Virus coriaceRésolu/Fermé

Question

Bonjour,

me voilà infesté par un virus plus coriace que les autres habituels.
Toutes les 10 minutes il revient à la charge et me crée un fichier de type : 'DR/IRCBot.pmo' [dropper].
Avira le détecte comme suit :
'C:\Documents and Settings\NetworkService\Local Settings\Temp\hxnv.tmp\svchost.exe'
et je les supprime directement. 
Le dossier porte toujours un nom différent de 4 lettres aléatoires et contient le fichier svchost.exe

Mais à la source, il y a LE programme qui génère ces fichiers parasites dont j'ignore l'action.
Ci-dessous le rapport Hijackthis sachant que malwarebyte et Avira ne détectent rien... :(

Remerciements par avance pour ceux qui s'attèlereront au problème.

Rapport HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:41:15, on 08/02/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WebUpdateSvc4.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Anti spywares Malwarebytes\mbam.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Rapport Virus HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Antispy Spybot\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files\Megaupload Manager\MegaIEMn.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F1412E27-47C6-4628-8F1E-A9BFB5459F05}: NameServer = 192.168.1.254
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Web Update Wizard Service V4 by PowerProgrammer (WebUpdate4) - Data Perceptions / PowerProgrammer - C:\WINDOWS\system32\WebUpdateSvc4.exe

gen-hackman · Answer

salut :

&#9654 Télécharge UsbFix

 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

&#9654 Double clic sur le raccourci UsbFix présent sur ton bureau .

&#9654 Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

&#9654 Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 

&#9654 Laisse travailler l'outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra.

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

 Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Cousteau974 · Answer

D'abord merci pour ton message, j'aurais dû le faire d'entrée puisque je vois que cette procédure
est devenue "rituelle".
Voilà mon rapport UsbFix


############################## | UsbFix V6.084 |

User : Magalie (Administrateurs) # GABRIEL
Update on 01/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 16:44:02 | 08/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Sempron(tm)   3000+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

C:\ -> Disque fixe local # 149,05 Go (88,21 Go free) [422012] # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible # 969,72 Mo (969,72 Mo free) [TRANSCEND1G] # FAT
G:\ -> Disque amovible

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 588
C:\WINDOWS\system32\csrss.exe 656
C:\WINDOWS\system32\winlogon.exe 680
C:\WINDOWS\system32\services.exe 728
C:\WINDOWS\system32\lsass.exe 740
C:\WINDOWS\system32\Ati2evxx.exe 920
C:\WINDOWS\system32\svchost.exe 940
C:\WINDOWS\system32\svchost.exe 1020
C:\WINDOWS\System32\svchost.exe 1120
C:\WINDOWS\system32\svchost.exe 1160
C:\WINDOWS\system32\svchost.exe 1336
C:\WINDOWS\system32\Ati2evxx.exe 1476
C:\WINDOWS\system32\svchost.exe 1596
C:\WINDOWS\Explorer.EXE 1632
C:\WINDOWS\system32\spoolsv.exe 1748
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 1832
C:\WINDOWS\system32\ctfmon.exe 1848
C:\Program Files\Avira\AntiVir Desktop\sched.exe 1888
C:\WINDOWS\system32\svchost.exe 2012
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 1064
C:\Program Files\Java\jre6\bin\jqs.exe 1100
C:\WINDOWS\system32\slserv.exe 1360
C:\WINDOWS\system32\svchost.exe 1624
C:\WINDOWS\system32\WebUpdateSvc4.exe 1820
C:\WINDOWS\System32\alg.exe 2256
C:\WINDOWS\System32\svchost.exe 3060
C:\Program Files\Mozilla Firefox\firefox.exe 2548
C:\WINDOWS\system32\wbem\wmiprvse.exe 1728

################## | Elements infectieux |

C:\Documents and Settings\Magalie\RavMonLog  
C:\WINDOWS\msa.exe  
C:\WINDOWS\msb.exe  
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job  
C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job  
C:\WINDOWS\System32\sshnas21.dll  

################## | Registre |

[HKCU\SOFTWARE\F5JMWNZTHI]  
[HKCU\SOFTWARE\Microsoft\Handle]  
[HKCU\SOFTWARE\ROUA3O12PW]  
[HKCU\SOFTWARE\XML]  
[HKLM\SYSTEM\CurrentControlSet\Services\SSHNAS]  
[HKLM\SYSTEM\ControlSet001\Services\SSHNAS]  
[HKLM\SYSTEM\ControlSet002\Services\SSHNAS]  
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS]  
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SSHNAS]  
[HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SSHNAS]  

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{5e83b4ac-0f43-11dc-bda2-000feaa96820}
Shell\Auto\command =AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{895bc77c-be53-11de-824a-000feaa96820}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe

HKCU\..\..\Explorer\MountPoints2\{9fbe255e-0abe-11dc-bd9a-000feaa96820}
Shell\Auto\command =E:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{df5abe9c-f7ba-11de-8365-000feaa96820}
Shell\AutoRun\command =E:\USBAutoRun.exe 

################## | ! Fin du rapport # UsbFix V6.084 ! |

gen-hackman · Answer

&#9654  (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

&#9654 Double clic (clic droit "en tant qu'administrateur" pour Vista)sur le raccourci UsbFix présent sur ton bureau

&#9654 Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

&#9654 Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]  

&#9654 Ton bureau disparaitra et le pc redémarrera .

&#9654 Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Cousteau974 · Answer

Voilà, la réparation "semble finie".
Pendant le scan UsbFix au redémarrage, Avira a encore supprimé le virus
qui réapparaît sans arrêt...

Rapport UsbFix :


############################## | UsbFix V6.084 |

User : Magalie (Administrateurs) # GABRIEL
Update on 01/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 17:29:36 | 08/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Sempron(tm)   3000+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

C:\ -> Disque fixe local # 149,05 Go (88,16 Go free) [422012] # NTFS
D:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 588
C:\WINDOWS\system32\csrss.exe 652
C:\WINDOWS\system32\winlogon.exe 680
C:\WINDOWS\system32\services.exe 728
C:\WINDOWS\system32\lsass.exe 740
C:\WINDOWS\system32\Ati2evxx.exe 920
C:\WINDOWS\system32\svchost.exe 940
C:\WINDOWS\system32\svchost.exe 1024
C:\WINDOWS\System32\svchost.exe 1124
C:\WINDOWS\system32\logonui.exe 1132
C:\WINDOWS\system32\svchost.exe 1248
C:\WINDOWS\system32\Ati2evxx.exe 1388
C:\WINDOWS\system32\svchost.exe 1476
C:\WINDOWS\system32\svchost.exe 1596
C:\WINDOWS\Explorer.EXE 1616
C:\WINDOWS\system32\spoolsv.exe 1728
C:\Program Files\Avira\AntiVir Desktop\sched.exe 1852
C:\WINDOWS\system32\svchost.exe 1960
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 972
C:\Program Files\Java\jre6\bin\jqs.exe 1080
C:\WINDOWS\system32\slserv.exe 1276
C:\WINDOWS\system32\svchost.exe 1384
C:\WINDOWS\system32\WebUpdateSvc4.exe 1576
C:\WINDOWS\system32\wuauclt.exe 1980
C:\WINDOWS\System32\alg.exe 1592
C:\WINDOWS\system32\wbem\wmiprvse.exe 1924

################## | Elements infectieux |

Supprimé ! C:\Documents and Settings\Magalie\RavMonLog 
Supprimé ! C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job 
Supprimé ! C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job 
Supprimé ! C:\Recycler\S-1-5-21-1296174745-2033093711-95841644-1003 
Supprimé ! C:\Recycler\S-1-5-21-4210952940-739448315-3770589061-1006 

################## | Registre |

Supprimé ! [HKCU\SOFTWARE\F5JMWNZTHI]  
Supprimé ! [HKCU\SOFTWARE\Microsoft\Handle]  
Supprimé ! [HKCU\SOFTWARE\ROUA3O12PW]  
Supprimé ! [HKCU\SOFTWARE\XML]  
Supprimé ! [HKLM\SYSTEM\CurrentControlSet\Services\SSHNAS]  
Supprimé ! [HKLM\SYSTEM\ControlSet002\Services\SSHNAS]  
Supprimé ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS]  
Supprimé ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SSHNAS]  

################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{5e83b4ac-0f43-11dc-bda2-000feaa96820}\Shell\Auto\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{895bc77c-be53-11de-824a-000feaa96820}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{9fbe255e-0abe-11dc-bd9a-000feaa96820}\Shell\Auto\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{df5abe9c-f7ba-11de-8365-000feaa96820}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[01/05/2005 07:16|--a------|959] C:\868000422012.dat 
[04/10/2006 17:23|--a------|0] C:\AILog.txt 
[03/05/2005 09:58|--a------|185] C:\ati.log 
[03/05/2005 09:37|--a------|0] C:\AUTOEXEC.BAT 
[23/09/2005 19:57|-rahs----|216] C:\boot.ini 
[05/08/2004 16:00|-rahs----|4952] C:\Bootfont.bin 
[03/05/2005 09:37|--a------|0] C:\CONFIG.SYS 
[03/11/2005 03:47|--a------|5710] C:\data 
[23/09/2005 19:57|--a------|27] C:\expand.txt 
[?|?|?] C:\hiberfil.sys 
[03/05/2005 09:37|-rahs----|0] C:\IO.SYS 
[11/10/2004 09:18|--a------|19] C:\LANG.TXT 
[09/04/2003 12:44|--a------|10] C:\Language.txt 
[03/05/2005 09:37|-rahs----|0] C:\MSDOS.SYS 
[05/08/2004 16:00|-rahs----|47564] C:\NTDETECT.COM 
[19/09/2008 18:10|-rahs----|252240] C:
tldr 
[04/08/2004 16:00|--a------|2] C:\oem.tag 
[?|?|?] C:\pagefile.sys 
[01/05/2005 07:16|---h-----|15348] C:\Prodlog.txt 
[20/10/2009 11:11|--a------|103] C:\Shape3d.log 
[08/02/2010 17:38|--a------|3956] C:\UsbFix.txt 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.  

################## | Upload | 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_GABRIEL.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .

Cousteau974 · Answer

Je confirme : le virus est toujours là.
:(

Cousteau974 · Answer

problème : UsbFix ne détecte plus d'élément infectieux...


############################## | UsbFix V6.084 |

User : Magalie (Administrateurs) # GABRIEL
Update on 01/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 17:55:23 | 08/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Sempron(tm)   3000+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

C:\ -> Disque fixe local # 149,05 Go (88,16 Go free) [422012] # NTFS
D:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 588
C:\WINDOWS\system32\csrss.exe 656
C:\WINDOWS\system32\winlogon.exe 680
C:\WINDOWS\system32\services.exe 728
C:\WINDOWS\system32\lsass.exe 740
C:\WINDOWS\system32\Ati2evxx.exe 920
C:\WINDOWS\system32\svchost.exe 940
C:\WINDOWS\system32\svchost.exe 1024
C:\WINDOWS\System32\svchost.exe 1124
C:\WINDOWS\system32\svchost.exe 1280
C:\WINDOWS\system32\Ati2evxx.exe 1368
C:\WINDOWS\system32\svchost.exe 1476
C:\WINDOWS\system32\svchost.exe 1596
C:\WINDOWS\Explorer.EXE 1604
C:\WINDOWS\system32\spoolsv.exe 1752
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 1784
C:\WINDOWS\system32\ctfmon.exe 1796
C:\Program Files\Avira\AntiVir Desktop\sched.exe 1864
C:\WINDOWS\system32\svchost.exe 1980
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 640
C:\Program Files\Java\jre6\bin\jqs.exe 868
C:\WINDOWS\system32\slserv.exe 1116
C:\WINDOWS\system32\svchost.exe 1332
C:\WINDOWS\system32\WebUpdateSvc4.exe 1512
C:\WINDOWS\System32\alg.exe 2176
C:\WINDOWS\System32\svchost.exe 2952
C:\Program Files\Mozilla Firefox\firefox.exe 312
C:\WINDOWS\system32\wbem\wmiprvse.exe 1728

################## | Elements infectieux |


################## | Registre |


################## | Mountpoints2 |


################## | ! Fin du rapport # UsbFix V6.084 ! |

gen-hackman · Answer

il doivent etre dans la restauration systeme on va les virer apres

Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent(car il est detecté a tort comme infection)

&#9654 Télécharge List&Kill'em et enregistre le sur ton bureau 

&#9654 Branche clés usb , disques durs externes , mp3 , mp4 , etc..

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

coche la case "creer une icone sur le bureau"

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis la langue puis choisis l'option 1 = Mode Recherche

&#9654 laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , mais ne le supprime pas pour l instant, le scan n'est pas fini.

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

tu peux supprimer le rapport catchme.log de ton bureau maintenant.

gen-hackman · Answer

&#9654 Télécharge DAFT !

  &#9654  Sauvegarde-le sur ton Bureau.
  &#9654  Dézippe le dossier le contenant (clic droit , extraire ici)
  &#9654  Double-clique sur l'icône de DAFT se trouvant dans son dossier dézippé, présent sur ton bureau.
  &#9654  Clique sur le bouton Scan.
  &#9654  Sélectionne tout ce qui apparaît.
  &#9654  Clique sur le bouton Fix.
  &#9654  Ensuite relance DAFT. Si tout est OK, un message du type "All associations are OK" devrait apparaître.
  &#9654  Ferme DAFT.

ensuite reessaie

Cousteau974 · Answer

Pour l'instant, pas d'alerte.
Je croise les doigts...

Cousteau974 · Answer

Merci bien pour ta patience, Mr Hackman.
J'espère que le problème est résolu.
Bonne soirée.

gen-hackman · Answer

le scan tourne ?

Cousteau974 · Answer

Daft a tourné et supprimé un fichier,
puis j'ai remis en marche UsbFix derrière qui en a supprimé un autre.
Et depuis 15h20 il n'y a eu aucune alerte.

gen-hackman · Answer

https://forums.commentcamarche.net/forum/affich-16498218-virus-coriace#7

Cousteau974 · Answer

Mauvaise nouvelle : les vers sont de retour...
Mais il est tard à la Réunion.
Je verrai demain et reprendrai tout du début...

Merci, bonsoir !

gen-hackman · Answer

ok essaie de faire ce qui est demandé stp

Cousteau974 · Answer

J'ai fait tourner ton logiciel (je viens d'y voir ton nom), il marchait aujourd'hui. Entretemps (Avira désactivé) j'ai encore reçu 25 virus... mais ce sont à présent des "worm" donc les manip de hier ont changé la donne. Voilà le rapport "List'em" comme demandé : List'em by g3n-h@ckm@n 1.2.4.1 User : Magalie (Administrateurs) Update on 08/02/2010 by g3n-h@ckm@n ::::: 13.00 Start at: 06:39:39 | 09/02/2010 Contact : https://forums.commentcamarche.net/forum/virus-securite-7 AMD Sempron(tm) 3000+ Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3 Internet Explorer 8.0.6001.18702 Windows Firewall Status : Disabled AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | Updated ] C:\ -> Disque fixe local | 149,05 Go (86,77 Go free) [422012] | NTFS D:\ -> Disque CD-ROM ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Avira\AntiVir Desktop\avguard.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\WebUpdateSvc4.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Megaupload Manager\MegaManager.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32 undll32.exe C:\Program Files\List_Kill'em\List_Kill'em.scr C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Documents and Settings\Magalie\Local Settings\Temp\181.tmp\pv.exe ====================== Keys "Run" ====================== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] avgnt REG_SZ "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] ===================== Other Keys ===================== [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] dontdisplaylastusername REG_DWORD 0 (0x0) legalnoticecaption REG_SZ legalnoticetext REG_SZ shutdownwithoutlogon REG_DWORD 1 (0x1) undockwithoutlogon REG_DWORD 1 (0x1) =============== [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] NoDriveTypeAutoRun REG_DWORD 128 (0x80) NoDriveAutoRun REG_DWORD 128 (0x80) HonorAutoRunSetting REG_DWORD 0 (0x0) =============== [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] HonorAutoRunSetting REG_DWORD 0 (0x0) NoDriveAutoRun REG_DWORD 128 (0x80) NoDriveTypeAutoRun REG_DWORD 128 (0x80) =============== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] AppInit_DLLS REG_SZ =============== [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] AutoRestartShell REG_DWORD 1 (0x1) DefaultDomainName REG_SZ GABRIEL DefaultUserName REG_SZ Magalie LegalNoticeCaption REG_SZ LegalNoticeText REG_SZ PowerdownAfterShutdown REG_SZ 0 ReportBootOk REG_SZ 1 Shell REG_SZ explorer.exe ShutdownWithoutLogon REG_SZ 0 System REG_SZ Userinit REG_SZ C:\WINDOWS\system32\userinit.exe, VmApplet REG_SZ rundll32 shell32,Control_RunDLL "sysdm.cpl" SfcQuota REG_DWORD -1 (0xffffffff) allocatecdroms REG_SZ 0 allocatedasd REG_SZ 0 allocatefloppies REG_SZ 0 cachedlogonscount REG_SZ 10 forceunlocklogon REG_DWORD 0 (0x0) passwordexpirywarning REG_DWORD 14 (0xe) scremoveoption REG_SZ 0 AllowMultipleTSSessions REG_DWORD 1 (0x1) UIHost REG_EXPAND_SZ logonui.exe LogonType REG_DWORD 1 (0x1) Background REG_SZ 0 0 0 DebugServerCommand REG_SZ no SFCDisable REG_DWORD 0 (0x0) WinStationsDisabled REG_SZ 0 HibernationPreviouslyEnabled REG_DWORD 1 (0x1) ShowLogonOptions REG_DWORD 0 (0x0) AltDefaultUserName REG_SZ Magalie AltDefaultDomainName REG_SZ GABRIEL ChangePasswordUseKerberos REG_DWORD 1 (0x1) =============== [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\AtiExtEvent] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\crypt32chain] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\cryptnet] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\cscdll] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\dimsntfy] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\ScCertProp] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\Schedule] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\sclgntfy] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\SensLogn] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify ermsrv] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\WgaLogon] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\wlballoon] =============== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] {AEB6717E-7E19-11d0-97EE-00C04FD91972} REG_SZ =============== [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] %windir%\system32\sessmgr.exe REG_SZ %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 C:\Program Files\Clef Wifi Bluestork\BS-WG-USB.exe REG_SZ C:\Program Files\Clef Wifi Bluestork\BS-WG-USB.exe:*:Enabled:Clef Wifi Bluestork C:\Program Files\Morpheus\Morpheus.exe REG_SZ C:\Program Files\Morpheus\Morpheus.exe:*:Enabled:M5Shell %windir%\Network Diagnostic\xpnetdiag.exe REG_SZ %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 C:\WINDOWS\system32\spool\drivers\w32x86\3\SAGENT4.EXE REG_SZ C:\WINDOWS\system32\spool\drivers\w32x86\3\SAGENT4.EXE:*:Enabled:SAgent4 C:\Program Files\eMule\emule.exe REG_SZ C:\Program Files\eMule\emule.exe:*:Enabled:eMule D:\STHIW\stInstall.exe REG_SZ D:\STHIW\stInstall.exe:*:Enabled:SpeedTouch Home Install Wizard C:\Program Files\VLC media player\vlc.exe REG_SZ C:\Program Files\VLC media player\vlc.exe:*:Enabled:VLC media player C:\Program Files\Java\jre6\bin\javaw.exe REG_SZ C:\Program Files\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary C:\Program Files\Avira\AntiVir Desktop\update.exe REG_SZ C:\Program Files\Avira\AntiVir Desktop\update.exe:*:Enabled:update C:\Program Files\Fastplug Sagem\informer\devinf.exe REG_SZ C:\Program Files\Fastplug Sagem\informer\devinf.exe:*:Disabled:F@ST PLUG Superviseur [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] %windir%\system32\sessmgr.exe REG_SZ %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 %windir%\Network Diagnostic\xpnetdiag.exe REG_SZ %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 C:\Program Files\Windows Live\Messenger\wlcsdk.exe REG_SZ C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call C:\Program Files\Windows Live\Messenger\msnmsgr.exe REG_SZ C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger =============== ActivX controls =============== HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{166B1BCA-3F9C-11CF-8075-444553540000} HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{8AD9C840-044E-11D1-B3E9-00805F499D93} HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{D27CDB6E-AE6D-11CF-96B8-444553540000} =============== HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{26923b43-4d38-484f-9b9e-de460746276c} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10072CEC-8CC1-11D1-986E-00A0C955B42F} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{283807B5-2C60-11D0-A31D-00AA00B92C03} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{36f8ec70-c29a-11d1-b5c7-0000f8051515} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3af36230-a269-11d1-b5bf-0000f8051515} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3bf42070-b3b1-11d1-b5c5-0000f8051515} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{411EDCF7-755D-414E-A74B-3DCD6583F589} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4278c270-a269-11d1-b5bf-0000f8051515} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA848-CC51-11CF-AAFA-00AA00B6015C} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-AAFA-00AA00B6015F} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{45ea75a0-a269-11d1-b5bf-0000f8051515} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f216970-c90c-11d1-b5c7-0000f8051515} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f645220-306d-11d2-995d-00c04f98bbc9} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5945c046-1e7d-11d1-bc44-00c04fd912be} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5A8D6EE0-3E18-11D0-821E-444553540000} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-9948-00c04f98bbc9} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{630b1da0-b465-11d1-9948-00c04f98bbc9} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6fab99d0-bab8-11d1-994a-00c04f98bbc9} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7131646D-CD3C-40F4-97B9-CD9E4E6262EF} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4340} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4383} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89B4C1CD-B018-4511-B0A1-5476DBF70820} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89D0C5E6-F567-F017-2265-1A83C643330C} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8b15971b-5355-4c82-8c07-7e181ea07608} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9381D8F2-0288-11D0-9501-00AA00B911A5} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{94de52c8-2d59-4f1b-883e-79663d2d9a8c} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C487390F-F1D2-156A-DA09-A702AFBB9524} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9E9A340-D1F1-11D0-821E-444553540600} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CC2A9BA0-3BDD-11D0-821E-444553540000} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CDD7975E-60F8-41d5-8149-19E51D6F71D0} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D27CDB6E-AE6D-11cf-96B8-444553540000} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{DAA94A2A-2A8D-4D3B-9DB8-56FBECED082D} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{DD126C22-3D61-90FE-4309-8221A9F02515} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{de5aed00-a4bf-11d1-9948-00c04f98bbc9} HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E92B03AB-B707-11d2-9CBD-0000F87A369E} ============== BHO : ====== [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{53707962-6F74-2D53-2644-206D7942484F}] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{5C255C8A-E604-49b4-9D64-90988571CECB}] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{bf00e119-21a3-4fd1-b178-3b8537e75c92}] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}] ================ Internet Explorer : ================ [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] Start Page REG_SZ https://www.msn.com/fr-fr [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] Start Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome ======== Services ======== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] Ndisuio : 0x3 ( OK = 3 ) EapHost : 0x3 ( OK = 2 ) SharedAccess : 0x2 ( OK = 2 ) wuauserv : 0x2 ( OK = 2 ) ========= Atapi.sys ========= Sources ======= C:\WINDOWS\$NtServicePackUninstall$\atapi.sys C:\WINDOWS\ServicePackFiles\i386\atapi.sys C:\WINDOWS\system32\drivers\atapi.sys Référence : ========== Win XP_32b : a64013e98426e1877cb653685c5c0009 Win XP_SP2_32b : CDFE4411A69C224BD1D11B2DA92DAC51 Win XP_SP3_32b : 9F3A2F5AA6875C72BF062C712CFA2674 Vista_32b : e03e8c99d15d0381e02743c36afc7c6f Vista_SP1_32b : 2d9c903dc76a66813d350a562de40ed9 Vista_SP2_32b : 1F05B78AB91C9075565A9D8A4B880BC4 Vista_SP2_64b : 1898FAE8E07D97F2F6C2D5326C633FAC Windows 7_32b : 80C40F7FDFC376E4C5FEEC28B41C119E Windows 7_64b : 02062C0B390B7729EDC9E69C680A6F3C ======= Drive : ======= D‚fragmenteur de disque Windows Copyright (c) 2001 Microsoft Corp. et Executive Software International Inc. Rapport d'analyse 149 Go total, 86,77 Go libre (58%), 13% fragment‚ (fragmentation du fichier 27%) Vous devriez d‚fragmenter ce volume. ¤¤¤¤¤¤¤¤¤¤ Files/folders : Present !! : C:\WINDOWS\002779_.tmp Present !! : C:\WINDOWS\SlantAdj.dll Present !! : C:\WINDOWS\System32\drivers\etc\hosts.msn Present !! : C:\WINDOWS\System32\SET*.tmp Present !! : C:\Documents and Settings\Magalie\Application Data\wklnhst.dat Present !! : C:\Documents and Settings\Magalie\Application Data\wklnhst.dat Present !! : C:\Documents and Settings\Magalie\Local Settings\Temp\dw.log Present !! : C:\Documents and Settings\Magalie\Local Settings\Temp\is4.tmp Present !! : C:\Documents and Settings\Magalie\Local Settings\Temp\is5.tmp Present !! : C:\Documents and Settings\Magalie\Local Settings\Temp\is7.tmp Present !! : C:\Documents and Settings\Magalie\Local Settings\Temp\isA.tmp Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\AcDeltree.exe Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\FlashPlayerUpdate.exe Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\FP_PL_PFS_INSTALLER.exe Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\jrestub.exe Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\RebootStart.exe Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp egincd2.exe Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\setup_wm.exe Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\UNNeroBurnRights.exe Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\WindowsUpdateAgent20-x86.exe Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\wlsetup-cvr.exe Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\Perflib_Perfdata_104.dat Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\Perflib_Perfdata_1d4.dat Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\Perflib_Perfdata_1f0.dat Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\Perflib_Perfdata_388.dat Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\Perflib_Perfdata_3d4.dat Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\Perflib_Perfdata_4f8.dat Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\Perflib_Perfdata_964.dat Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\Perflib_Perfdata_aa0.dat Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\Perflib_Perfdata_d60.dat Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\MFPL7014.DLL Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\qt-mt332.dll Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\swt-awt-win32-3346.dll Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\swt-win32-3346.dll ¤¤¤¤¤¤¤¤¤¤ Keys : Present !! : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0E5CBF21-D15F-11D0-8301-00AA005B4383} Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe" Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe" ============ catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-02-09 07:32:24 Windows 5.1.2600 Service Pack 3 NTFS scanning hidden processes ... scanning hidden services & system hive ... scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x83AB48D4]<< kernel: MBR read successfully user & kernel MBR OK ========== Programs ========== ABBYY FineReader 5.0 Sprint Adobe Ahead Anti spywares Malwarebytes Antispy Spybot AutoCAD 2009 Avira Boonty Calculatrice SpeedCrunch Capture ‚cran Gadwin Clef WIFI Netgear WPN111 Common files ComPlus Applications Conversion pdf - Word Diagnostic ordinateur PC wizard directx D‚coupage fichiers Xtremsplit.exe EA SPORTS eMule Encodeur MP3 CDex EPSON Fastplug Sagem Fichiers communs Foxit_JS_ExObjects.dll fxdecod1.dll Gestion fichiers Lupas Google G‚om‚trie Atelier 2D G‚om‚trie CaRMetal Imprimante virtuelle PDF Creator IncrediMail InstallShield Installation Information Internet Explorer Java lang_fr_fr.xml Lecteur PdfFoxitreader.exe List_Kill'em Megaupload Manager Messenger Microsoft microsoft frontpage Microsoft Games Microsoft Office Microsoft Works Movie Maker Mozilla Firefox MSBuild MSN MSN Gaming Zone MSXML 4.0 NetMeeting Online Services OpenOffice.org 2.2 Outlook Express Pack codecs KLite Philips Raccourcis de programmes Rapport Virus HijackThis Reference Assemblies RegCleaner Services en ligne Shape3d Lite Smart Panel Sun Test codec GSpot Test Codec GSpot.exe TrueCrypt Uninstall Information VGA USB Camera VLC media player Windows Live Windows Live SkyDrive Windows Live Toolbar Windows Media Connect 2 Windows Media Player Windows NT WindowsUpdate WinRAR xerox ============ Drive C: ============ 75eb390d0802349f3f7e4618e50c 868000422012.dat AILog.txt ATI-CPanel ati.log AUTOEXEC.BAT autorun.inf boot.ini Bootfont.bin Config.Msi CONFIG.SYS data Documents and Settings e6db65a8e6e7a8687c181b6c878ba9 expand.txt FirstSteps hiberfil.sys IO.SYS ISP Kill'em LANG.TXT Language.txt List'em.txt MSDOS.SYS MSWorks NTDETECT.COM ntldr oem.tag pagefile.sys Prodlog.txt Program Files RECYCLER Shape3d.log System Volume Information Thierry UsbFix WINDOWS ¤¤¤¤¤¤¤¤¤¤ Cracks | Keygens | Serials C:\MSWorks\Install.exe C:\Thierry\Setups\Winrar\Keygen\Keygen.exe C:\Thierry\Setups\Works\MSWORKS\Install.exe ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ End of scan : 7:51:52,23

gen-hackman · Answer

&#9654 Relance List&Kill'em(soit en clic droit pour vista),avec le raccourci sur ton bureau.
mais cette fois-ci :

&#9654 choisis l'option 2 = Mode Suppression

laisse travailler l'outil.

en fin de scan un rapport s'ouvre 

&#9654 colle le contenu dans ta reponse

Cousteau974 · Answer

Tu es un lève tôt !

Voilà le rapport, il y a eu un carnage vu le nombre de fichiers détruits...

Je confirme qu'après cela il y a encore des créations de dossiers dans 
C:\Documents and Settings\NetworkService\Local Settings\Temp

mais ces dossiers sont vides de tout fichier et infection.
Il y a un progrès mais ça n'est pas gagné.

Kill'em by g3n-h@ckm@n 1.2.4.1 
 
User : Magalie (Administrateurs) 
Update on 08/02/2010 by g3n-h@ckm@n ::::: 13.00 
Start at: 08:19:24 | 09/02/2010
Contact : https://forums.commentcamarche.net/forum/virus-securite-7

AMD Sempron(tm)   3000+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | Updated ]

C:\ -> Disque fixe local | 149,05 Go (88,8 Go free) [422012] | NTFS
D:\ -> Disque CD-ROM
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running
 
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WebUpdateSvc4.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\List_Kill'em\List_Kill'em.scr
C:\WINDOWS\system32\cmd.exe
C:\Documents and Settings\Magalie\Local Settings\Temp\20D.tmp\ERUNT.EXE
C:\Documents and Settings\Magalie\Local Settings\Temp\20D.tmp\pv.exe
 
Detections : 
========== 
 

¤¤¤¤¤¤¤¤¤¤ Files/folders : 

Quarantined & Deleted !! : C:\WINDOWS\002779_.tmp 
Quarantined & Deleted !! : C:\WINDOWS\SlantAdj.dll 
 
Quarantined & Deleted !! : C:\WINDOWS\System32\drivers\etc\hosts.msn 
Quarantined & Deleted !! : C:\WINDOWS\System32\SET38.tmp 
Quarantined & Deleted !! : C:\WINDOWS\System32\SET3A.tmp 
Quarantined & Deleted !! : C:\WINDOWS\System32\SET3F.tmp 
Quarantined & Deleted !! : C:\WINDOWS\System32\SET46.tmp 
Quarantined & Deleted !! : C:\WINDOWS\System32\SET49.tmp 
Quarantined & Deleted !! : C:\WINDOWS\System32\SET4B.tmp 
Quarantined & Deleted !! : C:\WINDOWS\System32\SET50.tmp 
Quarantined & Deleted !! : C:\WINDOWS\System32\SET52.tmp 
Quarantined & Deleted !! : C:\WINDOWS\System32\SET54.tmp 
Quarantined & Deleted !! : C:\WINDOWS\System32\SET55.tmp 
Quarantined & Deleted !! : C:\WINDOWS\System32\SET57.tmp 
Quarantined & Deleted !! : C:\WINDOWS\System32\SET60.tmp 
Quarantined & Deleted !! : C:\WINDOWS\System32\SET62.tmp 
Quarantined & Deleted !! : C:\WINDOWS\System32\SET65.tmp 
Quarantined & Deleted !! : C:\Documents and Settings\Magalie\Application Data\wklnhst.dat 
Quarantined & Deleted !! : C:\Documents and Settings\Magalie\Local Settings\Temp\dw.log 
Quarantined & Deleted !! : C:\Documents and Settings\Magalie\Local Settings\Temp\is4.tmp 
Quarantined & Deleted !! : C:\Documents and Settings\Magalie\Local Settings\Temp\is5.tmp 
Quarantined & Deleted !! : C:\Documents and Settings\Magalie\Local Settings\Temp\is7.tmp 
Quarantined & Deleted !! : C:\Documents and Settings\Magalie\Local Settings\Temp\isA.tmp 
Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\AcDeltree.exe 
Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\FlashPlayerUpdate.exe 
Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\FP_PL_PFS_INSTALLER.exe 
Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\jrestub.exe 
Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\RebootStart.exe 
Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\regincd2.exe 
Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\setup_wm.exe 
Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\UNNeroBurnRights.exe 
Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\WindowsUpdateAgent20-x86.exe 
Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\wlsetup-cvr.exe 
Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\Perflib_Perfdata_104.dat 
Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\Perflib_Perfdata_1d4.dat 
Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\Perflib_Perfdata_1f0.dat 
Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\Perflib_Perfdata_388.dat 
Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\Perflib_Perfdata_3d4.dat 
Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\Perflib_Perfdata_4f8.dat 
Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\Perflib_Perfdata_964.dat 
Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\Perflib_Perfdata_aa0.dat 
Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\Perflib_Perfdata_d60.dat 
Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\MFPL7014.DLL 
Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\qt-mt332.dll 
Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\swt-awt-win32-3346.dll 
Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\swt-win32-3346.dll 
 
==============
host file OK !
==============

========
Registry
========

Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0E5CBF21-D15F-11D0-8301-00AA005B4383}  
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"  
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"  
========
Services
=========

 Ndisuio : Start = 3   
 EapHost : Start = 2   
 Ip6Fw : Start = 2   
 SharedAccess : Start = 2   
 wuauserv : Start = 2   
 wscsvc : Start = 2   

============
Disk Cleaned
============
 
================
Prefetch cleaned 
================
 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Cousteau974 · Answer

J'ai peut-être trouvé la parade.

https://support.kaspersky.com/5350

Un virus semblable au "mien" était décrit dans un forum,
et a été réglé grâce à ce programme de chez Kaspersky. (pub gratuite)

Je l'ai mis en marche, il a supprimé 3 fichiers et/ou clés de registre.
Je regrette de ne pas avoir eu la présence d'esprit de faire une capture 
lorsqu'il a mentionné les noms des éléments infectés, mais je me souviens 
que dans chacun des 3 noms figurait : ATAPI.

Je n'ai pas eu de dossier créé depuis l'exécution dudit programme.

gen-hackman · Answer

Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.



&#9654 Télécharge :

Malwarebytes  

ou  :

Malwarebytes

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

&#9654 Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

Cousteau974 · Answer

Comme dit dans mon premier message, Malwarebyte ne détecte rien.

Bizarrement, j'ai un gros problème de connexion internet (box qui se
déconnecte et reconnecte sans arrêt), mais cela se produit aussi quand je
suis déconnecté.
Je pense un mauvais concours de circonstances, vu que mon opérateur fait
pas mal de travaux en ce moment.

Rapport malwarebyte :

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3700
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

09/02/2010 19:41:33
mbam-log-2010-02-09 (19-41-33).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 194803
Temps écoulé: 1 hour(s), 10 minute(s), 48 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

gen-hackman · Answer

salut fait un scan avec avira maintenant stp et poste le rapport

coetma · Answer

Bonjour,
Moi en fait le probleme c'est quand je clique sur usbfix tous des caracteres chinois s'affcihent et il est ecrit not compatible in ds mode impossible de l'installer. Vous faites comment? Merci

gen-hackman · Answer

salut coetma ouvre toi un nouveau sujet.....si tu te fais aider ailleurs , signale-le

Virus coriace

24 réponses

Discussions similaires

Newsletters