun.inf -> fichier appelé : "C:\nds0q.exe" ( Présent ! )
C:\nds0q.exe
D:\autorun.inf
D:\autorun.inf -> fichier appelé : "D:\nds0q.exe" ( Présent ! )
D:\nds0q.exe
E:\autorun.inf
L:\autorun.inf
L:\autorun.inf -> fichier appelé : "L:\nds0q.exe" ( Présent ! )
L:\nds0q.exe

################## | Registre # Clés Run infectieuses |

[HKLM\software\microsoft\shared tools\msconfig\startupreg\cdoosoft]

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{0ea28383-fffa-11db-94e1-00038a000015}
Shell\AutoRun\command =L:\nds0q.exe
Shell\open\Command =L:\nds0q.exe

HKCU\..\..\Explorer\MountPoints2\{9aa1fb8a-fff6-11db-94e0-806d6172696f}
Shell\AutoRun\command =C:\nds0q.exe
Shell\open\Command =C:\nds0q.exe

HKCU\..\..\Explorer\MountPoints2\{9aa1fb8b-fff6-11db-94e0-806d6172696f}
Shell\AutoRun\command =D:\nds0q.exe
Shell\open\Command =D:\nds0q.exe

HKCU\..\..\Explorer\MountPoints2\{9aa1fb8c-fff6-11db-94e0-806d6172696f}
Shell\AutoRun\command =E:\setup.exe

################## | Suspect | http://www.virustotal.com |


################## | Cracks / Keygens / Serials |

"D:\Documents and Settings\olivier\Mes documents\fichiers extraits\Grand_Theft_Auto_IV_Crack_Only-Razor1911\rzr-gta4-crack\GTAIV.exe"
07/12/2008 17:41 |Size 13411688 |Crc32 be148d03 |Md5 9fa1c2a3f2932d46538bc14e715cfccc

"D:\Documents and Settings\olivier\Mes documents\fichiers extraits\Grand_Theft_Auto_IV_Crack_Only-Razor1911\rzr-gta4-crack\LaunchGTAIV.exe"
07/12/2008 17:41 |Size 73728 |Crc32 83eb9232 |Md5 25ea124fc3e2b578c48900633d00a0bd

"D:\Programmes\KSPS\CRACK\KellySlatersProSurferv1.0NoCDFixedexeEng\ksps.exe"
11/11/2003 22:03 |Size 2805760 |Crc32 a3085f12 |Md5 c3134678ce32687d8844fbef0b5d73e6

"D:\Programmes\KSPS\CRACK\v 1.0 no cd patch\CrackNocdStart.exe"
09/11/2003 07:42 |Size 749 |Crc32 b0700a7f |Md5 7289d3d4b0addc46ed4d73e7c409bb06

"D:\Programmes\KSPS\CRACK\v 1.0 no cd patch\Game\CrackNocdKSps.exe"
09/11/2003 07:42 |Size 768 |Crc32 639caad7 |Md5 8656d130c01f86f6b7ece9992423b0b9


################## | ! Fin du rapport # UsbFix V6.043 ! |



Qu'en penses-tu ?

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Chiquitine29 1443Messages postés 12 août 2009Date d'inscription 22 oct. 2009 à 16:09
j en pense que tu es infecté :)

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

• Double clic sur "UsbFix.exe" présent sur ton bureau .

• Choisis l' option F pour français et et tape sur [entrée] .

• choisis l'option 2 ( Suppression ) et tape sur [entrée].

• Ton bureau disparaitra et le pc redémarrera .

• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


Ajouter un commentaire - Site web
cms - 22 oct. 2009 à 16:22
Re !

J'ai pas de fichier UsbFix.txt .Par contre j'ai un fichier zip avec UsbFix.txt dedans mais aussi herss, nds0q et autres. Je le dézippe ou je envoie le zip comme demandé dans Usbfix.exe ? Je te demande ça car ça craint pas de dézipper herss, nds0q et autres.

Merci de ton aide !
Ajouter un commentaire
Réponse
+0
moins plus
Chiquitine29 1443Messages postés 12 août 2009Date d'inscription 22 oct. 2009 à 16:24
tu dois avoir le rapport ici D:\Usbfix.txt ou ici C:\UsbFix.txt

Ajouter un commentaire - Site web
cms - 22 oct. 2009 à 16:30
J'avais cherché dans C, pas dans D ! Je l'ai bien (de toute façon après avoir réfléchi un peu ... j'ai dézippé que le fichier voulu !).

Qu'est-ce que je fait du zip ? Usbfix.exe dit de l'envoyer, je le fais ?

Je viens de rééssayer d'afficher les fichiers cachés (un des pbs créés) : ça marche ! Tu crois que le pb est résolu ?

Je te poste le rapport :


############################## | UsbFix V6.043 |

User : olivier (Administrateurs) # SN115895780316
Update on 21/10/2009 by Chiquitine29, C_XX & Chimay8
Start at: 16:12:50 | 22/10/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Athlon(tm) 64 Processor 3400+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : avast! antivirus 4.8.1351 [VPS 091021-0] 4.8.1351 [ Enabled | Updated ]
FW : ZoneAlarm Firewall[ Enabled ]8.0.298.000

C:\ -> Disque fixe local # 29,99 Go (12,56 Go free) [HDD] # NTFS
D:\ -> Disque fixe local # 202,89 Go (60,22 Go free) [DATA] # NTFS
E:\ -> Disque CD-ROM # 681,91 Mo (0 Mo free) [CDA_Default-Expr] # CDFS
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque CD-ROM
L:\ -> Disque amovible # 243,24 Mo (169,25 Mo free) # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
c:\apps\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\SearchIndexer.exe
c:\apps\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe

################## | Fichiers # Dossiers infectieux |

Supprimé ! D:\DOCUME~1\olivier\LOCALS~1\Temp\cvasds0.dll
Supprimé ! D:\DOCUME~1\olivier\LOCALS~1\Temp\herss.exe
C:\autorun.inf -> fichier appelé : "C:\nds0q.exe" ( Absent ! )
Supprimé ! C:\autorun.inf
D:\autorun.inf -> fichier appelé : "D:\nds0q.exe" ( Présent ! )
Supprimé ! D:\nds0q.exe
Supprimé ! D:\autorun.inf
Non supprimé ! E:\autorun.inf
L:\autorun.inf -> fichier appelé : "L:\nds0q.exe" ( Présent ! )
Supprimé ! L:\nds0q.exe
Supprimé ! L:\autorun.inf

################## | Registre # Clés Run infectieuses |

Supprimé ! [HKLM\software\microsoft\shared tools\msconfig\startupreg\cdoosoft]
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoClose"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFileMenu"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRun"

################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{0ea28383-fffa-11db-94e1-00038a000015}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{9aa1fb8a-fff6-11db-94e0-806d6172696f}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{9aa1fb8b-fff6-11db-94e0-806d6172696f}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{9aa1fb8c-fff6-11db-94e0-806d6172696f}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[22/10/2009 16:12|--a------|1788] C:\aaw7boot.log
[11/05/2007 21:19|-rahs----|215] C:\BOOT.BAK
[22/10/2009 15:22|-rahs----|296] C:\BOOT.INI
[05/08/2004 14:00|-rahs----|4952] C:\Bootfont.bin
[05/08/2004 14:00|-rahs----|263488] C:\cmldr
[19/12/2007 20:43|--a------|74] C:\CMLoader.log
[11/05/2007 21:03|--a------|6397] C:\DWNLOG.TXT
[11/05/2007 21:20|-rahs----|0] C:\IO.SYS
[11/05/2007 21:22|--ah-----|848] C:\IPH.PH
[11/05/2007 21:03|--a------|6397] C:\MCDLOG.TXT
[11/05/2007 21:20|-rahs----|0] C:\MSDOS.SYS
[05/08/2004 14:00|--a------|47564] C:\NTDETECT.COM
[06/09/2008 16:12|--a------|252240] C:\NTLDR
[?|?|?] C:\pagefile.sys
[04/04/2006 09:08|--a------|1196] C:\SAUDIT.TXT
[22/02/2009 13:21|--a------|40] C:\SYSTEM.VER
[11/05/2007 21:03|--a------|0] C:\UPDFLOP.TAG
[22/02/2009 13:21|--a------|11032] C:\YP-U3.LOG
[22/10/2009 16:15|--a------|4743] D:\UsbFix.txt
[04/01/2006 10:12|-r-------|77824] E:\HPZIDS01.dll
[04/02/2006 10:42|-r-------|233472] E:\HPZidi01.dll
[04/02/2006 10:43|-r-------|990] E:\HPZprl01.dat
[04/02/2006 10:43|-r-------|417792] E:\Setup.exe
[10/08/2006 17:40|-r-------|332343] E:\autorun.inf
[03/04/2006 12:32|-r-------|33670] E:\config.xml
[04/02/2006 10:43|-r-------|17248] E:\crcfiles.txt
[04/02/2006 10:44|-r-------|6360] E:\crcvalues.txt
[04/12/2003 00:53|-r-------|65] E:\dxprl.dat
[29/10/2005 10:04|-r-------|1645320] E:\gdiplus.dll
[02/05/2006 02:27|-r-------|9097687] E:\hpaioa.cab
[05/05/2006 05:03|-r-------|170679] E:\hpaioa.cat
[27/04/2006 05:57|-r-------|57596] E:\hpaioa.inf
[11/10/2005 10:22|-r-------|45413] E:\hpoapd01.dat
[13/04/2006 03:07|-r-------|3753] E:\hpoglu09.inf
[13/04/2006 03:07|-r-------|2566] E:\hpohub09.inf
[06/05/2006 02:21|-r-------|11634] E:\hpomdl11.dat
[13/04/2006 03:08|-r-------|1496] E:\hpoprl01.dat
[13/04/2006 03:08|-r-------|3834] E:\hpoprl02.dat
[13/04/2006 03:08|-r-------|1098] E:\hpoprl03.dat
[13/04/2006 03:08|-r-------|47340] E:\hpoprl04.dat
[13/04/2006 03:08|-r-------|855] E:\hpoprl05.dat
[13/04/2006 03:08|-r-------|366] E:\hpoprl06.dat
[06/05/2006 02:20|-r-------|853] E:\hpoprl07.dat
[06/05/2006 02:21|-r-------|1340] E:\hpoprl08.dat
[06/05/2006 02:21|-r-------|275] E:\hpoprl09.dat
[06/05/2006 02:21|-r-------|2614] E:\hpoprl10.dat
[05/05/2006 05:03|-r-------|91350] E:\hposcu09.cat
[13/04/2006 03:02|-r-------|90212] E:\hposcu09.inf
[16/03/2006 18:17|-r-------|8829] E:\hpose050.dat
[16/03/2006 18:17|-r-------|8864] E:\hpose060.dat
[03/04/2006 10:32|-r-------|9630] E:\hpose080.dat
[16/03/2006 18:17|-r-------|8829] E:\hposf050.dat
[16/03/2006 18:17|-r-------|9495] E:\hposf060.dat
[27/03/2006 13:32|-r-------|10012] E:\hposf070.dat
[13/04/2006 03:07|-r-------|4643] E:\hpound09.inf
[05/05/2006 05:03|-r-------|88704] E:\hpounp09.cat
[13/04/2006 03:07|-r-------|4334] E:\hpounp09.inf
[13/04/2006 03:07|-r-------|3176] E:\hpousb09.inf
[13/04/2006 03:02|-r-------|35495] E:\hpousc09.inf
[22/03/2006 04:29|-r-------|21235] E:\hpowrg01.ini
[19/02/2006 18:31|-r-------|288281] E:\hpqbid01.dat
[19/02/2006 18:31|-r-------|288405] E:\hpqbid04.dat
[19/02/2006 18:31|-r-------|288281] E:\hpqbid05.dat
[19/02/2006 18:31|-r-------|288335] E:\hpqbid06.dat
[19/02/2006 18:31|-r-------|288305] E:\hpqbid07.dat
[19/02/2006 18:31|-r-------|288290] E:\hpqbid08.dat
[19/02/2006 18:31|-r-------|288388] E:\hpqbid09.dat
[19/02/2006 18:31|-r-------|288310] E:\hpqbid10.dat
[19/02/2006 18:31|-r-------|288262] E:\hpqbid11.dat
[19/02/2006 18:31|-r-------|801] E:\hpqbpl01.dat
[19/02/2006 18:31|-r-------|771] E:\hpqbpl04.dat
[19/02/2006 18:31|-r-------|717] E:\hpqbpl05.dat
[19/02/2006 18:31|-r-------|788] E:\hpqbpl06.dat
[19/02/2006 18:31|-r-------|744] E:\hpqbpl08.dat
[19/02/2006 18:31|-r-------|731] E:\hpqbpl09.dat
[19/02/2006 18:31|-r-------|670] E:\hpqbpl11.dat
[13/04/2006 03:08|-r-------|7107] E:\hpqish09.inf
[06/10/2005 23:26|-r-------|969] E:\hpqphbck.dat
[13/04/2006 03:04|-r-------|282624] E:\hpzc3212.dll
[15/02/2006 18:01|-r-------|278528] E:\hpzglu14.exe
[05/05/2006 05:03|-r-------|89145] E:\hpzid412.cat
[13/04/2006 03:04|-r-------|54641] E:\hpzid412.inf
[05/05/2006 05:03|-r-------|89145] E:\hpzid413.cat
[13/04/2006 03:04|-r-------|64564] E:\hpzid413.inf
[05/05/2006 05:03|-r-------|89145] E:\hpzid414.cat
[13/04/2006 03:04|-r-------|31872] E:\hpzid414.inf
[13/04/2006 03:04|-r-------|96478] E:\hpzipa12.cat
[13/04/2006 03:04|-r-------|28346] E:\hpzipa12.inf
[13/04/2006 03:04|-r-------|96478] E:\hpzipa13.cat
[13/04/2006 03:04|-r-------|112796] E:\hpzipa13.inf
[05/05/2006 05:03|-r-------|89145] E:\hpzipr12.cat
[13/04/2006 03:04|-r-------|12850] E:\hpzipr12.inf
[05/05/2006 05:03|-r-------|89145] E:\hpzipr13.cat
[13/04/2006 03:04|-r-------|21164] E:\hpzipr13.inf
[05/05/2006 05:03|-r-------|89145] E:\hpzist12.cat
[13/04/2006 03:04|-r-------|5583] E:\hpzist12.inf
[05/05/2006 05:03|-r-------|89145] E:\hpzist13.cat
[13/04/2006 03:04|-r-------|8038] E:\hpzist13.inf
[13/04/2006 03:04|-r-------|79734] E:\hpzius12.cat
[13/04/2006 03:04|-r-------|18468] E:\hpzius12.inf
[05/05/2006 05:03|-r-------|90027] E:\hpzius13.cat
[13/04/2006 03:04|-r-------|136650] E:\hpzius13.inf
[15/02/2006 18:01|-r-------|28722] E:\hpzjlog.dll
[15/02/2006 18:01|-r-------|442425] E:\hpzjpp01.dll
[15/02/2006 18:01|-r-------|290873] E:\hpzjut01.dll
[15/02/2006 18:01|-r-------|49212] E:\hpzjvp01.dll
[13/04/2006 03:04|-r-------|96037] E:\hpzpd412.cat
[13/04/2006 03:04|-r-------|4768] E:\hpzpd412.inf
[15/02/2006 18:01|-r-------|208896] E:\hpzpnp14.dll
[23/08/2005 03:56|-r-------|1102] E:\hpzprl02.dat
[24/11/2005 09:58|-r-------|2127] E:\hpzprl03.dat
[15/02/2006 18:01|-r-------|204800] E:\hpzscr14.dll
[04/02/2006 10:44|-r-------|749568] E:\hpzsetup.exe
[13/04/2006 03:04|-r-------|18560] E:\hpzuci12.dll
[12/03/2004 20:50|-r-------|1479] E:\license.txt
[15/02/2006 18:01|-r-------|70656] E:\msvcirt.dll
[15/02/2006 18:01|-r-------|254005] E:\msvcrt.dll
[13/04/2006 03:08|-r-------|302967] E:\p3i2arww.cab
[13/04/2006 03:08|-r-------|302845] E:\p3i2caww.cab
[13/04/2006 03:08|-r-------|303849] E:\p3i2csww.cab
[13/04/2006 03:08|-r-------|302695] E:\p3i2daww.cab
[13/04/2006 03:08|-r-------|303569] E:\p3i2deww.cab
[13/04/2006 03:08|-r-------|303541] E:\p3i2elww.cab
[13/04/2006 03:08|-r-------|303435] E:\p3i2enww.cab
[13/04/2006 03:08|-r-------|302845] E:\p3i2esww.cab
[13/04/2006 03:08|-r-------|302867] E:\p3i2fiww.cab
[13/04/2006 03:08|-r-------|304585] E:\p3i2frww.cab
[13/04/2006 03:08|-r-------|302621] E:\p3i2heww.cab
[13/04/2006 03:08|-r-------|303953] E:\p3i2huww.cab
[13/04/2006 03:08|-r-------|304303] E:\p3i2itww.cab
[13/04/2006 03:08|-r-------|302781] E:\p3i2jaww.cab
[13/04/2006 03:08|-r-------|301793] E:\p3i2koww.cab
[13/04/2006 03:08|-r-------|303635] E:\p3i2nlww.cab
[13/04/2006 03:08|-r-------|302909] E:\p3i2noww.cab
[13/04/2006 03:08|-r-------|304057] E:\p3i2plww.cab
[13/04/2006 03:08|-r-------|304097] E:\p3i2ptww.cab
[13/04/2006 03:08|-r-------|303187] E:\p3i2ruww.cab
[13/04/2006 03:08|-r-------|303435] E:\p3i2skww.cab
[13/04/2006 03:08|-r-------|302733] E:\p3i2svww.cab
[13/04/2006 03:08|-r-------|303435] E:\p3i2thww.cab
[13/04/2006 03:08|-r-------|303549] E:\p3i2trww.cab
[13/04/2006 03:08|-r-------|302159] E:\p3i2zhcn.cab
[13/04/2006 03:08|-r-------|300553] E:\p3i2zhtw.cab
[15/02/2006 18:01|-r-------|458752] E:\tls704d.dll
[23/08/2005 03:58|-r-------|245408] E:\unicows.dll
[21/06/2003 01:23|-r-------|26768] E:\usbhub.sys
[15/02/2006 18:01|-r-------|12288] E:\usbmon.dll
[15/02/2006 18:01|-r-------|22608] E:\usbprint.sys
[23/08/2005 03:58|-r-------|65536] E:\xmlparse.dll
[23/08/2005 03:58|-r-------|66048] E:\xmltok.dll
[11/07/2008 18:11|--a------|2919360] L:\ccsetup209.exe
[18/06/2009 15:21|--a------|2088] L:\droite d'Euler.ggb
[18/06/2009 15:34|--a------|65475] L:\lievre et tortue.xlsx
[29/06/2009 13:23|--a------|15640338] L:\GeoGebra_3_2_0_0.exe

################## | Vaccination |

# C:\autorun.inf -> Folder created by UsbFix.
# D:\autorun.inf -> Folder created by UsbFix.
# L:\autorun.inf -> Folder created by UsbFix.

################## | Suspect | http://www.virustotal.com |


################## | Cracks / Keygens / Serials |

"D:\Documents and Settings\olivier\Mes documents\fichiers extraits\Grand_Theft_Auto_IV_Crack_Only-Razor1911\rzr-gta4-crack\GTAIV.exe"
07/12/2008 17:41 |Size 13411688 |Crc32 be148d03 |Md5 9fa1c2a3f2932d46538bc14e715cfccc

"D:\Documents and Settings\olivier\Mes documents\fichiers extraits\Grand_Theft_Auto_IV_Crack_Only-Razor1911\rzr-gta4-crack\LaunchGTAIV.exe"
07/12/2008 17:41 |Size 73728 |Crc32 83eb9232 |Md5 25ea124fc3e2b578c48900633d00a0bd

"D:\Programmes\KSPS\CRACK\KellySlatersProSurferv1.0NoCDFixedexeEng\ksps.exe"
11/11/2003 22:03 |Size 2805760 |Crc32 a3085f12 |Md5 c3134678ce32687d8844fbef0b5d73e6

"D:\Programmes\KSPS\CRACK\v 1.0 no cd patch\CrackNocdStart.exe"
09/11/2003 07:42 |Size 749 |Crc32 b0700a7f |Md5 7289d3d4b0addc46ed4d73e7c409bb06

"D:\Programmes\KSPS\CRACK\v 1.0 no cd patch\Game\CrackNocdKSps.exe"
09/11/2003 07:42 |Size 768 |Crc32 639caad7 |Md5 8656d130c01f86f6b7ece9992423b0b9


################## | Upload |

Veuillez envoyer le fichier : D:\DOCUME~1\olivier\Bureau\UsbFix_Upload_Me_SN115895780316.zip : http://forum-aide-contre-virus.be/usbfix/choix_fichier.php
Merci pour votre contribution .


Et encore merci pour ton aide si efficace.
Ajouter un commentaire
Réponse
+0
moins plus
Chiquitine29 1443Messages postés 12 août 2009Date d'inscription 22 oct. 2009 à 16:32
Pas besoin d envoyer le zip , dailleur supprime le ,


▶ Télécharge random's system information tool (RSIT) et sauvegarde-le sur le Bureau.

• Double-clique sur RSIT.exe afin de lancer RSIT.

• Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).

• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt .

• Tuto : http://forum.pcastuces.com/randoms_system_information_tool_rsit-f31s31.htm

Ajouter un commentaire - Site web
cms - 22 oct. 2009 à 16:38
Tu penses que j'ai attrapé ce truc par ma clé ? je te demande car la dernière fois que je l'ai utilisée avant de la brancher sur mon ordi (et que les pbs commencent ...), c'est au boulot : tu crois qu'il faut nettoyer l'ordi du bureau pour pas que ça contamine à nouveau ma clé ou celles d'autres personnes ?



Voici le log.txt :

Logfile of random's system information tool 1.06 (written by random/random)
Run by olivier at 2009-10-22 16:34:34
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 13 GB (42%) free of 31 GB
Total RAM: 2047 MB (70% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:34:44, on 22/10/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
c:\apps\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\SearchIndexer.exe
c:\apps\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Documents and Settings\olivier\Bureau\RSIT.exe
C:\HijackThis\olivier.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O15 - Trusted Zone: http://www.aix-mrs.iufm.fr
O16 - DPF: {275D2217-FFE8-46B5-8FD2-B18CA0B7EE36} (Seagate SeaTools Online French) - file:///C:/DRIVERS/snapsys/HDDDiag/bin/npseatools.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AOL Connectivity Service (AOL ACS) - Unknown owner - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\apps\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\apps\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Ajouter un commentaire
Réponse
+0
moins plus
Chiquitine29 1443Messages postés 12 août 2009Date d'inscription 22 oct. 2009 à 16:42
En effet , cette infection se propage par les supports amovible ,

Tes clé usb sont désormais protégées , mais tu vas devoir passer UsbFix sur le pc du taff car il y a 100% de chances qu il soit infecté .

Sinon c est propre .

→ Ferme toutes les applications en cours, puis télécharge ToolsCleaner2 sur ton Bureau.

→ Double clique sur ToolsCleaner2.exe
→ Clique sur .Recherche
→ puis sur Suppression quand la liste est trouvée.
→ Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).


(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note : ton bureau RISQUE de disparaître, c'est normal. S'il n'apparaît pas à la fin du scan, fais la manip suivante :

CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
Puis rends toi à l'onglet "Processus". Clique en haut à gauche sur Fichiers et choisis "Exécuter"

Tape explorer.exe et valide. Cela fera re-apparaître le Bureau


#################

*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
---> Redémarre ton PC ...

*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
--->Redémarre ton PC ...

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).



Tuto xp : http://service1.symantec.com/...


Ajouter un commentaire - Site web
cms - 22 oct. 2009 à 16:56
Ok c'est fait !

Pour l'ordi du bureau, étant en réseau, tu crois qu'il faut le faire sur chacun des ordi ?

Encore un grand merci pour ton aide. Je vois que ce forum est toujours aussi efficace ! j'étais venu il y a qqs années et regis59 m'avait bien aidé, maintenant c'est toi ! merci !



Voici le rapport :

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

D:\UsbFix.txt: trouvé !
D:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
D:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
D:\Documents and Settings\olivier\Bureau\UsbFix.exe: trouvé !
D:\Documents and Settings\olivier\Bureau\Rsit.exe: trouvé !
D:\Documents and Settings\olivier\Recent\HijackThis.lnk: trouvé !
D:\Documents and Settings\olivier\Recent\UsbFix.lnk: trouvé !

---------------------------------
--> Suppression:

D:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
D:\Documents and Settings\olivier\Recent\HijackThis.lnk: supprimé !
D:\UsbFix.txt: supprimé !
D:\Documents and Settings\olivier\Bureau\UsbFix.exe: supprimé !
D:\Documents and Settings\olivier\Bureau\Rsit.exe: supprimé !
D:\Documents and Settings\olivier\Recent\UsbFix.lnk: supprimé !
D:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
Ajouter un commentaire
Réponse
+0
moins plus
Chiquitine29 1443Messages postés 12 août 2009Date d'inscription 22 oct. 2009 à 17:03
oui , tu devras le faire sur chacun


si tu n as pas d autres soucis change le statut du sujet en resolu stp

http://www.commentcamarche.net/...

Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+0
moins plus
cms 44Messages postés 7 novembre 2005Date d'inscription 22 oct. 2009 à 17:14
Merci pour ton aide ! Bonne continuation.

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Chiquitine29 1443Messages postés 12 août 2009Date d'inscription 22 oct. 2009 à 17:15
De rien , Bonne continuation également .

Ajouter un commentaire - Site web
Josiane - 25 oct. 2009 à 01:07
Bonjour,
Je rencontre le même problème que cms : avast a détecté un virus "nds0q.exe" et en suivant les conseils que vous avez donné à cms, j'ai réussi à assainir plusieurs répertoires infectés. Cependant le virus revient dès que j'ouvre mes fichiers cryptés par "TrueCrypt" : la méthode semble ne pas nettoyer les fichiers cryptés. Peut-on empécher le logiciel "UsbFix" de redémarrer l'ordi afin que les volumes cryptés puissent être nettoyés ?
Merci de bien vouloir m'aider.
Ajouter un commentaire
Posez votre question
Ce document intitulé « virus (rootkit ?) » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
5 extensions si vous voulez revenir à l'ancien Facebook