Flux rss
Ils ont besoin de votre aide
Rechercher : dans
Par :

Pb sasser

markos, le mardi 27 septembre 2005 à 14:24:16 
 Signaler ce message aux modérateurs

Salut a tous...

je pense etre infecté du virus sasser..

* à chaque démarrage de mon ordi, mon fichier "Mes Documents" s'ouvre automatiquement.

*de plus, dans l'emplacement C:\Windows\system32 , il y a un fichier nommé "lsass".Et je ne parviens pas à le supprimer(même en mode sans echec)

*enfin, dans le gestionnaire de tâches, il y a un processus nommé "lsass" et lorsque j'essaie de terminer ce processus, une fenêtre s'ouvre me disant qu'il s'agit d'un processus critique (donc je peux pas l'arreter)..

si quelqu'un peut m'aider ce serait sympa...
merci d'avance..

Meilleures réponses pour « pb sasser »
Posez votre question Répondre

1

Chercheurbis, le mardi 27 septembre 2005 à 17:33:43

Bonjour

lsass.exe situé dans C:\Windows\system32 est un fichier système légitime.

Donc tu peux le laisser tranquille ;-)

Pour savoir si tu as une infection, fais une analyse antivirus en ligne sur Panda
http://www.pandasoftware.com/activescan/fr/activescan_princi­pal.htm

Colle son rapport ici.

   
Répondre à Chercheurbis

2

markos, le mardi 27 septembre 2005 à 19:39:26

Salut chercheurbis...et merci de ton attention
j'ai fait ce que tu m'as dis et voila ce que j' ai obtenu:
merci d'avance a toi ou a quelq'un d'autre....



Incident Statut Analyse

Spyware:spyware/whazit No Désinfecté C:\WINDOWS\SYSTEM32\fiz1
Adware:adware/netpals No Désinfecté C:\WINDOWS\SYSTEM32\netpals.dll
Adware:adware/ezula No Désinfecté C:\WINDOWS\SYSTEM32\ezStubi.dll
Adware:adware/sahagent No Désinfecté C:\WINDOWS\SYSTEM32\sahagent1003.exe
Adware:adware/ilookup No Désinfecté C:\WINDOWS\SYSTEM32\xbox31.ico
Spyware:spyware/clearsearch No Désinfecté C:\WINDOWS\SYSTEM32\ClrSchP012.dll
Adware:adware/ncase No Désinfecté C:\WINDOWS\SYSTEM32\Xcite.exe
Adware:adware/adsmart No Désinfecté C:\WINDOWS\SYSTEM32\thun32.dll
Adware:adware/topspyware No Désinfecté C:\WINDOWS\SYSTEM32\srpcsrv32.dll
Adware:adware/superspider No Désinfecté C:\m00.exe
Dialer:dialer.b No Désinfecté C:\WINDOWS\tmlpcert2005
Dialer:dialer.bny No Désinfecté C:\WINDOWS\pcconfig.dat
Spyware:spyware/virtumonde No Désinfecté C:\WINDOWS\dpusys.ini
Dialer:dialer.pk No Désinfecté C:\WINDOWS\EPlugin.ocx
Spyware:spyware/new.net No Désinfecté C:\WINDOWS\NDNuninstall4_94.exe
Adware:adware/isearch No Désinfecté C:\WINDOWS\tool2.exe
Adware:adware program No Désinfecté C:\WINDOWS\SYSTEM32\cache32dsrf4535dfs
Adware:adware/transponder No Désinfecté C:\WINDOWS\inst
Spyware:spyware/clipgenie No Désinfecté Registre Windows
Dialer:Dialer.Gen No Désinfecté C:\WINDOWS\SYSTEM32\xxxCam_fr-uninstall.exe
Dialer:Dialer.B No Désinfecté C:\WINDOWS\SYSTEM32\DHTMLAccess.dll
Dialer:Dialer.CGV No Désinfecté C:\WINDOWS\SYSTEM32\dhtml2.dll
Adware:Adware/NetPals No Désinfecté C:\WINDOWS\SYSTEM32\netpals.dll
Adware:Adware/eZula No Désinfecté C:\WINDOWS\SYSTEM32\ezStubi.dll
Adware:Adware/eZula No Désinfecté C:\WINDOWS\SYSTEM32\ezStubx.exe
Adware:Adware/SAHAgent No Désinfecté C:\WINDOWS\SYSTEM32\sahagent1003.exe
Adware:Adware/SearchAid No Désinfecté C:\WINDOWS\SYSTEM32\iprr32.dll
Adware:Adware/SearchAid No Désinfecté C:\WINDOWS\SYSTEM32\apith.dll
Adware:Adware/SearchAid No Désinfecté C:\WINDOWS\SYSTEM32\iexw32.dll
Spyware:Spyware/ClearSearch No Désinfecté C:\WINDOWS\SYSTEM32\ClrSchP012.dll
Adware:Adware/nCase No Désinfecté C:\WINDOWS\SYSTEM32\Xcite.exe
Adware:Adware/Adsmart No Désinfecté C:\WINDOWS\SYSTEM32\thun32.dll
Adware:Adware/TopSpyware No Désinfecté C:\WINDOWS\SYSTEM32\srpcsrv32.dll
Adware:Adware/TopSpyware No Désinfecté C:\WINDOWS\SYSTEM32\spoolsrv32.ex$
Adware:Adware/TopSpyware No Désinfecté C:\WINDOWS\SYSTEM32\txfdb32.dll
Adware:Adware/SearchAid No Désinfecté C:\WINDOWS\mereyb.dat
Spyware:Spyware/New.net No Désinfecté C:\WINDOWS\NDNuninstall4_94.exe
Adware:Adware/SearchAid No Désinfecté C:\WINDOWS\n_imiitn.dat
Adware:Adware/SearchAid No Désinfecté C:\WINDOWS\ntgz.dll
Adware:Adware/SearchAid No Désinfecté C:\WINDOWS\d3qu32.dll
Adware:Adware/SearchAid No Désinfecté C:\WINDOWS\n_zjbdeu.dat
Adware:Adware/SearchAid No Désinfecté C:\WINDOWS\n_kzsbqg.dat
Adware:Adware/SearchAid No Désinfecté C:\WINDOWS\n_bxfhzj.dat
Adware:Adware/SearchAid No Désinfecté C:\WINDOWS\n_fkcwmy.dat
Adware:Adware/SearchAid No Désinfecté C:\WINDOWS\n_kmpkrs.dat
Adware:Adware/SearchAid No Désinfecté C:\WINDOWS\n_cwvqkj.dat
Adware:Adware/Beginto No Désinfecté C:\WINDOWS\tool2.exe
Adware:Adware/ISearch No Désinfecté C:\WINDOWS\delprot.ini
Dialer:Dialer.BYT No Désinfecté C:\Program Files\Internet Explorer\jKrlhQ.exe
Virus Eventuel. No Désinfecté C:\Program Files\Internet Explorer\msfktkpn.exe
Dialer:Dialer.YC No Désinfecté C:\undo\backup.cab[nsupd9x.inf]
Virus:Trj/Downloader.BBQ Désinfecté G:\Audio\Microsoft\All Microsoft Software KeyGen MultiLanguage- (Office,2000,Word,Excel,Outlook,Powerpoint,Access,FrontPage,­etc) Cracked.Patched.Keygenerator.Serial.zip[dbc-crack.exe]

   
Répondre à markos

3

Chercheurbis, le mardi 27 septembre 2005 à 22:35:12

Bonsoir

Belle infection

* Télécharge PocketKillBox
http://www.bleepingcomputer.com/files/spyware/KillBox.zip
Ensuite, tu le dézippes sur ton bureau.

Lance PocketKillBox, coche la case "Delete on reboot".
Démo animée
http://pageperso.aol.fr/balltrap34/killbox.htm

Colle tout le contenu du fichier suivant dans un fichier .texte que tu nommeras CODE.
Ensuite tu fais Ctrl-A pour sélectionner tout le texte, Ctrl-C pour le copier dans le presse papier. 

C:\WINDOWS\SYSTEM32\fiz1 
C:\WINDOWS\SYSTEM32\netpals.dll 
C:\WINDOWS\SYSTEM32\ezStubi.dll 
C:\WINDOWS\SYSTEM32\sahagent1003.exe 
C:\WINDOWS\SYSTEM32\xbox31.ico 
C:\WINDOWS\SYSTEM32\ClrSchP012.dll 
C:\WINDOWS\SYSTEM32\Xcite.exe 
C:\WINDOWS\SYSTEM32\thun32.dll 
C:\WINDOWS\SYSTEM32\srpcsrv32.dll 
C:\m00.exe 
C:\WINDOWS\tmlpcert2005 
C:\WINDOWS\pcconfig.dat 
C:\WINDOWS\dpusys.ini 
C:\WINDOWS\EPlugin.ocx 
C:\WINDOWS\NDNuninstall4_94.exe 
C:\WINDOWS\tool2.exe 
C:\WINDOWS\SYSTEM32\cache32dsrf4535dfs 
C:\WINDOWS\inst 
C:\WINDOWS\SYSTEM32\xxxCam_fr-uninstall.exe 
C:\WINDOWS\SYSTEM32\DHTMLAccess.dll 
C:\WINDOWS\SYSTEM32\dhtml2.dll 
C:\WINDOWS\SYSTEM32\netpals.dll 
C:\WINDOWS\SYSTEM32\ezStubi.dll 
C:\WINDOWS\SYSTEM32\ezStubx.exe 
C:\WINDOWS\SYSTEM32\sahagent1003.exe 
C:\WINDOWS\SYSTEM32\iprr32.dll 
C:\WINDOWS\SYSTEM32\apith.dll 
C:\WINDOWS\SYSTEM32\iexw32.dll 
C:\WINDOWS\SYSTEM32\ClrSchP012.dll 
C:\WINDOWS\SYSTEM32\Xcite.exe 
C:\WINDOWS\SYSTEM32\thun32.dll 
C:\WINDOWS\SYSTEM32\srpcsrv32.dll 
C:\WINDOWS\SYSTEM32\spoolsrv32.ex$ 
C:\WINDOWS\SYSTEM32\txfdb32.dll 
C:\WINDOWS\mereyb.dat 
C:\WINDOWS\NDNuninstall4_94.exe 
C:\WINDOWS\n_imiitn.dat 
C:\WINDOWS\ntgz.dll 
C:\WINDOWS\d3qu32.dll 
C:\WINDOWS\n_zjbdeu.dat 
C:\WINDOWS\n_kzsbqg.dat 
C:\WINDOWS\n_bxfhzj.dat 
C:\WINDOWS\n_fkcwmy.dat 
C:\WINDOWS\n_kmpkrs.dat 
C:\WINDOWS\n_cwvqkj.dat 
C:\WINDOWS\tool2.exe 
C:\WINDOWS\delprot.ini 
C:\Program Files\Internet Explorer\jKrlhQ.exe 
C:\undo\backup.cab[nsupd9x.inf

Sur PocketKillBox-->File-->Paste from Clipboard, tu cliques ensuite sur la croix rouge
Au deux messages qui vont s'afficher,tu réponds par "YES"

Si tu as le message d'erreur suivant
"Pending file Rename Operations Registry Data has been Removed by External Process"
Redémarre l'ordinateur.

* Télécharge HijackThis v1.99.1
http://www.merijn.org/files/hijackthis.zip
Tutorial
http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm
Démo en image
http://pageperso.aol.fr/balltrap34/demohijack.htm

Fais un scan et poste l'analyse ici.

   
Répondre à Chercheurbis

4

markos, le mercredi 28 septembre 2005 à 09:06:57

Bonjour...

je viens d'utiliser Killbox
mais je n'ai pas compris l'étape suivante:

" Colle tout le contenu du fichier suivant dans un fichier .texte que tu nommeras CODE.
Ensuite tu fais Ctrl-A pour sélectionner tout le texte, Ctrl-C pour le copier dans le presse papier. "

..donc je ne l'ai pas faite..

j'ai quand meme utiliser Hijack et voici le log que j'ai obtenu:

Logfile of HijackThis v1.99.1
Scan saved at 08:54:15, on 28/09/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Shareaza\Shareaza.exe
C:\Program Files\Bluetooth Software\BTTray.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\bensouna gilles\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.numericable.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.modulonet.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.voila.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = France Télécom Câble
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [eDonkey2000] C:\Program Files\eDonkey2000\eDonkey2000.exe -t
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Iomega Automatic Backup 1.0.1] C:\Program Files\Iomega\Iomega Automatic Backup\ibackup.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Explorer.EXE] C:\WINDOWS\Explorer.EXE
O4 - HKCU\..\Run: [SpyKiller] C:\Program Files\SpyKiller\spykiller.exe /startup
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [Windows Registry Repair Pro] C:\Program Files\3B Software\Windows Registry Repair Pro\RegistryRepairPro.exe 4
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Bluetooth Software\btsendto_ie.htm
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\System32\btxppanel.dll
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Program Files\Bluetooth Software\bin\btwdins.exe


derniere petite question: comment fais tu pour savoir que j'ai une "belle infection"...?
si c'est pas trop long a expliquer autrement je comprendrai...ou peut-etre connais-tu un lien ou il y a quelques explications..

en tous cas merci bcp & merci d'avance..markos

   
Répondre à markos

5

Chercheurbis, le mercredi 28 septembre 2005 à 10:52:01

Bonjour

Pour moi, 49 fichiers infectés = une belle infection.

Mais :

- Ton système n'est pas à jour, il comporte de nombreuses failles de sécurité.
http://update.microsoft.com

- Pas de traces d'antivirus, il faut te protèger.
Par exemple AVAST Home Edition FREE
http://www.avast.com/eng/down_home.html
avec inscription obligatoire
http://www.avast.com/i_kat_207.php?lang=ENG
et son tutorial
http://www.pcentraide.com/index.php?showtopic=120

- Pas de trace de parefeu.
Par exemple ZoneAlarm
http://www.zonelabs.com/
et son tutorial
http://speedweb1.free.fr/frames2.php?page=tuto1

On continue le nettoyage.

1 Télécharge Ewido
http://www.ewido.net/fr/download/
Tu l'installes et tu le mets à jour.

CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.

2 Lance PocketKillBox.
Tu va faire la manip indiquée au dessus.
Regarde l'item 1 de la démo animée
http://pageperso.aol.fr/balltrap34/killbox.htm

3 Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée.

4 Désinstalle ces applications (si tu les trouves) dans Ajout-Suppression de programmes :

SpyKiller --> Faux utilitaire de sécurité
http://assiste.free.fr/p/faux_utilitaires/anti_logitheque.php

5 Relance un scan HijackThis et coche les lignes ci-dessous :

O4 - HKCU\..\Run: [SpyKiller] C:\Program Files\SpyKiller\spykiller.exe /startup

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »

6 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

C:\Program Files\SpyKiller

7 Lance et exécute CCleaner

8 Redémarre normalement

9 Fais une analyse antivirus en ligne sur Kaspersky
http://www.kaspersky.com/downloads/kws/kavwebscan.html

Colle son rapport ici avec un nouveau log HijackThis et le rapport d'Ewido.

   
Répondre à Chercheurbis

6

markos, le mercredi 28 septembre 2005 à 11:54:29

..merci pour tous ces conseils...

j'ai deja fixer la ligne(sana etre en mode sans echec):

O4 - HKCU\..\Run: [SpyKiller] C:\Program Files\SpyKiller\spykiller.exe /startup

je vais mettre mon systeme a jour et je collerai ensuite les logs que tu m'as dit..

merci encore

   
Répondre à markos

7

markos, le mercredi 28 septembre 2005 à 17:35:10

Rebonjour...

je me suis servi de ewido et je n' ai pas supprimer les fichiers infectés qu'il a détecté.. j'aurai du non?

j'ai fait un nouveau log HijackThis, si tu peux y jeter un coup d'oeil..
Le voici:

Logfile of HijackThis v1.99.1
Scan saved at 16:21:29, on 28/09/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Bluetooth Software\bin\btwdins.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Bluetooth Software\BTTray.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\ewido\security suite\SecuritySuite.exe
C:\Documents and Settings\bensouna gilles\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.numericable.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.modulonet.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.voila.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = France Télécom Câble
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [eDonkey2000] C:\Program Files\eDonkey2000\eDonkey2000.exe -t
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Iomega Automatic Backup 1.0.1] C:\Program Files\Iomega\Iomega Automatic Backup\ibackup.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Explorer.EXE] C:\WINDOWS\Explorer.EXE
O4 - HKCU\..\Run: [NBJ]

   
Répondre à markos

8

markos, le mercredi 28 septembre 2005 à 17:36:44

Rebonjour...

je me suis servi de ewido et je n' ai pas supprimer les fichiers infectés qu'il a détecté.. j'aurai du non?

j'ai fait un nouveau log HijackThis, si tu peux y jeter un coup d'oeil..
Le voici:

Logfile of HijackThis v1.99.1
Scan saved at 16:21:29, on 28/09/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Bluetooth Software\bin\btwdins.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Bluetooth Software\BTTray.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\ewido\security suite\SecuritySuite.exe
C:\Documents and Settings\bensouna gilles\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.numericable.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.modulonet.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.voila.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = France Télécom Câble
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [eDonkey2000] C:\Program Files\eDonkey2000\eDonkey2000.exe -t
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Iomega Automatic Backup 1.0.1] C:\Program Files\Iomega\Iomega Automatic Backup\ibackup.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Explorer.EXE] C:\WINDOWS\Explorer.EXE
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [Windows Registry Repair Pro] C:\Program Files\3B Software\Windows Registry Repair Pro\RegistryRepairPro.exe 4
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Bluetooth Software\btsendto_ie.htm
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127899925679
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\System32\btxppanel.dll
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Program Files\Bluetooth Software\bin\btwdins.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe

ensuite voila le rapport d'Ewido que tu m'as conseillé:

---------------------------------------------------------
ewido security suite - Rapport de scan
---------------------------------------------------------

+ Créé le: 17:30:01, 28/09/2005
+ Somme de contrôle: B985A691

+ Résultats du scan:

HKLM\SOFTWARE\Classes\CLSID\{04EDA6A5-3C09-E146-8F75-5684DDB4E2A7} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{05BCCFDC-9678-9095-77E8-18289DB38257} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{0E440933-F824-B85E-8849-F5FFA50D8397} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{10906011-F56B-D0FC-A5B8-30DA3C759364} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{1428C938-C429-A68C-F1C4-5ABDB64CCE4D} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{151272FB-2CD4-E387-93B1-F52B2911D0EE} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{1674BCBE-46DE-7BAB-FBFA-CA15D9FEB632} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{18EAFE7B-570B-346C-ADEF-9CDDA8A1986F} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{208BD4D8-3DA2-3736-A8E6-F3AF3479FA31} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{26512660-81B8-4E0A-486E-148F3C711396} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{280CA95C-CBA3-486E-5BCD-B3B542DA458A} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{2944D598-26C6-EAEE-CC51-6667352D7B57} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{2CB60D9D-BA37-058C-7EA3-A52155F01235} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{2D9BB7B5-D27A-5907-A874-72E04FC719E8} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{2FA09459-FBD9-B08C-81EF-6EA62F5DB101} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{2FB10B1F-E342-08A1-CBAA-D4A2CD2ABAC6} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{30D83F56-DA50-B817-EF00-1DEB557B32F8} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{347CE5A5-6599-8A80-9D8E-06843CFEDD27} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{349366F7-B553-EC81-B4CC-483E36CBA5BA} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{37D770DC-7684-506E-506F-B70AAFEB6F95} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{37FEC172-7D9F-A669-CCD9-E33BBFC88EDD} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{43F1D301-C547-8676-5D33-796564802D3D} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{4FC7118F-CEC2-4822-4FA2-BD496C690A0C} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{4FFCB6BE-44F7-E86A-BCA1-52D82F83FE92} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{544D3227-6801-04BD-D909-6292B86D33C3} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{5AECFEAF-B010-FBFD-B79E-285458AE4BFB} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{5B571395-D542-0087-653F-7C09A44F7F9B} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{5B9DD78B-6805-11A5-818B-723A508CBC0D} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{602C9652-36AF-DEC5-DE23-DB34295B6BA5} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{62032CE7-6F44-B284-9F2B-FB404D7C3C8E} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{6827E44A-FCD1-5704-0FF9-EE64FBCBD77F} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{69D74EF1-A99E-49CB-BA6C-079035E64ABD} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{779D939B-D4A7-9123-2E36-9432D4B58ECF} -> Spyware.MidAddle : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{77CDFCA0-BA97-CA0C-618F-7AA1690AB92B} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{77E35B59-5DBF-CA0F-2037-00B52E21E874} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{7E118BD3-544A-455F-07DD-AACFDEAC5940} -> Spyware.Parasite : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{8037964D-1365-8C5E-3AC3-419713B83CBE} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{8236B10D-9307-EADD-079C-2AA0DFC7F33E} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{82592D9C-E8A7-DA3B-8BEE-BCAEAF5128CD} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{8A71C47B-9917-B588-625B-79254D40A325} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{8B39AA17-3978-F260-9FEA-931168F79497} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{8C63D038-2323-A079-1DD0-E7F346EF140E} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{9261C8D3-6127-C95A-7B9B-F9E8EE283C42} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{941C34F9-1F0A-6CBD-610E-8E15CE401ADD} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{952AA538-C1D7-30E5-8DC6-1A12E2F736A2} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{988F33DF-14DB-9347-ED73-E0CDCC695426} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{9FA0B55C-2A73-0C09-6ACA-4277ABFA12BD} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{A4842560-CE4E-8858-6B28-E50CEB6F759E} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{A52FA47B-BA50-C6CB-6B02-1F30CC46D589} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{A757AB06-5B32-20C5-C50B-D8183F1CB9C0} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{A7D90935-7D8E-3E5D-9E71-486D629FCAAD} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{B4126314-CC73-79E1-D2AC-CA3BC0E2B1EC} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{B536A5F4-6F9B-5215-B3D9-716EF3F258A6} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{B595A235-53A2-27D5-EFF6-D0208801D071} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{B59A1E0B-4C94-AA3A-C37F-94C8BFC643E7} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{BCB6BE29-B6ED-ABB4-8D3B-2B4F81E0E595} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{CC6A9DFF-521F-7DD3-E624-B30C0B9FF83A} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{CD01143E-9B70-CB99-C455-87936A69EFA2} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{D6036847-0CE9-CD98-8490-CBE09650BB49} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{D83F0117-C7D8-20AF-2100-FD548A73684C} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{D8EFADF1-9009-11D6-8C73-608C5DC19089} -> Spyware.AccessPlugin : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{DE181EF0-ABE1-2541-3A0D-3A3940709D47} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{DF7066E9-8EE8-8682-F43E-2BF8E7E7D760} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{E0715207-F0E3-3236-6233-7B76E86CE91E} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{E404F826-ABE4-D856-61BA-BCBD539933F8} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{E5181BB3-B821-0D7B-D568-3766286D5460} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{E65FC41A-89B3-21B7-1EB6-E92DA3645370} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{E75E8B80-0901-AC5A-6453-3114563FF460} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{E86BE419-1604-4EE0-BE0A-2F9928513BDC} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{EC52F9A9-BFCA-611C-0CF2-D33A007A66FA} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{F252B597-9791-2380-904F-55CD7338EA24} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{F4BF9913-CC48-121B-F8DE-11BD3C45410F} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{F55B9B22-5BAA-C8BB-5C3F-3E652D794BF7} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{F6ED913D-FAB1-F1A5-C359-4E2B2AC7B284} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{F853A78A-343F-AC2C-6EC1-7AD1A007D9CD} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{FA112FA2-B6C7-CE6A-DE50-FEAF22C15154} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{FB277F1B-89B6-A114-DD01-EC507A933F39} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{FC92C3DE-F786-C2A4-4565-359ECF140E14} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{FE0CF482-D7A9-BD18-0056-CF55E4EDD446} -> Spyware.CoolWebSearch : Ignoré
HKLM\SOFTWARE\Classes\Interface\{2D5B230A-4C9B-43CB-AE84-697CFAB0D6D1}\TypeLib\\ -> Dialer.Generic : Ignoré
HKLM\SOFTWARE\Classes\Interface\{99E7978F-2B09-11D6-8C73-0800460222F0}\TypeLib\\ -> Dialer.Generic : Ignoré
HKLM\SOFTWARE\Classes\Interface\{CF021F3F-3E14-23A5-CBA2-717765728274}\TypeLib\\ -> Spyware.PurityScan : Ignoré
HKLM\SOFTWARE\Classes\Ngd2.ngd\CLSID\\ -> Spyware.AccessPlugin : Ignoré
HKLM\SOFTWARE\Classes\Ngd2.ngd.1\CLSID\\ -> Spyware.AccessPlugin : Ignoré
HKLM\SOFTWARE\Classes\TypeLib\{CF021F32-3E14-23A5-CBA2-717765728274} -> Spyware.PurityScan : Ignoré
HKLM\SOFTWARE\Classes\WER8274.WER8274.1\CLSID\\ -> Spyware.PurityScan : Ignoré
HKLM\SOFTWARE\DelFin -> Spyware.Delfin : Ignoré
HKLM\SOFTWARE\DelFin\PromulGate -> Spyware.Delfin : Ignoré
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Bargain Buddy -> Spyware.BargainBuddy : Ignoré
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DelFin Media Viewer -> Spyware.Delfin : Ignoré
HKLM\SOFTWARE\PerfectNav -> Spyware.KeenValue : Ignoré
HKU\.DEFAULT\Software\DelFin -> Spyware.Delfin : Ignoré
HKU\.DEFAULT\Software\DelFin\PromulGate -> Spyware.Delfin : Ignoré
HKU\S-1-5-19\Software\ComSoft -> Dialer.Generic : Ignoré
HKU\S-1-5-19\Software\DelFin -> Spyware.Delfin : Ignoré
HKU\S-1-5-19\Software\DelFin\PromulGate -> Spyware.Delfin : Ignoré
HKU\S-1-5-20\Software\ComSoft -> Dialer.Generic : Ignoré
HKU\S-1-5-20\Software\DelFin -> Spyware.Delfin : Ignoré
HKU\S-1-5-20\Software\DelFin\PromulGate -> Spyware.Delfin : Ignoré
HKU\S-1-5-21-1606980848-1202660629-1060284298-1003\Software\ComSoft -> Dialer.Generic : Ignoré
HKU\S-1-5-21-1606980848-1202660629-1060284298-1003\Software\DelFin -> Spyware.Delfin : Ignoré
HKU\S-1-5-21-1606980848-1202660629-1060284298-1003\Software\DelFin\PromulGate -> Spyware.Delfin : Ignoré
HKU\S-1-5-21-1606980848-1202660629-1060284298-1003\Software\Support Software -> Spyware.NetworkEssentials : Ignoré
HKU\S-1-5-18\Software\DelFin -> Spyware.Delfin : Ignoré
HKU\S-1-5-18\Software\DelFin\PromulGate -> Spyware.Delfin : Ignoré
C:\Documents and Settings\bensouna gilles\Cookies\bensouna gilles@adtech[2].txt -> Spyware.Cookie.Adtech : Ignoré
C:\Documents and Settings\bensouna gilles\Cookies\bensouna gilles@estat[1].txt -> Spyware.Cookie.Estat : Ignoré
C:\Documents and Settings\bensouna gilles\Cookies\bensouna gilles@as-eu.falkag[2].txt -> Spyware.Cookie.Falkag : Ignoré
C:\Documents and Settings\bensouna gilles\Cookies\bensouna gilles@ad.yieldmanager[1].txt -> Spyware.Cookie.Yieldmanager : Ignoré
C:\Documents and Settings\bensouna gilles\Cookies\bensouna gilles@weborama[1].txt -> Spyware.Cookie.Weborama : Ignoré
C:\Documents and Settings\bensouna gilles\Cookies\bensouna gilles@bluestreak[2].txt -> Spyware.Cookie.Bluestreak : Ignoré
C:\Documents and Settings\bensouna gilles\Cookies\bensouna gilles@247realmedia[1].txt -> Spyware.Cookie.247realmedia : Ignoré
C:\Documents and Settings\bensouna gilles\Cookies\bensouna gilles@tradedoubler[2].txt -> Spyware.Cookie.Tradedoubler : Ignoré
C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP1\A0000011.dll -> TrojanProxy.Small.bk : Ignoré
C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP1\A0000012.dll -> TrojanDownloader.Adload.g : Ignoré
C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP1\A0000017.exe -> Spyware.HotSearchBar : Ignoré
C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP1\A0000019.dll -> TrojanDownloader.Wintrim.bw : Ignoré
C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP1\A0000021.exe -> Adware.EZula : Ignoré
C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP1\A0000022.dll -> TrojanDownloader.Agent.bq : Ignoré
C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP1\A0000023.dll -> TrojanDownloader.Agent.bq : Ignoré
C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP1\A0000024.dll -> TrojanDownloader.Agent.bq : Ignoré
C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP1\A0000025.dll -> TrojanDownloader.Adload.g : Ignoré
C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP1\A0000026.dll -> TrojanDownloader.Agent.bq : Ignoré
C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP1\A0000027.dll -> TrojanDownloader.Agent.bq : Ignoré
C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP1\A0000029.exe -> Heuristic.Win32.Dialer : Ignoré
C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP1\A0000030.exe -> TrojanDownloader.Small.Lb : Ignoré
C:\!Submit\msfktkpn.exe -> TrojanDownloader.Small.Lb : Ignoré
C:\!Submit\jKrlhQ.exe -> Heuristic.Win32.Dialer : Ignoré
C:\!Submit\n_cwvqkj.dat -> TrojanDownloader.Agent.ap : Ignoré
C:\!Submit\n_kmpkrs.dat -> TrojanDownloader.Agent.bq : Ignoré
C:\!Submit\n_fkcwmy.dat -> TrojanDownloader.Agent.bq : Ignoré
C:\!Submit\n_bxfhzj.dat -> TrojanDownloader.Agent.bq : Ignoré
C:\!Submit\n_kzsbqg.dat -> TrojanDownloader.Agent.bq : Ignoré
C:\!Submit\n_zjbdeu.dat -> TrojanDownloader.Agent.bq : Ignoré
C:\!Submit\d3qu32.dll -> TrojanDownloader.Agent.bq : Ignoré
C:\!Submit\ntgz.dll -> TrojanDownloader.Agent.bq : Ignoré
C:\!Submit\n_imiitn.dat -> TrojanDownloader.Agent.bq : Ignoré
C:\!Submit\mereyb.dat -> TrojanDownloader.Agent.bq : Ignoré
C:\!Submit\txfdb32.dll -> TrojanDownloader.Adload.g : Ignoré
C:\!Submit\spoolsrv32.ex$ -> Spyware.FindSpy : Ignoré
C:\!Submit\iexw32.dll -> TrojanDownloader.Agent.bq : Ignoré
C:\!Submit\apith.dll -> TrojanDownloader.Agent.bq : Ignoré
C:\!Submit\iprr32.dll -> TrojanDownloader.Agent.bq : Ignoré
C:\!Submit\ezStubx.exe -> Adware.EZula : Ignoré
C:\!Submit\DHTMLAccess.dll -> TrojanDownloader.Wintrim.bw : Ignoré
C:\!Submit\tool2.exe -> Spyware.HotSearchBar : Ignoré
C:\!Submit\srpcsrv32.dll -> TrojanDownloader.Adload.g : Ignoré
C:\!Submit\thun32.dll -> TrojanProxy.Small.bk : Ignoré


::Fin du rapport


derniere chose: j'ai supprimé des fichers cachés nommés lsass en pensant que c'était des virus.. si tu peux m'aider..

   
Répondre à markos

9

Chercheurbis, le mercredi 28 septembre 2005 à 23:16:50

Bonsoir

Le rapport HijackThis est propre.

Supprimes le dossier.
C:\!Submit

Etonnant pour Ewido, il a ignoré tout les fichiers. Et il y en a.
Refais un scan en mode normal.
S'il recommence, tu le retélécharge et tu l'installes sur la première version. Et tu rescannes.
Ensuite, poste le rapport.

Fais aussi une analyse antivirus en ligne sur BitDefender
http://www.bitdefender.fr/scan8/ie.html

Colle son rapport ici.

Pour les fichiers que tu as effacé, peut être que les mises à jour corrigeront cet effacement.
Pour en savoir plus sur ce fichier.
http://www.commentcamarche.net/processus/lsass-exe.php3

   
Répondre à Chercheurbis

10

markos, le jeudi 29 septembre 2005 à 08:55:14

Bonjour chercheurbis....
je vois que tu ne m'as pas abandonné..Sympa!

en ce qui concerne Ewido, c'est moi qui ai choisi de ne pas supprimer les fichiers infectés..(comme j'étais pas sur!)..voila pourqoui tous les fichiers ont été ignoré...

voici le nouveau rapport ewido(cette fois-ci j'ai supprimé les fichiers trouvés):

---------------------------------------------------------
ewido security suite - Rapport de scan
---------------------------------------------------------

+ Créé le: 08:52:02, 29/09/2005
+ Somme de contrôle: DBE33A9B

+ Résultats du scan:

HKLM\SOFTWARE\Classes\CLSID\{04EDA6A5-3C09-E146-8F75-5684DD­B4E2A7} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{05BCCFDC-9678-9095-77E8-18289DB38257} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{0E440933-F824-B85E-8849-F5FFA50D8397} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{10906011-F56B-D0FC-A5B8-30DA3C759364} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{1428C938-C429-A68C-F1C4-5ABDB64CCE4D} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{151272FB-2CD4-E387-93B1-F52B2911D0EE} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{1674BCBE-46DE-7BAB-FBFA-CA15D9FEB632} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{18EAFE7B-570B-346C-ADEF-9CDDA8A1986F} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{208BD4D8-3DA2-3736-A8E6-F3AF3479FA31} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{26512660-81B8-4E0A-486E-148F3C711396} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{280CA95C-CBA3-486E-5BCD-B3B542DA458A} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{2944D598-26C6-EAEE-CC51-6667352D7B57} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{2CB60D9D-BA37-058C-7EA3-A52155F01235} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{2D9BB7B5-D27A-5907-A874-72E04FC719E8} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{2FA09459-FBD9-B08C-81EF-6EA62F5DB101} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{2FB10B1F-E342-08A1-CBAA-D4A2CD2ABAC6} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{30D83F56-DA50-B817-EF00-1DEB557B32F8} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{347CE5A5-6599-8A80-9D8E-06843CFEDD27} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{349366F7-B553-EC81-B4CC-483E36CBA5BA} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{37D770DC-7684-506E-506F-B70AAFEB6F95} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{37FEC172-7D9F-A669-CCD9-E33BBFC88EDD} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{43F1D301-C547-8676-5D33-796564802D3D} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{4FC7118F-CEC2-4822-4FA2-BD496C690A0C} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{4FFCB6BE-44F7-E86A-BCA1-52D82F83FE92} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{544D3227-6801-04BD-D909-6292B86D33C3} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{5AECFEAF-B010-FBFD-B79E-285458AE4BFB} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{5B571395-D542-0087-653F-7C09A44F7F9B} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{5B9DD78B-6805-11A5-818B-723A508CBC0D} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{602C9652-36AF-DEC5-DE23-DB34295B6BA5} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{62032CE7-6F44-B284-9F2B-FB404D7C3C8E} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{6827E44A-FCD1-5704-0FF9-EE64FBCBD77F} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{69D74EF1-A99E-49CB-BA6C-079035E64ABD} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{779D939B-D4A7-9123-2E36-9432D4B58ECF} -> Spyware.MidAddle : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{77CDFCA0-BA97-CA0C-618F-7AA1690AB92B} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{77E35B59-5DBF-CA0F-2037-00B52E21E874} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{7E118BD3-544A-455F-07DD-AACFDEAC5940} -> Spyware.Parasite : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{8037964D-1365-8C5E-3AC3-419713B83CBE} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{8236B10D-9307-EADD-079C-2AA0DFC7F33E} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{82592D9C-E8A7-DA3B-8BEE-BCAEAF5128CD} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{8A71C47B-9917-B588-625B-79254D40A325} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{8B39AA17-3978-F260-9FEA-931168F79497} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{8C63D038-2323-A079-1DD0-E7F346EF140E} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{9261C8D3-6127-C95A-7B9B-F9E8EE283C42} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{941C34F9-1F0A-6CBD-610E-8E15CE401ADD} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{952AA538-C1D7-30E5-8DC6-1A12E2F736A2} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{988F33DF-14DB-9347-ED73-E0CDCC695426} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{9FA0B55C-2A73-0C09-6ACA-4277ABFA12BD} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{A4842560-CE4E-8858-6B28-E50CEB6F759E} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{A52FA47B-BA50-C6CB-6B02-1F30CC46D589} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{A757AB06-5B32-20C5-C50B-D8183F1CB9C0} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{A7D90935-7D8E-3E5D-9E71-486D629FCAAD} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{B4126314-CC73-79E1-D2AC-CA3BC0E2B1EC} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{B536A5F4-6F9B-5215-B3D9-716EF3F258A6} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{B595A235-53A2-27D5-EFF6-D0208801D071} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{B59A1E0B-4C94-AA3A-C37F-94C8BFC643E7} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{BCB6BE29-B6ED-ABB4-8D3B-2B4F81E0E595} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{CC6A9DFF-521F-7DD3-E624-B30C0B9FF83A} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{CD01143E-9B70-CB99-C455-87936A69EFA2} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{D6036847-0CE9-CD98-8490-CBE09650BB49} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{D83F0117-C7D8-20AF-2100-FD548A73684C} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{D8EFADF1-9009-11D6-8C73-608C5DC19089} -> Spyware.AccessPlugin : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{DE181EF0-ABE1-2541-3A0D-3A3940709D47} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{DF7066E9-8EE8-8682-F43E-2BF8E7E7D760} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{E0715207-F0E3-3236-6233-7B76E86CE91E} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{E404F826-ABE4-D856-61BA-BCBD539933F8} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{E5181BB3-B821-0D7B-D568-3766286D5460} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{E65FC41A-89B3-21B7-1EB6-E92DA3645370} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{E75E8B80-0901-AC5A-6453-3114563FF460} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{E86BE419-1604-4EE0-BE0A-2F9928513BDC} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{EC52F9A9-BFCA-611C-0CF2-D33A007A66FA} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{F252B597-9791-2380-904F-55CD7338EA24} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{F4BF9913-CC48-121B-F8DE-11BD3C45410F} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{F55B9B22-5BAA-C8BB-5C3F-3E652D794BF7} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{F6ED913D-FAB1-F1A5-C359-4E2B2AC7B284} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{F853A78A-343F-AC2C-6EC1-7AD1A007D9CD} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{FA112FA2-B6C7-CE6A-DE50-FEAF22C15154} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{FB277F1B-89B6-A114-DD01-EC507A933F39} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{FC92C3DE-F786-C2A4-4565-359ECF140E14} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{FE0CF482-D7A9-BD18-0056-CF55E4EDD446} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Interface\{2D5B230A-4C9B-43CB-AE84-697CFAB0D6D1}\TypeLib\\ -> Dialer.Generic : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Interface\{99E7978F-2B09-11D6-8C73-0800460222F0}\TypeLib\\ -> Dialer.Generic : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Interface\{CF021F3F-3E14-23A5-CBA2-717765728274}\TypeLib\\ -> Spyware.PurityScan : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Ngd2.ngd\CLSID\\ -> Spyware.AccessPlugin : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Ngd2.ngd.1\CLSID\\ -> Spyware.AccessPlugin : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\TypeLib\{CF021F32-3E14-23A5-CBA2-717765728274} -> Spyware.PurityScan : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\WER8274.WER8274.1\CLSID\\ -> Spyware.PurityScan : Nettoyer et sauvegarder
HKLM\SOFTWARE\DelFin -> Spyware.Delfin : Nettoyer et sauvegarder
HKLM\SOFTWARE\DelFin\PromulGate -> Spyware.Delfin : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Bargain Buddy -> Spyware.BargainBuddy : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DelFin Media Viewer -> Spyware.Delfin : Nettoyer et sauvegarder
HKLM\SOFTWARE\PerfectNav -> Spyware.KeenValue : Nettoyer et sauvegarder
HKU\.DEFAULT\Software\DelFin -> Spyware.Delfin : Nettoyer et sauvegarder
HKU\.DEFAULT\Software\DelFin\PromulGate -> Spyware.Delfin : Nettoyer et sauvegarder
HKU\S-1-5-19\Software\ComSoft -> Dialer.Generic : Nettoyer et sauvegarder
HKU\S-1-5-19\Software\DelFin -> Spyware.Delfin : Nettoyer et sauvegarder
HKU\S-1-5-19\Software\DelFin\PromulGate -> Spyware.Delfin : Nettoyer et sauvegarder
HKU\S-1-5-20\Software\ComSoft -> Dialer.Generic : Nettoyer et sauvegarder
HKU\S-1-5-20\Software\DelFin -> Spyware.Delfin : Nettoyer et sauvegarder
HKU\S-1-5-20\Software\DelFin\PromulGate -> Spyware.Delfin : Nettoyer et sauvegarder
HKU\S-1-5-21-1606980848-1202660629-1060284298-1003\Software\ComSoft -> Dialer.Generic : Nettoyer et sauvegarder
HKU\S-1-5-21-1606980848-1202660629-1060284298-1003\Software\DelFin -> Spyware.Delfin : Nettoyer et sauvegarder
HKU\S-1-5-21-1606980848-1202660629-1060284298-1003\Software\DelFin\PromulGate -> Spyware.Delfin : Nettoyer et sauvegarder
HKU\S-1-5-21-1606980848-1202660629-1060284298-1003\Software\Support Software -> Spyware.NetworkEssentials : Nettoyer et sauvegarder
HKU\S-1-5-18\Software\DelFin -> Spyware.Delfin : Nettoyer et sauvegarder
HKU\S-1-5-18\Software\DelFin\PromulGate -> Spyware.Delfin : Nettoyer et sauvegarder
C:\Documents and Settings\bensouna gilles\Cookies\bensouna gilles@adtech[2].txt -> Spyware.Cookie.Adtech : Nettoyer et sauvegarder
C:\Documents and Settings\bensouna gilles\Cookies\bensouna gilles@estat[1].txt -> Spyware.Cookie.Estat : Nettoyer et sauvegarder
C:\Documents and Settings\bensouna gilles\Cookies\bensouna gilles@as-eu.falkag[2].txt -> Spyware.Cookie.Falkag : Nettoyer et sauvegarder
C:\Documents and Settings\bensouna gilles\Cookies\bensouna gilles@ad.yieldmanager[1].txt -> Spyware.Cookie.Yieldmanager : Nettoyer et sauvegarder
C:\Documents and Settings\bensouna gilles\Cookies\bensouna gilles@weborama[1].txt -> Spyware.Cookie.Weborama : Nettoyer et sauvegarder
C:\Documents and Settings\bensouna gilles\Cookies\bensouna gilles@bluestreak[2].txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder
C:\Documents and Settings\bensouna gilles\Cookies\bensouna gilles@247realmedia[1].txt -> Spyware.Cookie.247realmedia : Nettoyer et sauvegarder
C:\Documents and Settings\bensouna gilles\Cookies\bensouna gilles@tradedoubler[2].txt -> Spyware.Cookie.Tradedoubler : Nettoyer et sauvegarder
C:\Documents and Settings\bensouna gilles\Cookies\bensouna gilles@cs.sexcounter[2].txt -> Spyware.Cookie.Sexcounter : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP1\A0000011.dll -> TrojanProxy.Small.bk : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP1\A0000012.dll -> TrojanDownloader.Adload.g : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP1\A0000017.exe -> Spyware.HotSearchBar : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP1\A0000019.dll -> TrojanDownloader.Wintrim.bw : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP1\A0000021.exe -> Adware.EZula : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP1\A0000022.dll -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP1\A0000023.dll -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP1\A0000024.dll -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP1\A0000025.dll -> TrojanDownloader.Adload.g : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP1\A0000026.dll -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP1\A0000027.dll -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP1\A0000029.exe -> Heuristic.Win32.Dialer : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP1\A0000030.exe -> TrojanDownloader.Small.Lb : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP3\A0002015.exe -> TrojanDownloader.Small.Lb : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP3\A0002016.exe -> Heuristic.Win32.Dialer : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP3\A0002018.dll -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP3\A0002019.dll -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP3\A0002020.dll -> TrojanDownloader.Adload.g : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP3\A0002021.dll -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP3\A0002022.dll -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP3\A0002023.dll -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP3\A0002024.exe -> Adware.EZula : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP3\A0002026.dll -> TrojanDownloader.Wintrim.bw : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP3\A0002028.exe -> Spyware.HotSearchBar : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP3\A0002033.dll -> TrojanDownloader.Adload.g : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP3\A0002034.dll -> TrojanProxy.Small.bk : Nettoyer et sauvegarder


::Fin du rapport

je vais faire l'analyse antivirus en ligne sur Kaspersky(je ne l'avais pas faite car ça paraissait vachement long) et ensuite je ferai aussi une analyse antivirus en ligne sur BitDefender..

je te dirai si elles ont révélées quelquechose...
merci a toi.. passe une bonne journée..

   
Répondre à markos

11

markos, le jeudi 29 septembre 2005 à 12:12:51

Re...
c'est encore moi...
j'ai effectué l'analyse avec Kaspersky et voila ce que j'ai obtenu...
est ce que je dois supprimer les eléments détectés?...


------------------------------------------------------------­-------------------
KASPERSKY ON-LINE SCANNER REPORT
Thursday, September 29, 2005 11:57:27
Operating System: Microsoft Windows XP Professional, (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 29/09/2005
Kaspersky Anti-Virus database records: 142491
------------------------------------------------------------­-------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
G:\

Scan Statistics:
Total number of scanned objects: 33400
Number of viruses found: 2
Number of infected objects: 2
Number of suspicious objects: 2
Duration of the scan process: 4393 sec

Infected Object Name - Virus Name
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\AdultStore.zip/dload.exe Suspicious: Password-protected-EXE
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\AdultStore.zip Suspicious: Password-protected-EXE
C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP1\A0000009.dll Infected: Backdoor.Win32.Ruledor.c
C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP3\A0002036.dll Infected: Backdoor.Win32.Ruledor.c

Scan process completed.

   
Répondre à markos

12

markos, le jeudi 29 septembre 2005 à 14:25:41

Et voici ce que j'ai obtenu avec bitdefender:
je ne sais pas si ça veut dire quelquechose...


<HTML>
<HEAD>
<TITLE>BitDefender Online Scanner - Rapport d'analyse</TITLE>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
</HEAD>
<BODY BGCOLOR=#FFFFFF leftmargin="10" marginwidth="0" topmargin="20" marginheight="0" >


<table align="center" border="0" cellpadding="0" cellspacing="0" width="90%">
<tr>
<td width="458">
<p><font face="Arial" color=red><span style="font-size:14pt;"><b>BitDefender Online Scanner</b></span></font></p>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>
<tr>
<td colspan="3" width="912">
<p><font face="Arial"><span style="font-size:11pt;"><B>Rapport d'analyse généré à: Thu, Sep 29, 2005 - 13:15:19</b></span></font></p>
</td>
</tr>

<tr>
<td width="458">
<p><font face="Arial"><span style="font-size:11pt;"><B> </b></span></font></p>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>

<tr>
<td width="458">
<p><font face="Arial"><span style="font-size:11pt;"><B>Voie d'analyse: </b></span><span style="font-size:10pt;">A:\;C:\;D:\;E:\;G:\;</span></font></p>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>

<tr>
<td width="458">
<p><font face="Arial"><span style="font-size:11pt;"><B> </b></span></font></p>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>

<tr>
<td width="458">
<table border="1" cellspacing="0" bordercolordark="white" bordercolorlight="black" width="100%">
<tr>
<td width="451" colspan="2" bgcolor="#CCCCCC">
<p><font face="Arial" size="2"><B>Statistiques</b></font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Temps</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">00:43:36</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Fichiers</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">59370</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Directoires</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">2622</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Secteurs de boot</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">4</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Archives</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">751</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Paquets programmes</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">5620</font></p>
</td>
</tr>
</table>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>



<tr>
<td width="458">
<table border="1" cellspacing="0" bordercolordark="white" bordercolorlight="black" width="100%">
<tr>
<td width="451" colspan="2" bgcolor="#CCCCCC">
<p><font face="Arial" size="2"><B>Résultats</b></font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Virus identifiés</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">1</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Fichiers infectés</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">2</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Fichiers suspects</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">0</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Avertissements</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">0</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Désinfectés</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">0</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Fichiers effacés</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">2</font></p>
</td>
</tr>
</table>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>

<tr>
<td width="458">
<table border="1" cellspacing="0" bordercolordark="white" bordercolorlight="black" width="100%">
<tr>
<td width="451" colspan="2" bgcolor="#CCCCCC">
<p><font face="Arial" size="2"><B>Info sur les moteurs</b></font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Définition virus</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">213240</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Version des moteurs</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">AVCORE v1.0 (build 2292) (i386) (Mar 3 2005 11:57:29)</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Analyse des plugins</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">13</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Archive des plugins</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">39</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Unpack des plugins</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">4</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">E-mail plugins</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">6</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Système plugins</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">1</font></p>
</td>
</tr>
</table>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>

<tr>
<td width="458">
<table border="1" cellspacing="0" bordercolordark="white" bordercolorlight="black" width="100%">
<tr>
<td width="451" colspan="2" bgcolor="#CCCCCC">
<p><font face="Arial" size="2"><B>Paramètres d'analyse</b></font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Première action</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Désinfecté</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Seconde Action</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Heuristique</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Oui</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Acceptez les avertissements</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Oui</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Extensions analysées</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;</font></p>
</td>
</tr>

<tr>
<td width="57%">
<p><font face="Arial" size="2">Excludez les extensions</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2"> </font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Analyse d'emails</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Oui</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Analyse des Archives</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Oui</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Analyser paquets programmes</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Oui</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Analyse des fichiers</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Oui</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Analyse de boot</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Oui</font></p>
</td>
</tr>
</table>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>

<tr>
<td colspan=2>  
<table border="1" cellspacing="0" bordercolordark="white" bordercolorlight="black" width="100%">
<tr>
<td width="252" bgcolor="#CCCCCC">
<p><font face="Arial" size="2"><B>Fichier analysé</b></font></p>
</td>
<td width="195" bgcolor="#CCCCCC" align="right">
<p align="left"><b><font size="2" face="Arial"> Statut</font></b></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP1\A0000005.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Downloader.Small.6</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP1\A0000005.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP1\A0000005.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP3\A0002040.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Downloader.Small.6</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP3\A0002040.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\System Volume Information\_restore{B80D0203-23A7-4F7A-834E-B6F90A91367A}\RP3\A0002040.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr>
</table>
</td>

<td width="10%">
<p> </p>
</td>
</tr>

<tr>
<td width="458">
<p><font face="Arial"><span style="font-size:11pt;"><B> </b></span></font></p>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>

<tr>
<td width="458">
<p><font face="Arial"><span style="font-size:11pt;"><B> </b></span></font></p>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>

</table>
<p> </p>

</body>
</html>

   
Répondre à markos

13

 Chercheurbis, le jeudi 29 septembre 2005 à 17:40:25

Bonjour

Ewido a fait un bon travail comme d'habitude. Vide sa quarantaine.

Kaspersky a trouvé 4 fichiers. 2 non infectieux dans Spybot et 2 dans le système de restauration.

BitDefender a nettoyé les deux fichiers du système de restauration.

Donc l'ordinateur est propre.

As tu encore des dysfonctionnements ?

   
Répondre à Chercheurbis
Posez votre question Répondre
Le ver Sasser Présentation du virus Sasser Apparu en mai 2004, le virus Sasser (connu également sous les noms W32/Sasser.worm, W32.Sasser.Worm, Worm.Win32.Sasser.a, Worm.Win32.Sasser.b ou Win32.Sasser) est un virus exploitant une faille du service LSASS (Local... www.commentcamarche.net/contents/virus/sasser.php3
Blaster et Sasser : Eviter le redémarrage intempestif Lors d'une infection par les virus Blaster ou Sasser, l'ordinateur affiche le message d'erreur suivant : Generic host process for win32 services à rencontré un problème et doit fermer Ceci s'accompagne généralement du message suivant, puis du... www.commentcamarche.net/faq/sujet-186-blaster-et-sasser-eviter-le-redemarrage-intempestif
Skynetave - skynetave.exe skynetave - skynetave.exe La présence du processus skynetave.exe (skynetave) peut indiquer la présence du ver Sasser (W32.Sasser.Worm ou Win32/Sasser). Comment se débarasser de skynetave.exe ? Voici une liste de pointeurs pour vous aider à... www.commentcamarche.net/contents/processus/skynetave-exe.php3
Lsass Exploit (Sasser ?) (Résolu)Bonjour, Mon père ayant connecté le PC sans protection, je me retrouve avec une message de Avast qui me dit "Attaque LSASS EXPLOIT blablabla:445/tcp" J'ai fais toutes les mises à jour Windows, J'ai un firewall (kerio) + antivirus (Avast) + spybot +... www.commentcamarche.net/forum/affich-1871812-lsass-exploit-sasser
Sasser-A (Résolu)Bonjour tout d'abords,Je suis infecté par le ver Sasser...Que faut il faire?Est ce que en lançant Resolve for W32/Sasser il l'élimine???Enfin bref ,j'ai pris un ver et je me demande comment l'éliminer???? Pouvez vous m'aider Quentin www.commentcamarche.net/forum/affich-2128601-sasser-a
Peut etre infecter par ce sasser (Résolu)bonjour a tous et merci pour cet exellent site ccm trop bien voila je crois que je suis infecter par sasser parce que il me bouffe tros de ressource en ce moment alor qu avant il prennait a peine quelque pourcentage dans le gestionnaire de tache et ma... www.commentcamarche.net/forum/affich-3007394-peut-etre-infecter-par-ce-sasser
Résultats pour pb sasser
Télécharger StingerStinger est un logiciel léger et gratuit capable de détecter et supprimer les virus qui font le plus parler d'eux - près de 200 ! Dans la liste : sasser, lovegate, Blaster, mydoom, Nyxem, Kama Sutra, sobig, ... Le logiciel est très simple : il... www.commentcamarche.net/telecharger/telecharger-34055346-stinger
Télécharger Remover.exe GDataG remover.exe détecte et élimine les vers, trojans et backdoors: Mydoom, Beagle, Netsky, Sasser, Blaster Zafi, Mabutu, Startpage... www.commentcamarche.net/telecharger/telecharger-34055373-remover-exe-gdata
Résultats pour pb sasser
Isass - isass.exeisass - isass.exe La présence du processus isass.exe (isass) peut indiquer la présence du ver Sasser (W32.Sasser.Worm ou Win32/Sasser). Comment se débarasser de isass.exe ? Voici une liste de pointeurs pour vous aider à désinfecter votre machine... www.commentcamarche.net/contents/processus/isass-exe.php3
Avserve - avserve.exeavserve - avserve.exe La présence du processus avserve.exe (avserve) trahit la présence du virus Sasser, un virus exploitant une faille du service LSASS (Local Security Authority Subsystem Service, correspondant à l'exécutable lsass.exe) de... www.commentcamarche.net/contents/processus/avserve-exe.php3
Résultats pour pb sasser