Votre question

Virus win32 skimorph - résolu

Tags :
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
2 Octobre 2010 18:08:16

Bonjour,
Avast me détecte ce virus Win32, souvent peu de temps aprés le démarrage de mon pc.Avast m'a détecté cinq fichiers infectés en une semaine et je crains qu'il ne se répande. je ne sais comment le supprimer. Pourriez-vous m'aidez?
merci d'avance

Autres pages sur : virus win32 skimorph resolu

17 Octobre 2010 14:52:52

j'ai effectué un rapport avec le logiciel hijackthis.log.
Pourriez-vous me l'analyser, svp?
voici le rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:44:51, on 17/10/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Drivers\WTSRV.EXE
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\WTClient.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\WISPTIS.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe
C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe
C:\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\documents and settings\anais\local settings\application data\sfyealw.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Documents and Settings\ANAIS\Mes documents\ahahaha.exe
C:\Program Files\Skype\Toolbars\Shared\SkypeNames2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.254:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll (file missing)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [WTClient] WTClient.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [sfyealw] "c:\documents and settings\anais\local settings\application data\sfyealw.exe" sfyealw
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Ajouter la cible du lien à un fichier PDF existant - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Ajouter à un fichier PDF existant - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir au format Adobe PDF - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien au format Adobe PDF - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.euro.dell.com/systemprofiler/SysPro.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Cont...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/fl...
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: WinTab Service (WinTabService) - Tablet Driver - C:\WINDOWS\System32\Drivers\WTSRV.EXE

--
End of file - 10468 bytes
a c 614 8 Sécurité
17 Octobre 2010 15:13:05

Bonjour, [:arslan:13]

çà ressemble à du navipromo çà, ...


Télécharge Navilog1 (de Il Mafioso) sur le bureau.

  • Double clique sur Navilog1.exe pour lancer l'installation.
  • Une fois l'installation terminée, le fix s'exécutera automatiquement.
    (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le Bureau).

  • Laisse-toi guider. Au menu principal, choisis 1 et valide.
    (Ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
  • Patiente jusqu'à l'apparition de ce message :
    *** Analyse Termine le ..... ***
  • Appuie sur une touche comme demandé. Le Bloc-notes va s'ouvrir. Poste le rapport ici.

    (S'il n'apparait pas, le rapport se trouve ici C:\fixnavi.txt)
    Contenus similaires
    17 Octobre 2010 15:33:44

    bonjour,
    voici le rapport affiché par Navilog1:

    Fix Navipromo version 4.0.9 commencé le 17/10/2010 15:24:02,70

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!

    Outil exécuté depuis C:\navilog1

    Mise à jour le 17.09.2010 à 16h00 par IL-MAFIOSO

    Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
    X86-based PC ( Multiprocessor Free : AMD Turion(tm) 64 X2 Mobile Technology TL-52 )
    BIOS : Ver 1.00PARTTBL
    USER : ANAIS ( Administrator )
    BOOT : Normal boot

    Antivirus : avast! antivirus 4.8.1368 [VPS 101017-0] 4.8.1368 (Activated)


    C:\ (Local Disk) - NTFS - Total:50 Go (Free:21 Go)
    D:\ (Local Disk) - NTFS - Total:51 Go (Free:39 Go)
    E:\ (CD or DVD)


    Recherche executée en mode normal

    Nettoyage exécuté au redémarrage de l'ordinateur


    C:\WINDOWS\prefetch\sfyealw*.pf supprimé !
    c:\docume~1\anais\locals~1\applic~1\sfyealw.exe supprimé !
    c:\docume~1\anais\locals~1\applic~1\sfyealw.dat supprimé !
    c:\docume~1\anais\locals~1\applic~1\sfyealw_nav.dat supprimé !
    c:\docume~1\anais\locals~1\applic~1\sfyealw_navps.dat supprimé !


    Nettoyage contenu C:\WINDOWS\Temp effectué !
    Nettoyage contenu C:\Documents and Settings\ANAIS\locals~1\Temp effectué !


    *** Sauvegarde du Registre vers dossier Safebackup ***

    sauvegarde du Registre réalisée avec succès !

    *** Nettoyage Registre ***

    Nettoyage Registre Ok




    *** Scan terminé 17/10/2010 15:30:40,04 ***

    a c 614 8 Sécurité
    17 Octobre 2010 15:57:27

    Re,

    Ok, ceci à suivre :

    Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt. Copie/colle ici l'ensemble des rapports.
    PS : Les rapports sont aussi enregistrés sur le bureau

    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    a c 614 8 Sécurité
    17 Octobre 2010 17:41:03

    Re,

    Tu as une infection sur support amovible aussi, présente ou ancienne ...

    fais ceci :

    Télécharge UsbFix (de El Desaparecido et C_XX) sur ton Bureau.

    /!\ Déconnecte-toi et ferme toutes les applications en cours /!\
    /!\ Branche tous tes périphériques ayant pu être infectés (clés usb, disque dur externe, etc ...) /!\


  • Double-clique sur "UsbFix" pour lancer le programme
    (Utilisateur de Vista/Windows 7, clique-droit sur UsbFix > Exécuter en tant qu'administrateur)
  • Clique sur "Recherche" pour lancer le scan. Branche tes périphériques si ce n'est pas fait, puis valide l'avertissement.
  • Laisse travailler l'outil.
  • A la fin, un rapport apparaitra (sinon, il est situé ici C:\Usbfix.txt). Poste-le dans ta prochaine réponse

    Une aide à l'utilisation ici


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    a c 614 8 Sécurité
    17 Octobre 2010 19:41:43

    Re,

    Passe au nettoyage :

    Relance USBFix :

    /!\ Déconnecte-toi et ferme toutes les applications en cours /!\
    /!\ Branche tous tes périphériques ayant pu être infectés (clés usb, disque dur externe, etc ...) /!\


  • Double-clique sur "UsbFix" pour lancer le programme
    (Utilisateur de Vista/Windows 7, clique-droit sur UsbFix > Exécuter en tant qu'administrateur)
  • Clique sur "Suppression" pour lancer le nettoyage. Branche tes périphériques si ce n'est pas fait, puis valide l'avertissement.
  • Laisse travailler l'outil, ton bureau va disparaitre, c'est normal.
  • S'il te demande d'envoyer un fichier .zip, accepte.
  • A la fin, un rapport apparaitra (sinon, il est situé ici C:\Usbfix.txt). Poste-le dans ta prochaine réponse

    Une aide à l'utilisation ici


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    a c 614 8 Sécurité
    17 Octobre 2010 20:19:57

    Re,

    J'avais déjà vu dans le précédent rapport, et le revois ici :
    Tu as utilisé ComboFix, c'est un outil extrêmement puissant et dangereux sans connaissances !

    Je te déconseille très fortement l'utilisation de tels outils sans l'assistance de personnes compétentes !


    Refais-moi ceci à présent :

    Relance OTL :

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, le rapport OTL.Txt s'ouvrira. Copie/colle ici son contenu.
    PS : Les rapports sont aussi enregistrés sur le bureau

    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    a c 614 8 Sécurité
    18 Octobre 2010 17:26:04

    Re,

    Citation :
    par contre, je ne connais pas combofix. Est-il possible qu'une personne m'ayant installé des logiciels puisse l'avoir utilisé? ou bien a-t-il d'autres appelations possible? dans quel cas l'utilise t'on?


    Quelqu'un à installé des trucs et tenté un désinfection ?
    Non, il s'appelle Combofix, c'est tout, c'est un puissant logiciel de désinfection, mais qui demande de bonne connaissance pour une utilisation optimale.

    On le virera à la fin.

    Bon, avant de continuer le ménage, j'ai deux-trois question :

    1) Es-tu en réseau ? Je veux dire, est-ce un PC personnel ou sur un réseau ?

    2) Comment te connectes-tu à Internet ? (wi-fi ? routeur ? box ?)

    3) Quel est ton FAI (fournisseur d'accès Internet)

    4) Y'a-t-il une raison pour que ta connexion pointe vers un serveur Néerlandais / Autrichien, ou vers un fournisseur du nom de chello/upc/upclive ? (si çà te dis rien, juste dis-le moi)


    [:_tom_:7]
    18 Octobre 2010 18:45:20

    Re,

    Je l'ai fais désinfecté, il y a un an par un informatition mais je ne sais pas si ça laisse des traces aussi longtemps aprés.

    Sinon, c'est un pc personnel.
    Je me connecte en Wi-fi via un routeur.
    Mon fournisseur d'accés à internet est TP-LINK.
    je suis en hongrie actuellement et upc est un FAI ici. peut être que cela à un lien.

    en tout cas, merci de m'aider parce que trouver un informatition, ici qui connait le français n'est pas aisé. :-)
    a c 614 8 Sécurité
    18 Octobre 2010 19:04:45

    Re,

    Ok, il a laissé effectivement des traces ;) 

    Citation :
    je suis en hongrie actuellement et upc est un FAI ici. peut être que cela à un lien.


    Oui, je pense, je vais laisser de côté ce que j'ai vu, ce doit être lié.

    Pour suivre :

    Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie/colle ce qui suit dans le cadre Personnalisation en bas à gauche.
    :OTL
    DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
    O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll File not found
    O3 - HKLM\..\Toolbar: (&Google) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll File not found
    O3 - HKCU\..\Toolbar\WebBrowser: (&Google) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll File not found
    O4 - HKLM..\Run: [] File not found
    O4 - HKCU..\Run: [AdobeBridge] File not found
    O4 - HKLM..\RunOnce: [] File not found
    O33 - MountPoints2\{3125a332-0d55-11de-a4c4-0016d4d3060c}\Shell\AutoRun\command - "" = gclwpivc.cmd
    O33 - MountPoints2\{3125a332-0d55-11de-a4c4-0016d4d3060c}\Shell\open\Command - "" = gclwpivc.cmd
    O33 - MountPoints2\{5a5dae54-cd26-11dc-a2ee-0016d4d3060c}\Shell - "" = AutoRun
    O33 - MountPoints2\{5a5dae54-cd26-11dc-a2ee-0016d4d3060c}\Shell\Auto\command - "" = sxs2.exe
    O33 - MountPoints2\{9e768bfe-6197-11de-a550-0016d4d3060c}\Shell\AutoRun\command - "" = 6phx.com
    O33 - MountPoints2\{9e768bfe-6197-11de-a550-0016d4d3060c}\Shell\open\Command - "" = 6phx.com
    O33 - MountPoints2\{c9194cf5-8d48-11dc-a27d-0016d4d3060c}\Shell\AutoRun\command - "" = H:\s.exe -- File not found
    O33 - MountPoints2\{c9194cf5-8d48-11dc-a27d-0016d4d3060c}\Shell\open\Command - "" = H:\s.exe -- File not found
    [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
    [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
    [2010/06/23 20:26:38 | 000,037,995 | ---- | C] () -- C:\Documents and Settings\ANAIS\Local Settings\Application Data\rvhle.exe
    [2010/05/25 08:39:55 | 000,038,040 | ---- | C] () -- C:\Documents and Settings\ANAIS\Local Settings\Application Data\bdxruicf.exe
    [2010/04/02 08:27:26 | 000,038,088 | ---- | C] () -- C:\Documents and Settings\ANAIS\Local Settings\Application Data\kifcyd.exe

    :Commands
    [purity]
    [emptytemp]


  • Puis clique sur le bouton Correction en haut à gauche
  • Si le pc demande à redémarrer accepte.
  • Poste le rapport de suppression.



    Ensuite :

    Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"

    [:_tom_:7]
    18 Octobre 2010 22:16:02

    le lien pour envoyer les rapports ne prend pas les extensions.log
    alors je le poste directement.
    désolé pour la longueur du post. je lance la suite.

    voici le rapport d'OTL :


    All processes killed
    ========== OTL ==========
    Service catchme stopped successfully!
    Service catchme deleted successfully!
    File C:\ComboFix\catchme.sys not found.
    Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ not found.
    Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AA58ED58-01DD-4d91-8333-CF10577473F7}\ deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{2318C2B1-4965-11d4-9B18-009027A5CD4F} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11d4-9B18-009027A5CD4F}\ deleted successfully.
    Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F}\ not found.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
    Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\AdobeBridge deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\\ not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3125a332-0d55-11de-a4c4-0016d4d3060c}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3125a332-0d55-11de-a4c4-0016d4d3060c}\ not found.
    File gclwpivc.cmd not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3125a332-0d55-11de-a4c4-0016d4d3060c}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3125a332-0d55-11de-a4c4-0016d4d3060c}\ not found.
    File gclwpivc.cmd not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5a5dae54-cd26-11dc-a2ee-0016d4d3060c}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5a5dae54-cd26-11dc-a2ee-0016d4d3060c}\ not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5a5dae54-cd26-11dc-a2ee-0016d4d3060c}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5a5dae54-cd26-11dc-a2ee-0016d4d3060c}\ not found.
    File sxs2.exe not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9e768bfe-6197-11de-a550-0016d4d3060c}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9e768bfe-6197-11de-a550-0016d4d3060c}\ not found.
    File 6phx.com not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9e768bfe-6197-11de-a550-0016d4d3060c}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9e768bfe-6197-11de-a550-0016d4d3060c}\ not found.
    File 6phx.com not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c9194cf5-8d48-11dc-a27d-0016d4d3060c}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c9194cf5-8d48-11dc-a27d-0016d4d3060c}\ not found.
    File H:\s.exe not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c9194cf5-8d48-11dc-a27d-0016d4d3060c}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c9194cf5-8d48-11dc-a27d-0016d4d3060c}\ not found.
    File H:\s.exe not found.
    C:\WINDOWS\002235_.tmp deleted successfully.
    C:\WINDOWS\005905_.tmp deleted successfully.
    C:\WINDOWS\SET3.tmp deleted successfully.
    C:\WINDOWS\SET7.tmp deleted successfully.
    C:\WINDOWS\System32\CONFIG.TMP deleted successfully.
    C:\Documents and Settings\ANAIS\Local Settings\Application Data\rvhle.exe moved successfully.
    C:\Documents and Settings\ANAIS\Local Settings\Application Data\bdxruicf.exe moved successfully.
    C:\Documents and Settings\ANAIS\Local Settings\Application Data\kifcyd.exe moved successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: Administrateur
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 78991 bytes
    ->Flash cache emptied: 577 bytes

    User: All Users

    User: ANAIS
    ->Temp folder emptied: 1750263 bytes
    ->Temporary Internet Files folder emptied: 86370691 bytes
    ->Java cache emptied: 342337 bytes
    ->Apple Safari cache emptied: 1379328 bytes
    ->Flash cache emptied: 31657 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: LocalService
    ->Temp folder emptied: 65748 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 1376991 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32\dllcache .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 16867 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 60928626 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
    RecycleBin emptied: 10030949 bytes

    Total Files Cleaned = 155,00 mb


    OTL by OldTimer - Version 3.2.15.2 log created on 10182010_220506

    Files\Folders moved on Reboot...
    File\Folder C:\Documents and Settings\ANAIS\Local Settings\Temp\~DF6902.tmp not found!
    File\Folder C:\Documents and Settings\ANAIS\Local Settings\Temp\~DF693E.tmp not found!
    File\Folder C:\Documents and Settings\ANAIS\Local Settings\Temp\~DF75B8.tmp not found!
    File\Folder C:\Documents and Settings\ANAIS\Local Settings\Temp\~DF75EE.tmp not found!
    File\Folder C:\Documents and Settings\ANAIS\Local Settings\Temp\~DF786F.tmp not found!
    File\Folder C:\Documents and Settings\ANAIS\Local Settings\Temp\~DF78BA.tmp not found!
    C:\Documents and Settings\ANAIS\Local Settings\Temporary Internet Files\Content.IE5\S0NEKW3P\home[1].htm moved successfully.
    C:\Documents and Settings\ANAIS\Local Settings\Temporary Internet Files\Content.IE5\S0NEKW3P\like[1].htm moved successfully.
    C:\Documents and Settings\ANAIS\Local Settings\Temporary Internet Files\Content.IE5\S0NEKW3P\morestories[1].htm moved successfully.
    C:\Documents and Settings\ANAIS\Local Settings\Temporary Internet Files\Content.IE5\KNZVULIT\forum2[1].htm moved successfully.
    C:\Documents and Settings\ANAIS\Local Settings\Temporary Internet Files\Content.IE5\CQDQKX8X\photo[1].htm moved successfully.
    C:\Documents and Settings\ANAIS\Local Settings\Temporary Internet Files\Content.IE5\CQDQKX8X\redirectiframe[1].html moved successfully.
    C:\Documents and Settings\ANAIS\Local Settings\Temporary Internet Files\Content.IE5\68C7A4MW\11[3].htm moved successfully.
    C:\Documents and Settings\ANAIS\Local Settings\Temporary Internet Files\Content.IE5\68C7A4MW\cdntests_cedexis[1].htm moved successfully.
    C:\Documents and Settings\ANAIS\Local Settings\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat moved successfully.
    File move failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be moved on reboot.
    File\Folder C:\WINDOWS\temp\Perflib_Perfdata_524.dat not found!

    Registry entries deleted on Reboot...

    a c 614 8 Sécurité
    19 Octobre 2010 17:03:19

    Re,

    Oui, désolé, je devrait indiquer de renommer tout simplement en .txt les rapports :D 

    Bref, c'est ok, on fini le ménage et les mises à jours.


    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    Si encore présent après cela, supprime :
    - Navilog1.exe
    - USBfix (ouvre le programme puis choisi "désinstaller" )

    2) Purge ta restauration système :

    Elle contient des restes des infections, suis ce tuto pour la purger : (n'oublie pas de la réactiver)
    http://www.inforumatique.fr/la-restauration-du-systeme-...

    (fin du tuto)


    3) Met à jour les programmes suivants :

    - Java vers la version 6 update 22
    (vérifie que les anciennes versions ont bien été supprimée lors de la mise à jour, sinon, fait-le)

    - avast! Antivirus vers la version 5

    - VLC media player vers la version 1.1.4



    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Installer un parefeu en remplacement de celui de Windows XP :
    Le parefeu intégré de Windows XP n'est pas assez performant, il est intéressant de le remplacer par un parefeu plus complet, tel Zone Alarm ou Kerio par exemple ... /!\ comme les antivirus, un seul parefeu sur ton pc, pense donc à désactiver celui de Windows si tu en installes un autre !!!

  • Utiliser un navigateur alternatif pour surfer de manière plus sécurisée :
    Firefox offre une meilleure sécurité par rapport à Internet Explorer, surtout si on le complète de quelques plugins très intéressant : Noscript et WOT par exemple.

  • Surfer sans les droits d'administration : En session limitée ou avec DropMyRight
    Cela diminue considérablement les risques d'infections, car certaines infection ne peuvent alors plus s'installer.

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !

    [:_tom_:7]
    19 Octobre 2010 21:10:12

    J'ai juste une question au sujet de la purge de mon systéme de restauration.
    J'avais vista sur mon pc mais n'étant pas satisfaite, j'ai fait installé XP par un ami informatition et je crois qu'il m'a gardé vista pour systéme de restauration au cas où je souhaite le réinstaller.
    Je ne suis pas sur de cela, peut être le sais tu parmis tous les rapports postés ou y-a t'il un moyen de le savoir?
    Du coup, je ne sais pas si je dois utiliser le tutoriel pour Vista ou XP?
    19 Octobre 2010 21:19:46

    Oups, ça m'apprendra à mal lire... :D 
    Désolé pour la question idiote..
    a c 614 8 Sécurité
    20 Octobre 2010 16:42:36

    Re ;) 

    :D  y'a pas de question idiote ... mieux vaut demander ...

    Non, effectivement, rien à voir la restauration système, qui est liée à l'OS en place et le recovery, c'est à dire la restauration usine, qui se trouve soit sur des cd/dvd, soit sur une partition cachée pour restaurer le pc en l'état sortie d'usine.

    Si pas d'autres question :

    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "éditer" dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi, si tu le souhaites, valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    20 Octobre 2010 18:08:59

    Ok,

    Merci encore pour ton aide et tes conseils.
    Bonne soirée et bonne continuation au forum.

    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS