Se connecter / S'enregistrer
Votre question

Ordinateur infecté....

Tags :
  • Avira
  • Sécurité
Dernière réponse : dans Sécurité et virus
1 Mai 2010 15:57:52

Bonjour,
Je viens de faire une analyse avec avira qui m'a trouver 14 virus :fou:  :fou:  :fou:  , comment faire pour les supprimer?
Voici mon rapport Avira et Hijackthis/




Avira AntiVir Personal
Date de création du fichier de rapport : samedi 1 mai 2010 15:09

La recherche porte sur 2062283 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : NEC-VL6

Informations de version :
BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 19/11/2009 18:24:19
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 10:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 11:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 10:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 18:24:18
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 18:24:18
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 16:07:23
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 16:07:45
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 16:08:04
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 09:02:21
VBASE006.VDF : 7.10.6.83 2048 Bytes 15/04/2010 09:02:22
VBASE007.VDF : 7.10.6.84 2048 Bytes 15/04/2010 09:02:22
VBASE008.VDF : 7.10.6.85 2048 Bytes 15/04/2010 09:02:22
VBASE009.VDF : 7.10.6.86 2048 Bytes 15/04/2010 09:02:23
VBASE010.VDF : 7.10.6.87 2048 Bytes 15/04/2010 09:02:23
VBASE011.VDF : 7.10.6.88 2048 Bytes 15/04/2010 09:02:23
VBASE012.VDF : 7.10.6.89 2048 Bytes 15/04/2010 09:02:24
VBASE013.VDF : 7.10.6.90 2048 Bytes 15/04/2010 09:02:24
VBASE014.VDF : 7.10.6.123 126464 Bytes 19/04/2010 21:24:59
VBASE015.VDF : 7.10.6.152 123392 Bytes 21/04/2010 21:25:00
VBASE016.VDF : 7.10.6.178 122880 Bytes 22/04/2010 21:25:00
VBASE017.VDF : 7.10.6.206 120320 Bytes 26/04/2010 21:25:01
VBASE018.VDF : 7.10.6.232 99328 Bytes 28/04/2010 21:25:02
VBASE019.VDF : 7.10.7.2 155648 Bytes 30/04/2010 18:57:12
VBASE020.VDF : 7.10.7.3 2048 Bytes 30/04/2010 18:57:12
VBASE021.VDF : 7.10.7.4 2048 Bytes 30/04/2010 18:57:12
VBASE022.VDF : 7.10.7.5 2048 Bytes 30/04/2010 18:57:12
VBASE023.VDF : 7.10.7.6 2048 Bytes 30/04/2010 18:57:12
VBASE024.VDF : 7.10.7.7 2048 Bytes 30/04/2010 18:57:13
VBASE025.VDF : 7.10.7.8 2048 Bytes 30/04/2010 18:57:13
VBASE026.VDF : 7.10.7.9 2048 Bytes 30/04/2010 18:57:13
VBASE027.VDF : 7.10.7.10 2048 Bytes 30/04/2010 18:57:13
VBASE028.VDF : 7.10.7.11 2048 Bytes 30/04/2010 18:57:13
VBASE029.VDF : 7.10.7.12 2048 Bytes 30/04/2010 18:57:14
VBASE030.VDF : 7.10.7.13 2048 Bytes 30/04/2010 18:57:14
VBASE031.VDF : 7.10.7.16 43520 Bytes 30/04/2010 18:57:15
Version du moteur : 8.2.1.224
AEVDF.DLL : 8.1.2.0 106868 Bytes 29/04/2010 21:25:09
AESCRIPT.DLL : 8.1.3.27 1294714 Bytes 29/04/2010 21:25:08
AESCN.DLL : 8.1.5.0 127347 Bytes 07/03/2010 16:08:44
AESBX.DLL : 8.1.3.1 254324 Bytes 29/04/2010 21:25:09
AERDL.DLL : 8.1.4.6 541043 Bytes 19/04/2010 09:03:01
AEPACK.DLL : 8.2.1.1 426358 Bytes 19/03/2010 17:31:56
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 18/03/2010 17:08:53
AEHEUR.DLL : 8.1.1.24 2613623 Bytes 19/04/2010 09:02:57
AEHELP.DLL : 8.1.11.3 242039 Bytes 07/04/2010 14:25:01
AEGEN.DLL : 8.1.3.7 373106 Bytes 19/04/2010 09:02:36
AEEMU.DLL : 8.1.2.0 393588 Bytes 29/04/2010 21:25:06
AECORE.DLL : 8.1.13.1 188790 Bytes 07/04/2010 14:24:57
AEBB.DLL : 8.1.1.0 53618 Bytes 29/04/2010 21:25:05
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 08:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 01/11/2009 11:23:31
AVREP.DLL : 8.0.0.7 159784 Bytes 07/03/2010 16:08:59
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 15:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 15:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 10:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 15:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 08:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 15:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 01/11/2009 11:23:27
RCTEXT.DLL : 9.0.73.0 88321 Bytes 19/11/2009 18:24:16

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : samedi 1 mai 2010 15:09

La recherche d'objets cachés commence.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\uhghg\type
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\uhghg\start
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\uhghg\errorcontrol
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\uhghg\group
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\uhghg\h2iw1rl4
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\uhghg\crw5bdo5
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\uhghg\m5sm2dvuv1
[INFO] L'entrée d'enregistrement n'est pas visible.
'65859' objets ont été contrôlés, '7' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'QTTask.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WZCSLDR2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AirGCFG.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SOUNDMAN.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SymWSC.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'36' processus ont été contrôlés avec '36' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '62' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <HDD>
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Documents and Settings\Administrateur\Local Settings\Temp\jar_cache737689944105040198.tmp
[0] Type d'archive: ZIP
--> wedfd/HkdfkjX.class
[RESULTAT] Contient le modèle de détection du virus Java JAVA/ClassLoade.N.2
C:\Documents and Settings\Administrateur\Local Settings\Temp\pdfupd.exe
[RESULTAT] Contient le cheval de Troie TR/Obfuscated.FI.16
C:\Documents and Settings\Administrateur\Local Settings\Temp\plugtmp\plugin-newplayer.pdf
[0] Type d'archive: PDF Stream
--> Object
[RESULTAT] Contient le modèle de détection de l'exploit EXP/Pidief.bvg.1
C:\System Volume Information\_restore{CF0A9A7F-8DC2-43A2-831C-BC1C2507589B}\RP240\A0030011.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Bredolab.AA.62
C:\System Volume Information\_restore{CF0A9A7F-8DC2-43A2-831C-BC1C2507589B}\RP240\A0030012.exe
[RESULTAT] Contient le cheval de Troie TR/Obfuscated.FI.16
C:\WINDOWS\system32\drivers\uhghg.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\WINDOWS\TEMP\21.tmp
[RESULTAT] Contient le cheval de Troie TR/Spy.30208.42
C:\WINDOWS\TEMP\2D.tmp
[RESULTAT] Contient le cheval de Troie TR/Dldr.Banload.aslv
C:\WINDOWS\TEMP\31.tmp
[RESULTAT] Contient le cheval de Troie TR/Spy.24576.880
C:\WINDOWS\TEMP\32.tmp
[RESULTAT] Contient le cheval de Troie TR/Obfuscated.FI.16
C:\WINDOWS\TEMP\35.tmp
[RESULTAT] Contient le cheval de Troie TR/Spy.30208.42
C:\WINDOWS\TEMP\_ex-68.exe
[RESULTAT] Contient le cheval de Troie TR/Fakealert.ahf
C:\WINDOWS\TEMP\~TM11.tmp
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
C:\WINDOWS\TEMP\~TM201.tmp
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen

Début de la désinfection :
C:\Documents and Settings\Administrateur\Local Settings\Temp\jar_cache737689944105040198.tmp
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c4e320e.qua' !
C:\Documents and Settings\Administrateur\Local Settings\Temp\pdfupd.exe
[RESULTAT] Contient le cheval de Troie TR/Obfuscated.FI.16
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c423211.qua' !
C:\Documents and Settings\Administrateur\Local Settings\Temp\plugtmp\plugin-newplayer.pdf
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c513219.qua' !
C:\System Volume Information\_restore{CF0A9A7F-8DC2-43A2-831C-BC1C2507589B}\RP240\A0030011.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Bredolab.AA.62
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c0c31dd.qua' !
C:\System Volume Information\_restore{CF0A9A7F-8DC2-43A2-831C-BC1C2507589B}\RP240\A0030012.exe
[RESULTAT] Contient le cheval de Troie TR/Obfuscated.FI.16
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b652196.qua' !
C:\WINDOWS\system32\drivers\uhghg.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
[AVERTISSEMENT] Impossible de trouver le fichier source.
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c433215.qua' !
C:\WINDOWS\TEMP\21.tmp
[RESULTAT] Contient le cheval de Troie TR/Spy.30208.42
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c0a31e1.qua' !
C:\WINDOWS\TEMP\2D.tmp
[RESULTAT] Contient le cheval de Troie TR/Dldr.Banload.aslv
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c0a31f4.qua' !
C:\WINDOWS\TEMP\31.tmp
[RESULTAT] Contient le cheval de Troie TR/Spy.24576.880
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b661642.qua' !
C:\WINDOWS\TEMP\32.tmp
[RESULTAT] Contient le cheval de Troie TR/Obfuscated.FI.16
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c0a31e2.qua' !
C:\WINDOWS\TEMP\35.tmp
[RESULTAT] Contient le cheval de Troie TR/Spy.30208.42
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c0a31e5.qua' !
C:\WINDOWS\TEMP\_ex-68.exe
[RESULTAT] Contient le cheval de Troie TR/Fakealert.ahf
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c543215.qua' !
C:\WINDOWS\TEMP\~TM11.tmp
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c293204.qua' !
C:\WINDOWS\TEMP\~TM201.tmp
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b5b6455.qua' !


Fin de la recherche : samedi 1 mai 2010 15:50
Temps nécessaire: 41:12 Minute(s)

La recherche a été effectuée intégralement

10165 Les répertoires ont été contrôlés
360749 Des fichiers ont été contrôlés
14 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
14 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
360733 Fichiers non infectés
7239 Les archives ont été contrôlées
2 Avertissements
15 Consignes
65859 Des objets ont été contrôlés lors du Rootkitscan
7 Des objets cachés ont été trouvés



Voici le rapport Hijackthis:




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:53:06, on 01/05/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17023)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
c:\program files\avira\antivir desktop\avcenter.exe
C:\Program Files\Avira\AntiVir Desktop\avscan.exe
C:\WINDOWS\system32\notepad.exe
C:\Documents and Settings\Administrateur\Mes documents\Téléchargements\HiJackThis(2).exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\ORL\VNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON

Autres pages sur : ordinateur infecte

1 Mai 2010 21:17:27

Bonsoir
le rapport Hijackthis est incomplet, attention à poster des rapport complets dans tes prochains posts :) 

Télécharge MalwareByte's Anti-Malware sur ton Bureau.

  • Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
    Une fois l'installation et la mise à jour effectuées :
  • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
  • Afin de lancer la recherche, clic sur"Rechercher".
  • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
    ~ Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
    ~~ Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau.


    REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.[/#f]

    Note : Si tu ne parviens à télécharger MBAM à partir de MajorGeeks, tu peux le télécharger ici!

    [#FF0000]Aide
    :
  • Comment utiliser MBAM.
    2 Mai 2010 22:32:20

    Désolé pour le rapport Hijackthis mais javais des problèmes de connexion au moment où j'ai créé le sujet.... Dois-je en poster un nouveau?
    Merci pour ton aide Sham_Rock
    Voici le rapport MBAM/




    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4058

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 7.0.5730.13

    02/05/2010 22:01:42
    mbam-log-2010-05-02 (22-01-42).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 120573
    Temps écoulé: 10 minute(s), 22 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 3
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 2

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CLASSES_ROOT\Typelib\{f9fa603d-697c-4900-a950-e54f08324a24} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\nmwegbsf.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\WINDOWS\system32\drivers\uhghg.sys (Rootkit.Agent) -> Delete on reboot.
    C:\Documents and Settings\Administrateur\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
    Contenus similaires
    3 Mai 2010 21:36:29

    re
    1
    Télécharge DDS et sauvegarde-le sur ton bureau.
  • Désactive tout script bloquant, tel q'un antivirus, un logiciel comme ad-block, noscript etc.
  • Double-clique sur dds.scr pour lancer l'outil.
  • Une fois le scan fini, un document texte, DDS.txt, va s'ouvrir .
  • Clique Oui à la prochaine invite Optional Scan.
  • Sauvegarde les deux rapports sur ton bureau et poste-moi uniquement le DDS.txt.

    2
    Télécharge GMER à partir de ce lien : http://www.gmer.net/files.php - clic sur "Download EXE" et télécharge le fichier sur ton bureau.
    Voir le tutorial GMER, ça peut peut-être t'aider : http://www.malekal.com/tutorial_GMER.php

  • Désactive tes logiciels de protection (antivirus, antispyware etc) et ferme tous les programmes ouverts.
  • Double-clique sur le fichier GMER téléchargé.
    IMPORTANT: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
  • Clique sur l'onglet "rootkit"
  • A droite, coche seulement Files, Services & Registry.
  • Clique maintenant sur Scan.
  • Lorsque le scan est terminé, clique sur Copy.
  • Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller.
    Le rapport doit alors apparaître.
  • Enregistre le fichier sur ton Bureau et poste le contenu ici.



    4 Mai 2010 13:33:14

    Bonjour,
    Problème, j'ai exécuté dds sans problème. Puis je suis passé à GMER qui a fonctionné pendant plus d'une heure et proche de la fin (je pense, il scannait les fichiers windows) l'ordinateur s'est éteint puis a redémarré et ne m'affiche plus rien mais seulement un écran noir. A croire que windows a disparu.........
    4 Mai 2010 21:15:51

    re
    tu as essayé de redémarrer?
    pour l'instant, on ne supprime rien, je cherche juste les éléments infectieux donc GMER n'a rien pu endommager...
    4 Mai 2010 21:18:54

    Oui j'ai redémarré plusieurs fois mais toujours le même résultat....
    4 Mai 2010 21:57:26

    re
    on va trouver une solution....


    Télécharge OTLPE et crée toi un disque en suivant ce Tuto

    Tu lances l'iso d'OTLPE que tu as gravé.
  • une fois le bureau de reatogo chargé , tu lances OTLPE , l'icône jaune

  • Double-clique sur l'icone OTLPE
  • quand demandé "Do you wish to load the remote registry", select Yes
  • quand demandé "Do you wish to load remote user profile(s) for scanning", select Yes
  • vérifier que "Automatically Load All Remaining Users" est sélectionné et press OK



  • sous Custom Scan box copie_colle le contenu du cadre ci dessous:


    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %SYSTEMDRIVE%\*.exe
    /md5start
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    iaStor.sys
    nvstor.sys
    atapi.sys
    cdrom.sys
    disk.sys
    ndis.sys
    mountmgr.sys
    aec.sys
    rasacd.sys
    mrxsmb10.sys
    mrxsmb20.sys
    termdd.sys
    mrxsmb.sys
    win32k.sys
    storport.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    ahcix86.sys
    KR10N.sys
    nvstor32.sys
    ahcix86s.sys
    nvrd32.sys
    /md5stop
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    CREATERESTOREPOINT


  • copie colle ce texte dans un fichier texte|bloc note que tu enregistres sur clé usb que tu brancheras sous reatogo tu pourras alors facilement le copier\coller.
  • Clic Run Scan pour démarrer le scan.
  • Une fois terminé , le fichier se trouve là C:\OTL.txt
  • Copie_colle le contenu dans ta prochaine réponse.
    5 Mai 2010 19:48:27

    Re,
    J'ai gravé OTLPE comme tu l'avais dit, mais impossible de le lancer, comment faire?
    Si je ne fais rien je récupère mon écran noir et quand je tapote F8 au début, un menu bleu apparait me demandant de choisir un boot, quand je sélectionne CD/DVD ou 1st floppy drive, rien ne se passe.
    J'ai grave otlpe sur un rw, j'espère que cela peu marcher...?
    5 Mai 2010 22:04:40

    Problème matériel? Pourquoi se serait il déclenché à ce moment là?
    J'ai été voir le tuto pour boot sur le cd, une fois dans le dans le bios, je me retrouve avec:
    1st boot device 1st floppy dri
    2nd boot device CD/DVD:SM/LITE
    3nd boot device HDD:p M-ST38001

    J'ai tenté de mettre cd/dvd en 1st boot device, mais ça n'a rien changer...
    6 Mai 2010 18:11:24

    re
    Citation :
    Problème matériel? Pourquoi se serait il déclenché à ce moment là?

    Je ne sais pas... :/ 
    si tu as un cd de windows, tu le mets dedans et tu vois si ça change la donne... (tu ne fais pas de réinstall, c'est juste pour voir si tu as toujours ton écran noir)
    tu as un message à l'affichage?
    si tu as toujours un écran noir, tu devrais poster un topic ici:
    Section hardware

    6 Mai 2010 18:50:13

    Je n'ai pas de cd windows malheuresement. Mon écran n'est pas tout le temps noire, quand j'allume mon ordi, il y a d'abord la mage nec (marque de mon ordi) qui s'affiche, puis il reste noire après...
    Pour le topic de otlpe, je n'ai rien trouvé de particulier, il fallait bien juste graver le fichier iso sur un cd?
    6 Mai 2010 19:51:00

    re
    demande qu'on te prête un cd de windows pour voir
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS