Posez votre question Format imprimable Liste des forums Aidez-les Statistiques Rechercher Charte Forum Virus-Sécurité

Ver sasser

Dernière réponse le 5 nov 2008 à 19:20:02 matthieub, le 29 oct 2008 à 16:52:12

Signaler ce message aux modérateurs

Bonjour,
il me semble étre infecter par le ver sasser.
Symptome: redémarage de l'ordi dans 1 min, impossible de accéder au gestionnaire des taches, impossible de instaler le sp3 et le sp2 de windows xp avec un msg d'erreur ftp.exe est utilisé un truc du genre, impossible de accéder au gestionnaire de périférique...
j'ai télécherger un kit de désinfection fx sasser mais il ne me trouve rien
http://www.secuser.com/alertes/2004/sasser.htm
merci de m'aider svp se serais gentil

Meilleures réponses pour « ver sasser » dans :

Ver sasser (Résolu) Voir

Ver Sasser erreur lsass.exe Voir

Sasser-A (Résolu) Voir

Blaster et Sasser : Eviter le redémarrage intempestif VoirLors d'une infection par les virus Blaster ou Sasser, l'ordinateur affiche le message d'erreur suivant : Generic host process for win32 services à rencontré un problème et doit fermer Ceci s'accompagne généralement du message suivant, puis du...

Comment supprimer le virus Beagle/Bagle ? VoirLe malware Bagle est en réalité un ver informatique se propageant essentiellement par les logiciels P2P et via de faux cracks (= logiciels piratés !), ainsi que par mail. L'internaute croyant télécharger un crack pour un logiciel en faisant une...

Ver sasser ou un de ses copains ? Voir

Infection par le ver sasser Voir

Piratage sur MSN ! Est ce Possible ? (Résolu) Voir

Virtua Striker 3 - Ver. 2002 Voir

Isass - isass.exe Voirisass - isass.exe La présence du processus isass.exe (isass) peut indiquer la présence du ver Sasser (W32.Sasser.Worm ou Win32/Sasser). Comment se débarasser de isass.exe ? Voici une liste de pointeurs pour vous aider à désinfecter votre machine...

Skynetave - skynetave.exe Voirskynetave - skynetave.exe La présence du processus skynetave.exe (skynetave) peut indiquer la présence du ver Sasser (W32.Sasser.Worm ou Win32/Sasser). Comment se débarasser de skynetave.exe ? Voici une liste de pointeurs pour vous aider à...

Le ver Blaster / LovSan VoirPrésentation du ver LovSan Apparu durant l'été 2003, le ver LovSan (connu également sous les noms W32/Lovsan.worm, W32/Lovsan.worm.b, W32.Blaster.Worm, W32/Blaster-B, WORM_MSBLAST.A, MSBLASTER, Win32.Poza, Win32.Posa.Worm, Win32.Poza.B) est le...

Posez votre question Répondre

sherred, le 29 oct 2008 à 16:56:14

Tu a essayer le sans echec avec reseau toutes règles absolues est vrai , jusqu'à son contraire ...(sherred)

Répondre à sherred

matthieub, le 29 oct 2008 à 16:56:57

Je vien de voir quil pourrai aussi sagire du virus blaster
je fait un scan avec le kit de désinfection

Répondre à matthieub

matthieub, le 29 oct 2008 à 17:03:47

Pareil il ne trouve rien
aidez moi svp

Répondre à matthieub

anthony5151, le 29 oct 2008 à 17:07:12

Bonjour

Pour empêcher provisoirement le redémarrage :
Démarrer >> Exécuter >> tape shutdown -a (respecte les espaces) et valide

Ensuite, télécharge hijackthis (logiciel de diagnostique) sur ton bureau : http://www.commentcamarche.net/telecharger/telecharger-159-hijackthis

Installe le, lance le et clique sur "Do a system scan and save a logfile".
Fais un copier-coller du rapport entier sur le forum

Même si les symptômes disparaissent, la désinfection n'est pas finie !
==> Revenez pour suivre les procédures de désinfection jusqu'au bout svp

Répondre à anthony5151

matthieub, le 29 oct 2008 à 17:25:36

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:25:02, on 29/10/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\drivers\winlogon.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\WINDOWS\System32\dllcache\wintcps.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Documents and Settings\gerard\Bureau\FxGaobot.exe
C:\Documents and Settings\gerard\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\system32\drivers\winlogon.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [VTkMgr.exe] C:\WINDOWS\pchealth\helpctr\binaries\VTkMgr.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [winlogon.exe] C:\WINDOWS\system32\drivers\winlogon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://fichiers.touslesdrivers.com/...
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: Microsoft Windows TCP Protocol - Unknown owner - C:\WINDOWS\System32\dllcache\wintcps.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
End of file - 5034 bytes

Répondre à matthieub

matthieub, le 29 oct 2008 à 17:38:33

http://matimati14.ifrance.com/index.php?file=./public/Sans titre.bmp
tien voila se qui arrive souvent quand je fait des scan ou autre manipulation de recherche

Répondre à matthieub

anthony5151, le 30 oct 2008 à 01:08:49

Télécharge MSNFix.zip (de !aur3n7) sur ton bureau : http://sosvirus.changelog.fr/MSNFix.zip

Décompresse-le (clic droit >> Extraire ici) et double clique sur le fichier MSNFix.bat.
- Exécute l'option R.
- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage.

Note : Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal

--> Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

Tutoriel en image : http://www.malekal.com/tutorial_MSNFix.php

Ensuite, télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

• Puis, ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur une touche pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau rapport Hijackthis !

Même si les symptômes disparaissent, la désinfection n'est pas finie !
==> Revenez pour suivre les procédures de désinfection jusqu'au bout svp

Répondre à anthony5151

matthieub, le 30 oct 2008 à 13:36:33

Voila ra rapport

[b]SDFix: Version 1.238 /b
Run by gerard on 30/10/2008 at 12:20

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services /b:

Restoring Default Security Values
Restoring Default Hosts File
msconfig.exe restored from dllcache

Rebooting

[b]Checking Files /b:

Trojan Files Found:

C:\WINDOWS\SYSTEM32\FTPUPD.EXE - Deleted
C:\WINDOWS\SYSTEM32\XJF.EXE - Deleted

Removing Temp Files

[b]ADS Check /b:

[b]Final Check /b:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-30 12:23:38
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

[b]Remaining Services /b:

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[b]Remaining Files /b:

File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes /b:

Mon 7 Jul 2008 1,429,840 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon 7 Jul 2008 4,891,472 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Mon 7 Jul 2008 2,156,368 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Thu 30 Oct 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\021650212ba71899000e8e7db98ccffd\BIT12.tmp"
Thu 30 Oct 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\126216e1ea5a965d65b4b02390ca8357\BITB.tmp"
Thu 30 Oct 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\1e10da77e5e1c72d2afe101dc568fb06\BITE.tmp"
Thu 30 Oct 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\773244b80a35d887f4682727f34cdcce\BITC.tmp"
Thu 30 Oct 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\8aba0967f899f346d112e436c1f1b5c7\BIT11.tmp"
Thu 30 Oct 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\8d1a5116292bdd704934de7b731c8baf\BIT9.tmp"
Fri 28 Jul 2006 152,485 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\abca9e2bf0dd5e18df937d2b7f598387\BIT7.tmp"
Thu 30 Oct 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\b81252ef70e0d4f53d4fb43336030927\BIT8.tmp"
Thu 30 Oct 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\bcf43750f65e2545bf6ed144f7e38323\BITF.tmp"
Fri 2 Jun 2006 153,100 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\e17d2630592b6b8b86888b3ce879a3ab\BIT6.tmp"
Mon 7 Feb 2005 1,076,448 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\e55ba0880fe5970e8f7b6dd3f6c6d103\BIT5.tmp"
Thu 30 Oct 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\eb96ceab77261e76cdbe943d8cf8e4cc\BITD.tmp"
Thu 30 Oct 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\eb9fda4f2f8a691ab294ebfcbb58c737\BITA.tmp"
Thu 30 Oct 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\fa7f963668fe10ab54e5d66e86408298\BIT10.tmp"

[b]Finished!/b

et la le rapport hijack
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:35:23, on 30/10/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\gerard\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://fichiers.touslesdrivers.com/...
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
End of file - 3975 bytes

mais le virus ma laire partit
vraiment merci
sa ma épargné la réinstalle compléte de l'ordi!

Répondre à matthieub

anthony5151, le 31 oct 2008 à 00:37:02

ATTENDS ! Ce n'est pas fini...

D'abord, pour vérifier qu'il n'y a plus d'infection :

Télécharge et installe Malwarebytes' Anti-Malware
- A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
- Lance MBAM, laisse les Mises à jour se télécharger et referme le programme

Redémarre en "Mode sans échec" : redémarre ton ordinateur et tapote sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows, et sélectionne "Mode sans échec". Choisis ta session habituelle

Lance MBAM
- Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
- Sélectionne tes disques durs" puis clique sur "Lancer l’examen"
- A la fin du scan, clique sur Afficher les résultats
- Coche tous les éléments détectés puis clique sur Supprimer la sélection
- Enregistre le rapport
- S'il t'est demandé de redémarrer, clique sur Yes

Poste le rapport de scan après la suppression ici

Ensuite, si tu ne veux pas attraper à nouveau une infection, il va falloir faire plusieurs choses ! Sinon tu vas revenir dans deux jours avec la même infection...

Même si les symptômes disparaissent, la désinfection n'est pas finie !
==> Revenez pour suivre les procédures de désinfection jusqu'au bout svp

Répondre à anthony5151

matthieub, le 31 oct 2008 à 13:12:13

Alors voila le log créer après le nétoyage!
Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1343
Windows 5.1.2600 Service Pack 3

31/10/2008 13:05:06
mbam-log-2008-10-31 (13-05-06).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 74326
Temps écoulé: 37 minute(s), 31 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 27

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msconfig (Backdoor.Bot) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\gerard\Application Data\Desktopicon\eBayShortcuts.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP14\A0003241.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP14\A0003242.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP15\A0003270.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP15\A0003271.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP16\A0003330.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP17\A0003344.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP17\A0003345.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP17\A0003352.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP17\A0003356.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP17\A0003357.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP17\A0005252.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP17\A0005254.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP17\A0005255.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP18\A0005280.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP18\A0006280.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP18\A0006312.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP18\A0006313.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP19\A0006426.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP19\A0006427.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP19\A0006428.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP19\A0006429.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP19\A0006430.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP19\A0006474.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP21\A0013921.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{077E7E75-159C-4EE3-85BC-B5B8B1F3C4BF}\RP21\A0014008.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\PCHealth\HelpCtr\Binaries\msconfig.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

si sa peut te servire je te remais un log kijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:11:03, on 31/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Documents and Settings\gerard\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\gerard\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\gerard\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\gerard\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\gerard\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://fichiers.touslesdrivers.com/...
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
End of file - 4582 bytes

sinon tu va me décrire la précédure à faire pour ne pas revenir tous les deux jours comme tu a si bien dis!

Répondre à matthieub

anthony5151, le 31 oct 2008 à 16:36:24

Je vois que beaucoup de choses ont changé sur ton ordinateur :) Tu as apparemment mis Windows à jour, c'est une excellente chose ;) Je vois aussi que tu as installé AVG : est-ce que cette version intègre un pare-feu ?

Par contre, comme je le pensais, ton ordinateur est encore infecté : on va utiliser Combofix pour finir la désinfection. Attention, ce logiciel est très puissant, une mauvaise utilisation peut faire des dégâts...

Fais exactement ce qui suit :

Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :
Fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix, choisis le bureau comme destination et valide : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu) le temps de la manipulation : en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!

Dans ton cas, il s'agit d'AVG uniquement.

---> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre...

Tuto ici : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
Double-clique sur C-Fix.exe (= combofix.exe ) .

Appuie sur une touche pour démarrer le scan .

Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer

Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp

Même si les symptômes disparaissent, la désinfection n'est pas finie !
==> Revenez pour suivre les procédures de désinfection jusqu'au bout svp

Répondre à anthony5151

matthieub, le 31 oct 2008 à 18:03:28

ComboFix 08-10-30.13 - gerard 2008-10-31 17:49:35.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.625 [GMT 1:00]
Lancé depuis: C:\Documents and Settings\gerard\Bureau\C-Fix.exe
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_MICROSOFT_WINDOWS_TCP_PROTOCOL

((((((((((((((((((((((((((((( Fichiers créés du 2008-09-28 au 2008-10-31 ))))))))))))))))))))))))))))))))))))
.

2008-10-31 16:33 . 2008-10-31 16:33 <REP> d-------- C:\Program Files\Real
2008-10-31 16:33 . 2008-10-31 16:33 <REP> d-------- C:\Program Files\Fichiers communs\xing shared
2008-10-31 16:33 . 2008-10-31 16:33 <REP> d-------- C:\Program Files\Fichiers communs\Real
2008-10-31 16:33 . 2008-10-31 16:33 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2008-10-31 16:24 . 2008-10-31 16:24 <REP> d-------- C:\Documents and Settings\gerard\Application Data\vlc
2008-10-31 16:23 . 2008-10-31 16:23 <REP> d-------- C:\Program Files\VideoLAN
2008-10-31 11:19 . 2008-10-31 11:19 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-10-31 11:19 . 2008-10-31 11:19 <REP> d-------- C:\Documents and Settings\gerard\Application Data\Malwarebytes
2008-10-31 11:19 . 2008-10-31 11:19 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-10-31 11:19 . 2008-10-22 16:10 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-31 11:19 . 2008-10-22 16:10 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-30 18:49 . 2008-10-30 18:49 <REP> d-------- C:\Program Files\Auslogics
2008-10-30 18:49 . 2008-10-30 18:49 <REP> d-------- C:\Documents and Settings\gerard\Application Data\Auslogics
2008-10-30 15:37 . 2008-10-31 13:35 <REP> d--h----- C:\$AVG8.VAULT$
2008-10-30 15:05 . 2008-10-31 11:19 <REP> d-------- C:\WINDOWS\system32\drivers\Avg
2008-10-30 15:05 . 2008-10-30 15:05 97,928 --a------ C:\WINDOWS\system32\drivers\avgldx86.sys
2008-10-30 15:05 . 2008-10-30 15:05 76,040 --a------ C:\WINDOWS\system32\drivers\avgtdix.sys
2008-10-30 15:05 . 2008-10-30 15:05 10,520 --a------ C:\WINDOWS\system32\avgrsstx.dll
2008-10-30 15:04 . 2008-10-30 15:04 <REP> d-------- C:\Program Files\AVG
2008-10-30 15:04 . 2008-10-30 15:04 <REP> d-------- C:\Documents and Settings\All Users\Application Data\avg8
2008-10-30 14:03 . 2008-10-30 15:05 8,192 --a------ C:\Documents and Settings\ADMINI~1
2008-10-30 13:09 . 2008-10-30 13:13 <REP> d-------- C:\WINDOWS\ServicePackFiles
2008-10-30 13:09 . 2008-04-13 19:33 33,792 -----c--- C:\WINDOWS\system32\dllcache\custsat.dll
2008-10-30 13:04 . 2008-04-13 11:23 404,990 --------- C:\WINDOWS\system32\drivers\slntamr.sys
2008-10-30 12:19 . 2008-10-30 12:19 <REP> d-------- C:\WINDOWS\ERUNT
2008-10-30 12:15 . 2008-10-30 12:25 <REP> d-------- C:\SDFix
2008-10-29 19:14 . 2008-10-29 19:14 <REP> d-------- C:\Documents and Settings\LocalService\Menu Démarrer
2008-10-29 19:04 . 2008-10-30 13:27 316,640 --a------ C:\WINDOWS\WMSysPr9.prx
2008-10-29 19:04 . 2008-04-13 19:33 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-10-29 19:03 . 2008-10-29 19:03 <REP> d-------- C:\WINDOWS\provisioning
2008-10-29 19:03 . 2008-10-30 13:12 <REP> d-------- C:\WINDOWS\peernet
2008-10-29 18:50 . 2008-10-30 13:13 <REP> d-------- C:\WINDOWS\EHome
2008-10-29 18:47 . 2008-10-29 18:49 <REP> d-------- C:\Program Files\Unlocker
2008-10-29 18:47 . 2008-10-31 13:05 <REP> d-------- C:\Documents and Settings\gerard\Application Data\Desktopicon
2008-10-29 17:40 . 2008-10-29 17:40 <REP> d-------- C:\Program Files\Glary Utilities
2008-10-29 17:40 . 2008-10-29 17:40 <REP> d-------- C:\Documents and Settings\gerard\Application Data\GlarySoft
2008-10-29 17:07 . 2004-03-10 19:01 608,256 -----c--- C:\WINDOWS\system32\dllcache\xpsp2res.dll
2008-10-29 17:07 . 2004-01-10 06:11 26,112 --a------ C:\WINDOWS\system32\xpsp1hfm.exe
2008-10-29 16:54 . 2008-10-29 16:54 <REP> d-------- C:\WINDOWS\report
2008-10-29 16:54 . 2008-10-29 16:51 20,682,137 --a------ C:\WINDOWS\LPT$VPN.627
2008-10-29 16:51 . 2008-10-29 16:51 <REP> d-------- C:\WINDOWS\AU_Backup
2008-10-29 16:51 . 2008-10-29 16:51 20,682,137 --a------ C:\WINDOWS\VPTNFILE.627
2008-10-29 16:51 . 2008-10-29 16:51 1,960,798 --a------ C:\WINDOWS\tsc.ptn
2008-10-29 16:51 . 2008-10-29 16:51 1,213,784 --a------ C:\WINDOWS\vsapi32.dll
2008-10-29 16:51 . 2008-10-29 16:51 348,229 --a------ C:\WINDOWS\tsc.exe
2008-10-29 16:51 . 2008-10-29 16:51 91,744 --a------ C:\WINDOWS\BPMNT.dll
2008-10-29 16:51 . 2008-10-29 16:51 71,749 --a------ C:\WINDOWS\hcextoutput.dll
2008-10-29 16:51 . 2008-10-29 17:13 823 --a------ C:\WINDOWS\tsc.ini
2008-10-29 16:42 . 2008-10-29 16:51 <REP> d-------- C:\WINDOWS\AU_Temp
2008-10-29 16:42 . 2008-10-29 16:42 <REP> d-------- C:\WINDOWS\AU_Log
2008-10-29 16:42 . 2008-10-29 16:42 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL
2008-10-29 16:42 . 2008-10-29 16:42 286,720 --a------ C:\WINDOWS\PATCH.EXE
2008-10-29 16:42 . 2008-10-29 16:42 69,689 --a------ C:\WINDOWS\UNZIP.DLL
2008-10-29 16:42 . 2008-10-29 16:42 170 --a------ C:\WINDOWS\GetServer.ini
2008-10-29 16:12 . 2008-10-29 16:12 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-10-29 16:12 . 2008-10-30 20:49 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-10-29 12:17 . 2008-10-29 12:17 <REP> d-------- C:\WINDOWS\Sun
2008-10-29 09:50 . 2008-10-29 09:51 <REP> d-------- C:\Program Files\Fichiers communs\Adobe
2008-10-28 20:58 . 2008-10-28 20:58 <REP> d-------- C:\Program Files\ma-config.com
2008-10-28 20:58 . 2008-10-28 20:58 <REP> d-------- C:\Documents and Settings\All Users\Application Data\ma-config.com
2008-10-28 20:24 . 2008-10-28 20:24 <REP> d-------- C:\Program Files\CCleaner
2008-10-28 20:12 . 2008-10-28 20:12 <REP> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-10-28 20:04 . 2008-10-30 12:37 <REP> d--h----- C:\WINDOWS\$hf_mig$
2008-10-28 20:01 . 2008-10-30 13:12 <REP> d-------- C:\WINDOWS\system32\bits
2008-10-28 20:00 . 2008-10-28 20:00 <REP> d-------- C:\Documents and Settings\gerard\Application Data\OpenOffice.org
2008-10-28 19:56 . 2008-10-28 19:56 <REP> d-------- C:\Documents and Settings\All Users\Application Data\NVIDIA
2008-10-28 19:48 . 2008-10-28 19:48 0 --a------ C:\WINDOWS\nsreg.dat
2008-10-28 19:45 . 2008-10-28 19:45 <REP> d-------- C:\Program Files\OpenOffice.org 3
2008-10-28 19:45 . 2008-10-28 19:45 <REP> d-------- C:\Program Files\JRE
2008-10-28 19:45 . 2007-07-30 19:19 549,720 --a------ C:\WINDOWS\system32\wuapi.dll
2008-10-28 19:45 . 2007-07-30 19:19 325,976 --a------ C:\WINDOWS\system32\wucltui.dll
2008-10-28 19:45 . 2007-07-30 19:19 216,408 --a------ C:\WINDOWS\system32\wuaucpl.cpl
2008-10-28 19:45 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\system32\wups2.dll
2008-10-28 19:45 . 2007-07-30 19:19 38,232 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-10-28 19:45 . 2007-07-30 19:18 33,624 --a------ C:\WINDOWS\system32\wups.dll
2008-10-28 19:45 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-10-28 19:45 . 2007-07-30 19:19 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-10-28 19:45 . 2007-07-30 19:18 21,336 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2008-10-28 19:44 . 2008-10-28 19:44 <REP> d-------- C:\Program Files\Java
2008-10-28 19:44 . 2008-10-28 19:44 <REP> d-------- C:\Program Files\Fichiers communs\Java
2008-10-28 19:44 . 2008-10-28 19:44 <REP> d---s---- C:\Documents and Settings\gerard\UserData
2008-10-28 19:44 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-10-28 19:42 . 2008-10-28 19:42 <REP> d-------- C:\Program Files\K-Lite Codec Pack
2008-10-28 19:36 . 2001-09-12 16:21 114,744 --a------ C:\WINDOWS\system32\hpzlnt04.dll
2008-10-28 19:36 . 2008-10-28 19:36 800 --a------ C:\WINDOWS\hpinfo.lnk
2008-10-28 19:35 . 2008-10-28 19:35 376 --a------ C:\WINDOWS\mozregistry.dat
2008-10-28 19:33 . 2008-10-28 19:36 <REP> d-------- C:\Program Files\hp deskjet 845c series
2008-10-28 19:33 . 2008-10-28 19:34 <REP> d-------- C:\Program Files\Hewlett-Packard
2008-10-28 19:30 . 2004-10-20 14:23 21,344 -ra------ C:\WINDOWS\system32\drivers\fbxusb32.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-28 17:15 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-10-28 17:15 --------- d-----w C:\Program Files\AMD
2008-10-28 17:12 315,392 ----a-w C:\WINDOWS\HideWin.exe
2008-10-28 17:12 --------- d-----w C:\Program Files\Realtek
2008-10-28 17:12 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-10-28 17:05 --------- d-----w C:\Documents and Settings\gerard\Application Data\InstallShield
2008-10-28 16:59 558,142 ----a-w C:\WINDOWS\java\Packages\jlrnzv5b.zip
2008-10-28 16:59 155,995 ----a-w C:\WINDOWS\java\Packages\r1vrxjlv.zip
2008-10-28 16:59 --------- d-----w C:\Program Files\microsoft frontpage
2008-10-28 16:55 --------- d-----w C:\Program Files\Services en ligne
2008-09-16 00:14 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-09-16 00:12 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-09-16 00:11 683,520 ----a-w C:\WINDOWS\system32\divx.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="C:\Documents and Settings\gerard\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2008-10-30 133104]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 2156368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HPDJ Taskbar Utility"="C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-09-12 196608]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-10-30 7634944]
"AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-10-30 1234712]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2008-04-13 19:34 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2006-10-30 23:35 7634944 C:\WINDOWS\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2006-10-30 23:35 86016 C:\WINDOWS\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
-r------- 2005-05-03 11:43 69632 C:\WINDOWS\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2006-10-30 23:35 1622016 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
-r------- 2008-02-19 08:34 16858112 C:\WINDOWS\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"winlogon.exe"=C:\WINDOWS\system32\drivers\winlogon.exe
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"UnlockerAssistant"="C:\Program Files\Unlocker\UnlockerAssistant.exe"
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\AVG\\AVG8\\avgemc.exe"=
"C:\\Program Files\\AVG\\AVG8\\avgupd.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-10-30 97928]
R2 avg8emc;AVG Free8 E-mail Scanner;C:\PROGRA~1\AVG\AVG8\avgemc.exe [2008-10-30 875288]
R2 avg8wd;AVG Free8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-10-30 231704]
R2 AvgTdiX;AVG Free8 Network Redirector;C:\WINDOWS\system32\Drivers\avgtdix.sys [2008-10-30 76040]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\system32\DRIVERS\fbxusb32.sys [2004-10-20 21344]
S3 maconfservice;Ma-Config Service;C:\Program Files\ma-config.com\maconfservice.exe [2008-10-28 195752]
.
Contenu du dossier 'Tâches planifiées'

2008-10-31 C:\WINDOWS\Tasks\GlaryInitialize.job
- C:\Program Files\Glary Utilities\initialize.exe [2008-09-17 16:35]

2008-10-31 C:\WINDOWS\Tasks\GoogleUpdateTaskUser.job
- C:\Documents and Settings\gerard\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2008-10-30 18:54]
.
- - - - ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-winlogon - C:\WINDOWS\system32\drivers\winlogon.exe
MSConfigStartUp-VTkMgr - (no file)

.
------- Examen supplémentaire -------
.
FireFox -: Profile - C:\Documents and Settings\gerard\Application Data\Mozilla\Firefox\Profiles\tr0khyrj.default\
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-31 17:55:52
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\AVG\AVG8\avgrsx.exe
C:\Program Files\AVG\AVG8\avgrsx.exe
.
**************************************************************************
.
Heure de fin: 2008-10-31 18:00:20 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-10-31 17:00:14

Avant-CF: 28 833 820 672 octets libres
Après-CF: 28,803,653,632 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn

212

Répondre à matthieub

matthieub, le 31 oct 2008 à 18:08:38

Sinon j'ai installer spyboot que j'ai arréter pour le scan avec avg et le parfeu windows!
sinon c'est vachement sympa de ta par de t'occuper de moi!

Répondre à matthieub

anthony5151, le 31 oct 2008 à 18:31:55

Menu démarrer --> Panneau de configuration --> Option des dossiers --> affichage --> coche "afficher les fichiers et dossiers cachés" et décoche "masquer les fichiers protégés du système d'exploitation" (tu pourras remettre les réglages comme ils étaient à la fin de cette procédure)

Va sur http://www.virustotal.com/fr/

Clique sur Parcourir
Navigue jusqu'au dossier suivant : C:\WINDOWS\java\Packages\jlrnzv5b.zip
Clique sur « Envoyer le fichier »
S'il te dit qu'il a déjà été analysé, demande une nouvelle analyse.
Poste le rapport ici stp

Fais de même pour le dossier C:\WINDOWS\java\Packages\r1vrxjlv.zip

Même si les symptômes disparaissent, la désinfection n'est pas finie !
==> Revenez pour suivre les procédures de désinfection jusqu'au bout svp

Répondre à anthony5151

matthieub, le 31 oct 2008 à 18:41:01

Voila pour le premier dossier
ntivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.11.1.0 2008.10.31 -
AntiVir 7.9.0.10 2008.10.31 -
Authentium 5.1.0.4 2008.10.31 -
Avast 4.8.1248.0 2008.10.31 -
AVG 8.0.0.161 2008.10.31 -
BitDefender 7.2 2008.10.31 -
CAT-QuickHeal 9.50 2008.10.31 -
ClamAV 0.94.1 2008.10.31 -
DrWeb 4.44.0.09170 2008.10.31 -
eSafe 7.0.17.0 2008.10.30 -
eTrust-Vet 31.6.6184 2008.10.31 -
Ewido 4.0 2008.10.31 -
F-Prot 4.4.4.56 2008.10.30 -
F-Secure 8.0.14332.0 2008.10.31 -
Fortinet 3.117.0.0 2008.10.31 -
GData 19 2008.10.31 -
Ikarus T3.1.1.44.0 2008.10.31 -
K7AntiVirus 7.10.513 2008.10.31 -
Kaspersky 7.0.0.125 2008.10.31 -
McAfee 5419 2008.10.31 -
Microsoft 1.4005 2008.10.31 -
NOD32 3573 2008.10.31 -
Norman 5.80.02 2008.10.31 -
Panda 9.0.0.4 2008.10.31 -
PCTools 4.4.2.0 2008.10.31 -
Prevx1 V2 2008.10.31 -
Rising 21.01.42.00 2008.10.31 -
SecureWeb-Gateway 6.7.6 2008.10.31 -
Sophos 4.35.0 2008.10.31 -
Sunbelt 3.1.1767.2 2008.10.31 -
Symantec 10 2008.10.31 -
TheHacker 6.3.1.1.135 2008.10.31 -
TrendMicro 8.700.0.1004 2008.10.31 -
VBA32 3.12.8.9 2008.10.30 -
ViRobot 2008.10.31.1446 2008.10.31 -
VirusBuster 4.5.11.0 2008.10.31 -
Information additionnelle
File size: 558142 bytes
MD5...: cd82587e344eb1c9fc46ba77b33d4b76
SHA1..: aa76970160ecc6b7a7d40cde5875d39c2e4a19f3
SHA256: 9b447d0b33ed257343c562621517cb7973214f116efdcab612e68b8d4d8b54a4
SHA512: 140d2690c5bd194fa16fadc95c9c7079e039d7ae8348bc6d275da542615d8453
ae03e94f6ef21de9bea6e8657a0c1412c8a295fb529831b39b61ee6f5087b6b5
PEiD..: -
TrID..: File type identification
ZIP compressed archive (100.0%)
PEInfo: -

Répondre à matthieub

matthieub, le 31 oct 2008 à 18:43:35

Et pour le deuxieme
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.11.1.0 2008.10.31 -
AntiVir 7.9.0.10 2008.10.31 -
Authentium 5.1.0.4 2008.10.31 -
Avast 4.8.1248.0 2008.10.31 -
AVG 8.0.0.161 2008.10.31 -
BitDefender 7.2 2008.10.31 -
CAT-QuickHeal 9.50 2008.10.31 -
ClamAV 0.94.1 2008.10.31 -
DrWeb 4.44.0.09170 2008.10.31 -
eSafe 7.0.17.0 2008.10.30 -
eTrust-Vet 31.6.6184 2008.10.31 -
Ewido 4.0 2008.10.31 -
F-Prot 4.4.4.56 2008.10.30 -
F-Secure 8.0.14332.0 2008.10.31 -
Fortinet 3.117.0.0 2008.10.31 -
GData 19 2008.10.31 -
Ikarus T3.1.1.44.0 2008.10.31 -
K7AntiVirus 7.10.513 2008.10.31 -
Kaspersky 7.0.0.125 2008.10.31 -
McAfee 5419 2008.10.31 -
Microsoft 1.4005 2008.10.31 -
NOD32 3573 2008.10.31 -
Norman 5.80.02 2008.10.31 -
Panda 9.0.0.4 2008.10.31 -
PCTools 4.4.2.0 2008.10.31 -
Prevx1 V2 2008.10.31 -
Rising 21.01.42.00 2008.10.31 -
SecureWeb-Gateway 6.7.6 2008.10.31 -
Sophos 4.35.0 2008.10.31 -
Sunbelt 3.1.1767.2 2008.10.31 -
Symantec 10 2008.10.31 -
TheHacker 6.3.1.1.135 2008.10.31 -
TrendMicro 8.700.0.1004 2008.10.31 -
VBA32 3.12.8.9 2008.10.30 -
ViRobot 2008.10.31.1446 2008.10.31 -
VirusBuster 4.5.11.0 2008.10.31 -
Information additionnelle
File size: 155995 bytes
MD5...: d3c3efcb8ce5fc802b18d65dc47217ad
SHA1..: 27f3c0821836fe1d53f4b44b36360414fb7f5392
SHA256: 8ad2efc5f2521f731bb9df5e44bf5cd17a540c6efc4a365981faab96197a3eb4
SHA512: bfd637963d78b41aa82d3dbdbdee1fe28b0525126982a91b68af9a1c8797e4c3
5a111a086da9553a9955fe956c3abc4d998ba34dcc71498f8c946996e1e761fb
PEiD..: -
TrID..: File type identification
ZIP compressed archive (100.0%)
PEInfo: -

Répondre à matthieub

matthieub, le 31 oct 2008 à 18:49:10

http://matimati14.ifrance.com/index.php?file=./public/Sans titre.bmp
voila se que me détecte aussi avg régulierement!

Répondre à matthieub

anthony5151, le 31 oct 2008 à 18:53:28

Tout ce qui est dans le dossier System Volume Information / restore correspond à des sauvegardes de la restauration système ==> pas de danger du moment que tu ne fais pas de restauration du système pour l'instant ;)

Poste un nouveau rapport hijackthis stp

Même si les symptômes disparaissent, la désinfection n'est pas finie !
==> Revenez pour suivre les procédures de désinfection jusqu'au bout svp

Répondre à anthony5151

matthieub, le 31 oct 2008 à 18:53:50

Nan dsl prend plutot ce lien
http://matimati14.ifrance.com/index.php?file=./public/Sans%20titre.JPG

Répondre à matthieub

29 réponses 12 Suivant

Posez votre question Répondre