vbs:malware-genFermé

Question

Bonjour,

Je viens vers vous car j'ai besoin d'aide. Vendredi j'ai reçu un message d'un ami avec un lien "my space" enfin soi disant. Comme une idiote j'ai cliqué dessus et je me suis retrouvée infectée par un virus VBS:malware-gen.

je précise qu'à ce moment là deux clés usb étaient branchés sur mon ordi ainsi que mon disque dur externe.

après de très nombreuses manip pour essayer de m'en débarasser je ne sais pas si je suis encore infectée. Quand je ne branche pas les clés usb tout à l'air normal mais dès que j'essaye de les brancher avast me détecte le virus.

j'ai également essayé de les brancher sur mon ordi portable pour voir si c'était pas l'ordi de maison qui déraillait et du coup je pense que je l'ai infecté aussi.

S'il vous plait aidez moi, comment me débarasser de tout ça je suis nulle en informatique.

Est-ce que mon disque dur externe est infecté? quand le branche tout est normal, et après analyse avec avst il ne trouve rien.

Merci

neo*** · Answer

salut

en branchant tes amovibles un peu partout, y'a des chances que tu es tout infecté ^^

Pour analyser ton pc :

• Télécharge ZHPDiag
• Laisse toi guider lors de l'installation
• Il se lancera automatiquement à la fin de l'installation
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
• Héberge le rapport ZHPDiag.txt sur ce site : http://www.cijoint.fr , puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

debo380 · Answer

http://www.cijoint.fr/cjlink.php?file=cj200912/cijRAAn6L5.txt

voilà le lien. je précise que mes clé usb et mon disque dur ne sont plus connectées et ne l'étaient pas lors du test.

merci

neo*** · Answer

tu as bien plusieurs infections :

DésactiveS le TeaTimer de Spybot (Merci à Nico): (en effet il pourrait nous gener en bloquant certains outils de desinfection)
 
Pour désactiver le TeaTimer : 
=> Ouvrir Spybot S&D 
=> Dans le menu "Mode", séléctionner le mode avancé. 
=> Une fenêtre demande confirmation cliquer sur "oui". 
=> Une fois le mode avancé actif, ouvrir l'onglet "Outils". 
=> Cliquer sur Résident. 
=> La partie Résident comporte deux lignes qui sont normalement cochées : 
*Résident "SDHelper" (bloqueur de téléchargements nuisibles pour Internet Explorer) actif. 
* Résident "TeaTimer" (Protection des réglages système fondamentaux) actif 
=> Décocher la ligne TeaTimer. 
=> Redémarrer Spybot (le fermer et le réouvrir) 


ENSUITE 



    * Télécharge et enregistre le fichier d installation sur ton bureau : https://www.androidworld.fr/
    * Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
    * Sous Vista : clic droit sur AD-Remover et sélectionner "Exécuter en tant qu'administrateur"
    * Au menu principal choisi l'option "L" et tape sur [entrée] .
    * Laisse travailler l'outil et ne touche à rien ...
    * Poste le rapport qui apparait à la fin.


( le rapport est sauvegardé aussi sous C:\Ad-report.log )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :

Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


ensuite 


    *  Telecharge UsbFix (de C_XX & Chiquitine29) sur ton bureau
    * tutoriel recherche
    * Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d'avoir été infectés sans les ouvrir
    * Double clic sur le raccourci UsbFix sur ton bureau, l'installation se fera automatiquement
    * Choisi l'option 1 (recherche)
    * Laisse travailler l'outil
    * Ensuite post le rapport UsbFix.txt qui apparaîtra
    * Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus

debo380 · Answer

.
======= RAPPORT D'AD-REMOVER 1.1.4.6_F | UNIQUEMENT XP/VISTA/7 =======
.
Mit à jour par C_XX le 20.12.2009 à 18:16
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 13:16:04, 21/12/2009 | Mode Normal | Option: CLEAN
Exécuté de: C:\Program Files\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™  Service Pack 2 v5.1.2600
Nom du PC: MOUCHACHO | Utilisateur actuel: BOBINEUSE
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.

C:\DOCUME~1\BOBINE~1\APPLIC~1\Mozilla\FireFox\Profiles\hif7lbjd.default\extensions\{346de098-61f9-4b42-89da-6dfba7091bb6}
C:\WINDOWS\Installer\{E1B94435-241E-4519-B1C3-C4DD9EB352A2}
C:\Program Files\Mozilla FireFox\extensions\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}
C:\Program Files\Mozilla FireFox\extensions\linkcontent@iminent
C:\Program Files\Mozilla FireFox\searchplugins\SearchTheWeb.xml
C:\Program Files\Dealio Toolbar
C:\Program Files\IMBooster4web-en
C:\Program Files\Iminent - ... [b]ERREUR SUPPRESSION !!/b 
C:\Program Files\Search Settings
C:\DOCUME~1\BOBINE~1\APPLIC~1\Dealio
C:\DOCUME~1\BOBINE~1\APPLIC~1\Search Settings
C:\DOCUME~1\ALLUSE~1\APPLIC~1\Iminent
C:\Documents and Settings\BOBINEUSE\Local Settings\Application Data\IMBooster4web-en
C:\Documents and Settings\BOBINEUSE\Local Settings\Application Data\Iminent
C:\Windows\Installer\16cc8.msi   
C:\Windows\Installer\23b56a6.msi 
C:\Windows\Installer\23b56ad.msi 
C:\Windows\Installer\479bab.msi  

(!) -- Fichiers temporaires supprimés.
 
.
HKCU\software\Dealio
HKCU\software\IMBooster4web-en
HKCU\software\Iminent
HKCU\software\microsoft\internet explorer\searchscopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
HKCU\software\microsoft\internet explorer\searchscopes\{BFFED5CA-8BDF-47CC-AED0-23F4E6D77732}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{346de098-61f9-4b42-89da-6dfba7091bb6} 
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} 
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\{346de098-61f9-4b42-89da-6dfba7091bb6} 
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\{84FF7BD6-B47F-46F8-9130-01B2696B36CB} 
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} 
HKCU\software\Search Settings
HKLM\Software\Classes\CLSID\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}
HKLM\Software\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
HKLM\Software\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
HKLM\Software\Classes\CLSID\{346DE098-61F9-4B42-89DA-6DFBA7091BB6}
HKLM\Software\Classes\CLSID\{696E3174-4F6C-4777-7834-654C4A705677}
HKLM\Software\Classes\CLSID\{84FF7BD6-B47F-46F8-9130-01B2696B36CB}
HKLM\Software\Classes\CLSID\{A6E9BAAF-53CD-4575-967B-2AF710A7D21F}
HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\Software\Classes\CLSID\{F97B5BBF-A2DF-4492-B95D-228F3F71F570}
HKLM\software\classes\IminentBHONavigationError.CHelperBHO
HKLM\software\classes\IminentBHONavigationError.CHelperBHO.1
HKLM\software\classes\IminentLinkToContent.LinkToContent
HKLM\software\classes\IminentLinkToContent.LinkToContent.1
HKLM\software\classes\installer\Features\A3BB3C491A65ED342A24B8144FE679FE
HKLM\software\classes\installer\Products\53449B1EE14291541B3C4CDDE93B252A
HKLM\software\classes\installer\Products\79CAA1B036589D14EA74856E2A220F1E
HKLM\software\classes\installer\Products\A3BB3C491A65ED342A24B8144FE679FE
HKLM\software\classes\installer\Products\C73660D04266C3348A703CD454AD1B48
HKLM\Software\Classes\Interface\{0CA97EEE-C8C4-4B10-A332-10AF1FBEB534}
HKLM\Software\Classes\Interface\{12FB9C3D-0875-4CAA-B3B1-9DCCCE749DE5}
HKLM\Software\Classes\Interface\{D5A1EF9A-7948-435D-8B87-D6A598317288}
HKLM\software\classes\SearchSettings.BHO
HKLM\software\classes\SearchSettings.BHO.1
HKLM\Software\Classes\TypeLib\{2C6674DB-EFB5-464A-A715-3E770B9C8A94}
HKLM\Software\Classes\TypeLib\{587D1093-12E0-4B0E-9426-AF9DC5ABB77D}
HKLM\Software\Classes\TypeLib\{77860007-19AE-4C29-B26D-AEA48F3A05C5}
HKLM\Software\Classes\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC}
HKLM\software\Dealio
HKLM\software\iAvatars.com
HKLM\software\IMBooster4web-en
HKLM\software\Iminent
HKLM\software\Loader
HKLM\Software\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
HKLM\Software\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
HKLM\software\microsoft\internet explorer\searchscopes\{BFFED5CA-8BDF-47CC-AED0-23F4E6D77732}
HKLM\Software\Microsoft\Internet Explorer\Toolbar\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} 
HKLM\Software\Microsoft\Internet Explorer\Toolbar\{346de098-61f9-4b42-89da-6dfba7091bb6} 
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{346DE098-61F9-4B42-89DA-6DFBA7091BB6}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{84FF7BD6-B47F-46F8-9130-01B2696B36CB}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A6E9BAAF-53CD-4575-967B-2AF710A7D21F}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\0292226F570267D459357AF78015E534
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\03285961954D5824C85975D955031EE8
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\23A03A6765D10864EB278629A2DF32C3
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\3A4FCCE032CA50340A6975C92410AE30
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\6AC3985F4D64C2245A96D31569D1BF40
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\6E00D9B24354FBA44AE2CA0FA86EF2E2
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\7C13F41728A69EF41AA1A3372FB86FA6
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\855847FA0E25FBA46B8516389DFDD4B3
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\9DC2844D0E3E8924C8973C3B3BAE1F58
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\AFEB575AA30ACB243B748619F62F0782
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\B92A2929968AED344BD6B34AD60E6604
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\C7D9132F42224AC49BD8C06A0F8E39C4
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\F461B8DD96FF5AA41A52D14E1D7B69C7
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Products\53449B1EE14291541B3C4CDDE93B252A
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Products\79CAA1B036589D14EA74856E2A220F1E
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Products\A3BB3C491A65ED342A24B8144FE679FE
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Products\C73660D04266C3348A703CD454AD1B48
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\IMBooster 
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Iminent.Notifier 
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SearchSettings 
HKLM\software\microsoft\windows\currentversion\uninstall\{0B1AAC97-8563-41D9-AE47-58E6A222F0E1}
HKLM\software\microsoft\windows\currentversion\uninstall\{0D06637C-6624-433C-A807-C34D45DAB184}
HKLM\software\microsoft\windows\currentversion\uninstall\{94C3BB3A-56A1-43DE-A242-8B41F46E97EF}
HKLM\software\microsoft\windows\currentversion\uninstall\{E1B94435-241E-4519-B1C3-C4DD9EB352A2}
HKLM\software\microsoft\windows\currentversion\uninstall\IMBooster
HKLM\software\microsoft\windows\currentversion\uninstall\IMBooster4web-en Toolbar
HKLM\software\microsoft\windows\currentversion\uninstall\SearchTheWeb
HKLM\software\Search Settings
HKLM\software\Viewpoint
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.0.11 [fr] *
.
 Nom du profil: hif7lbjd.default (BOBINEUSE)
.
(BOBINE~1, prefs.js) Browser.search.selectedEngine, SearchTheWeb
(BOBINE~1, prefs.js) Browser.startup.homepage, hxxp://search.iminent.com/?appId=469af14b-be64-45bf-84f5-641a9fd76ff9
(BOBINE~1, prefs.js) Extensions.enabledItems, {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}:4.0,{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}:6.0.07,{20a82645-c095-46ed-80e3-08825760534b}:1.1,linkcontent@iminent:1.0,{346de098-61f9-4b42-89da-6dfba7091bb6}:2.3.0.4,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.0.11
(BOBINE~1, prefs.js) Keyword.URL, hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=
. 
.
* Internet Explorer Version 8.0.6001.18702 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Use Search Asst: no
Search Bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Start Page: hxxp://fr.msn.com/
Search Bar: hxxp://search.msn.com/spbasic.htm
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\main\Start Page
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
===================================
.
10140 Octet(s) - C:\Ad-Report-CLEAN[1].log 
.
0 Fichier(s) - C:\DOCUME~1\BOBINE~1\LOCALS~1\Temp 
2 Fichier(s) - C:\WINDOWS\Temp 
0 Fichier(s) - C:\WINDOWS\Prefetch 
.
17 Fichier(s) - C:\Program Files\Ad-Remover\BACKUP
606 Fichier(s) - C:\Program Files\Ad-Remover\QUARANTINE 
.
Fin à: 13:28:10 | 21/12/2009 - CLEAN[1]
.
============== E.O.F ==============
.

Je n'ai pas fait l'étape avec usbfix car tu as marqué qu'il faut connecté mes périphériques sans les ouvrir or quand je les connecte, j'ai l'éxécution automatique qui se déclanche avec un fenêtre qui me demande quoi faire? (ouvrir le dossier, ne rien faire...)

comment faire pour les connectés sans que ça s'ouvre?

debo380 · Answer

des fois même ça m'ouvre directement la clé ou le disque dur externe sans mettre la fenêtre.

neo*** · Answer

tu branches tout et tu refermes toutes les fenetres sans rien faire de facon a revenir sur ton bureau puis tu fais Usbfix

debo380 · Answer

j'ai lancé usbfix mais il bloque à 50% depuis plus de 5 minutes est-ce normal?

neo*** · Answer

laisses le tourner , ca peut prendre un peu de temps :)

par contre : Utilisateur actuel: BOBINEUSE  tu n'es pas connecté sur la session administrateur , ca posera sans doute probleme a un moment ou a un autre !

debo380 · Answer

je ne comprend pas trop ce que ça veut dire. L'ordi est un ordi d'occasion qu'on a récupéré et je l'ai toujours utilisé comme ça (peut-être à tort)

neo*** · Answer

laisses tomber, je t'ai dis une betise 

tiens moi au courant pour Usbfix ?

debo380 · Answer

il est toujours à 50% et j'ai pas l'impression qu'il travaille mais j'y connais rien alors...

neo*** · Answer

1/2 h ca fait beaucoup, dans 5 ou 10 minutes s'il est toujours bloqué , arretes le et re-essaies en mode sans echec 

Démarrer en mode sans échec : 
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter. 
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. 
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! 
(Si F8 ne marche pas utilise la touche F5). 

AIDE 
AIDE

debo380 · Answer

je laisse mes clé usb et mon disque dur externe branchés?

debo380 · Answer

############################## | UsbFix V6.066 |

User : BOBINEUSE () # MOUCHACHO
Update on 20/12/2009 by Chiquitine29, C_XX & Chimay8
Start at: 16:47:04 | 21/12/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

              Intel(R) Pentium(R) 4 CPU 3.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1335 [VPS 091221-0] 4.8.1335 [ Enabled | Updated ]
AV :   [ (!) Disabled | Updated ]
FW : [ (!) Disabled ]

C:\ -> Disque fixe local # 145,96 Go (126,28 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible # 967,2 Mo (966,67 Mo free) # FAT
F:\ -> Disque fixe local # 465,76 Go (455,82 Go free) [Iomega HDD] # NTFS
G:\ -> Disque amovible
H:\ -> Disque amovible # 3,73 Go (3,73 Go free) # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 156
C:\WINDOWS\system32\csrss.exe 204
C:\WINDOWS\system32\winlogon.exe 228
C:\WINDOWS\system32\services.exe 272
C:\WINDOWS\system32\lsass.exe 284
C:\WINDOWS\system32\svchost.exe 440
C:\WINDOWS\system32\svchost.exe 504
C:\WINDOWS\system32\svchost.exe 568
C:\WINDOWS\Explorer.EXE 824
C:\WINDOWS\system32\wbem\wmiprvse.exe 888

################## | Fichiers # Dossiers infectieux |

E:\autorun.inf  
E:\autorun.inf -> fichier appelé : "E:\driver\usb\–¼‡‘Š•†‘Í€ŒŽ" ( Absent ! )  
E:\driver\usb  
H:\autorun.inf  
H:\autorun.inf -> fichier appelé : "H:\driver\usb\–¼‡‘Š•†‘Í€ŒŽ" ( Absent ! )  
H:\driver\usb  

################## | Registre # Clés infectieuses |


################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{43e94478-d33b-11dd-954e-001320d49d8a}
Shell\AutoRun\command =E:\InstallTomTomHOME.exe 

HKCU\..\..\Explorer\MountPoints2\{84e395da-89ff-11dd-94d1-001150a530eb}
Shell\AutoRun\command =E:\LaunchU3.exe -a

HKCU\..\..\Explorer\MountPoints2\{aa5d4e08-b648-11dd-9510-001320d49d8a}
Shell\AutoRun\command =G:\InstallTomTomHOME.exe 

################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.066 ! |

voilà je l'ai fait en mode sans échec

neo*** · Answer

* tutoriel nettoyage
* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés sans les ouvrir
* Double clic sur le raccourci UsbFix présent sur ton bureau
* choisi l'option 2 ( Suppression )
* Ton bureau disparaîtra et le pc redémarrera .
* Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
* Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau .
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

* :!: UsbFix te proposera d'uploader un dossier compressé à cette adresse :>>>ici<<<
* Ce dossier a été créé par UsbFix et est enregistré sur ton bureau.
* Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.
* Merci d'avance pour ta contribution !!

debo380 · Answer

############################## | UsbFix V6.066 |

User : BOBINEUSE (Administrateurs) # MOUCHACHO
Update on 20/12/2009 by Chiquitine29, C_XX & Chimay8
Start at: 17:33:27 | 21/12/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

              Intel(R) Pentium(R) 4 CPU 3.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! Internet Security 5.0.83886339 [ Enabled | Updated ]
AV :   [ (!) Disabled | Updated ]
FW : [ (!) Disabled ]
FW : avast! Internet Security[ Enabled ]5.0.83886339

C:\ -> Disque fixe local # 145,96 Go (125,45 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible # 967,2 Mo (966,67 Mo free) # FAT
F:\ -> Disque fixe local # 465,76 Go (455,82 Go free) [Iomega HDD] # NTFS
G:\ -> Disque amovible
H:\ -> Disque amovible # 3,73 Go (3,73 Go free) # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 612
C:\WINDOWS\system32\csrss.exe 664
C:\WINDOWS\system32\winlogon.exe 688
C:\WINDOWS\system32\services.exe 732
C:\WINDOWS\system32\lsass.exe 744
C:\WINDOWS\system32\svchost.exe 932
C:\WINDOWS\system32\svchost.exe 1052
C:\WINDOWS\System32\svchost.exe 1148
C:\WINDOWS\system32\svchost.exe 1296
C:\WINDOWS\system32\svchost.exe 1376
C:\Program Files\Alwil Software\Avast5\afwServ.exe 1520
C:\WINDOWS\system32\WgaTray.exe 1584
C:\WINDOWS\Explorer.EXE 1704
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe 1800
C:\WINDOWS\system32\spoolsv.exe 400
C:\Program Files\Alwil Software\Avast5\setup\avast.setup 460
C:\Program Files\Google\Update\GoogleUpdate.exe 640
C:\Program Files\Google\Update\1.2.183.13\GoogleCrashHandler.exe 652
C:\WINDOWS\system32\svchost.exe 960
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 1004
C:\Program Files\Bonjour\mDNSResponder.exe 1096
C:\Program Files\Google\Update\GoogleUpdate.exe 1140
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe 1284
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE 1460
C:\Program Files\Google\Update\GoogleUpdate.exe 1412
C:\Program Filesnamfler
aofsvc.exe 1860
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe 2052
C:\WINDOWS\system32\svchost.exe 2100
C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe 2112
C:\WINDOWS\system32\wuauclt.exe 2328
C:\WINDOWS\system32\wbem\wmiprvse.exe 2644
C:\WINDOWS\System32\alg.exe 2772

################## | Fichiers # Dossiers infectieux |

Supprimé ! C:\Recycler\S-1-5-21-4172112199-1156492446-956631925-1005 
Supprimé ! C:\Recycler\S-1-5-21-4172112199-1156492446-956631925-500 
E:\autorun.inf -> fichier appelé : "E:\driver\usb\–¼‡‘Š•†‘Í€ŒŽ" ( Absent ! )  
Supprimé ! E:\autorun.inf 
Supprimé ! E:\driver\usb 
Supprimé ! F:\Recycler\S-1-5-21-4172112199-1156492446-956631925-1005 
H:\autorun.inf -> fichier appelé : "H:\driver\usb\–¼‡‘Š•†‘Í€ŒŽ" ( Absent ! )  
Supprimé ! H:\autorun.inf 
Supprimé ! H:\driver\usb 

################## | Registre # Clés infectieuses |


################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{43e94478-d33b-11dd-954e-001320d49d8a}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{84e395da-89ff-11dd-94d1-001150a530eb}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{aa5d4e08-b648-11dd-9510-001320d49d8a}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[21/12/2009 13:28|--a------|10510] C:\Ad-Report-CLEAN[1].log 
[19/08/2004 13:18|--a------|0] C:\AUTOEXEC.BAT 
[14/06/2006 14:22|-rahs----|212] C:\boot.ini 
[05/08/2004 12:00|-rahs----|4952] C:\Bootfont.bin 
[19/08/2004 13:18|--a------|0] C:\CONFIG.SYS 
[26/04/2006 20:26|-rah-----|4644] C:\dell.sdr 
[?|?|?] C:\hiberfil.sys 
[14/06/2006 15:01|--a------|4128] C:\INFCACHE.1 
[19/08/2004 13:18|--ah-----|0] C:\IO.SYS 
[26/04/2006 20:44|--ah-----|839] C:\IPH.PH 
[19/08/2004 13:18|--ah-----|0] C:\MSDOS.SYS 
[05/08/2004 12:00|-rahs----|47564] C:\NTDETECT.COM 
[05/08/2004 12:00|-rahs----|251712] C:
tldr 
[?|?|?] C:\pagefile.sys 
[21/12/2009 17:36|--a------|4232] C:\UsbFix.txt 
[17/04/2009 19:55|--a------|89] C:\wl.err 
[18/05/2007 08:44|---hs----|348160] E:\msvcr71.dll 
[14/12/2009 21:05|--a------|54272] F:\EMPLOI DU TEMPS.doc 
[15/12/2009 18:17|--a------|27136] F:\Group‚-1-...doc 
[15/12/2009 18:18|--a------|34816] F:\Group‚-12-...doc 
[15/12/2009 18:18|--a------|32768] F:\Group‚-13-...doc 
[15/12/2009 18:18|--a------|36864] F:\Journ‚e-r...doc 
[08/12/2009 22:42|--a------|138716672] F:\MEMOIRE 2.doc 
[05/12/2009 23:56|--a------|2936832] F:\SOUTENANCE..ppt 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.  
# E:\autorun.inf -> Dossier créé par UsbFix.  
# F:\autorun.inf -> Dossier créé par UsbFix.  
# H:\autorun.inf -> Dossier créé par UsbFix.  

################## | Cracks / Keygens / Serials |

neo*** · Answer

Imprime ces instructions ou sauvegarde les sur ton Bureau car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

Télécharge Malwarebytes’ Anti-Malware 

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX)

 

- Sur la page cliques sur Télécharger Malwarebyte’s Anti-Malware 
- Enregistres le sur le bureau 
- Double cliques sur le fichier téléchargé pour lancer le processus d’installation 
- Mets le a jour /!\  
-  Double-cliques sur l’icône de malwarebytes pour le relancer 
- Dans l’onglet, Recherche, probablement ouvert par défaut, 
- Sélectionne Exécuter un examen complet et Rechercher 
- A la fin de l’analyse, un message s’affiche : L’examen s’est terminé normalement. Cliquez sur ‘Afficher les résultats’ pour afficher tous les objets trouvés. 
- Cliques sur Ok pour poursuivre. 
- Si des malwares ont été détectés, cliques sur Afficher les résultats 
- Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
- Colle le rapport ici, il se trouve dans l’onglet rapport/log

Si tu as besoin d’aide regarde ce tutorial 

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
ps: s'il te demande de redemarrer : fais le !

debo380 · Answer

j'ai fait l'analyse, il a trouvé 11 infections, j'ai fait la suppression mais après ça a buggé et impossible d'avoir le rapport.
quand je vais dans l'onglet rapport il n'y a rien

en plus maintenant l'ordinateur est super lent.

que dois-je faire? dois-je relancer une analyse

en tout cas merci pour votre aide

neo*** · Answer

es tu sur que la suppression a été prise en compte, t'a t'il demandé de redemarrer ?

lorsque tu vas dans l'onglet Rapoort/log , il y a rien ??

refais une analyse complete stp et poste le rapport, s'il y a rien, c'est que ta suppression a fonctionné mais j'aurais bien voulu le voir :(

a la suite , si Mbam ne trouve rien :

Télécharge et installe CCleaner (si ce n’est déjà fait) : https://www.ccleaner.com/ccleaner/download

Lance CCleaner
Option --> avancé --> décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis nettoyeur --> Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

(Tu peux garder ce logiciel et l'utiliser régulièrement).

et repostes un nouveau rapport Zhpdiag comme tu as fais au début

debo380 · Answer

j'ai refait malware.

Il m'a encore trouvé 13 fichiers infectés. Cette fois j'ai enregistré le rapport avant de lancer la suppression et j'ai eu raison car ça a refait la même chose.

J'ai voulu lancer la suprression et ça m'a affiché "erreur d'exécution '480'. Erreur définie par l'application ou par l'objet'.

Je te colle le rapport que j'ai enregistré avant de lancer la suppression

Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3407
Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

22/12/2009 15:05:07
mbam-log-2009-12-22 (15-04-44).txt

Type de recherche: Examen complet (C:\|E:\|F:\|H:\|)
Eléments examinés: 204808
Temps écoulé: 1 hour(s), 37 minute(s), 5 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 11

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\TWUNK_16.EXE (Trojan.Agent) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\Download-FR	bDown.dll (Adware.NetPumper) -> No action taken.
C:\WINDOWS\assembly\GAC\Microsoft.Office.Interop.InfoPath\11.0.0.0__71e9bce111e9429c\Microsoft.Office.Interop.InfoPath.dll (Trojan.Dropper) -> No action taken.
C:\WINDOWS\assembly\GAC_MSIL\WindowsFormsIntegration\3.0.0.0__31bf3856ad364e35\WindowsFormsIntegration.dll (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\OEMBKGN1.BMP (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\TWUNK_16.EXE (Trojan.Agent) -> No action taken.
C:\WINDOWS\Dell.bmp (Trojan.Downloader) -> No action taken.
C:\WINDOWS\wiadebug.log (Trojan.Agent) -> No action taken.
C:\WINDOWS\wiaservc.log (Trojan.Agent) -> No action taken.
C:\WINDOWS\WindowsUpdate.log (Trojan.Agent) -> No action taken.
C:\WINDOWS\inf\1394.inf (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\d3dramp.dll (Trojan.FakeAlert) -> No action taken.


Que dois-je faire maintenant? J'ai l'impression que je me débarasserai jamais de ces fichues infections.
En plus mon ordi rame comme il n'a jamais ramé, est-ce normal?

merci encore

debo380 · Answer

j'ai également un message d'erreur qui s'est affiché à chaque analyse avec malware et qui vient de se réafficher
"l'instruction à 0x5f040f5a" emploie l'adresse mémoire "0x5f040f5a". La mémoire ne peut pas être "read". Cliquez sur ok pour terminer le programme

neo*** · Answer

/!\ Le logiciel qui suit n'est pas à utiliser à la légère ! Ne le faites que si un helpeur vous l'a recommandé. /!\ 

Ce logiciel est puissant et une mauvaise utilisation peut faire des dégâts... Suis exactement cette procedure :

Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !). Pour cela, fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " et tape C-Fix  dans la fenêtre qui s'ouvre et valide.

Déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES, antivirus... 
(qui pourraient gêner fortement l'outil...Tu les réactiveras donc après ! )


Tuto ici pour installer la Console de récupération (important en cas de problème) : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 
(normallement il te le proposera)

postes le rapport stp qui s'affichera apres le redemarrage de ton pc que combo fera lui même

(ne touche a rien pendant que l'outil travaille pour ne pas figer ton pc)

debo380 · Answer

ok je ferai ça demain car ça m'a l'air long et je dois partir.
Merci pour ton aide et je te tiens au courant du résultat demain

debo380 · Answer

ComboFix 09-12-22.06 - BOBINEUSE 23/12/2009  14:23:30.1.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.2.1252.33.1036.18.502.277 [GMT 1:00]
Lancé depuis: c:\documents and settings\BOBINEUSE\Bureau\ComboFix.exe
AV:  *On-access scanning disabled* (Updated) {84B5EE75-6421-4CDE-A33A-DD43BA9FAD83}
FW:  *disabled* {94894B63-8C7F-4050-BDA4-813CA00DA3E8}
FW: avast! Internet Security *enabled* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
Les fichiers ci-dessous ont été désactivés pendant l'exécution:
c:\program filesnamfleradprlib.dll
c:\program filesnamfleradhslib.dll


((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program filesnamfleradhslib.dll
c:\program filesnamfleradprlib.dll

.
(((((((((((((((((((((((((((((   Fichiers créés du 2009-11-23 au 2009-12-23  ))))))))))))))))))))))))))))))))))))
.

2009-12-21 17:41 . 2009-12-21 17:41	--------	d-----w-	c:\documents and settings\BOBINEUSE\Application Data\Malwarebytes
2009-12-21 17:40 . 2009-12-21 17:40	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2009-12-21 16:50 . 2009-03-24 15:07	55640	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-12-21 16:04 . 2009-12-23 13:08	--------	d-----w-	c:\documents and settings\All Users\Application Data\Alwil Software
2009-12-21 14:51 . 2009-12-21 16:37	--------	d-----w-	C:\UsbFix
2009-12-21 12:15 . 2009-12-22 12:11	--------	d-----w-	c:\program files\Ad-Remover
2009-12-21 11:05 . 2009-12-22 14:58	--------	d-----w-	c:\program files\ZHPDiag
2009-12-21 00:03 . 2009-12-21 00:03	--------	d-----w-	c:\program files\Windows Live SkyDrive
2009-12-20 22:47 . 2009-12-22 14:55	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2009-12-20 22:47 . 2009-12-22 14:53	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-12-20 19:16 . 2009-12-20 19:16	--------	d-----w-	c:\windows\system32\wbem\Repository
2009-12-19 19:37 . 2009-12-19 19:37	--------	d-----w-	c:\program files\Prg Chris
2009-12-16 19:37 . 2009-12-16 19:37	20299200	----a-w-	c:\documents and settings\BOBINEUSE\Application Data\TomTom\HOME\Profiles\jpta38lp.default\Updates\v2_7_3_1894_win.exe
2009-12-09 16:49 . 2009-12-03 15:25	2342359	----a-w-	c:\documents and settings\All Users\Application Data\{807264C7-1DED-4921-97ED-B6020E1FA982}\SearchTheWeb.exe
2009-12-09 16:49 . 2009-12-09 16:49	--------	d--h--w-	c:\documents and settings\All Users\Application Data\{807264C7-1DED-4921-97ED-B6020E1FA982}
2009-12-09 16:47 . 2009-12-01 12:46	110832	----a-w-	c:\documents and settings\All Users\Application Data\{807264C7-1DED-4921-97ED-B6020E1FA982}\offline\B0BC9675\7EC38433\Iminent.BHO.NavigationError.dll
2009-12-09 16:47 . 2009-12-01 12:46	504048	----a-w-	c:\documents and settings\All Users\Application Data\{807264C7-1DED-4921-97ED-B6020E1FA982}\offline\3E5507E7\7EC38433\Iminent.Notifier.exe
2009-12-08 17:50 . 2009-11-02 09:21	2472488	----a-w-	c:\documents and settings\All Users\Application Data\{EB0535DA-8CF3-4A16-A92A-87BDC6432A9B}\IMBoosterSetup.exe
2009-12-08 17:50 . 2009-12-08 17:52	--------	d--h--w-	c:\documents and settings\All Users\Application Data\{EB0535DA-8CF3-4A16-A92A-87BDC6432A9B}
2009-12-08 17:50 . 2009-12-21 12:22	--------	d-----w-	c:\program files\Iminent
2009-12-08 17:49 . 2007-11-07 07:21	25592	----a-w-	c:\documents and settings\All Users\Application Data\{EB0535DA-8CF3-4A16-A92A-87BDC6432A9B}\offline\C_\Program Files\Microsoft.NET\Primary Interop Assemblies\stdole.dll
2009-12-08 17:49 . 2007-06-26 19:01	53248	----a-w-	c:\documents and settings\All Users\Application Data\{EB0535DA-8CF3-4A16-A92A-87BDC6432A9B}\offline\D_\work\setup\2.1.903.3\bin\Microsoft.DirectX.AudioVideoPlayback.dll
2009-12-08 17:49 . 2007-06-26 19:01	473600	----a-w-	c:\documents and settings\All Users\Application Data\{EB0535DA-8CF3-4A16-A92A-87BDC6432A9B}\offline\D_\work\setup\2.1.903.3\bin\Microsoft.DirectX.Direct3D.dll
2009-12-08 17:49 . 2007-06-26 19:01	223232	----a-w-	c:\documents and settings\All Users\Application Data\{EB0535DA-8CF3-4A16-A92A-87BDC6432A9B}\offline\D_\work\setup\2.1.903.3\bin\Microsoft.DirectX.dll
2009-12-08 17:49 . 2007-06-01 23:43	101888	----a-w-	c:\documents and settings\All Users\Application Data\{EB0535DA-8CF3-4A16-A92A-87BDC6432A9B}\offline\mIDEFunc.dll\mEXEFunc.dll
2009-12-08 17:49 . 2007-06-01 23:43	507392	----a-w-	c:\documents and settings\All Users\Application Data\{EB0535DA-8CF3-4A16-A92A-87BDC6432A9B}\offline\mDown.dll\mDownExec.dll
2009-12-03 19:14 . 2009-12-03 19:14	--------	d-----w-	c:\documents and settings\BOBINEUSE\Local Settings\Application Data\Help
2009-11-29 18:44 . 2009-11-30 13:52	--------	d-----w-	c:\windows\SxsCaPendDel
2009-11-29 18:42 . 2009-11-29 18:42	--------	d-----w-	c:\program files\McDonalds
2009-11-27 22:25 . 2008-09-24 20:33	484352	----a-w-	c:\windows\system32\lame_enc.dll

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-23 13:19 . 2009-04-16 17:30	--------	d--h--r-	c:\program filesnamfler
2009-12-23 13:11 . 2008-10-12 19:09	--------	d-----w-	c:\program files\Alwil Software
2009-12-22 15:01 . 2009-09-08 18:24	--------	d-----w-	c:\documents and settings\All Users\Application Data\WindSolutions
2009-12-22 14:34 . 2008-10-12 19:17	--------	d-----w-	c:\program files\Fichiers communs\Adobe
2009-12-21 00:03 . 2008-10-12 19:10	--------	d-----w-	c:\program files\Windows Live
2009-12-12 21:25 . 2004-08-19 12:03	86622	----a-w-	c:\windows\system32\perfc00C.dat
2009-12-12 21:25 . 2004-08-19 12:03	514962	----a-w-	c:\windows\system32\perfh00C.dat
2009-12-11 23:48 . 2008-10-12 19:45	--------	d-----w-	c:\documents and settings\BOBINEUSE\Application Data\LimeWire
2009-12-11 23:24 . 2008-10-19 13:08	--------	d-----w-	c:\program files\Free Easy Burner
2009-12-11 20:20 . 2008-10-12 19:19	--------	d-----w-	c:\program files\LimeWire
2009-12-03 19:37 . 2008-11-02 10:26	--------	d-----w-	c:\program files\Google
2009-12-03 19:36 . 2008-10-12 19:27	--------	d-----w-	c:\program files\eMule
2009-12-03 19:34 . 2009-07-21 19:01	--------	d-----w-	c:\program files\DivX
2009-11-24 23:54 . 2009-12-21 17:09	1280480	----a-w-	c:\windows\system32\asw9.tmp
2009-11-24 23:54 . 2009-12-21 16:19	1280480	----a-w-	c:\windows\system32\asw8.tmp
2009-11-11 16:02 . 2009-09-13 12:35	--------	d-----w-	c:\documents and settings\All Users\Application Data\Downloaded Installations
2009-11-11 15:48 . 2008-10-17 22:14	--------	d-----w-	c:\documents and settings\BOBINEUSE\Application Data\dvdcss
2009-10-29 07:42 . 2004-08-19 12:03	916480	----a-w-	c:\windows\system32\wininet.dll
2009-10-21 06:03 . 2004-08-19 12:03	75776	----a-w-	c:\windows\system32\strmfilt.dll
2009-10-21 06:03 . 2004-08-19 12:03	25088	----a-w-	c:\windows\system32\httpapi.dll
2009-10-20 14:58 . 2004-08-03 22:00	263552	----a-w-	c:\windows\system32\drivers\http.sys
2009-10-13 10:52 . 2004-08-19 12:03	267776	----a-w-	c:\windows\system32\oakley.dll
2009-10-12 13:52 . 2004-08-19 12:03	69632	----a-w-	c:\windows\system32aschap.dll
2009-10-12 13:52 . 2004-08-19 12:03	113152	----a-w-	c:\windows\system32astls.dll
2009-10-08 19:20 . 2009-10-08 19:20	79144	-c--a-w-	c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.0.1.8\SetupAdmin.exe
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{8e7da7e7-9f7e-426e-b964-be9f1cbc9d79}"= "c:\program files\Download-FR	bDow0.dll" [2009-11-11 2166296]

[HKEY_CLASSES_ROOT\clsid\{8e7da7e7-9f7e-426e-b964-be9f1cbc9d79}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8e7da7e7-9f7e-426e-b964-be9f1cbc9d79}]
2009-11-11 00:00	2166296	-c--a-w-	c:\program files\Download-FR	bDow0.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{8e7da7e7-9f7e-426e-b964-be9f1cbc9d79}"= "c:\program files\Download-FR	bDow0.dll" [2009-11-11 2166296]

[HKEY_CLASSES_ROOT\clsid\{8e7da7e7-9f7e-426e-b964-be9f1cbc9d79}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{8E7DA7E7-9F7E-426E-B964-BE9F1CBC9D79}"= "c:\program files\Download-FR	bDow0.dll" [2009-11-11 2166296]

[HKEY_CLASSES_ROOT\clsid\{8e7da7e7-9f7e-426e-b964-be9f1cbc9d79}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2009-08-27 247144]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-06-04 39408]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-10-14 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-10-14 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-10-14 114688]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"ISUSPM Startup"="c:\program files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" [2005-06-10 249856]
"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2005-06-10 81920]
"MSKDetectorExe"="c:\program files\McAfee\SpamKiller\MSKDetct.exe" [2005-07-12 1117184]
"CamserviceHD"="c:\program files\Hercules\Hercules DualPix HD Webcam\Camservice.exe" [2008-02-06 79144]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"wrna3ls"="c:\program filesnamfler
aomf.exe" [2006-04-01 1253960]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-09-04 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-09-21 305440]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\LimeWire\LimeWire.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Hercules\Hercules DualPix HD Webcam\Station2.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=

R2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [27/08/2009 16:05 92008]
R3 APL531;Hercules Dualpix HD Webcam;c:\windows\system32\drivers\hdvidv.sys [29/01/2009 21:58 285952]
R3 camfilt2;camfilt2;c:\windows\system32\drivers\camfilt2.sys [29/01/2009 21:58 94720]
S2 gupdate1c9e528f2497e08;Service Google Update (gupdate1c9e528f2497e08);c:\program files\Google\Update\GoogleUpdate.exe [04/06/2009 16:27 133104]
S3 SIS163u;SiS 163 usb Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [12/07/2007 09:59 162304]
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
FF - ProfilePath - c:\documents and settings\BOBINEUSE\Application Data\Mozilla\Firefox\Profiles\hif7lbjd.default\
FF - prefs.js: browser.search.selectedEngine - SearchTheWeb
FF - prefs.js: browser.startup.homepage - hxxp://search.iminent.com/?appId=469af14b-be64-45bf-84f5-641a9fd76ff9
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=
FF - plugin: c:\program files\Google\Google Updater\2.4.1601.7122
pCIDetect13.dll
FF - plugin: c:\program files\Google\Update\1.2.183.13
pGoogleOneClick8.dll
FF - plugin: c:\program files\Microsoft\Office Live
pOLW.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
pqtplugin8.dll
FF - plugin: c:\program files\QuickTime\Plugins
pqtplugin8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -

URLSearchHooks-{346de098-61f9-4b42-89da-6dfba7091bb6} - (no file)
URLSearchHooks-{84FF7BD6-B47F-46F8-9130-01B2696B36CB} - (no file)
BHO-{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - (no file)
BHO-{346de098-61f9-4b42-89da-6dfba7091bb6} - (no file)
BHO-{84FF7BD6-B47F-46F8-9130-01B2696B36CB} - (no file)
BHO-{A6E9BAAF-53CD-4575-967B-2AF710A7D21F} - (no file)
Toolbar-{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - (no file)
Toolbar-{346de098-61f9-4b42-89da-6dfba7091bb6} - (no file)
WebBrowser-{346DE098-61F9-4B42-89DA-6DFBA7091BB6} - (no file)
HKCU-RunOnce-Iminent.Notifier Install - c:\docume~1\BOBINE~1\LOCALS~1\Temp\NotifierSetup.exe
HKLM-Run-RealTray - c:\program files\Real\RealPlayer\RealPlay.exe
HKLM-Run-SearchSettings - c:\program files\Search Settings\SearchSettings.exe
HKLM-Run-IMBooster - c:\program files\Iminent\IMBooster\IMBooster.exe
HKLM-Run-Iminent.Notifier - c:\program files\Iminent\SearchTheWeb\Iminent.Notifier.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-23 14:29
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
  Iminent.Notifier Install = "c:\docume~1\BOBINE~1\LOCALS~1\Temp\NotifierSetup.exe" /s????????????????? ?y???x?=? ?=?????????????????????????Stealth?????????????????????1.0.6???????????????????????@?????????????????=???????????????????????????????????=???????????=???=???=?????????????????????????????????????????c?????=?x?=?????????S?o?f?t?w?a?r?e?\?I?m?i?n?e?n?t?\?N?o?t?i?f?i?e?r???????????????????????????t?p?:?/?/?v?z?.?i?m 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(4088)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Google\Update\1.2.183.13\GoogleCrashHandler.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program filesnamfler
aofsvc.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\system32\wscntfy.exe
c:\program files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Heure de fin: 2009-12-23  14:32:37 - La machine a redémarré
ComboFix-quarantined-files.txt  2009-12-23 13:32

Avant-CF: 134 883 602 432 octets libres
Après-CF: 134 866 710 528 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - B4D384E1000C7355B62E21798F0DA045

neo*** · Answer

Télécharge et installe CCleaner (si ce n’est déjà fait) : https://www.ccleaner.com/ccleaner/download

Lance CCleaner
Option --> avancé --> décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis nettoyeur --> Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

(Tu peux garder ce logiciel et l'utiliser régulièrement).

redemarres ton pc et ensuite 

Télécharges Catchme (de Gmer) sur le Bureau :

    * Double-cliques sur le fichier catchme.exe pour lancer l'utilitaire.
    * Cliquer sur Scan, une fenêtre DOS s'ouvrira pour commencer l'analyse.
    * Attends jusqu'au message « scan completed successfully », puis fermes la fenêtre.
    * Un fichier catchme.log est alors créé sur le Bureau contenant le résultat de l'analyse.

postes le dans ta reponse stp

debo380 · Answer

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-24 12:03:38
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

neo*** · Answer

tres bien, il n'y a plus rien , ton pc va mieux ? 

peux tu faire un scan rapide avec Mbam, si c'est bon, on pourra terminer ;)

bonnes fêtes

debo380 · Answer

c'est quoi mbam? malwarebyts?
si c'est ça je le ferai mais pas le temps aujourd'hui. je m'en occuperai vendredi soir

Par contre à chaque démarrage du pc j'ai un message d'erreur : impossible de trouver le fichier radhslib.dll. Le programme doit fermer

bonnes fêtes à toi aussi et encore merci

Vbs:malware-gen

28 réponses

Discussions similaires

Newsletters