Virus: Win32:AuCrypt [ Cryp ] [Résolu]

Bonsoir

Poste le rapport AVAST svp
Merci
Al.

(suite)

Nous allons donc tenter d'opérer comme ceci:

A)-Désactive la restauration système.
Clic droit sur poste de travail > propriétés > onglet restauration système
Coche "désactiver la restauration système sur tous les lecteurs".
clic sur ok pour valider



B)- Télécharger l'outil Flash_Disinfector de sUBs:
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
Enregistrer Flash_Disinfector.exe sur le bureau.
Double-cliquer sur Flash_Disinfector.exe pour l'exécuter.

Quand le message : [Plug in yours flash drive & clic Ok to begin disinfection] apparaitra :
Connecter au pc, clé USB, DD externe, susceptibles d'avoir été infectés. ===> et les laisser branchés tout au long des analyses (attention: pas de double-clic dessus !! choisir "clic-droit" puis "Ouvrir") ==> les garder branchés lors des analyses ultérieures.

Puis cliquer sur Ok
Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: [Done!!]
Appuyer ensuite sur OK, pour faire réapparaître le bureau.


C)- Terminer par cette analyse importante:
Télécharger ComboFix à partir d'un de ces liens :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://www.forospyware.com/sUBs/ComboFix.exe
Et important, l'enregistrer sur le bureau.

Avant d'utiliser ComboFix :
==>Noter ce qu’il y a à faire avec ComboFix (imprimer).
==> Désactiver provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de l'Antivirus et des Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil).
==> Déconnecter le PC d'Internet et refermer les fenêtres de tous les programmes en cours
Une fois fait, double-cliquer sur l’icône Combofix.exe du bureau.
- Répondre "oui" au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\ Pendant la durée de cette étape, ne pas se servir du pc et n'ouvrir aucun programme.
Patienter (même si l'on pense que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 40 étapes d’analyse)./!\
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, le laisser faire.
- Un rapport s'ouvrira ensuite dans le bloc-notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

==> Réactiver la protection en temps réel de l'Antivirus et des Antispywares, avant de reconnecter le PC à Internet.
==> Revenir sur le forum en reconnectant bien sûr le PC au Net, et copier/coller la totalité du contenu de C:\Combofix.txt dans le prochain message.


Prends ton temps
Bonne chance
Al.

Merci pour ta réponse rapide, malheureusement je sais pas ou est le rapport avast, tu veux la liste des fichiers infectés? maintenant je vais essayer de suivre la démarche que tu m'as indiqué. Merci je te tiens au courant

Re, voila je pense avoir réussi toutes les étapes, je te poste le rapport combo, si ça te parle lol. Moi ça me dis rien du tout, en tout cas merci de ton aide. A bientot bonne soirée.

ComboFix 08-03-18.1 - Léo_2 2008-03-19 21:51:39.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.199 [GMT 1:00]
Endroit: C:\Documents and Settings\Léo_2\Bureau\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf

.
((((((((((((((((((((((((((((( Fichiers créés 2008-02-19 to 2008-03-19 ))))))))))))))))))))))))))))))))))))
.

2008-03-19 20:20 . 2008-03-19 20:20 <REP> d-------- C:\WINDOWS\LastGood
2008-03-16 21:30 . 2008-03-16 21:31 <REP> d-------- C:\Program Files\Windows Live Safety Center
2008-03-01 15:03 . 2008-03-01 15:03 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-03-01 15:03 . 2008-03-01 15:03 1,409 --a------ C:\WINDOWS\QTFont.for
2008-02-20 13:35 . 2008-02-20 13:44 <REP> d-------- C:\Program Files\PhotoFiltre

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-19 14:08 --------- d-----w C:\Program Files\eMule
2008-03-16 20:36 --------- d-----w C:\Program Files\TVAnts
2008-02-21 12:44 70,744 ----a-w C:\Documents and Settings\Léo_2\Application Data\GDIPFONTCACHEV1.DAT
2008-02-21 12:44 70,744 ----a-w C:\Documents and Settings\Léo_2\Application Data\GDIPFONTCACHEV1.DAT
2008-02-21 12:44 70,744 ----a-w C:\Documents and Settings\Léo_2\Application Data\GDIPFONTCACHEV1.DAT
2008-02-15 14:54 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\NASA
2008-02-15 14:54 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\NASA
2008-02-15 14:54 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\NASA
2008-02-15 12:42 --------- d-----w C:\Program Files\Google
2008-02-15 11:24 --------- d-----w C:\Program Files\NASA
2008-02-09 19:32 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-02-09 19:21 --------- d-----w C:\Program Files\SopCast
2008-02-09 14:12 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\SopCast
2008-02-09 14:12 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\SopCast
2008-02-09 14:12 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\SopCast
2008-02-02 19:23 --------- d-----w C:\Program Files\NCH Software
2008-02-02 19:17 --------- d-----w C:\Program Files\NCH Swift Sound
2008-02-02 19:17 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\NCH Swift Sound
2008-02-02 19:17 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\NCH Swift Sound
2008-02-02 19:17 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\NCH Swift Sound
2008-02-02 19:17 --------- d-----w C:\Documents and Settings\All Users\Application Data\NCH Swift Sound
2007-10-25 11:29 5,632 -csha-w C:\Program Files\Thumbs.db
2007-06-10 19:48 1,163,592 -c--a-w C:\Program Files\install_flash_player.exe
2005-10-23 16:29 0 -c--a-w C:\Documents and Settings\Léo_2\Application Data\wklnhst.dat
2005-10-23 16:29 0 -c--a-w C:\Documents and Settings\Léo_2\Application Data\wklnhst.dat
2005-10-23 16:29 0 -c--a-w C:\Documents and Settings\Léo_2\Application Data\wklnhst.dat
2005-03-05 23:02 160,808,873 ----a-w C:\Program Files\AdobePhotoshopCS_Fr.zip
2005-01-19 22:58 1,256,444 ----a-w C:\Program Files\wrar342fr.exe
2005-01-19 22:56 7,741,336 ----a-w C:\Program Files\DivX521XP2K.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 08:59 204288]
"eMuleAutoStart"="C:\Program Files\eMule\emule.exe" [2007-05-13 15:57 5308416]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"farstone"="" []
"RestoreIT!"="C:\Program Files\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.exe" [2004-09-21 16:39 114688]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAudPropShortcut.exe" [2004-03-17 16:10 61952 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"Cmaudio"="cmicnfg.cpl" []
"fenaffiche"="C:\Program Files\FenAffiche\Fenpowernet.exe" [2004-07-23 09:43 49152]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-12-15 12:01 5513216]
"nwiz"="nwiz.exe" [2004-12-15 12:01 1490944 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2004-12-15 12:01 86016]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-01-19 23:48 180269]
"AGRSMMSG"="AGRSMMSG.exe" [2004-04-13 12:49 88363 C:\WINDOWS\AGRSMMSG.exe]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-02-28 23:06 155648]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2005-09-16 07:43 274432]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"AliceSAV"="C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe" [2005-12-16 16:57 81408]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
WiFi Station.lnk - C:\Program Files\Hercules\WiFi Station\WifiStation.exe [2008-01-07 12:21:58 650240]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Eidos\\CM 03-04\\cm0304.exe"=
"C:\\WINDOWS\\system32\\rtcshare.exe"=
"C:\\Program Files\\NetMeeting\\conf.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\SopCast\\SopCast.exe"=
"C:\\Documents and Settings\\Léo_2\\Application Data\\SopCast\\adv\\SopAdver.exe"=
"C:\\Program Files\\TVAnts\\Tvants.exe"=
"C:\\Program Files\\SopCast\\adv\\SopAdver.exe"=

R0 RITCPT;RITCPT;C:\WINDOWS\system32\drivers\RITCPT.sys [2004-09-21 16:39]
R0 VVBackd5;VVBackd5;C:\WINDOWS\system32\drivers\VVBackd5.sys [2004-09-21 16:39]
R2 FBAPI;FBAPI;C:\WINDOWS\system32\drivers\FBAPI.sys [2004-09-21 16:39]
R3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys [2004-10-01 14:58]
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 22:08]
S2 NISDRV;NISDRV;C:\WINDOWS\system32\Drivers\NISDRV.SYS []
S3 adiusbae;USB ADSL LAN Adapter;C:\WINDOWS\system32\DRIVERS\adiusbae.sys []
S3 fbxusb;FreeBox USB Network Adapter;C:\WINDOWS\system32\DRIVERS\fbxusb.sys [2003-12-31 11:35]
S3 PsShutdownSvc;PsShutdown;C:\WINDOWS\System32\PSSDNSVC.EXE [2004-12-20 14:20]
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 21:58]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{40b3a35a-9a6e-11db-beeb-0008d30734e4}]
\Shell\AutoRun\command - G:\ta2.cmd
\Shell\explore\Command - G:\ta2.cmd
\Shell\open\Command - G:\ta2.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{779d738f-c5d8-11dc-81cd-0008d30734e4}]
\Shell\AutoRun\command - G:\22wcb21o.exe
\Shell\explore\Command - G:\22wcb21o.exe
\Shell\open\Command - G:\22wcb21o.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b9c5553b-53fe-11d9-aa3e-806d6172696f}]
\Shell\AutoRun\command - D:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ccba173b-5290-11d9-8ca1-806d6172696f}]
\Shell\AutoRun\command - D:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d171d1bb-5276-11d9-8426-806d6172696f}]
\Shell\AutoRun\command - D:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e43cd43b-527f-11d9-aee6-806d6172696f}]
\Shell\AutoRun\command - D:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f6bc98c8-13fb-11da-bae4-0007cb0000ff}]
\Shell\AutoRun\command - G:\cayfq2.cmd
\Shell\explore\Command - G:\cayfq2.cmd
\Shell\open\Command - G:\cayfq2.cmd

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-03-19 20:50:00 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Program Files\Symantec\LiveUpdate\NDetect.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-19 21:54:19
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
AliceSAV = C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-03-19 21:54:47
ComboFix-quarantined-files.txt 2008-03-19 20:54:45
.
2008-03-12 11:25:42 --- E O F ---

je pense avoir trouvé un genre de rapport de avast, je le poste mais je suis pas sure que c'est ce que tu voulais lol.






19/03/2008 13:20:35 SYSTEM 1440 Sign of "Win32:AuCrypt [Cryp]" has been found in "G:\cayfq2.cmd" file.
17/03/2008 23:41:05 SYSTEM 1612 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\WINDOWS\system32\amvo1.dll" file.
17/03/2008 21:56:11 Léo_2 1304 Sign of "Win32:AuCrypt [Cryp]" has been found in "c:\windows\system32\amvo.exe" file.
17/03/2008 21:55:35 SYSTEM 1508 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\xp19.com" file.
17/03/2008 21:55:07 SYSTEM 1508 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\xp19.com" file.
17/03/2008 21:54:39 SYSTEM 1508 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\xp19.com" file.
17/03/2008 21:54:03 SYSTEM 1508 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\xp19.com" file.
17/03/2008 21:53:34 SYSTEM 1508 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\xp19.com" file.
17/03/2008 21:53:06 SYSTEM 1508 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\xp19.com" file.
17/03/2008 21:52:37 SYSTEM 1508 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\xp19.com" file.
17/03/2008 21:52:07 SYSTEM 1508 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\xp19.com" file.
17/03/2008 21:51:39 SYSTEM 1508 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\xp19.com" file.
17/03/2008 21:51:09 SYSTEM 1508 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\xp19.com" file.
17/03/2008 21:50:41 SYSTEM 1508 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\xp19.com" file.
17/03/2008 21:50:09 SYSTEM 1508 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\xp19.com" file.
17/03/2008 21:49:41 SYSTEM 1508 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\xp19.com" file.
17/03/2008 21:49:12 SYSTEM 1508 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\xp19.com" file.
17/03/2008 21:48:08 SYSTEM 1508 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\xp19.com" file.
17/03/2008 21:47:38 SYSTEM 1508 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\xp19.com" file.
17/03/2008 21:47:09 SYSTEM 1508 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\xp19.com" file.
17/03/2008 21:42:16 SYSTEM 1508 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\xp19.com" file.
17/03/2008 21:41:40 SYSTEM 1508 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\xp19.com" file.
17/03/2008 21:40:34 SYSTEM 1508 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\xp19.com" file.
17/03/2008 21:40:04 SYSTEM 1508 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\xp19.com" file.
17/03/2008 21:35:24 SYSTEM 1508 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\xp19.com" file.
17/03/2008 21:34:58 SYSTEM 1508 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\WINDOWS\system32\amvo0.dll" file.
17/03/2008 21:32:26 SYSTEM 1508 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\xp19.com" file.
17/03/2008 21:31:04 SYSTEM 1508 Sign of "Win32:AuCrypt [Cryp]" has been found in "C:\xp19.com" file.
09/03/2008 16:05:03 SYSTEM 1444 An error has occured while attempting to update. Please check the logs.
09/03/2008 16:05:01 SYSTEM 1444 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
13/02/2008 00:01:28 Léo_2 3064 Sign of "VBS:Malware-gen" has been found in "G:\AUTORUN.INF" file.
22/01/2008 13:40:45 SYSTEM 1592 An error has occured while attempting to update. Please check the logs.
22/01/2008 13:40:44 SYSTEM 1592 Function setifaceUpdatePackages() has failed. Return code is 0x20000011, dwRes is 20000011.
18/01/2008 00:07:39 Léo_2 180 Sign of "Win32:Steal-BA [Trj]" has been found in "C:\System Volume Information\_restore{C66B14E1-5ABF-47FA-9084-8A92337F62F1}\RP430\A0149176.exe" file.
15/12/2007 17:32:55 SYSTEM 1456 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\DOCUME~1\LO_2~1\LOCALS~1\Temp\vorbis.dll" file.
10/12/2007 23:12:34 SYSTEM 1200 Sign of "JS:Agent-T [Trj]" has been found in "http://2005-search.com/test/test.html" file.
30/11/2007 14:38:19 Léo_2 1332 AAVM - scanning warning: x_AavmCheckFileDirectEx [UNI]: E:\Photos\P3100112.JPG (E:\Photos\P3100112.JPG) returning error, 0000001E.
07/11/2007 20:54:55 Léo_2 1380 Sign of "Win32:Kapucen-B [Wrm]" has been found in "C:\Program Files\eMule\Temp\Talib-rec.tmp" file.
07/11/2007 20:52:36 Léo_2 1380 Sign of "Win32:Kapucen-B [Wrm]" has been found in "C:\Program Files\eMule\Temp\Talib-rec.tmp" file.
03/11/2007 21:01:58 Léo_2 1352 AAVM - scanning warning: x_AavmCheckFileDirectEx [UNI]: G:\DCIM\100OLYMP\P2270058.JPG (G:\DCIM\100OLYMP\P2270058.JPG) returning error, 0000001E.
22/10/2007 19:20:01 SYSTEM 1100 Function setifaceUpdateFiles() has failed. Return code is 0xC0000142, dwRes is C0000142.
22/10/2007 19:20:01 SYSTEM 1100 An error has occured while attempting to update. Please check the logs.

Merci

A)- Vide la quarantaine de AVAST



B)- As-tu bien respecté ceci : « Connecter au pc, clé USB, DD externe, susceptibles d'avoir été infectés. ===> et les laisser branchés tout au long des analyses (attention: pas de double-clic dessus !! choisir "clic-droit" puis "Ouvrir") ==> les garder branchés lors des analyses ultérieures. » ?
Si ce n'est pas respecter, il faut le faire . Merci



C)- Désactive ta restauration système
Clic sur « Démarrer »
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu y coches la case « Désactiver la restauration »
Termine par [Appliquer] [OK]




D)- Télécharger _OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
- Double-cliquer sur OTMoveIt.exe pour le lancer.

- Dans le cadre supérieur gauche de OTMoveIt2 : "Paste standard List of Files/Folders to be moved", faire un copier/coller de cette liste en gras:

C:\Documents and Settings\Léo_2\Application Data\SopCast
C:\Program Files\SopCast
C:\WINDOWS\system32\amvo1.dll
C:\WINDOWS\system32\amvo0.dll
c:\windows\system32\amvo.exe
C:\xp19.com
G:\cayfq2.cmd


Attention: La case Unregister Dll's and OCX's doit être cochée .
- Clique sur MoveIt! pour lancer la suppression.
-le résultat apparaitra dans le cadre "Results".
-clique sur "Exit" pour fermer.
- Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
Si c'est le cas accepte par Yes.
•- Le rapport se trouve via "Démarrer" > "Poste de travail" en C:\_OTMoveIt\MovedFiles; tu ouvres le dossier et tu trouveras le rapport à poster.




E)- Sélectionne (mettre en surbrillance) tout le texte en caractères gras suivant :

File::
C:\WINDOWS\system32\amvo1.dll
C:\WINDOWS\system32\amvo0.dll
c:\windows\system32\amvo.exe
C:\xp19.com
G:\cayfq2.cmd

Folder::
C:\Documents and Settings\Léo_2\Application Data\SopCast
C:\Program Files\SopCast

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f6bc98­c8-13fb-11da-bae4-0007cb0000ff}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{40b3a3­5a-9a6e-11db-beeb-0008d30734e4}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{779d73­8f-c5d8-11dc-81cd-0008d30734e4}]

Copie le texte sélectionné (CTRL+C) ==> en appuyant simultanément sur les touches CTRL et C.
Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
Colle (bien dans le coin supérieur gauche) ce texte dans ce bloc-notes (CTRL+V) ==> en appuyant simultanément sur les touches CTRL et V .
Sauvegarde (enregistre-le sur le bureau) sous le nom CFScript.txt
• Regarde ici < http://img225.imageshack.us/img225/6237/screenshot169qy8.png >

- Ensuite, dépose ce fichier texte sur l'application de ComboFix (icône rouge “ComboFix.exe” sur le bureau) en faisant un “glisser/déposer” de ce fichier “ CFScript.txt ” sur le fichier “ComboFix.exe” comme sur la capture: < http://img.photobucket.com/albums/v666/sUBs/CFScript.gif >
L'icône ComboFix.exe change alors de "brillance" dans sa couleur.
Un module s'affiche ==> clic sur" Exécuter"

Patiente le temps du scan.
Le bureau va disparaître à plusieurs reprises: c'est normal!

(CAUTION: Do not mouse-click ComboFix's window while it is running. = Ne touche à rien tant que le scan n'est pas terminé. That may cause it to stall.)

6°- Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur le forum.
Si le fichier n'apparaît pas, il se trouve ici > C:\ComboFix.txt

7°- Arrêter puis redémarrer le PC




F)- Ajoute ce diagnostic PC

a)- Supprime ta version actuelle de HijackThis via "Panneau de configuration" > "Ajout/Suppr. de programmes".

b)- Télécharge la version finale de Hijackthis (Trend Secure)
==> HijackThis™ 2.0 .2 < [ http://www.trendsecure.com/... ] > avec un installeur.
- Sur la page, choisis « Download HijackThis Installer » http://img265.imageshack.us/img265/4575/screenshot127sd3.png
et enregistre-le sur le bureau.
Tu dois voir une nouvelle icône « HJTInstall.exe » sur le bureau.

c)- Puis, double-clic sur le raccourci HJT créé sur le bureau, et clic sur "Do a system scan and save a logfile" pour lancer l'analyse.

d)- Tutoriel : < [ http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm ] >
ou http://bibou0007.forumpro.fr/tutos-f45/tutorial-de-hijackthis-v202-t108.htm

e)- Poste le rapport qui s'affiche dans un bloc-notes sur le bureau, dans ta prochaine réponse.




Bonne chance
Prends ton temps
merci
Al.

Slt, alors juste pour la phase A, en fait j'ai pas de disque externe, j'au juste le disque dur interne, et je n'ai rien fait de spécial, et j'ai pas de clef usb inféctés, je dois le re faire quand meme? Merci

au fait pour vider la quarantaine, je clique sur suprimer? restaurer? ou extraire? désolé, mais je suis vraiment mauvais en informatique

Voici le 1er rapport OTMoveIt:

C:\Documents and Settings\Léo_2\Application Data\SopCast\adv\clips moved successfully.
C:\Documents and Settings\Léo_2\Application Data\SopCast\adv moved successfully.
C:\Documents and Settings\Léo_2\Application Data\SopCast moved successfully.
C:\Program Files\SopCast\update\data moved successfully.
C:\Program Files\SopCast\update moved successfully.
C:\Program Files\SopCast\StreamServer\plugins moved successfully.
C:\Program Files\SopCast\StreamServer moved successfully.
C:\Program Files\SopCast\skin moved successfully.
C:\Program Files\SopCast\languages\sopcore moved successfully.
C:\Program Files\SopCast\languages moved successfully.
C:\Program Files\SopCast\CrashReport moved successfully.
C:\Program Files\SopCast\channellist moved successfully.
C:\Program Files\SopCast\cache moved successfully.
C:\Program Files\SopCast\adv\default moved successfully.
C:\Program Files\SopCast\adv\clips\EE067279-16A4-84A3-33F8-B273AB5A44F2 moved successfully.
C:\Program Files\SopCast\adv\clips\72B2951C-64B6-BE0D-0E10-4FE8371CD0A0 moved successfully.
C:\Program Files\SopCast\adv\clips\31782C35-DBC1-8615-F2CA-58D85AB03140 moved successfully.
C:\Program Files\SopCast\adv\clips\18CA426D-7B6D-2F41-FCE2-93B1157CCB67 moved successfully.
C:\Program Files\SopCast\adv\clips moved successfully.
C:\Program Files\SopCast\adv moved successfully.
C:\Program Files\SopCast\ActiveX moved successfully.
C:\Program Files\SopCast moved successfully.
File/Folder C:\WINDOWS\system32\amvo1.dll not found.
File/Folder C:\WINDOWS\system32\amvo0.dll not found.
File/Folder c:\windows\system32\amvo.exe not found.
File/Folder C:\xp19.com not found.
File/Folder G:\cayfq2.cmd not found.

OTMoveIt2 by OldTimer - Version 1.0.21 log created on 03192008_225445

HO!

A)- Voici ce que tu écrivais au début : « mais l'ouverture de mon disque dur, clef usb... est toujours délicate »
Maintenant tu me dis : « j'ai pas de clef usb inféctés »
Tu as donc une clé USB .
Donc fais ce qui est demandé, et durant toute la désinfection .
Merci.


B)- Ensuite tu lances toutes les applications que j'ai demandées .
Fais tout AVANT de passer au point ci-dessous. Merci.
Prends ton temps, je vais au lit bientôt.


C)- Je ne connais rien à AVAST que tu devrais remplacer par ANTIVIR; comme ceci (la quarantaine sera virée en même temps) :

1)- Télécharger ANTIVIR sur le site de l'éditeur pour avoir la dernière version qui est celle-ci pour xp: < http://www.free-av.com/down/windows/antivir_workstation_win7u_en_h.exe >
et qui prend en compte la case Rootkit.

TUTORIELS :
< http://www.astucesinternet.com/modules/news/article.php?storyid=253 > ==> enregistre-le sur ton bureau pour y accéder facilement.
- ou < http://www.malekal.com/tutorial_antivir.html >
- ou < http://www.libellules.ch/tuto_antivir.php >

2)- Désinstaller AVAST: <
http://www.avast.com/fre/avast-uninstall-utility.html >

3)- Attention, après le téléchargement, il faut se déconnecter du Net ( débrancher éventuellement le modem ) avant de lancer l'installation.

- Attention :
Sers-toi du tutoriel pour installer ANTIVIR,
http://www.vista-xp.fr/forum/topic227.html

4)- Procédure d'utilisation:
Après l'installation du programme et avant de lancer l'analyse, ...
...il faut redémarrer le PC en mode sans échec, comme ceci:
< http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 >

Lancer Antivir en Scan complet ( analyse avancée )
Poster le rapport SVP.
L'analyse:
- Lancer Antivir en Scan complet (analyse avancée) en faisant un click-droit sur l’icône d’Antivir dans la « barre des taches » en bas à droite (= Systray, à côté de l’horloge) puis clic sur « start Antivir »
- Cliquer sur l’onglet « scanner »
- Vérifier pour « RootKit search » et « Manuelle détection » (en développant avec la petite croix devant chacun d'eux) que tous les disques durs soient bien cochés, puis cliquer sur la loupe (en dessous de statut)
- Une fenêtre va s’ouvrir « Luke Filewalker »
- Le scan va démarrer.
- Mettre tout ce qu il trouve en "quarantine"

Le rapport:
Une fois le scan achevé, fermer les deux fenêtres d'Antivir et sauvegarder sur le bureau le rapport qui vient d'apparaître.
Redémarrer en mode normal puis poster le rapport d'Antivir (qui est sur le bureau).


Bonne chance
Al.

Oui c'est vrai désolé, j'avais oublié, en fait il s'agit d'un appareil photo, j'ai refait la procédure, maintenant mon disque dur et mon appareil photo numérique s'ouvre naturellement, je vais poursuivre le reste de la procédure, merci Bonne nuit a bientot

Voici le second rapport
OtMoveIt
File/Folder C:\Documents and Settings\Léo_2\Application Data\SopCast not found.
File/Folder C:\Program Files\SopCast not found.
File/Folder C:\WINDOWS\system32\amvo1.dll not found.
File/Folder C:\WINDOWS\system32\amvo0.dll not found.
File/Folder c:\windows\system32\amvo.exe not found.
File/Folder C:\xp19.com not found.
File/Folder G:\cayfq2.cmd not found.

OTMoveIt2 by OldTimer - Version 1.0.21 log created on 03192008_231757

Fais bien le CFSript pour ComboFix
C'est important
J'espère que tu as bien exécuté (avec clé USB = appareil photos numérique, connecté) l'outil Flash_Disinfector qui a pour mission de supprimer les fichiers "autorun.inf".

Merci
Al

Oui je l'ai bien fait, meme si je n'ai pas totalement compri le clique droit ouvrir, car quand je fait ça ça ne marche pas, je l'ai juste branché au moment ou ils me le demande, je pense que ça a marché car maintenant l'appareil photo s'ouvre correctement, voici le rapport combo Fix


ComboFix 08-03-18.1 - Léo_2 2008-03-19 23:34:22.4 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.188 [GMT 1:00]
Endroit: C:\Documents and Settings\Léo_2\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\LÚo_2\Bureau\CFScript.txt

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color
.

((((((((((((((((((((((((((((( Fichiers créés 2008-02-19 to 2008-03-19 ))))))))))))))))))))))))))))))))))))
.

2008-03-19 22:54 . 2008-03-19 22:54 <REP> d-------- C:\_OTMoveIt
2008-03-19 22:47 . 2008-03-19 22:47 101,291 --a------ C:\32e2.com
2008-03-16 21:30 . 2008-03-19 22:16 <REP> d-------- C:\Program Files\Windows Live Safety Center
2008-03-01 15:03 . 2008-03-01 15:03 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-03-01 15:03 . 2008-03-01 15:03 1,409 --a------ C:\WINDOWS\QTFont.for
2008-02-20 13:35 . 2008-02-20 13:44 <REP> d-------- C:\Program Files\PhotoFiltre

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-19 22:28 --------- d-----w C:\Program Files\eMule
2008-03-16 20:36 --------- d-----w C:\Program Files\TVAnts
2008-02-21 12:44 70,744 ----a-w C:\Documents and Settings\Léo_2\Application Data\GDIPFONTCACHEV1.DAT
2008-02-21 12:44 70,744 ----a-w C:\Documents and Settings\Léo_2\Application Data\GDIPFONTCACHEV1.DAT
2008-02-21 12:44 70,744 ----a-w C:\Documents and Settings\Léo_2\Application Data\GDIPFONTCACHEV1.DAT
2008-02-15 14:54 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\NASA
2008-02-15 14:54 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\NASA
2008-02-15 14:54 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\NASA
2008-02-15 12:42 --------- d-----w C:\Program Files\Google
2008-02-15 11:24 --------- d-----w C:\Program Files\NASA
2008-02-09 19:32 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-02-02 19:23 --------- d-----w C:\Program Files\NCH Software
2008-02-02 19:17 --------- d-----w C:\Program Files\NCH Swift Sound
2008-02-02 19:17 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\NCH Swift Sound
2008-02-02 19:17 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\NCH Swift Sound
2008-02-02 19:17 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\NCH Swift Sound
2008-02-02 19:17 --------- d-----w C:\Documents and Settings\All Users\Application Data\NCH Swift Sound
2007-10-25 11:29 5,632 -csha-w C:\Program Files\Thumbs.db
2007-06-10 19:48 1,163,592 -c--a-w C:\Program Files\install_flash_player.exe
2005-10-23 16:29 0 -c--a-w C:\Documents and Settings\Léo_2\Application Data\wklnhst.dat
2005-10-23 16:29 0 -c--a-w C:\Documents and Settings\Léo_2\Application Data\wklnhst.dat
2005-10-23 16:29 0 -c--a-w C:\Documents and Settings\Léo_2\Application Data\wklnhst.dat
2005-03-05 23:02 160,808,873 ----a-w C:\Program Files\AdobePhotoshopCS_Fr.zip
2005-01-19 22:58 1,256,444 ----a-w C:\Program Files\wrar342fr.exe
2005-01-19 22:56 7,741,336 ----a-w C:\Program Files\DivX521XP2K.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 08:59 204288]
"eMuleAutoStart"="C:\Program Files\eMule\emule.exe" [2007-05-13 15:57 5308416]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"farstone"="" []
"RestoreIT!"="C:\Program Files\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.exe" [2004-09-21 16:39 114688]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAudPropShortcut.exe" [2004-03-17 16:10 61952 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"Cmaudio"="cmicnfg.cpl" []
"fenaffiche"="C:\Program Files\FenAffiche\Fenpowernet.exe" [2004-07-23 09:43 49152]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-12-15 12:01 5513216]
"nwiz"="nwiz.exe" [2004-12-15 12:01 1490944 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2004-12-15 12:01 86016]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-01-19 23:48 180269]
"AGRSMMSG"="AGRSMMSG.exe" [2004-04-13 12:49 88363 C:\WINDOWS\AGRSMMSG.exe]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-02-28 23:06 155648]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2005-09-16 07:43 274432]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"AliceSAV"="C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe" [2005-12-16 16:57 81408]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
WiFi Station.lnk - C:\Program Files\Hercules\WiFi Station\WifiStation.exe [2008-01-07 12:21:58 650240]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Eidos\\CM 03-04\\cm0304.exe"=
"C:\\WINDOWS\\system32\\rtcshare.exe"=
"C:\\Program Files\\NetMeeting\\conf.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\TVAnts\\Tvants.exe"=

R0 RITCPT;RITCPT;C:\WINDOWS\system32\drivers\RITCPT.sys [2004-09-21 16:39]
R0 VVBackd5;VVBackd5;C:\WINDOWS\system32\drivers\VVBackd5.sys [2004-09-21 16:39]
R2 FBAPI;FBAPI;C:\WINDOWS\system32\drivers\FBAPI.sys [2004-09-21 16:39]
R3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys [2004-10-01 14:58]
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 22:08]
S2 NISDRV;NISDRV;C:\WINDOWS\system32\Drivers\NISDRV.SYS []
S3 adiusbae;USB ADSL LAN Adapter;C:\WINDOWS\system32\DRIVERS\adiusbae.sys []
S3 fbxusb;FreeBox USB Network Adapter;C:\WINDOWS\system32\DRIVERS\fbxusb.sys [2003-12-31 11:35]
S3 PsShutdownSvc;PsShutdown;C:\WINDOWS\System32\PSSDNSVC.EXE [2004-12-20 14:20]
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 21:58]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{40b3a35a-9a6e-11db-beeb-0008d30734e4}]
\Shell\AutoRun\command - G:\ta2.cmd
\Shell\explore\Command - G:\ta2.cmd
\Shell\open\Command - G:\ta2.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{779d738f-c5d8-11dc-81cd-0008d30734e4}]
\Shell\AutoRun\command - G:\22wcb21o.exe
\Shell\explore\Command - G:\22wcb21o.exe
\Shell\open\Command - G:\22wcb21o.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b9c5553b-53fe-11d9-aa3e-806d6172696f}]
\Shell\AutoRun\command - D:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ccba173b-5290-11d9-8ca1-806d6172696f}]
\Shell\AutoRun\command - D:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d171d1bb-5276-11d9-8426-806d6172696f}]
\Shell\AutoRun\command - D:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e43cd43b-527f-11d9-aee6-806d6172696f}]
\Shell\AutoRun\command - D:\setup.exe

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-03-19 22:35:00 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Program Files\Symantec\LiveUpdate\NDetect.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-19 23:36:54
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
AliceSAV = C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-03-19 23:37:26
ComboFix-quarantined-files.txt 2008-03-19 22:37:23
ComboFix2.txt 2008-03-19 22:24:44
ComboFix3.txt 2008-03-19 22:05:30
ComboFix4.txt 2008-03-19 20:54:48
.
2008-03-12 11:25:42 --- E O F ---

Oui je l'ai bien fait, meme si je n'ai pas totalement compri le clique droit ouvrir, car quand je fait ça ça ne marche pas, je l'ai juste branché au moment ou ils me le demande, je pense que ça a marché car maintenant l'appareil photo s'ouvre correctement, voici le rapport combo Fix


ComboFix 08-03-18.1 - Léo_2 2008-03-19 23:34:22.4 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.188 [GMT 1:00]
Endroit: C:\Documents and Settings\Léo_2\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\LÚo_2\Bureau\CFScript.txt

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color
.

((((((((((((((((((((((((((((( Fichiers créés 2008-02-19 to 2008-03-19 ))))))))))))))))))))))))))))))))))))
.

2008-03-19 22:54 . 2008-03-19 22:54 <REP> d-------- C:\_OTMoveIt
2008-03-19 22:47 . 2008-03-19 22:47 101,291 --a------ C:\32e2.com
2008-03-16 21:30 . 2008-03-19 22:16 <REP> d-------- C:\Program Files\Windows Live Safety Center
2008-03-01 15:03 . 2008-03-01 15:03 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-03-01 15:03 . 2008-03-01 15:03 1,409 --a------ C:\WINDOWS\QTFont.for
2008-02-20 13:35 . 2008-02-20 13:44 <REP> d-------- C:\Program Files\PhotoFiltre

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-19 22:28 --------- d-----w C:\Program Files\eMule
2008-03-16 20:36 --------- d-----w C:\Program Files\TVAnts
2008-02-21 12:44 70,744 ----a-w C:\Documents and Settings\Léo_2\Application Data\GDIPFONTCACHEV1.DAT
2008-02-21 12:44 70,744 ----a-w C:\Documents and Settings\Léo_2\Application Data\GDIPFONTCACHEV1.DAT
2008-02-21 12:44 70,744 ----a-w C:\Documents and Settings\Léo_2\Application Data\GDIPFONTCACHEV1.DAT
2008-02-15 14:54 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\NASA
2008-02-15 14:54 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\NASA
2008-02-15 14:54 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\NASA
2008-02-15 12:42 --------- d-----w C:\Program Files\Google
2008-02-15 11:24 --------- d-----w C:\Program Files\NASA
2008-02-09 19:32 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-02-02 19:23 --------- d-----w C:\Program Files\NCH Software
2008-02-02 19:17 --------- d-----w C:\Program Files\NCH Swift Sound
2008-02-02 19:17 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\NCH Swift Sound
2008-02-02 19:17 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\NCH Swift Sound
2008-02-02 19:17 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\NCH Swift Sound
2008-02-02 19:17 --------- d-----w C:\Documents and Settings\All Users\Application Data\NCH Swift Sound
2007-10-25 11:29 5,632 -csha-w C:\Program Files\Thumbs.db
2007-06-10 19:48 1,163,592 -c--a-w C:\Program Files\install_flash_player.exe
2005-10-23 16:29 0 -c--a-w C:\Documents and Settings\Léo_2\Application Data\wklnhst.dat
2005-10-23 16:29 0 -c--a-w C:\Documents and Settings\Léo_2\Application Data\wklnhst.dat
2005-10-23 16:29 0 -c--a-w C:\Documents and Settings\Léo_2\Application Data\wklnhst.dat
2005-03-05 23:02 160,808,873 ----a-w C:\Program Files\AdobePhotoshopCS_Fr.zip
2005-01-19 22:58 1,256,444 ----a-w C:\Program Files\wrar342fr.exe
2005-01-19 22:56 7,741,336 ----a-w C:\Program Files\DivX521XP2K.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 08:59 204288]
"eMuleAutoStart"="C:\Program Files\eMule\emule.exe" [2007-05-13 15:57 5308416]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"farstone"="" []
"RestoreIT!"="C:\Program Files\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.exe" [2004-09-21 16:39 114688]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAudPropShortcut.exe" [2004-03-17 16:10 61952 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"Cmaudio"="cmicnfg.cpl" []
"fenaffiche"="C:\Program Files\FenAffiche\Fenpowernet.exe" [2004-07-23 09:43 49152]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-12-15 12:01 5513216]
"nwiz"="nwiz.exe" [2004-12-15 12:01 1490944 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2004-12-15 12:01 86016]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-01-19 23:48 180269]
"AGRSMMSG"="AGRSMMSG.exe" [2004-04-13 12:49 88363 C:\WINDOWS\AGRSMMSG.exe]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-02-28 23:06 155648]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2005-09-16 07:43 274432]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"AliceSAV"="C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe" [2005-12-16 16:57 81408]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
WiFi Station.lnk - C:\Program Files\Hercules\WiFi Station\WifiStation.exe [2008-01-07 12:21:58 650240]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Eidos\\CM 03-04\\cm0304.exe"=
"C:\\WINDOWS\\system32\\rtcshare.exe"=
"C:\\Program Files\\NetMeeting\\conf.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\TVAnts\\Tvants.exe"=

R0 RITCPT;RITCPT;C:\WINDOWS\system32\drivers\RITCPT.sys [2004-09-21 16:39]
R0 VVBackd5;VVBackd5;C:\WINDOWS\system32\drivers\VVBackd5.sys [2004-09-21 16:39]
R2 FBAPI;FBAPI;C:\WINDOWS\system32\drivers\FBAPI.sys [2004-09-21 16:39]
R3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys [2004-10-01 14:58]
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 22:08]
S2 NISDRV;NISDRV;C:\WINDOWS\system32\Drivers\NISDRV.SYS []
S3 adiusbae;USB ADSL LAN Adapter;C:\WINDOWS\system32\DRIVERS\adiusbae.sys []
S3 fbxusb;FreeBox USB Network Adapter;C:\WINDOWS\system32\DRIVERS\fbxusb.sys [2003-12-31 11:35]
S3 PsShutdownSvc;PsShutdown;C:\WINDOWS\System32\PSSDNSVC.EXE [2004-12-20 14:20]
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 21:58]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{40b3a35a-9a6e-11db-beeb-0008d30734e4}]
\Shell\AutoRun\command - G:\ta2.cmd
\Shell\explore\Command - G:\ta2.cmd
\Shell\open\Command - G:\ta2.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{779d738f-c5d8-11dc-81cd-0008d30734e4}]
\Shell\AutoRun\command - G:\22wcb21o.exe
\Shell\explore\Command - G:\22wcb21o.exe
\Shell\open\Command - G:\22wcb21o.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b9c5553b-53fe-11d9-aa3e-806d6172696f}]
\Shell\AutoRun\command - D:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ccba173b-5290-11d9-8ca1-806d6172696f}]
\Shell\AutoRun\command - D:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d171d1bb-5276-11d9-8426-806d6172696f}]
\Shell\AutoRun\command - D:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e43cd43b-527f-11d9-aee6-806d6172696f}]
\Shell\AutoRun\command - D:\setup.exe

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-03-19 22:35:00 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Program Files\Symantec\LiveUpdate\NDetect.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-19 23:36:54
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
AliceSAV = C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-03-19 23:37:26
ComboFix-quarantined-files.txt 2008-03-19 22:37:23
ComboFix2.txt 2008-03-19 22:24:44
ComboFix3.txt 2008-03-19 22:05:30
ComboFix4.txt 2008-03-19 20:54:48
.
2008-03-12 11:25:42 --- E O F ---

Voila j'ai fait l'analyse avec hijackthis, Je te le poste maintenant, et enfin je vais installé antivir( enfin essayer lol ) Bonne nuit a bientôt, et encore merci pour ton aide, c'est vraiment sympa.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:46:03, on 19/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Hercules\WiFi Station\WifiStation.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aliceadsl.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [RestoreIT!] "C:\Program Files\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" VBStart
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [fenaffiche] C:\Program Files\FenAffiche\Fenpowernet.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: WiFi Station.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by127fd.bay127.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PsShutdown (PsShutdownSvc) - Systems Internals - C:\WINDOWS\System32\PSSDNSVC.EXE

Re,

A)- Peux-tu ouvrir CFScript.txt qui est sur le bureau, en faire un copier/coller, et me poster son contenu ?



B)- Ensuite, faire comme ceci:

Crée un "nouveau document texte".
Pour cela : clic-droit de souris sur un espace libre du bureau > "Nouveau" > "Document Texte" ( vers le bas du petit menu ).
Ouvre-le.
Dans "Format", veille à bien retirer la coche devant "Retour à la ligne automatique".

Copier/coller dedans ce qui est en caractères gras ci-dessous, ( copie tout d'une traite, y compris la ligne REGEDIT4 - avec un intervalle après REGEDIT4 -)
( attention: il faut bien coller dans l'extrême coin supérieur gauche !! )
Fais un retour chariot ( Entrée) après la dernière ligne.

REGEDIT4

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f6bc9­8­c8-13fb-11da-bae4-0007cb0000ff}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{40b3a­3­5a-9a6e-11db-beeb-0008d30734e4}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{779d7­3­8f-c5d8-11dc-81cd-0008d30734e4}]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"AliceSAV"=-
"farstone"=-
"fenaffiche"=-


Puis clic "fichier" > "enregistrer sous" > choisir " sur le bureau "
Dans "Nom du fichier" : taper par exemple " fix.reg "
Dans "Type de fichier" : choisir "tous les fichiers"
Clic sur [enregistrer]
L'icône de "fix.reg" doit ressembler à cela < http://img520.imageshack.us/img520/4251/screenshot005ps2.png >


Double-clique sur " fix.reg " (que tu as créé sur ton bureau ) pour l’exécuter => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?" Si c'est bien le cas, clique sur "oui "
Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte.

Arrête puis redémarre normalement le PC.



C)- Pour cette ligne:
O4 - HKLM\..\Run: [fenaffiche] C:\Program Files\FenAffiche\Fenpowernet.exe
Le logiciel en lui-même n'est pas infectueux.
Mais si tu ne sais pas à quoi il correspond, désinstalle-le, comme ceci :

1°- Désinstalle via "panneau de configuration" > "Ajout-suppression de programmes" ==> cherche FenAffiche dans la liste, et supprime-le (attention, rien d'autre !)

2°- Relance un scan HijackThis, clique sur "Do a system scan only" et coche la case devant les lignes:

O4 - HKLM\..\Run: [fenaffiche] C:\Program Files\FenAffiche\Fenpowernet.exe
O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe

Arrête tous les programmes en cours et ferme toutes les fenêtres, sauf HijackThis et clic sur "Fix Checked".
Aide en images ==> Fixer ligne avec HJT :< http://dcangeldark.blogspot.com/2008/02/hijackthis-202-corriger-des-lignes.html >

3°- Via "Démarrer" > "Poste de travail" > C:\Program Files\FenAffiche<---supprime le dossier en gras ici.



D)- Et relance l'analyse ComboFix normalement (sans le script).



Merci
Bonne nuit
Al.

bonjour, je viens de voir ton message, je vais le faire tout de suite, en attendant j'
ai bien installé antivir et fait l'analyse, j'ai du mettre quelques fichiers en quarantaine, voici le rapport de antivir :




AntiVir PersonalEdition Classic
Report file date: jeudi 20 mars 2008 12:56

Scanning for 1159073 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: Léo_2
Computer name: SHYNE

Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07/03/2008 23:15:46
ANTIVIR2.VDF : 7.0.3.3 2048 Bytes 07/03/2008 23:15:46
ANTIVIR3.VDF : 7.0.3.55 314368 Bytes 19/03/2008 23:15:46
AVEWIN32.DLL : 7.6.0.75 3334656 Bytes 19/03/2008 23:15:47
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
AVPACK32.DLL : 7.6.0.3 360488 Bytes 19/03/2008 23:15:48
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

Configuration settings for the scan:
Jobname..........................: Manual Selection
Configuration file...............: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: J:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: jeudi 20 mars 2008 12:56

Starting search for hidden objects.
The driver could not be initialized.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
11 processes with 11 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[NOTE] No virus was found!
Master boot sector HD1
[NOTE] No virus was found!
[WARNING] The boot sector file could not be read!
[WARNING] Error code: 0x0015
Master boot sector HD2
[NOTE] No virus was found!
[WARNING] The boot sector file could not be read!
[WARNING] Error code: 0x0015
Master boot sector HD3
[NOTE] No virus was found!
[WARNING] The boot sector file could not be read!
[WARNING] Error code: 0x0015
Master boot sector HD4
[NOTE] No virus was found!
[WARNING] The boot sector file could not be read!
[WARNING] Error code: 0x0015

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Boot sector 'F:\'
[NOTE] In the drive 'F:\' no data medium is inserted!
Boot sector 'H:\'
[NOTE] In the drive 'H:\' no data medium is inserted!
Boot sector 'I:\'
[NOTE] In the drive 'I:\' no data medium is inserted!
Boot sector 'J:\'
[NOTE] In the drive 'J:\' no data medium is inserted!

Starting to scan the registry.
The registry was scanned ( '35' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\32e2.com
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '4847513b.qua'!
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\4847513b.qua
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '48165159.qua'!
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\EverestPoker2.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[INFO] The file was moved to '484751b2.qua'!
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\EverestPoker3.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[INFO] The file was moved to '484751b3.qua'!
C:\Program Files\eMule\Temp\006.part
[0] Archive type: RAR
--> setup.exe
[DETECTION] Contains detection pattern of the worm WORM/P2P.Kapucen.Gen
[WARNING] An error has occurred and the file was not deleted. ErrorID: 16001
[WARNING] Failed!
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\131A490D.exe
[DETECTION] Is the Trojan horse TR/Dialer.MI.3
[INFO] The file was moved to '48136ced.qua'!
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\131D7309.exe
[DETECTION] Is the Trojan horse TR/Dialer.MI.3
[INFO] The file was moved to '48136cf0.qua'!
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\3E0F1365.exe
[DETECTION] Contains detection pattern of the worm WORM/RJUMP.D
[INFO] The file was moved to '48126d0a.qua'!
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\417209E5
[DETECTION] Is the Trojan horse TR/Agent.aox
[INFO] The file was moved to '48196cf7.qua'!
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\5C68764C.exe
[DETECTION] Contains a detection pattern of the (dangerous) backdoor program BDS/Optix.Pro.F Backdoor server programs
[INFO] The file was moved to '48186d0a.qua'!
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\60CD19D4
[DETECTION] Is the Trojan horse TR/Dialer.eg.7
[INFO] The file was moved to '48256cf8.qua'!
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\65483B91.exe
[DETECTION] Contains detection pattern of the worm WORM/RJUMP.D
[INFO] The file was moved to '48166d01.qua'!
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\7830617A.exe
[DETECTION] Contains detection pattern of the Java virus JAVA/Binny.A
[INFO] The file was moved to '48156d04.qua'!
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\78363573.exe
[DETECTION] Is the Trojan horse TR/Dialer.MI.3
[INFO] The file was moved to '48156d05.qua'!
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\788B7915.exe
[DETECTION] Is the Trojan horse TR/Dialer.MI.3
[INFO] The file was moved to '481a6d05.qua'!
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\788F2312.exe
[DETECTION] Is the Trojan horse TR/Dialer.MI.3
[INFO] The file was moved to '481a6d06.qua'!
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\79527A3A.exe
[DETECTION] Is the Trojan horse TR/Dialer.MI.3
[INFO] The file was moved to '48176d07.qua'!
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\79594E33.exe
[DETECTION] Is the Trojan horse TR/Dialer.MI.3
[INFO] The file was moved to '48176d08.qua'!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNING] The file could not be opened!
Begin scan in 'D:\' <080212_2351>
Begin scan in 'E:\'
Search path E:\ could not be opened!
Le périphérique n'est pas prêt.

Begin scan in 'F:\'
Search path F:\ could not be opened!
Le périphérique n'est pas prêt.

Begin scan in 'G:\'
Search path G:\ could not be opened!
Le chemin d'accès spécifié est introuvable.

Begin scan in 'H:\'
Search path H:\ could not be opened!
Le périphérique n'est pas prêt.

Begin scan in 'I:\'
Search path I:\ could not be opened!
Le périphérique n'est pas prêt.

Begin scan in 'J:\'
Search path J:\ could not be opened!
Le périphérique n'est pas prêt.



End of the scan: jeudi 20 mars 2008 16:26
Used time: 3:30:16 min

The scan has been done completely.

6678 Scanning directories
224088 Files were scanned
16 viruses and/or unwanted programs were found
2 Files were classified as suspicious:
0 files were deleted
0 files were repaired
17 files were moved to quarantine
0 files were renamed
2 Files cannot be scanned
224072 Files not concerned
7111 Archives were scanned
3 Warnings
0 Notes

Voici mon texte CFScript que j'ai sur mon bureau

File::
C:\WINDOWS\system32\amvo1.dll
C:\WINDOWS\system32\amvo0.dll
c:\windows\system32\amvo.exe
C:\xp19.com
G:\cayfq2.cmd

Folder::
C:\Documents and Settings\Léo_2\Application Data\SopCast
C:\Program Files\SopCast

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f6bc9­8­c8-13fb-11da-bae4-0007cb0000ff}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{40b3a­3­5a-9a6e-11db-beeb-0008d30734e4}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{779d7­3­8f-c5d8-11dc-81cd-0008d30734e4}]


Concernant fenaffiche je ne sais pas a quoi ça correspond, mais je crois que ça a toujours était dans mon PC, mon pc est de marque powernet...

Voici mon dernier rapport combo fix sans le script


ComboFix 08-03-18.1 - Léo_2 2008-03-20 19:48:50.5 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.206 [GMT 1:00]
Endroit: C:\Documents and Settings\Léo_2\Bureau\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color
.

((((((((((((((((((((((((((((( Fichiers créés 2008-02-20 to 2008-03-20 ))))))))))))))))))))))))))))))))))))
.

2008-03-20 00:10 . 2008-03-20 00:10 <REP> d-------- C:\Program Files\Avira
2008-03-20 00:10 . 2008-03-20 00:10 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-03-19 23:45 . 2008-03-19 23:45 <REP> d-------- C:\Program Files\Trend Micro
2008-03-19 22:54 . 2008-03-19 22:54 <REP> d-------- C:\_OTMoveIt
2008-03-16 21:30 . 2008-03-20 18:47 <REP> d-------- C:\Program Files\Windows Live Safety Center
2008-03-01 15:03 . 2008-03-01 15:03 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-03-01 15:03 . 2008-03-01 15:03 1,409 --a------ C:\WINDOWS\QTFont.for
2008-02-20 13:35 . 2008-02-20 13:44 <REP> d-------- C:\Program Files\PhotoFiltre

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-20 18:38 --------- d-----w C:\Program Files\eMule
2008-03-16 20:36 --------- d-----w C:\Program Files\TVAnts
2008-02-21 12:44 70,744 ----a-w C:\Documents and Settings\Léo_2\Application Data\GDIPFONTCACHEV1.DAT
2008-02-21 12:44 70,744 ----a-w C:\Documents and Settings\Léo_2\Application Data\GDIPFONTCACHEV1.DAT
2008-02-21 12:44 70,744 ----a-w C:\Documents and Settings\Léo_2\Application Data\GDIPFONTCACHEV1.DAT
2008-02-15 14:54 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\NASA
2008-02-15 14:54 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\NASA
2008-02-15 14:54 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\NASA
2008-02-15 12:42 --------- d-----w C:\Program Files\Google
2008-02-15 11:24 --------- d-----w C:\Program Files\NASA
2008-02-09 19:32 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-02-02 19:23 --------- d-----w C:\Program Files\NCH Software
2008-02-02 19:17 --------- d-----w C:\Program Files\NCH Swift Sound
2008-02-02 19:17 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\NCH Swift Sound
2008-02-02 19:17 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\NCH Swift Sound
2008-02-02 19:17 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\NCH Swift Sound
2008-02-02 19:17 --------- d-----w C:\Documents and Settings\All Users\Application Data\NCH Swift Sound
2007-10-25 11:29 5,632 -csha-w C:\Program Files\Thumbs.db
2007-06-10 19:48 1,163,592 -c--a-w C:\Program Files\install_flash_player.exe
2005-10-23 16:29 0 -c--a-w C:\Documents and Settings\Léo_2\Application Data\wklnhst.dat
2005-10-23 16:29 0 -c--a-w C:\Documents and Settings\Léo_2\Application Data\wklnhst.dat
2005-10-23 16:29 0 -c--a-w C:\Documents and Settings\Léo_2\Application Data\wklnhst.dat
2005-03-05 23:02 160,808,873 ----a-w C:\Program Files\AdobePhotoshopCS_Fr.zip
2005-01-19 22:58 1,256,444 ----a-w C:\Program Files\wrar342fr.exe
2005-01-19 22:56 7,741,336 ----a-w C:\Program Files\DivX521XP2K.exe
.

((((((((((((((((((((((((((((( snapshot@2008-03-19_21.54.35,70 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-08-09 12:04:11 40,768 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys
+ 2007-07-18 13:22:19 21,312 ----a-w C:\WINDOWS\system32\drivers\avgntmgr.sys
+ 2008-03-19 23:15:49 61,632 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys
+ 2007-03-01 09:34:36 28,352 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 08:59 204288]
"eMuleAutoStart"="C:\Program Files\eMule\emule.exe" [2007-05-13 15:57 5308416]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RestoreIT!"="C:\Program Files\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.exe" [2004-09-21 16:39 114688]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAudPropShortcut.exe" [2004-03-17 16:10 61952 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"Cmaudio"="cmicnfg.cpl" []
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-12-15 12:01 5513216]
"nwiz"="nwiz.exe" [2004-12-15 12:01 1490944 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2004-12-15 12:01 86016]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-01-19 23:48 180269]
"AGRSMMSG"="AGRSMMSG.exe" [2004-04-13 12:49 88363 C:\WINDOWS\AGRSMMSG.exe]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-02-28 23:06 155648]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2005-09-16 07:43 274432]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-20 00:15 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
WiFi Station.lnk - C:\Program Files\Hercules\WiFi Station\WifiStation.exe [2008-01-07 12:21:58 650240]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Eidos\\CM 03-04\\cm0304.exe"=
"C:\\WINDOWS\\system32\\rtcshare.exe"=
"C:\\Program Files\\NetMeeting\\conf.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\TVAnts\\Tvants.exe"=

R0 RITCPT;RITCPT;C:\WINDOWS\system32\drivers\RITCPT.sys [2004-09-21 16:39]
R0 VVBackd5;VVBackd5;C:\WINDOWS\system32\drivers\VVBackd5.sys [2004-09-21 16:39]
R2 FBAPI;FBAPI;C:\WINDOWS\system32\drivers\FBAPI.sys [2004-09-21 16:39]
R3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys [2004-10-01 14:58]
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 22:08]
S2 NISDRV;NISDRV;C:\WINDOWS\system32\Drivers\NISDRV.SYS []
S3 adiusbae;USB ADSL LAN Adapter;C:\WINDOWS\system32\DRIVERS\adiusbae.sys []
S3 fbxusb;FreeBox USB Network Adapter;C:\WINDOWS\system32\DRIVERS\fbxusb.sys [2003-12-31 11:35]
S3 PsShutdownSvc;PsShutdown;C:\WINDOWS\System32\PSSDNSVC.EXE [2004-12-20 14:20]
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 21:58]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{40b3a35a-9a6e-11db-beeb-0008d30734e4}]
\Shell\AutoRun\command - G:\ta2.cmd
\Shell\explore\Command - G:\ta2.cmd
\Shell\open\Command - G:\ta2.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{779d738f-c5d8-11dc-81cd-0008d30734e4}]
\Shell\AutoRun\command - G:\22wcb21o.exe
\Shell\explore\Command - G:\22wcb21o.exe
\Shell\open\Command - G:\22wcb21o.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b9c5553b-53fe-11d9-aa3e-806d6172696f}]
\Shell\AutoRun\command - D:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ccba173b-5290-11d9-8ca1-806d6172696f}]
\Shell\AutoRun\command - D:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d171d1bb-5276-11d9-8426-806d6172696f}]
\Shell\AutoRun\command - D:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e43cd43b-527f-11d9-aee6-806d6172696f}]
\Shell\AutoRun\command - D:\setup.exe

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-03-20 18:50:00 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Program Files\Symantec\LiveUpdate\NDetect.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-20 19:51:32
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-03-20 19:52:04
ComboFix-quarantined-files.txt 2008-03-20 18:52:01
ComboFix2.txt 2008-03-19 22:37:27
ComboFix3.txt 2008-03-19 22:24:44
ComboFix4.txt 2008-03-19 22:05:30
ComboFix5.txt 2008-03-19 20:54:48
.
2008-03-12 11:25:42 --- E O F ---