downloader Injecter UF TrojanFermé

Question

Bonjour,

Je suis infecté par le virus ci-dessus qui réapparaît après nettoyage par XoftSpySE à chaque fois que je redémarre la machine.

Ci-dessous le rapport HijackThis après nettoyage et avec Malwarebytes qui tourne:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:41:52, on 06/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Canal\Canal Widget\VOD\CanalPlus.VOD.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\McAfee\SiteAdvisor\McSACore.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Program Files\McAfee\MPF\MPFSrv.exe
C:\Program Files\McAfee\MSK\MskSrver.exe
C:\WINDOWS\system32\svchost.exe
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Program Files\Creative\Video Blaster WebCam Control\CAMTRAY.EXE
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
C:\WINDOWS\stsystra.exe
C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\Program Files\Sony\Content Transfer\ContentTransferWMDetector.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\DOCUME~1\Vincent\LOCALS~1\Temp\clclean.0001
C:\Program Files\EPSON\EPSON SMART PANEL for Scanner\ESPmain.exe
C:\Program Files\Fichiers communs\Creative Labs Shared\Service\CreativeLicensing.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\IncrediMail\bin\IMApp.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Documents and Settings\Vincent\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.search.yahoo.com/search?fr=mcafee&p=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://home.mcafee.com/StaticGenericPage.aspx?page=cookienotsupported&url=%2froot%2fcampaign.aspx%3fcid%3d16972%26culture%3dfr-FR%26ctst%3d1
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: McAfee Phishing Filter - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\mskapbho.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan\scriptsn.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [MBMon] Rundll32 CTMBHA.DLL,MBMon
O4 - HKLM\..\Run: [VoiceCenter] "C:\Program Files\Creative\VoiceCenter\AndreaVC.exe" /tray
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\Video Blaster WebCam Control\CAMTRAY.EXE
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [mcagent_exe] "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ContentTransferWMDetector.exe] C:\Program Files\Sony\Content Transfer\ContentTransferWMDetector.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Canal Widget] "C:\Program Files\Canal\Canal Widget\Launcher.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [Creative Detector] "C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe" /R
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Registration-Studio 8.lnk = C:\Program Files\Pinnacle\Studio 8\Register\RegTool.exe
O4 - Global Startup: EPSON SMART PANEL for Scanner.lnk = C:\Program Files\EPSON\EPSON SMART PANEL for Scanner\ESPmain.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: CanalPlus.VOD - Canal+ Active - C:\Program Files\Canal\Canal Widget\VOD\CanalPlus.VOD.exe
O23 - Service: Creative Labs Licensing Service - Creative Labs - C:\Program Files\Fichiers communs\Creative Labs Shared\Service\CreativeLicensing.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Program Files\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee SpamKiller Service (MSK80Service) - McAfee, Inc. - C:\Program Files\McAfee\MSK\MskSrver.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe

pimprenelle27 · Answer

Bonsoir, A demain 


Télécharge GenProc sur ton bureau

Double-clique sur GenProc.exe

et poste le contenu du rapport qui s'ouvre

Voir  comment utiliser GenProc

Pour ceux qui ont Vista, ne pas oublier de désactiver Le contrôle des comptes utilisateurs

IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvent il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement )

vsanchez@infonie.fr · Answer

Bonjour, 

Ok pour GenProc.

En attendant le contenu du rapport, ci-joint le rapport de Malwarebytes. Je n'ai pris aucune action de nettoyage et attends ton retour.

A très bientôt.

Malwarebytes' Anti-Malware 1.35
Version de la base de données: 1945
Windows 5.1.2600 Service Pack 3

07/04/2009 05:36:07
mbam-log-2009-04-07 (05-35-53).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 224698
Temps écoulé: 1 hour(s), 20 minute(s), 43 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3a2ff3c5-edff-46ce-bba0-7a68b2499dba} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1a26f07f-0d60-4835-91cf-1e1766a0ec56} (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\MyWaySA (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWaySA\SrchAsDe (Adware.MyWebSearch) -> No action taken.

Fichier(s) infecté(s):
C:\WINDOWS\BM975a640c.txt (Trojan.Vundo) -> No action taken.

vsanchez@infonie.fr · Answer

Rebonjour,

Ci-dessous le rapport Genproc qui confirme 'linfection du fichierMywaySA.

En attendant tes réponses

vsanchez@infonie.fr · Answer

Ci-dessous le rapport:

Rapport GenProc 2.516 [1] - 07/04/2009 à  5:44:49 - Windows XP 
 
Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
Par la suite, laisse-le avec ses réglages par défaut. C'est tout. 

# Etape 1/ Télécharge :
 
- Toolbar-S&D https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2 (Team IDN) sur ton Bureau.

- MSNFix http://sosvirus.changelog.fr/MSNFix.zip (!aur3n7) et décompresse-le sur le Bureau.


 Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/  ; Choisis ta session courante *** Vincent *** (pour retrouver le rapport, clique sur le raccourci "Rapport GenProc[1]" sur ton bureau).

 
# Etape 2/ 

 Lance Toolbar-S&D situé sur le Bureau.
 Tape sur "2" puis valide en appuyant sur "Entrée". Ne ferme pas la fenêtre lors de la suppression.

# Etape 3/ 

Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
- Exécute l'option R.
- Si l'infection est détectée, exécute l'option N.
- Sauvegarde ce rapport sur ton bureau.


# Etape 4/ 

 Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 5/ 

 Redémarre normalement et poste, dans la même réponse : 

- Le contenu du rapport msnfix.txt situé dans C:\WINDOWS ; 
- Le contenu du rapport C:\TB.txt ; 
- Un nouveau rapport HijackThis http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ;

 Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com 
----------------------------------------------------------------------

~~ Arguments de la procédure ~~
 
# Détections [1] GenProc 2.516 07/04/2009 à  5:42:59 
Toolbar:le 07/04/2009 à  5:43:04 "C:\Program Files\MyWaySA" 
MSNFix:le 07/04/2009 à  5:43:16 "C:\WINDOWS\webshots.scr"

pimprenelle27 · Answer

ok tu peux faire afficher rappot et supprimer tout ce malware à trouvé, ensuite tu peux faire la prcédure gentpoc en me postant les rapports.

vsanchez@infonie.fr · Answer

Bonsoir,

J'ai effacé via Malware et lancé la procédure Genproc.

Quelques difficultés: Impossible de démarrer en mode sans échec seul. Obligé de choisir mode sans échec avec prise en charge du réseau.
Même si je choisis mode sans échec avec prise en charge réseau avec mon accès ADSL débranché, il ne veut pas se lancer.
J'ai donc laissé démarrer Windows en mode sans échec (prise en charge réseau) et ADSL branché. Une fois le PC démarré, j'ai débranché mon ADSL.

J'ai eu une demande de Ping bloqué par McAfee pendant le mode recherche de MSNfix que j'ai refusé sachant en plus que mon ADSL était débranché.

Je confirme qu'un néttoyage a été necessaire via MSNfix.

Au redémarrage toujours pas mal de spam dans ma boîte de réception. Ci-dessous les 3 rapports:

S&D

   -----------\  ToolBar S&D 1.2.8   XP/Vista

   Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
   X86-based PC ( Multiprocessor Free :               Intel(R) Pentium(R) 4 CPU 3.00GHz )
   BIOS : Phoenix ROM BIOS PLUS Version 1.10 A03
   USER : Vincent ( Administrator )
   BOOT : Fail-safe with network boot
   Antivirus : McAfee VirusScan  (Activated)
   Firewall  : McAfee Personal Firewall  (Activated)
   C:\ (Local Disk) - NTFS - Total:144 Go (Free:72 Go)
   D:\ (CD or DVD)
   E:\ (USB)
   F:\ (USB)
   G:\ (USB)
   H:\ (USB)

   "C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
   Option : [2] ( 07/04/2009|19:22 )

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  Extensions

   (Valérie) - {3112ca9c-de6d-4884-a869-9855de68056c} => google-toolbar
   (Valérie) - {62760FD6-B943-48C9-AB09-F99C6FE96088} => ebaycompanion
   (Valérie) - {B5EDFBB0-9827-11DA-A72B-0800200C9A66} => forecastfox

   (Vincent) - {0538E3E3-7E9B-4d49-8831-A227C80A7AD3} => forecastfox
   (Vincent) - {3112ca9c-de6d-4884-a869-9855de68056c} => google-toolbar
   (Vincent) - {62760FD6-B943-48C9-AB09-F99C6FE96088} => ebaycompanion


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Start Page"="https://www.google.fr"
   "Search Page"="https://www.google.fr/?gws_rd=ssl"
   "SearchMigratedDefaultURL"="https://www.google.com/webhp?gws_rd=ssl{searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8"
   "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
   "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Search Page"="https://www.google.fr"
   "Start Page"="https://www.msn.com/fr-fr/"
   "Home_Page"="https://www.dell.com/fr-fr?c=fr&l=fr&s=gen&redirect=1"
   "Help_Page"="http://support.euro.dell.com/segment.asp?country=FR&language=FR"


   --------------------\  Recherche d'autres infections

   --------------------\  Cracks & Keygens ..

   C:\DOCUME~1\Vincent\Mes documents\Téléchargements\Crack ConvertXtoDVD.v2.2.3
   C:\DOCUME~1\Vincent\Mes documents\Téléchargements\Crack PowerDVD
   C:\DOCUME~1\Vincent\Mes documents\Téléchargements\Crack ConvertXtoDVD.v2.2.3\f4cg.nfo
   C:\DOCUME~1\Vincent\Mes documents\Téléchargements\Crack ConvertXtoDVD.v2.2.3\patch.exe
   C:\DOCUME~1\Vincent\Mes documents\Téléchargements\Crack ConvertXtoDVD.v2.2.3\setup.exe
   C:\DOCUME~1\Vincent\Mes documents\Téléchargements\Crack PowerDVD\Custom.ini
   C:\DOCUME~1\Vincent\Mes documents\Téléchargements\Crack PowerDVD\MCE_SYM.reg
   C:\DOCUME~1\Vincent\Mes documents\Téléchargements\Crack PowerDVD\PDVD_6_trial.exe
   C:\DOCUME~1\Vincent\Mes documents\Téléchargements\Crack PowerDVD\PowerDVD.sim
   C:\DOCUME~1\Vincent\Mes documents\Téléchargements\Crack PowerDVD\serial.txt

   1 - "C:\ToolBar SD\TB_1.txt" - 07/04/2009|19:25 - Option : [2]

   -----------\  Fin du rapport a 19:25:19,65



MSNfix
MSNFix 1.751  
 
C:\Documents and Settings\Vincent\Bureau\MSNFix 
Fix exécuté le 07/04/2009 - 19:27:54,87 By Vincent 
mode sans échec           
    
************************ Recherche les fichiers présents      
    
... C:\WINDOWS\webshots.scr 
... C:\WINDOWS\system32	mp.txt 
 
************************ Recherche les dossiers présents       
 
Aucun dossier trouvé 
 
  
************************ Suppression des fichiers       
    
.. OK ... C:\DOCUME~1\Vincent\LOCALS~1\Temp\winlogon.exe 
.. OK ... C:\DOCUME~1\Vincent\LOCALS~1\Temp\services.exe 
.. OK ... C:\WINDOWS\system32\cftmon.exe 
.. OK ... C:\WINDOWS\webshots.scr  
.. OK ... C:\WINDOWS\system32	mp.txt  
 
 
 
************************ Nettoyage du registre 
   
************************ Hostsclean 
 
Cleanhosts v 0.1.0.7  By Laurent

-- Backup : C:\WINDOWS\system32\drivers\etc\hosts-20090407193005
-- original size 0.03 Kb / 1 lines
scan impossible. because they are Only 1 line in hosts file 


End .............................. not available Secondes 

Les fichiers encore présents seront supprimés au prochain redémarrage 
 
 
Hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:45:13, on 07/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Canal\Canal Widget\VOD\CanalPlus.VOD.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\McAfee\SiteAdvisor\McSACore.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Program Files\McAfee\MPF\MPFSrv.exe
C:\Program Files\McAfee\MSK\MskSrver.exe
C:\WINDOWS\system32\svchost.exe
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Program Files\Creative\Video Blaster WebCam Control\CAMTRAY.EXE
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
C:\DOCUME~1\Vincent\LOCALS~1\Temp\clclean.0001
C:\WINDOWS\stsystra.exe
C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\Program Files\Fichiers communs\Creative Labs Shared\Service\CreativeLicensing.exe
C:\Program Files\Sony\Content Transfer\ContentTransferWMDetector.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Program Files\EPSON\EPSON SMART PANEL for Scanner\ESPmain.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\IncrediMail\bin\IMApp.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\Documents and Settings\Vincent\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.search.yahoo.com/search?fr=mcafee&p=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://home.mcafee.com/StaticGenericPage.aspx?page=cookienotsupported&url=%2froot%2fcampaign.aspx%3fcid%3d16972%26culture%3dfr-FR%26ctst%3d1
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: McAfee Phishing Filter - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\mskapbho.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan\scriptsn.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [MBMon] Rundll32 CTMBHA.DLL,MBMon
O4 - HKLM\..\Run: [VoiceCenter] "C:\Program Files\Creative\VoiceCenter\AndreaVC.exe" /tray
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\Video Blaster WebCam Control\CAMTRAY.EXE
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [mcagent_exe] "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ContentTransferWMDetector.exe] C:\Program Files\Sony\Content Transfer\ContentTransferWMDetector.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Canal Widget] "C:\Program Files\Canal\Canal Widget\Launcher.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [Creative Detector] "C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe" /R
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Registration-Studio 8.lnk = C:\Program Files\Pinnacle\Studio 8\Register\RegTool.exe
O4 - Global Startup: EPSON SMART PANEL for Scanner.lnk = C:\Program Files\EPSON\EPSON SMART PANEL for Scanner\ESPmain.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: CanalPlus.VOD - Canal+ Active - C:\Program Files\Canal\Canal Widget\VOD\CanalPlus.VOD.exe
O23 - Service: Creative Labs Licensing Service - Creative Labs - C:\Program Files\Fichiers communs\Creative Labs Shared\Service\CreativeLicensing.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Program Files\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee SpamKiller Service (MSK80Service) - McAfee, Inc. - C:\Program Files\McAfee\MSK\MskSrver.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe

vsanchez@infonie.fr · Answer

Bonsoir, Toujours infecté par le virus ci-dessus suite à vérification par XoftSpySE. Ci-dessous le fichier log de nettoyage. Cordialement, - -

pimprenelle27 · Answer

Par  contre tes virus viennent de là : 

C:\DOCUME~1\Vincent\Mes documents\Téléchargements\Crack ConvertXtoDVD.v2.2.3
C:\DOCUME~1\Vincent\Mes documents\Téléchargements\Crack PowerDVD
C:\DOCUME~1\Vincent\Mes documents\Téléchargements\Crack ConvertXtoDVD.v2.2.3\f4cg.nfo
C:\DOCUME~1\Vincent\Mes documents\Téléchargements\Crack ConvertXtoDVD.v2.2.3\patch.exe
C:\DOCUME~1\Vincent\Mes documents\Téléchargements\Crack ConvertXtoDVD.v2.2.3\setup.exe
C:\DOCUME~1\Vincent\Mes documents\Téléchargements\Crack PowerDVD\Custom.ini
C:\DOCUME~1\Vincent\Mes documents\Téléchargements\Crack PowerDVD\MCE_SYM.reg
C:\DOCUME~1\Vincent\Mes documents\Téléchargements\Crack PowerDVD\PDVD_6_trial.exe
C:\DOCUME~1\Vincent\Mes documents\Téléchargements\Crack PowerDVD\PowerDVD.sim
C:\DOCUME~1\Vincent\Mes documents\Téléchargements\Crack PowerDVD\serial.txt


A supprimer de suite, ensuite me faire ceci et a demain : 

Télécharge malwarebytes

NB : S'il te manque COMCTL32.OCX alors télécharge le ici

Tu l´installe; le programme va se mettre automatiquement a jour.

Une fois a jour, le programme va se lancer; clic sur l´onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression".

Clic maintenant sur l´onglet recherche et coche la case : "exécuter un examen complet".

Puis clic sur "rechercher".

Laisse le scanner le pc...

Si des éléments on été trouvés > clic sur supprimer la sélection.

si il t´es demandé de redémarrer > clic sur "yes".

A la fin un rapport va s´ouvrir; sauvegarde le de manière a le retrouver en vu de le poster sur le forum.
Copie et colle le rapport stp.

PS : les rapport sont aussi rangé dans l'onglet rapport/log


Tutoriaux

vsanchez@infonie.fr · Answer

Bonjour,

Rien trouvé avec malwarebytes mais virus Trojan toujours présent dans "HKEY_USERS\system\controlset001\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\c:\windows\system32\Winver.exe pour XoftSpySE. Ci-dessous le rapport:

Malwarebytes' Anti-Malware 1.36
Version de la base de données: 1949
Windows 5.1.2600 Service Pack 3

08/04/2009 07:36:40
mbam-log-2009-04-08 (07-36-40).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|)
Eléments examinés: 223878
Temps écoulé: 1 hour(s), 0 minute(s), 41 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

pimprenelle27 · Answer

ok fait moi ceci : 

SDfix :

&#x25B6; Télécharger SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
 
&#x25B6; Double cliquer sur SDFix.exe et choisir Install pour l'extraire dans un dossier dédié sur ton disque C:.
 
/!\ Démarre en mode sans échec : après le bip et avant le logo windows tapoter sur la touche F8 (ou F5): menu M.S.E..

&#x25B6; Choisir son compte, pas celui de l'Administrateur ou autre.

Dérouler la liste des instructions ci-dessous :
 
• Ouvrir le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuyer sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuyer sur une touche pour redémarrer le PC.
• Le système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuyer sur une touche pour finir l'exécution du script et charger les icônes du Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copier/coller le contenu du fichier Report.txt dans la prochaine réponse sur le forum

Lyonnais92 · Answer

Bonjour,

je m'immisce quelques instants car, tombé par hasard sur le topic, il y a des trucs bizarres :

- le fichier semble légitime (je l'ai sur mon ordi avec le SP3)

- même si Greatis le relie à un malware :  https://www.greatis.com/appdata/d/w/winver.exe.htm 

tout en le déclarant légitime sous Vista : http://www.greatis.com/vista/Utilities/w/winver.exe.htm

- par contre on ne voit pas pourquoi ce fichier accéderait à Internet

- et je n'ai pas de clé HKEY_USERS\system sur mon ordi.

=============

Je suggère :

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : c:\windows\system32\Winver.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant 

-----------
    Ouvre le registre (démarrer,exécuter, tu tapes regedit dans la zone de saisie puis OK. ) et navigue avec les + et les - jusqu'à la clé

HKEY_USERS\system\controlset001\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications

    Clique successivement sur Fichier puis sur Exporter et choisis un nom (XXXXXX par exemple). Tu retiens le nom du répertoire (Mes documents par défaut).

    Ferme le registre et ouvre l'explorateur Windows.

    Clique droit sur le fichier et choisis Modifier.

    Le bloc-notes s'ouvre avec le contenu de la clé.

    Copie le dans ta réponse.

pimprenelle27 · Answer

Merci Lyonnais92

vsanchez@infonie.fr · Answer

Bonsoir,

Merci pour vos conseils. Vous trouverez ci-dessous le rapport de Virus total.

A noter que je ne trouve pas non plus de clé HKEY_USERS\system sur mon ordi, je ne peux donc pas posté le contenu de la clé.

Je voudrais également signalé qu'il est apparu sur mon bureau un répertoire appelé Upload_Me où je retrouves entre autre Winver. Est ce que ce répertoire a pu être crée par MSNFix vu qu'il est apparu au moment de l'analyse?!

Pimprenelle27, dois je lancer l'opération SDFix suite à la dernière info de Lyonnais92?

Rapport Virus Total:

 Fichier winver.exe reçu le 2009.04.08 21:22:37 (CET)
Situation actuelle: terminé
Résultat: 0/40 (0%)

	
Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared	4.0.0.101	2009.04.08	-
AhnLab-V3	5.0.0.2		2009.04.08	-
AntiVir	7.9.0.138		2009.04.08	-
Antiy-AVL	2.0.3.1		2009.04.08	-
Authentium	5.1.2.4		2009.04.08	-
Avast	4.8.1335.0		2009.04.08	-
AVG	8.5.0.285		2009.04.08	-
BitDefender	7.2		2009.04.08	-
CAT-QuickHeal	10.00		2009.04.08	-
ClamAV	0.94.1			2009.04.08	-
Comodo	1105			2009.04.08	-
DrWeb	4.44.0.09170		2009.04.08	-
eSafe	7.0.17.0		2009.04.07	-
eTrust-Vet	31.6.6444	2009.04.08	-
F-Prot	4.4.4.56		2009.04.08	-
F-Secure	8.0.14470.0	2009.04.08	-
Fortinet	3.117.0.0	2009.04.08	-
GData	19			2009.04.08	-
Ikarus	T3.1.1.49.0		2009.04.08	-
K7AntiVirus	7.10.697	2009.04.08	-
Kaspersky	7.0.0.125	2009.04.08	-
McAfee	5578			2009.04.08	-
McAfee+Artemis	5578		2009.04.08	-
McAfee-GW-Edition	6.7.6	2009.04.08	-
Microsoft	1.4502		2009.04.08	-
NOD32	3995			2009.04.08	-
Norman	6.00.06			2009.04.08	-
nProtect	2009.1.8.0	2009.04.08	-
Panda	10.0.0.14		2009.04.08	-
PCTools	4.4.2.0			2009.04.08	-
Prevx1	V2			2009.04.08	-
Rising	21.24.22.00		2009.04.08	-
Sophos	4.40.0			2009.04.08	-
Sunbelt	3.2.1858.2		2009.04.08	-
Symantec	1.4.4.12	2009.04.08	-
TheHacker	6.3.4.0.303	2009.04.08	-
TrendMicro	8.700.0.1004	2009.04.08	-
VBA32	3.12.10.2		2009.04.08	-
ViRobot	2009.4.7.1684		2009.04.08	-
VirusBuster	4.6.5.0		2009.04.08	-

Information additionnelle
File size: 5632 bytes
MD5...: 61e80b60cd30d995e80702623be47b9d
SHA1..: 76d6deee110c39a55077977fc61f2da3311a87fa
SHA256: b1df9ed70c6f7de9e61458262a46de32411a0411783705f2345a176fc7842ba2
SHA512: de97b0c71a40abd4b0b7bc5f7d771dd1c2e341ef1c03a7d2d7754d519e5cf1de
382446d0f1ba70e37cc24c0d6d238062df91e917f436afdce8a648fceab5ff1b
ssdeep: 96:RiPpSZp96NfOwFxZ3AI82X+WCjFXVMWQdMG2bKT:c6ENGwB3AI8bWmFXCHB/
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (80.9%)
Win32 Executable Generic (8.0%)
Win32 Dynamic Link Library (generic) (7.1%)
Generic Win/DOS Executable (1.8%)
DOS Executable Generic (1.8%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x12a5
timedatestamp.....: 0x480252df (Sun Apr 13 18:37:19 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x656 0x800 5.31 100e222854b942bff0a9b1bd7644c136
.data 0x2000 0xc 0x200 0.18 0a51db8cd0b7c8717de6c352c99a5eed
.rsrc 0x3000 0x784 0x800 4.58 8b5ad59113073217f3b23a8207254efe

( 3 imports )
> KERNEL32.dll: GetTimeFormatW, GetDateFormatW, FileTimeToSystemTime, FileTimeToLocalFileTime, GetModuleHandleW, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter
> USER32.dll: LoadStringW
> SHELL32.dll: ShellAboutW

( 0 exports )
RDS...: NSRL Reference Data Set
-

vsanchez@infonie.fr · Answer

Rebonsoir,

Au final je me suis dit que lancer SDFix ne pourrait pas faire de mal. Voici donc le rapport:


[b]SDFix: Version 1.240 [/b]
Run by Vincent on 08/04/2009 at 21:59

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]: 

No Trojan Files Found






Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-08 22:02:19
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Messenger\msmsgs.exe"="C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\IncrediMail\bin\IMApp.exe"="C:\Program Files\IncrediMail\bin\IMApp.exe:*:Enabled:IncrediMail"
"C:\Program Files\IncrediMail\bin\IncMail.exe"="C:\Program Files\IncrediMail\bin\IncMail.exe:*:Enabled:IncrediMail"
"C:\Program Files\IncrediMail\bin\ImpCnt.exe"="C:\Program Files\IncrediMail\bin\ImpCnt.exe:*:Enabled:IncrediMail"
"C:\Program Files\eMule\emule.exe"="C:\Program Files\eMule\emule.exe:*:Enabled:eMule"
"C:\Program Files\Mozilla Firefox\firefox.exe"="C:\Program Files\Mozilla Firefox\firefox.exe:*:Enabled:Firefox"
"C:\Program Files\Microsoft ActiveSync\wcescomm.exe"="C:\Program Files\Microsoft ActiveSync\wcescomm.exe:*:Enabled:ActiveSync Connection Manager"
"C:\Program Files\Microsoft ActiveSync\WCESMgr.exe"="C:\Program Files\Microsoft ActiveSync\WCESMgr.exe:*:Enabled:ActiveSync Application"
"C:\Program Files\Bonjour\mDNSResponder.exe"="C:\Program Files\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Program Files\iTunes\iTunes.exe"="C:\Program Files\iTunes\iTunes.exe:*:Enabled:iTunes"
"C:\Program Files\LimeWire\LimeWire.exe"="C:\Program Files\LimeWire\LimeWire.exe:*:Enabled:LimeWire"
"C:\Program Files\Fichiers communs\McAfee\MNA\McNASvc.exe"="C:\Program Files\Fichiers communs\McAfee\MNA\McNASvc.exe:*:Enabled:McAfee Network Agent"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[b]Remaining Files [/b]:



[b]Files with Hidden Attributes [/b]:

Wed  6 Dec 2006           276 A.SHR --- "C:\BOOT.BAK"
Fri 10 Mar 2006            56 A.SHR --- "C:\i386\CBD0CF85BC.sys"
Fri 10 Mar 2006         2,516 A.SH. --- "C:\i386\KGyGaAvL.sys"
Fri 12 Mar 2004        54,384 A..H. --- "C:\Program Files\AOL 9.0\aolphx.exe"
Fri 12 Mar 2004       156,784 A..H. --- "C:\Program Files\AOL 9.0\aoltray.exe"
Fri 12 Mar 2004        31,344 A..H. --- "C:\Program Files\AOL 9.0\RBM.exe"
Thu 27 Apr 2006            88 ..SHR --- "C:\WINDOWS\system32\BC85CFD0CB.sys"
Thu 27 Apr 2006           104 ..SHR --- "C:\WINDOWS\system32\CBD0CF85BC.sys"
Thu 27 Apr 2006         5,852 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Fri 10 Mar 2006         4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Wed 11 Mar 2009        20,688 A.SHR --- "C:\Program Files\McAfee\MQC\MRU.bak"
Wed 11 Mar 2009           265 A.SHR --- "C:\Program Files\McAfee\MQC\qcconf.bak"
Mon 14 Apr 2008        71,168 ..SHR --- "C:\Program Files\Mio Technology\SpeedCAM Tool\Setup.exe"
Sat  9 Jul 2005        16,384 A.SHR --- "C:\Program Files\Mio Technology\SpeedCAM Tool\_Setup.dll"
Fri 20 Jun 2008             0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"

[b]Finished![/b]

vsanchez@infonie.fr · Answer

A titre d'info, j'ai fait une recherche dans la base de registre de winver.exe et je trouve cette clé dans le registre suivant:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\AppCompatflags\layers\c:\WINDOWS\system32\

Je suis sec sachant que XoftSpySE le détecte toujours dans un registre system.

A côté de cela, nous recevons sur tous nos comptes des spam à gogo (depuis 1 mois environ) malgré le filtre McAfee.

En attente de vous lire.

vsanchez@infonie.fr · Answer

Bonsoir,

Pas de détection de virus à prévoir ce soir??
Quelles sont les prochaines étapes? Dois je considérer que le sujet est résolu?
Quelques conseils pour supprimer ces maudits spam qui envahissent nos boites?

Voilà mes 4 questions du soir. A votre dispo s'il faut lancer des manips.

A+

pimprenelle27 · Answer

Ok tu va me faire ceci : 

Pour commencer :  faire un petit nettoyage de l'ordi et du registre avec Ccleaner, regarde bien le Tuto CCleaner


Télécharge Superantispyware (SAS)



Choisis "enregistrer" et enregistre-le sur ton bureau.

Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.

Créé une icône sur le bureau.

Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.

- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
- Sous Configuration and Préférences, clique sur le bouton "Préférences"
- Clique sur l'onglet "Scanning Control "
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :

Close browsers before scanning  (Fermer Navigateur avant le scan)

Scan for tracking cookies  (Scan pour dépister les cookies)

Terminate memory threats before quarantining (Terminez les menaces de mémoire avant de mettre en quarantaine)

- Laisse les autres lignes décochées.

- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.

- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".

Dans la colonne de gauche, coche C:\Fixed Drive.

Dans la colonne de droite, sous "Complète scan", clique sur "Perform Complète Scan"

Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.

A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.

Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".

Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.

Pour recopier les informations sur le forum, fais ceci :

- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
- Clique sur "Préférences" puis sur l'onglet "Statistics/Logs ".
- Dans "scanners logs", double-clique sur SuperAntiSpyware Scan Log.

- Le rapport va s'ouvrir dans ton éditeur de texte par défaut.

- Copie son contenu dans ta réponse.


Regarde bien le tuto SuperAntiSpyware il est très bien expliqué.

vsanchez@infonie.fr · Answer

Bonsoir,

Ci-dessous le résultat du nettoyage par SUPERAntiSpyware. A première vue pas grand chose à première vue.

SUPERAntiSpyware Scan Log
https://www.superantispyware.com/

Generated 04/10/2009 at 11:57 PM

Application Version : 4.26.1000

Core Rules Database Version : 3838
Trace Rules Database Version: 1794

Scan type       : Complete Scan
Total Scan Time : 00:42:30

Memory items scanned      : 624
Memory threats detected   : 0
Registry items scanned    : 6810
Registry threats detected : 5
File items scanned        : 27566
File threats detected     : 48

Rogue.Component/Trace
	HKLM\Software\Microsoft\9469451E
	HKLM\Software\Microsoft\9469451E#9469451e
	HKLM\Software\Microsoft\9469451E#Version
	HKLM\Software\Microsoft\9469451E#red_srv
	HKLM\Software\Microsoft\9469451E#red_srv_bckp

Adware.Tracking Cookie
	C:\Documents and Settings\Justine\Cookies\justine@maxserving[2].txt
	C:\Documents and Settings\LocalService\Cookies\system@track.espaceclient[2].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@adserver.aol[2].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@weba.cdiscount[1].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@adbrite[2].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@track.effiliation[1].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@www.zanox-affiliate[1].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@smartadserver[2].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@premiumtv.122.2o7[1].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@click-fr[2].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@prestimedia[1].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@serving-sys[2].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@yourmedia[1].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@ad.zanox[1].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@eas.apm.emediate[1].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@fastclick[1].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@apmebf[1].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@clinique.solution.weborama[1].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@bluestreak[2].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@roiservice[1].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@tradedoubler[1].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@247realmedia[2].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@track.webtrekk[2].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@cetelem.solution.weborama[2].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@mediaplex[1].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@doubleclick[1].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@weborama[1].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@adopt.euroclick[2].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@cdiscount[2].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@tracking.publicidees[1].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@xiti[1].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@zedo[2].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@bs.serving-sys[1].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@tracking.veille-referencement[1].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@2o7[2].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@advertstream[2].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@paypal.112.2o7[1].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@tracking.3gnet[2].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@adtech[2].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@tracker.affistats[1].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@stats.searchtrack[2].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@www.googleadservices[2].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@stats.paypal[2].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@ad.yieldmanager[2].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@www.googleadservices[1].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@advertising[2].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@www.mediasoluce[1].txt
	C:\Documents and Settings\Valérie\Cookies\valérie@track.webtrekk[1].txt

pimprenelle27 · Answer

Ok supprime tout ce que SAS à trouvé, ensuite fais moi ceci : 

Télécharger RemoveIT Pro

Fais un scan et poste moi le full rapport log.

A la fin du 1er scan, s'il demande de faire un scan complet dite oui et à la fin du 2ème scan, si virus trouvé cliquez sur fix pour nettoyer des virus trouvés.

vsanchez@infonie.fr · Answer

Merci pimprenelle27,

J'ai fait le scan. Il a trouvé 5 erreurs. Ci-dessous le "gros" rapport:

!Infected epcomdd.dll=;c:\windows\system32\;sys32.epcomdd;30ba552297c92e7d18de64eb956a6b12;65536;Ok;
!Infected mhn.dll=;c:\windows\system32\;sys32.mhn;184a03058c8cc399ea37dbeff6a8365a;85504;Ok;Ok;
!Infected slantadj.dll=;c:\windows\;sys32.slantadj;7645e64856a08f9864499b2e2515f479;96768;Ok;
!Infected wingde.dll=;c:\windows\system32\;sys32.wingde;90ce7648df6de0bd0d91f2776d2b0667;188960;Ok;
Clsid c:\program files\superantispyware\saswinlo.dll[972edede23ac8d59aac0c09799c6f18a][356352]
Clsid C:\WINDOWS\system32\crypt32.dll[39976dad9564b336b153184268db032f][606208]
Clsid C:\WINDOWS\system32\cryptnet.dll[938488d25648d26e6bfe3e47dc2ec5e8][64512]
Clsid C:\WINDOWS\system32\cscdll.dll[6b646a601aec823032af4dc19273cfda][102912]
Clsid C:\WINDOWS\system32\sclgntfy.dll[c01c7266e73b199101651a7508364df7][22016]
Clsid c:\windows\system32\webcheck.dll[a163a85a0834b85faf918caadec55687][233472]
Clsid C:\WINDOWS\system32\wgalogon.dll[36c8352203898eca8d59faf14412a628][236928]
Clsid C:\WINDOWS\system32\wlnotify.dll[c664757f8243499ba6e45102af459de6][94208]
Clsid c:\windows\system32\wpdshserviceobj.dll[045e228f71c31901084b64be59093499][133632]
Proc C:\DOCUME~1\Vincent\LOCALS~1\Temp\clclean.0001[9fef04a50f79295c036cf000b0366ef8][59964]
Proc C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[bb1da35335d88db1ce1fee8bd35f2248][1123440]
Proc c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe[5a8d1acd2070b8261236d5484ae63721][359952]
Proc c:\PROGRA~1\mcafee.com\agent\mcagent.exe[88a8eba41a7fe46167d10975dc15bc4a][645328]
Proc C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe[5f2e238661f79cc2d0347f0265bf0063][797864]
Proc C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe[323648ae20c5a29039e85578089f9a03][144704]
Proc C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe[f7401d3c01309371acb3419d10eab9dc][606736]
Proc C:\Program Files\Bonjour\mDNSResponder.exe[9efe4236f8670846b6e7c5b0eff6e715][238888]
Proc C:\Program Files\Canal\Canal Widget\Canal Widget.exe[303087ec95750d6fccb8bfa1e4ddc632][95232]
Proc C:\Program Files\Canal\Canal Widget\VOD\CanalPlus.VOD.exe[22b4d784537eaa76e667ca9e6b5aab59][61440]
Proc C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe[c744293dfbe1a3347fec5dbfe3fd123e][102400]
Proc C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe[93d27c8d2902c8f88e9b70fc20998976][57344]
Proc C:\Program Files\Creative\Video Blaster WebCam Control\CAMTRAY.EXE[705501edcbd72ddc786cc395a3f0d89d][18944]
Proc C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe[8fb740d758b14b1bc950cc347c21e461][32768]
Proc C:\Program Files\EPSON\EPSON SMART PANEL for Scanner\ESPmain.exe[272d57f95d04444ea3eceb1fc01c2c66][180224]
Proc C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[a8aa9d47f971570a5162b862b80f87e8][132424]
Proc C:\Program Files\Fichiers communs\Creative Labs Shared\Service\CreativeLicensing.exe[7db5e3f44d797bd38b8e336ccc2e49d5][69632]
Proc C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe[583b7d111304be63d7d9cb65482d2187][81920]
Proc c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe[aa490bfb95998686af46fdcd8093443b][2482848]
Proc C:\Program Files\InCode Solutions\RemoveIT Pro v4 - SEemoveit.exe[620c22feba30b24030ac5f4df37b019c][550912]
Proc C:\Program Files\IncrediMail\bin\IMApp.exe[a04a9cf6d5788a6e746bba3b250e7c81][189824]
Proc C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe[6ca4cc14fda11978617057e73d588475][139264]
Proc C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe[d43e91e271c041bb86a6223462a41d28][86140]
Proc C:\Program Files\iPod\bin\iPodService.exe[62937a89470af8ff172f0980ca8aefc9][536872]
Proc C:\Program Files\iTunes\iTunesHelper.exe[e6a4e341e4304b34aa280d3e73818c90][290088]
Proc C:\Program Files\Java\jre6\bin\jqs.exe[890369aed0dde1a98f09f7dc239ca2bd][152984]
Proc C:\Program Files\Java\jre6\bin\jusched.exe[a2d390f1f2408b94ef34bfe3a00c29d3][148888]
Proc C:\Program Files\McAfee\MPF\MPFSrv.exe[545b1165bca3990a3f2579170c7f34d1][884360]
Proc C:\Program Files\McAfee\MSK\MskSrver.exe[9a55cfa5f970bb407c7f639d19578a89][26640]
Proc C:\Program Files\McAfee\SiteAdvisor\McSACore.exe[2ed44415685945d691f5089cc33dd237][210216]
Proc C:\Program Files\Sony\Content Transfer\ContentTransferWMDetector.exe[c5f49eeba10f86a5af1c2d7b126a90ff][423200]
Proc C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe[b715b35ca9c21e511ec83a316e20a466][1830128]
Proc C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe[ca416c33c8f4d6de53c17aab7ce2fbd8][81408]
Proc C:\WINDOWS\eHome\ehmsas.exe[daefb050ac8fee4f1097fcf7cb97220e][46592]
Proc C:\WINDOWS\eHome\ehRecvr.exe[8301243bde5b6cd316d79c0191d50d9a][237568]
Proc C:\WINDOWS\ehome\ehtray.exe[f90137a9897071ede961a5aba4ea524f][59392]
Proc C:\WINDOWS\Explorer.EXE[f2317622d29f9ff0f88aeecd5f60f0dd][1037824]
Proc C:\WINDOWS\stsystra.exe[0f869e88fa4489fbe231a42646488ce8][339968]
Proc C:\WINDOWS\system32\Ati2evxx.exe[abc57a6f6070baf9786c318f59f29f0b][380928]
Proc C:\WINDOWS\system32\ctfmon.exe[59dc5bb82e4c8e0b3eadcfdbc44ba6e4][15360]
Proc C:\WINDOWS\system32\CTsvcCDA.exe[3c8b6609712f4ff78e521f6dcfc4032b][44032]
Proc C:\WINDOWS\System32\DLA\DLACTRLW.EXE[cefd0e35b35afd9d1c2fec9af81afdb8][122940]
Proc C:\WINDOWS\system32\lsass.exe[91e6024d6d4dcdecdb36c43ecf9bbecb][13312]
Proc C:\WINDOWS\system32\Rundll32.exe[93ad0b78c7357a05f50e594ec7c22300][33792]
Proc C:\WINDOWS\system32\services.exe[54cb50058851d95e56ec70d09f70857f][109056]
Proc C:\WINDOWS\system32\spoolsv.exe[460e4ce148bd07218da0b6a3d31885a9][57856]
Proc C:\WINDOWS\system32\svchost.exe[e4bdf223cd75478bf44567b4d5c2634d][14336]
RegRun c:\program files\adobeeader 8.0eadereader_sl.exe[392845e8d49b5f0e81aac4d795000a8c][39792]
RegRun c:\program files\ati technologies\ati control panel\atiptaxx.exe[8824078bda1635639aae125d24b85383][344064]
RegRun c:\program files\canal\canal widget\launcher.exe[451a1e92fdafe70ff8e818cbc70d1665][106040]
RegRun c:\program files\canon\easy-printtoolbox\bjpsmain.exe [3ba7a1cb1f48c581af58ded411d33317][409600]
RegRun c:\program files\creative\mediasource\detector\ctdetect.exe [c744293dfbe1a3347fec5dbfe3fd123e][102400]
RegRun c:\program files\creative\sbaudigy\surround mixer\ctsysvol.exe [93d27c8d2902c8f88e9b70fc20998976][57344]
RegRun c:\program files\creative\video blaster webcam control\camtray.exe[705501edcbd72ddc786cc395a3f0d89d][18944]
RegRun c:\program files\creative\voicecenter\andreavc.exe [8abe449e6af920a77cb73584fbb129f5][1159168]
RegRun c:\program files\cyberlink\powerdvd\pdvdserv.exe[8fb740d758b14b1bc950cc347c21e461][32768]
RegRun c:\program files\fichiers communs\installshield\updateservice\issch.exe [583b7d111304be63d7d9cb65482d2187][81920]
RegRun c:\program files\fichiers communs\installshield\updateservice\isuspm.exe [9e109b03018763fdcb075ce74547be22][249856]
RegRun c:\program files\incredimail\bin\incmail.exe [3d5cbe4f8f35dd2c26f9951b5a2ebeaf][251264]
RegRun c:\program files\intel\intel matrix storage manager\iaanotif.exe[6ca4cc14fda11978617057e73d588475][139264]
RegRun c:\program files\itunes\ituneshelper.exe[e6a4e341e4304b34aa280d3e73818c90][290088]
RegRun c:\program files\java\jre6\bin\jusched.exe[a2d390f1f2408b94ef34bfe3a00c29d3][148888]
RegRun c:\program files\mcafee.com\agent\mcagent.exe [88a8eba41a7fe46167d10975dc15bc4a][645328]
RegRun c:\program files\quicktime\qttask.exe [9c9b6807425cef840c117654d8b033d1][413696]
RegRun c:\program files\sony\content transfer\contenttransferwmdetector.exe[c5f49eeba10f86a5af1c2d7b126a90ff][423200]
RegRun c:\program files\superantispyware\superantispyware.exe[b715b35ca9c21e511ec83a316e20a466][1830128]
RegRun c:\program files	echcity solutions\alicesav\aliceagent.exe[ca416c33c8f4d6de53c17aab7ce2fbd8][81408]
RegRun c:\windows\ehome\ehtray.exe[f90137a9897071ede961a5aba4ea524f][59392]
RegRun C:\WINDOWS\mididef.exe[702a697091f0c47af6bdae2a35e2c248][24576]
RegRun C:\WINDOWS\stsystra.exe[0f869e88fa4489fbe231a42646488ce8][339968]
RegRun c:\windows\system32\ctfmon.exe[59dc5bb82e4c8e0b3eadcfdbc44ba6e4][15360]
RegRun c:\windows\system32\dla\dlactrlw.exe[cefd0e35b35afd9d1c2fec9af81afdb8][122940]
Service c:\progra~1\fichie~1\aol\acs\aolacsd.exe[bb1da35335d88db1ce1fee8bd35f2248][1123440]
Service c:\progra~1\fichie~1\mcafee\mcproxy\mcproxy.exe[5a8d1acd2070b8261236d5484ae63721][359952]
Service c:\progra~1\mcafee\msc\mcmscsvc.exe[5f2e238661f79cc2d0347f0265bf0063][797864]
Service c:\progra~1\mcafee\viruss~1\mcods.exe[6b970146ffab581c40aef16d5b677f8e][365072]
Service c:\progra~1\mcafee\viruss~1\mcshield.exe[323648ae20c5a29039e85578089f9a03][144704]
Service c:\progra~1\mcafee\viruss~1\mcsysmon.exe[f7401d3c01309371acb3419d10eab9dc][606736]
Service c:\program files\bonjour\mdnsresponder.exe[9efe4236f8670846b6e7c5b0eff6e715][238888]
Service c:\program files\canal\canal widget\vod\canalplus.vod.exe[22b4d784537eaa76e667ca9e6b5aab59][61440]
Service c:\program files\fichiers communs\apple\mobile device support\bin\applemobiledeviceservice.exe[a8aa9d47f971570a5162b862b80f87e8][132424]
Service c:\program files\fichiers communs\creative labs shared\service\creativelicensing.exe[7db5e3f44d797bd38b8e336ccc2e49d5][69632]
Service c:\program files\fichiers communs\installshield\driver\11\intel 32\idrivert.exe[1cf03c69b49acb70c722df92755c0c8c][69632]
Service c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe[aa490bfb95998686af46fdcd8093443b][2482848]
Service c:\program files\fichiers communs\microsoft shared\source engine\ose.exe[7a56cf3e3f12e8af599963b16f50fb6a][89136]
Service c:\program files\google\common\google updater\googleupdaterservice.exe[5467f1ff0af264566740f67e8b810735][183280]
Service c:\program files\intel\intel matrix storage manager\iaantmon.exe[d43e91e271c041bb86a6223462a41d28][86140]
Service c:\program files\intel\prosetwired
cs\sync
etsvc.exe[9da26b773bd04b867a8e9f427cd048fc][147456]
Service c:\program files\ipod\bin\ipodservice.exe[62937a89470af8ff172f0980ca8aefc9][536872]
Service c:\program files\java\jre6\bin\jqs.exe [890369aed0dde1a98f09f7dc239ca2bd][152984]
Service c:\program files\mcafee\mpf\mpfsrv.exe[545b1165bca3990a3f2579170c7f34d1][884360]
Service c:\program files\mcafee\msk\msksrver.exe[9a55cfa5f970bb407c7f639d19578a89][26640]
Service c:\program files\mcafee\siteadvisor\mcsacore.exe[2ed44415685945d691f5089cc33dd237][210216]
Service c:\program files\windows media player\wmpnetwk.exe[c9bea742ce225cc993c9465fddae4656][918016]
Service c:\windows\ehome\ehrecvr.exe[8301243bde5b6cd316d79c0191d50d9a][237568]
Service c:\windows\ehome\mcrdsvc.exe[52404cc76e9d53843bdf97564bb16bed][99328]
Service c:\windows\microsoft.net\framework\v2.0.50727\aspnet_state.exe[4eabf511b1af176a971c3271e48fa3a8][33800]
Service c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe[234b1bc2796483e1f5c3f26649fb3388][70144]
Service c:\windows\system32\alg.exe[5e9a6658a2a69ae7eb195113b7a2e7a9][44544]
Service c:\windows\system32\ati2evxx.exe[abc57a6f6070baf9786c318f59f29f0b][380928]
Service c:\windows\system32\cisvc.exe[793ef38a5fd086c3c8e48a8a861562ed][5632]
Service c:\windows\system32\clipsrv.exe[8b30cbb0c07d49b2658fb190946b0e7e][33280]
Service c:\windows\system32\ctsvccda.exe[3c8b6609712f4ff78e521f6dcfc4032b][44032]
Service c:\windows\system32\dllhost.exe [0dad93bb0fecf5016ae3c06cbb0a873b][5120]
Service c:\windows\system32\dmadmin.exe [ead2b8aaeb16e538106d295cd7bd7a48][225280]
Service c:\windows\system32\fxssvc.exe[305687eb8c8e0a12a0b2bae387b6e466][268800]
Service c:\windows\system32\imapi.exe[c4221678bbaa55239c23632875759961][150528]
Service c:\windows\system32\locator.exe[499c59a2584f6d4ea41e944da571d993][75264]
Service c:\windows\system32\lsass.exe[91e6024d6d4dcdecdb36c43ecf9bbecb][13312]
Service c:\windows\system32\mnmsrvc.exe[d3a2870cd96cda7bcff3dc54f64087ad][32768]
Service c:\windows\system32\msdtc.exe[8648d670ae0d95c95e7bbb5b80661796][6144]
Service c:\windows\system32\msiexec.exe [0411f7ee63ae48d2918ab4f2c79ab6c4][78848]
Service c:\windows\system32
etdde.exe[5c9b1d83755b36237b70f95df3d46a52][114176]
Service c:\windows\system32svp.exe[414964844f4793acb868d057e8ed997e][132608]
Service c:\windows\system32\scardsvr.exe[67949cc8a865296c1333c96a4e1a2d66][100352]
Service c:\windows\system32\services.exe[54cb50058851d95e56ec70d09f70857f][109056]
Service c:\windows\system32\sessmgr.exe[9f63d9c5b238ed1c375d417eff3d5be7][142848]
Service c:\windows\system32\smlogsvc.exe[0899061318a6b1d9596aabfc77f45e44][93184]
Service c:\windows\system32\spoolsv.exe[460e4ce148bd07218da0b6a3d31885a9][57856]
Service c:\windows\system32\svchost.exe [e4bdf223cd75478bf44567b4d5c2634d][14336]
Service c:\windows\system32	lntsvr.exe[d859a9d2f026ce5804485068ffd6eaf2][75264]
Service c:\windows\system32\ups.exe[1edc93d7bd731b5ca6248ae245099b60][18432]
Service c:\windows\system32\vssvc.exe[5a4da252b2c0550ab83d129c02cf6c19][295424]
Service c:\windows\system32\wbem\wmiapsrv.exe[4e8e8a58f56b25d0795f484e5eb7f898][126464]
Startup c:\documents and settings\all users\menu démarrer\programmes\démarrage\desktop.ini[d6a6856702e3f0953e7246a9b4a9fe35][84]
Startup c:\documents and settings\vincent\menu démarrer\programmes\démarrage\desktop.ini[d6a6856702e3f0953e7246a9b4a9fe35][84]
Startup c:\program files\epson\epson smart panel for scanner\espmain.exe[272d57f95d04444ea3eceb1fc01c2c66][180224]
Startup c:\program files\pinnacle\studio 8egisteregtool.exe[35d183cb9d58f97f4e2e52fa738dd75c][245760]
System.ini c:\windows\system32\msiexec.exe [0411f7ee63ae48d2918ab4f2c79ab6c4][78848]

pimprenelle27 · Answer

Tu as pu les fixer?

vsanchez@infonie.fr · Answer

Aucun problème les 5 ont été fixés automatiquement lorsque je l'ai demandé.

pimprenelle27 · Answer

ok tu vas me faire ceci  pour demain : 

Scan en ligne Kaspersky :

&#x25B6; Désactive ton antivirus

&#x25B6; Rends toi sur ce site : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr (avec Internet Explorer uniquement)

&#x25B6; En bas à droite, clique sur Démarrer Online-scanner

&#x25B6; Dans la nouvelle fenêtre qui s'affiche clique sur J'accepte

&#x25B6; Accepte les Contrôle ActiveX

&#x25B6; Choisis Poste de travail pour le scan.

&#x25B6; Celui-ci terminé, sauvegarde le rapport (choisis fichier texte) et poste le dans ta prochaine réponse.

&#x25B6; Pour t'aider à utiliser le scan en ligne, consulte ce tutoriel

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

vsanchez@infonie.fr · Answer

Salut en ce samedi très peu ensoleillé.

Voici le rapport Kaspersky, après une très longue analyse du PC...

-------------------------------------------------------------------------------
 KASPERSKY ON-LINE SCANNER REPORT
 Saturday, April 11, 2009 10:14:59 AM
 Système d'exploitation : Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
 Kaspersky On-line Scanner version : 5.0.84.2
 Dernière mise à jour de la base antivirus Kaspersky : 10/04/2009
 Enregistrements dans la base antivirus Kaspersky : 2032684
-------------------------------------------------------------------------------

Paramètres d'analyse:
	Analyser avec la base antivirus suivante: étendue
	Analyser les archives: vrai
	Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
	C:\
	D:\
	E:\
	F:\
	G:\
	H:\

Statistiques de l'analyse:
	Total d'objets analysés: 129863
	Nombre de virus trouvés: 4
	Nombre d'objets infectés: 4 / 0
	Nombre d'objets suspects: 0
	Durée de l'analyse: 02:29:38

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\All Users\Application Data\McAfee\MNA\NAData	L'objet est verrouillé	ignoré
C:\Documents and Settings\All Users\Application Data\McAfee\MNM\NDData	L'objet est verrouillé	ignoré
C:\Documents and Settings\All Users\Application Data\McAfee\MPF\data\log.edb	L'objet est verrouillé	ignoré
C:\Documents and Settings\All Users\Application Data\McAfee\MSC\Logs\{29D7C30B-4369-4E15-9139-4D520F38F353}.log	L'objet est verrouillé	ignoré
C:\Documents and Settings\All Users\Application Data\McAfee\MSC\Logs\{5EF2955A-3084-4198-BF2E-A88348E6E326}.log	L'objet est verrouillé	ignoré
C:\Documents and Settings\All Users\Application Data\McAfee\MSC\McUsers.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\All Users\Application Data\McAfee\MSK\MSKWMDB.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\All Users\Application Data\McAfee\MSK\settingsdb.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\All Users\Application Data\McAfee\SiteAdvisor\SA.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\All Users\Application Data\McAfee\VirusScan\Data\TFR15.tmp	L'objet est verrouillé	ignoré
C:\Documents and Settings\All Users\Application Data\McAfee\VirusScan\Logs\OAS.Log	L'objet est verrouillé	ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\791576950ebfab18ffae65fe78f04804_f5b2890d-379a-4967-b757-996c35f5a896	L'objet est verrouillé	ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\eHome\logs\ehRecvr.log	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Cookies\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\Valérie\Cookies\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Valérie\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Valérie\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\Valérie\Local Settings\Historique\History.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Valérie\Local Settings	emp\clclean.0001.dir.0014\~efe2.tmp	L'objet est verrouillé	ignoré
C:\Documents and Settings\Valérie\Local Settings\Temporary Internet Files\Content.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Valérie
tuser.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Valérie
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\Vincent\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\AppLogs\SUPERANTISPYWARE-4-11-2009( 0-5-3 ).SDB	L'objet est verrouillé	ignoré
C:\Documents and Settings\Vincent\Bureau\Virus\clean\pskill.exe	Infecté : not-a-virus:RiskTool.Win32.PsKill.k	ignoré
C:\Documents and Settings\Vincent\Cookies\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Vincent\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Vincent\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\Vincent\Local Settings\Historique\History.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Vincent\Local Settings\Temp\clclean.0001.dir.0000\~efe2.tmp	L'objet est verrouillé	ignoré
C:\Documents and Settings\Vincent\Local Settings\Temp\~DFB127.tmp	L'objet est verrouillé	ignoré
C:\Documents and Settings\Vincent\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Vincent\Local Settings\Temporary Internet Files\Content.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Vincent\Mes documents\Ma musique\caminito emiliotuero (256k 44800).mp3	Infecté : Trojan-Downloader.WMA.GetCodec.u	ignoré
C:\Documents and Settings\Vincent\Mes documents\Ma musique\caminito emiliotuero - greatest hits.wma	Infecté : Trojan-Downloader.WMA.Wimad.n	ignoré
C:\Documents and Settings\Vincent\Mes documents\Ma musique\el vito luis mariano-HQ.mp3	Infecté : Trojan-Downloader.WMA.GetCodec.v	ignoré
C:\Documents and Settings\Vincent\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\Vincent
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase	L'objet est verrouillé	ignoré
C:\WINDOWS\Debug\PASSWD.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log	L'objet est verrouillé	ignoré
C:\WINDOWS\Sti_Trace.log	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\CatRoot2\edb.log	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\CatRoot2	mp.edb	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\AppEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\Canal+.evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\DEFAULT	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\default.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\Internet.evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\Media Ce.evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SAM	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SAM.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SecEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SECURITY	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SECURITY.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SOFTWARE	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\software.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SysEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SYSTEM	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\system.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\h323log.txt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\LogFiles\HTTPERR\httperr1.log	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\Tasks\SCHEDLGU.TXT	L'objet est verrouillé	ignoré
C:\WINDOWS\TEMP\mcafee_rp2MfP6EJTlRVp4	L'objet est verrouillé	ignoré
C:\WINDOWS\TEMP\mcmsc_8CgCaueXVhjRxde	L'objet est verrouillé	ignoré
C:\WINDOWS\TEMP\mcmsc_on4EQw7fqoQMIwV	L'objet est verrouillé	ignoré
C:\WINDOWS\TEMP\mcmsc_s2RPOObyHJ1VysU	L'objet est verrouillé	ignoré
C:\WINDOWS\TEMP\Perflib_Perfdata_7c0.dat	L'objet est verrouillé	ignoré
C:\WINDOWS\TEMP\sqlite_4ugxu7aqfYLokaL	L'objet est verrouillé	ignoré
C:\WINDOWS\TEMP\sqlite_GoRRD8IlERrgNnz	L'objet est verrouillé	ignoré
C:\WINDOWS\TEMP\sqlite_guoiPkE6cliw8o1	L'objet est verrouillé	ignoré
C:\WINDOWS\TEMP\sqlite_iIo7KB1CfN6f2Vc	L'objet est verrouillé	ignoré
C:\WINDOWS\TEMP\sqlite_lfKtECFH1NRfzQp	L'objet est verrouillé	ignoré
C:\WINDOWS\TEMP\sqlite_QauXPBqIED1oSvK	L'objet est verrouillé	ignoré
C:\WINDOWS\TEMP\sqlite_VLn3jLXbDo7E0CY	L'objet est verrouillé	ignoré
C:\WINDOWS\wiadebug.log	L'objet est verrouillé	ignoré
C:\WINDOWS\wiaservc.log	L'objet est verrouillé	ignoré
C:\WINDOWS\WindowsUpdate.log	L'objet est verrouillé	ignoré

Analyse terminée.

pimprenelle27 · Answer

Voici ce qu'il reste comme virus, il va falloir supprimer tout ça et vider la corbeille : 

C:\Documents and Settings\Vincent\Bureau\Virus\clean\pskill.exe Infecté : not-a-virus:RiskTool.Win32.PsKill.k ignoré
C:\Documents and Settings\Vincent\Mes documents\Ma musique\caminito emiliotuero (256k 44800).mp3 Infecté : Trojan-Downloader.WMA.GetCodec.u ignoré
C:\Documents and Settings\Vincent\Mes documents\Ma musique\caminito emiliotuero - greatest hits.wma Infecté : Trojan-Downloader.WMA.Wimad.n ignoré 
C:\Documents and Settings\Vincent\Mes documents\Ma musique\el vito luis mariano-HQ.mp3 Infecté : Trojan-Downloader.WMA.GetCodec.v ignoré

vsanchez@infonie.fr · Answer

C'est fait, je redémarre ma machine en désactivant la restauration pour repartir d'une base saine.

Y a t'il d'autres étapes.

pimprenelle27 · Answer

non non tu va me faire un dernier hijackthis.

vsanchez@infonie.fr · Answer

OK ci-dessous le rapport.

A savoir que XoftXpySE me trouve toujours ce sacré Trojan dans un registre que je ne trouve pas et qui semble avoir été analysé par Kaspersky:

DebugMsg event="REGVALUE_FOUND" data="system\controlset001\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\c:\windows\system32\winver.exe" system-message="Seule une partie d'une requête ReadProcessMemory ou WriteProcessMemory a été effectuée." malwareName="Downloader Injecter UF Trojan" /> 

Rapport Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:00:44, on 11/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Canal\Canal Widget\VOD\CanalPlus.VOD.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\McAfee\SiteAdvisor\McSACore.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Program Files\McAfee\MPF\MPFSrv.exe
C:\Program Files\McAfee\MSK\MskSrver.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Program Files\Creative\Video Blaster WebCam Control\CAMTRAY.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\DOCUME~1\Vincent\LOCALS~1\Temp\clclean.0001
C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
C:\WINDOWS\stsystra.exe
C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\Program Files\Sony\Content Transfer\ContentTransferWMDetector.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\EPSON\EPSON SMART PANEL for Scanner\ESPmain.exe
C:\Program Files\Fichiers communs\Creative Labs Shared\Service\CreativeLicensing.exe
C:\Program Files\IncrediMail\bin\IMApp.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Vincent\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.search.yahoo.com/search?fr=mcafee&p=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://home.mcafee.com/StaticGenericPage.aspx?page=cookienotsupported&url=%2froot%2fcampaign.aspx%3fcid%3d16972%26culture%3dfr-FR%26ctst%3d1
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: McAfee Phishing Filter - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\mskapbho.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan\scriptsn.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [MBMon] Rundll32 CTMBHA.DLL,MBMon
O4 - HKLM\..\Run: [VoiceCenter] "C:\Program Files\Creative\VoiceCenter\AndreaVC.exe" /tray
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\Video Blaster WebCam Control\CAMTRAY.EXE
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [mcagent_exe] "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ContentTransferWMDetector.exe] C:\Program Files\Sony\Content Transfer\ContentTransferWMDetector.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [Creative Detector] "C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe" /R
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Registration-Studio 8.lnk = C:\Program Files\Pinnacle\Studio 8\Register\RegTool.exe
O4 - Global Startup: EPSON SMART PANEL for Scanner.lnk = C:\Program Files\EPSON\EPSON SMART PANEL for Scanner\ESPmain.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: CanalPlus.VOD - Canal+ Active - C:\Program Files\Canal\Canal Widget\VOD\CanalPlus.VOD.exe
O23 - Service: Creative Labs Licensing Service - Creative Labs - C:\Program Files\Fichiers communs\Creative Labs Shared\Service\CreativeLicensing.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Program Files\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee SpamKiller Service (MSK80Service) - McAfee, Inc. - C:\Program Files\McAfee\MSK\MskSrver.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe

pimprenelle27 · Answer

Regarde ceci en attendant, je reviens tout à l'heure analyser ton rapport : 

https://fr.wikipedia.org/wiki/Winver

pimprenelle27 · Answer

Désolé pour l'attente, tu peux me refaire un nouvel hijackthis. Merci.

gen-hackman · Answer

salut il faut voir si ce processus est encore present :

C:\DOCUME~1\Vincent\LOCALS~1\Temp\clclean.0001

vince37 · Answer

Bonjour,

Pas de pb pour l'attente, c'est déjà vraiment sympa de t'occuper de mes petits problèmes. Trouves ci-dessous le rapport de Hijcackthis.

Pour répondre à la question de gen-hackman, le processus "C:\DOCUME~1\Vincent\LOCALS~1\Temp\clclean.0001"  est toujours present. Le fichier d'origine date du 080409 et semble avoir été modifié à l'ouverture de cession de ce matin.

En attente de vos réponses.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:40:49, on 25/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Canal\Canal Widget\VOD\CanalPlus.VOD.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\McAfee\SiteAdvisor\McSACore.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Program Files\McAfee\MPF\MPFSrv.exe
C:\Program Files\McAfee\MSK\MskSrver.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Program Files\Creative\Video Blaster WebCam Control\CAMTRAY.EXE
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
C:\WINDOWS\stsystra.exe
C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\Program Files\Sony\Content Transfer\ContentTransferWMDetector.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Google\Quick Search Box\GoogleQuickSearchBox.exe
C:\Program Files\Spamihilator\spamihilator.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Program Files\SUPERAntiSpyware\9d188ae0-74d9-4d80-a768-00a08aba602f.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\EPSON\EPSON SMART PANEL for Scanner\ESPmain.exe
C:\Program Files\IncrediMail\bin\IMApp.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Vincent\Bureau\Virus\Outils\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.search.yahoo.com/search?fr=mcafee&p=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://home.mcafee.com/StaticGenericPage.aspx?page=cookienotsupported&url=%2froot%2fcampaign.aspx%3fcid%3d16972%26culture%3dfr-FR%26ctst%3d1
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: McAfee Phishing Filter - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\mskapbho.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan\scriptsn.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [MBMon] Rundll32 CTMBHA.DLL,MBMon
O4 - HKLM\..\Run: [VoiceCenter] "C:\Program Files\Creative\VoiceCenter\AndreaVC.exe" /tray
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\Video Blaster WebCam Control\CAMTRAY.EXE
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [mcagent_exe] "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ContentTransferWMDetector.exe] C:\Program Files\Sony\Content Transfer\ContentTransferWMDetector.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Google Quick Search Box] "C:\Program Files\Google\Quick Search Box\GoogleQuickSearchBox.exe"  /autorun
O4 - HKLM\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [Creative Detector] "C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe" /R
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\9d188ae0-74d9-4d80-a768-00a08aba602f.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Registration-Studio 8.lnk = C:\Program Files\Pinnacle\Studio 8\Register\RegTool.exe
O4 - Global Startup: EPSON SMART PANEL for Scanner.lnk = C:\Program Files\EPSON\EPSON SMART PANEL for Scanner\ESPmain.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: CanalPlus.VOD - Canal+ Active - C:\Program Files\Canal\Canal Widget\VOD\CanalPlus.VOD.exe
O23 - Service: Creative Labs Licensing Service - Creative Labs - C:\Program Files\Fichiers communs\Creative Labs Shared\Service\CreativeLicensing.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Program Files\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee SpamKiller Service (MSK80Service) - McAfee, Inc. - C:\Program Files\McAfee\MSK\MskSrver.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe

Downloader Injecter UF Trojan

32 réponses

Discussions similaires

Newsletters