Votre question

Comment virer ce bidule Tr/Rootkit.gen svp

Tags :
  • Rootkit
  • Sécurité
Dernière réponse : dans Sécurité et virus
4 Février 2010 13:44:26

Bonjour,
Antivir a détecté un Tr/Rootkit.gen qu'il ne sait pas supprimer.
J'ai cherché une solution clé en main sur internet mais j'ai pas trouvé
alors je me tourne vers vous

J'ai un rapport hijachthis,
Par avance merci, si quelqu'un sait interpréter et peut m'aider à dégager ce rootkit.

Le voici :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:39:35, on 04/02/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\Applications\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\Temp\_ex-08.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\explorer.exe
c:\program files\avira\antivir desktop\avcenter.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Documents and Settings\PC01\Mes documents\Téléchargements\hijackthis-2.0.2.75917.exe
C:\DOCUME~1\PC01\LOCALS~1\Temp\hijackthis-2.0.2.75917.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Applications\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Applications\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Six Engine] "C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Applications\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre6\bin\jusched.exe
O4 - HKLM\..\Run: [CTFMON] C:\WINDOWS\Temp\_ex-08.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Applications\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Applications\Acrobat reader\Reader\reader_sl.exe
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Applications\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Applications\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Applications\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Applications\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Applications\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Applications\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Applications\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Applications\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{1296A0C9-AF7E-4B60-B476-C49ABCD7C235}: NameServer = 192.168.1.1
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: WindowsDriver - Unknown owner - C:\WINDOWS\system32\spool.exe (file missing)

--
End of file - 8071 bytes

Autres pages sur : virer bidule rootkit gen svp

4 Février 2010 13:55:48

hello,


bien infecté .... y a du travail ... :) 



/!\ Pour le bon déroulement de la désinfection :
  • Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
  • N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
  • Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
  • Si tu as un quelconque problème, n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).

    =============================================================



    Commence par ceci pour avoir un diagnostique plus précis de la situation :


    1- Important :
    Désactive le "tea timer" de Spybot S&D en t'aidant de ce tuto animé (merci Balltrap ;)  ) :
    http://perso.orange.fr/rginformatique/section%20virus/d...
    ( sur la 1er image , clique sur "tea timer" pour lancer l'animation ).

    ou de celui-ci > http://www.genproc.com/spybot/spybot.html

    En effet , il risque de géner dans le bon déroulement des outils de désinfections et dans la répartion du registre ...

    Tu le réactiveras une fois qu'on aura finit de désinfecter ( et pas avant ! ) .
    /!\ Mais attention :
    à ce moment là, le " TeaTimer " de Spybot proposera, par le biais de plusieurs pop-up, d'accepter ou non des modifications de registre ( survenuent lors de la désinfection )
    -> il faudra alors les accepter toutes sans exeptions !

    Puis part la suite , il faudra rester vigilant lorsque le "TeaTimer" donnera des alertes : accepter une modification uniquement si on en connait la provenance .


    ============================


    2- Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

    -> http://telechargement.zebulon.fr/zhpdiag.html

    !! déconnecte toi et ferme toutes tes applications en cours !!

  • Double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) .

  • Lance ZHPDiag depuis le raccourci du bureau .

  • Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite ( celui avec le tournevis ) :

    une liste apparait dans l'encadré principal > vérifie que toutes les lignes soient bien cochées sauf les 045 et 061 ( important ! ) .

  • Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .

    > Laisses travailler l'outil ...

  • Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...
    Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

    ( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag)


    Puis ferme le programme ...


    > rends toi ensuite sur ce site : http://www.cijoint.fr/

  • Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
  • Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
  • Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....


    ====================


    3- Lance de nouveau ZHPDiag ,

    !! déconnecte toi et ferme toutes tes applications en cours !!

  • Tu vas faire une " analyse détaillée/MD5 " en procédant ainsi :

    tu cliques cette fois ci sur le bouton " dossier+loupe " ( en haut à droite ) pour lancer le scan.


    Laisse travailler l'outil et ne touche à rien ( cela peut-être relativement long ) .


  • Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...
    Enregistre le de façon à le retrouver facilement ( sur le bureau par exemple ).

    > Fais moi parvenir ce rapport via " Cijoint " dans ta prochaine réponse pour analyse ...







    Contenus similaires
    4 Février 2010 15:11:48

    bien ...



    Commence par ceci dans l'ordre :



    1- Utilisation de l'outil ZHPFix :

    > Lance ZHPFix depuis le raccouci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal ( qui est vierge ), copie/colle tout le texte qui se trouve sur cette page ( et rien d'autre ! ) :

    > http://www.cijoint.fr/cj201002/cijxPWVa44.txt


    Vérifie :
    - que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
    - que les lignes soient disposées les unes en dessous des autres lorsque tu les copies dans ZHPFix.


    * Puis clique sur le bouton [ OK ] .
    > à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


    * Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

    * Enfin clique sur le bouton [ Nettoyer ] .


    -> laisse travailler l'outil et ne touche à rien ...


    -> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

    Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )

    Pense à réactiver tes défenses !...


    ==============================


    2- Au niveau de ces 2 navigateurs , fait les vérifes et modifes suivantes :


    * ouvre Firefox ,
  • clique sur le menu "outil" / choisis "option".
  • dans cette fenêtre, Clique sur l'onglet "avancé"
  • dans cette autre fenêtre , choisis le sous menu " réseau "
  • au niveau de l'necadré "conexion" , clique sur "paramètre".
  • là tu coches "pas de Proxy" puis clique sur "OK"


    *ouvre Internet Explorer,
  • clique sur le menu Outils / choisis "Options Internet".
  • va sur l'onglet "Connexions" puis en bas, désactiver le proxy si besoin et valide la modif .



    ==============================


    3- Télécharge UsbFix ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFi...
    ou ici http://chiquitine.changelog.fr/UsbFix.exe

    ! Déconnecte toi d'internet et ferme toutes applications en cours !


    Impératif :
    Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


    # Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

    # Choisis l' option 1 ( Recherche )

    # Laisse travailler l'outil et ne touche à rien pendant le scan .

    # Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

    Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


    Note :
    "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


    Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

    4 Février 2010 15:27:45

    voilà le contenu du scan ZHPfix :

    bonne lecture, merci encore

    ZHPFix v1.12.31 by Nicolas Coolman - Rapport de suppression du 04/02/2010 15:22:22
    Fichier d'export Registre : C:\ZHPExportRegistry-04-02-2010-15-22-22.txt
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...


    Processus mémoire :
    (Néant)

    Module mémoire :
    (Néant)

    Clé du Registre :
    (Néant)

    Valeur du Registre :
    O4 - HKLM\..\Run: [CTFMON] . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\Temp\_ex-08.exe => Valeur supprimée avec succès

    Elément de données du Registre :
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local> => Donnée supprimée avec succès

    Dossier :
    (Néant)

    Fichier :
    c:\windows\temp\_ex-08.exe => Supprimé et mis en quarantaine

    Logiciel :
    (Néant)

    Script Registre :
    (Néant)

    Autre :
    (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\Temp\_ex-08.exe => Format Non supporté


    Récapitulatif :
    Processus mémoire : 0
    Module mémoire : 0
    Clé du Registre : 0
    Valeur du Registre : 1
    Elément de données du Registre : 1
    Dossier : 0
    Fichier : 1
    Logiciel : 0
    Autre : 1


    End of the scan
    4 Février 2010 15:35:25

    vu ...


    fait la suite donc ... ;) 
    4 Février 2010 15:37:19

    c'est fait pour firefox et ie
    j'ai rien de connecté à cet ordi comme externe.

    Voilà
    merci
    4 Février 2010 15:52:04

    re,


    Citation :
    j'ai rien de connecté à cet ordi comme externe.



    toi, peut-être que non :D  ... mais quoi qu'il en soit, tu as une belle infection de ce côté là ! ...


    même si tu n'as pas de clé usb ou autre , le PC est lui infecté , et tout support que tu brancheras dessus ( même les cartes mémoire SD d'appreil photo, ou de téléphone portable ) sera infecté à son tour ! ....


    Donc fait la manipe d'UsbFix .... j'attends le rapport obtenu pour analyse ....

    4 Février 2010 16:05:34

    voilà le rapport usbfix

    ############################## | UsbFix V6.088 |

    User : PC01 (Administrateurs) # PC02
    Update on 04/02/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 16:03:03 | 04/02/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Intel(R) Core(TM)2 Quad CPU Q6600 @ 2.40GHz
    Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
    Internet Explorer 6.0.2900.2180
    Windows Firewall Status : Enabled
    AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

    A:\ -> Lecteur de disquettes 3 ½ pouces
    C:\ -> Disque fixe local # 465,75 Go (441,76 Go free) # NTFS
    D:\ -> Disque CD-ROM

    ############################## | Processus actifs |

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir Desktop\sched.exe
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    C:\WINDOWS\ATKKBService.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\Program Files\Analog Devices\Core\smax4pnp.exe
    C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
    C:\Program Files\ASUS\Six Engine\SixEngine.exe
    C:\Applications\Acrobat 8.0\Acrobat\Acrotray.exe
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\WINDOWS\Temp\_ex-08.exe
    C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
    C:\Program Files\Messenger\msmsgs.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    ################## | Elements infectieux |


    ################## | Registre |


    ################## | Mountpoints2 |

    HKCU\..\..\Explorer\MountPoints2\G
    Shell\AutoRun\command =G:\LaunchU3.exe

    HKCU\..\..\Explorer\MountPoints2\{2780046e-a287-11dd-8837-00221580aaff}
    Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL \SystemVolumeInformation\system.exe

    HKCU\..\..\Explorer\MountPoints2\{37196da3-bd45-11de-88c2-00221580aaff}
    Shell\AutoRun\command =E:\LaunchU3.exe

    HKCU\..\..\Explorer\MountPoints2\{5206dc73-9b97-11dd-8832-00221580aaff}
    Shell\AutoRun\command =E:\setupSNK.exe

    HKCU\..\..\Explorer\MountPoints2\{5c60dbca-5f13-11de-8893-00221580aaff}
    Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL \SystemVolumeInformation\system.exe

    HKCU\..\..\Explorer\MountPoints2\{6a689c80-7d2b-11de-8897-00221580aaff}
    Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL \SystemVolumeInformation\system.exe

    HKCU\..\..\Explorer\MountPoints2\{740ca457-dbcb-11dd-8859-00221580aaff}
    Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL \SystemVolumeInformation\system.exe

    HKCU\..\..\Explorer\MountPoints2\{797c1d1c-63ba-11de-8894-00221580aaff}
    Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL \SystemVolumeInformation\system.exe

    HKCU\..\..\Explorer\MountPoints2\{893a92c6-e3a7-11dd-8864-00221580aaff}
    Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL \SystemVolumeInformation\system.exe

    HKCU\..\..\Explorer\MountPoints2\{a1665f25-a816-11de-88ad-00221580aaff}
    Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL \SystemVolumeInformation\system.exe

    HKCU\..\..\Explorer\MountPoints2\{b6295c54-a12b-11dd-8836-00221580aaff}
    Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL \SystemVolumeInformation\system.exe

    HKCU\..\..\Explorer\MountPoints2\{b731937c-3317-11de-888d-00221580aaff}
    Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL \SystemVolumeInformation\system.exe

    HKCU\..\..\Explorer\MountPoints2\{d6f899fe-0431-11de-887e-00221580aaff}
    Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL \SystemVolumeInformation\system.exe

    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné !

    ################## | ! Fin du rapport # UsbFix V6.088 ! |
    4 Février 2010 16:54:30

    bien ....



    la suite dans l'ordre :



    1- ! Déconnecte toi d'internet et ferme toutes applications en cours !

    Impératif :
    Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

    # Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil .

    # Cette fois ci , tu choisis l' option 2 ( Suppression ) .

    > Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

    # Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

    # Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .


    ( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

    /!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\


    ======================


    2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...


    4 Février 2010 17:11:30

    1. rapport USBfix

    ############################## | UsbFix V6.088 |

    User : PC01 (Administrateurs) # PC02
    Update on 04/02/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 17:06:39 | 04/02/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Intel(R) Core(TM)2 Quad CPU Q6600 @ 2.40GHz
    Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
    Internet Explorer 6.0.2900.2180
    Windows Firewall Status : Enabled
    AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

    A:\ -> Lecteur de disquettes 3 ½ pouces
    C:\ -> Disque fixe local # 465,75 Go (441,71 Go free) # NTFS
    D:\ -> Disque CD-ROM

    ############################## | Processus actifs |

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir Desktop\sched.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    C:\WINDOWS\ATKKBService.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    C:\WINDOWS\System32\alg.exe

    ################## | Elements infectieux |

    Supprimé ! C:\Recycler\S-1-5-21-839522115-1004336348-682003330-1003

    ################## | Registre |


    ################## | Mountpoints2 |

    Supprimé ! HKCU\...\Explorer\MountPoints2\G\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{2780046e-a287-11dd-8837-00221580aaff}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{37196da3-bd45-11de-88c2-00221580aaff}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{5206dc73-9b97-11dd-8832-00221580aaff}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{5c60dbca-5f13-11de-8893-00221580aaff}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{6a689c80-7d2b-11de-8897-00221580aaff}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{740ca457-dbcb-11dd-8859-00221580aaff}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{797c1d1c-63ba-11de-8894-00221580aaff}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{893a92c6-e3a7-11dd-8864-00221580aaff}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{a1665f25-a816-11de-88ad-00221580aaff}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{b6295c54-a12b-11dd-8836-00221580aaff}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{b731937c-3317-11de-888d-00221580aaff}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{d6f899fe-0431-11de-887e-00221580aaff}\Shell\AutoRun\Command

    ################## | Listing des fichiers présent |

    [07/12/2009 17:31|--a------|304262] C:\acadminidump.dmp
    [10/11/2009 17:00|--a------|3195664609] C:\ADOBE.CS3.MASTER.COLLECTION.FRENCH.tar.gz
    [10/10/2008 17:09|--a------|0] C:\AUTOEXEC.BAT
    [10/10/2008 17:02|---hs----|212] C:\boot.ini
    [07/09/2002 00:00|-rahs----|4952] C:\Bootfont.bin
    [10/10/2008 17:09|--a------|0] C:\CONFIG.SYS
    [10/10/2008 17:09|-rahs----|0] C:\IO.SYS
    [10/10/2008 17:09|-rahs----|0] C:\MSDOS.SYS
    [03/08/2004 21:38|-rahs----|47564] C:\NTDETECT.COM
    [03/08/2004 21:59|-rahs----|251712] C:\ntldr
    [?|?|?] C:\pagefile.sys
    [04/02/2010 17:08|--a------|3621] C:\UsbFix.txt
    [04/02/2010 15:22|--a------|7380450] C:\ZHPExportRegistry-04-02-2010-15-22-22.txt

    ################## | Vaccination |

    # C:\autorun.inf -> Dossier créé par UsbFix .

    ################## | Upload |

    Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_PC02.zip : http://chiquitine.changelog.fr/Sample/Upload.php
    Merci pour votre contribution .

    ################## | ! Fin du rapport # UsbFix V6.088 ! |

    4 Février 2010 17:38:23

    bien ....


    on avance .... :) 



    dans l'ordre :


    1- Télécharge CCleaner :
    ici http://www.infos-du-net.com/telecharger/CCleaner,0301-1...
    ou ici http://www.commentcamarche.net/telecharger/telecharger-...

    Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
    Lors de l'installation:
    -choisis bien "français" en langue .
    -avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

    Un tuto ( aide ):
    http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.h...


    ---> Utilisation :
    *Décocher dans le menu Options - sous-menu Avancé :
    Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

    ! déconnecte toi et ferme toutes applications en cours !

    * va dans "nettoyeur" : fais -analyse- puis -nettoyage-
    * va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
    ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

    ( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )


    =========================

    2- Avoir accès aux fichiers cachés :

    Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
    * "Afficher les fichiers et dossiers cachés" ---> coché
    * "Masquer les extensions des fichiers dont le type est connu" ---> décoché
    * "masquer les fichiers du système" ---> décoché
    -> valide la modif ( "appliquer" puis "ok" ).
    ( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )



    3- Rends toi sur ce site :

    http://www.virustotal.com/

    Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
    C:\acadminidump.dmp

    Clique sur Send File ( = " Envoyer le fichier " ).

    Un rapport va s'élaborer ligne à ligne.

    Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note .

    Copie le dans ta prochaine réponse ...

    ( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton "Ré-analyse le fichier maintenant" )

    petit tuto > http://www.commentcamarche.net/faq/sujet-8633-legitimit...


    Fais de même pour :

    C:\WINDOWS\system32\drivers\wkhndirq.sys

    Poste moi donc ces 2 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...




    4 Février 2010 18:10:20

    la réponse pour C:\acadminidump.dmp suit,

    pour C:\WINDOWS\system32\drivers\wkhndirq.sys, virustotal me dit archive vide...




    a-squared 4.5.0.50 2010.02.04 -
    AhnLab-V3 5.0.0.2 2010.02.04 -
    AntiVir 7.9.1.158 2010.02.04 -
    Antiy-AVL 2.0.3.7 2010.02.04 -
    Authentium 5.2.0.5 2010.02.04 -
    Avast 4.8.1351.0 2010.02.02 -
    AVG 9.0.0.730 2010.02.04 -
    BitDefender 7.2 2010.02.04 -
    CAT-QuickHeal 10.00 2010.02.04 -
    ClamAV 0.96.0.0-git 2010.02.04 -
    Comodo 3819 2010.02.04 -
    DrWeb 5.0.1.12222 2010.02.04 -
    eSafe 7.0.17.0 2010.02.04 -
    eTrust-Vet 35.2.7283 2010.02.04 -
    F-Prot 4.5.1.85 2010.02.04 -
    F-Secure 9.0.15370.0 2010.02.04 -
    Fortinet 4.0.14.0 2010.02.04 -
    GData 19 2010.02.04 -
    Ikarus T3.1.1.80.0 2010.02.04 -
    Jiangmin 13.0.900 2010.02.04 -
    K7AntiVirus 7.10.966 2010.02.03 -
    Kaspersky 7.0.0.125 2010.02.04 -
    McAfee 5882 2010.02.04 -
    McAfee+Artemis 5882 2010.02.04 -
    McAfee-GW-Edition 6.8.5 2010.02.04 -
    Microsoft 1.5406 2010.02.04 -
    NOD32 4835 2010.02.04 -
    Norman 6.04.03 2010.02.04 -
    nProtect 2009.1.8.0 2010.02.04 -
    Panda 10.0.2.2 2010.02.04 -
    PCTools 7.0.3.5 2010.02.04 -
    Rising 22.33.03.04 2010.02.04 -
    Sophos 4.50.0 2010.02.04 -
    Sunbelt 3.2.1858.2 2010.02.04 -
    TheHacker 6.5.1.0.180 2010.02.04 -
    TrendMicro 9.120.0.1004 2010.02.04 -
    VBA32 3.12.12.1 2010.02.03 -
    ViRobot 2010.2.4.2172 2010.02.04 -
    VirusBuster 5.0.21.0 2010.02.04 -
    Information additionnelle
    File size: 304262 bytes
    MD5...: 53712d73f3e8a782a0ec5681f878d600
    SHA1..: 1cd35caa88d1e9c512b899fecaa0889967c1fdfc
    SHA256: 57417938926386c697174b755db75cd69a9b8507c459e28d8fa1a8f92cc7db97
    ssdeep: 1536:cbd+C9k1Ozu+cHxGNDzZCbMiR29lyy0Vfdjr/acy8bViUxhfuF0JBssy3zr
    qJ+2Q:2d+FJjzty8Wky3zrgA
    PEiD..: -
    PEInfo: -
    RDS...: NSRL Reference Data Set
    -
    pdfid.: -
    sigcheck:
    publisher....: n/a
    copyright....: n/a
    product......: n/a
    description..: n/a
    original name: n/a
    internal name: n/a
    file version.: n/a
    comments.....: n/a
    signers......: -
    signing date.: -
    verified.....: Unsigned
    trid..: Windows Minidump (100.0%)
    4 Février 2010 18:41:39

    c'est antivir qui m'avait viré le second fichier à inspecter je crois
    4 Février 2010 19:17:11

    bon ...



    fait ceci maintenant :



    1- Télécharge Malwarebytes :
    ici http://www.commentcamarche.net/telecharger/telecharger-...
    ou ici : http://www.malwarebytes.org/mbam.php
    ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    * Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour .

    (NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : http://www.malekal.com/download/comctl32.ocx )

    * Potasse ce tuto pour te familiariser avec le prg :
    http://forum.pcastuces.com/sujet.asp?f=31&s=3
    ( cela dis, il est très simple d'utilisation ).

    ! Déconnecte toi et ferme toutes applications en cours !

    * Lance 'Malwarebytes' .

    Fais un examen dit " RAPIDE " .

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur "suppression".

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...


    ==========================


    2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

    5 Février 2010 10:03:03

    Bonjour,
    nouvelle journée
    même pb,
    j'ai suivi les dernières indications,
    le fichier que trouve pas virustotal, ne se supprime pas dans malwarebytes comme c'était le cas avc antivir.
    Enfin je te laisse voir

    rapport 1 de malwarebytes

    Malwarebytes' Anti-Malware 1.44
    Version de la base de données: 3691
    Windows 5.1.2600 Service Pack 2
    Internet Explorer 6.0.2900.2180

    05/02/2010 09:47:43
    mbam-log-2010-02-05 (09-47-43).txt

    Type de recherche: Examen rapide
    Eléments examinés: 109763
    Temps écoulé: 2 minute(s), 43 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 2
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 2

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WindowsDriver (Trojan.Downloader) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_WindowsDRIVER (Trojan.Downloader) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\WINDOWS\system32\drivers\wkhndirq.sys (Rootkit.Agent) -> Delete on reboot.
    C:\Documents and Settings\PC01\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.

    rapport 2 de malwarebytes

    Malwarebytes' Anti-Malware 1.44
    Version de la base de données: 3691
    Windows 5.1.2600 Service Pack 2
    Internet Explorer 6.0.2900.2180

    05/02/2010 09:53:30
    mbam-log-2010-02-05 (09-53-30).txt

    Type de recherche: Examen rapide
    Eléments examinés: 109774
    Temps écoulé: 2 minute(s), 33 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\WINDOWS\system32\drivers\wkhndirq.sys (Rootkit.Agent) -> Delete on reboot.


    et cijoint pour ZHPDiag

    http://www.cijoint.fr/cjlink.php?file=cj201002/cij28fDC...

    voilà, voilà
    merci bien
    5 Février 2010 11:18:26

    hello,


    le rootkit résiste .... pas étonnant .... :D 


    Note : tu as bien redémarrer le PC lorsque MBAM te l'as demandé ? ... sinon fait le pour qu'il puisse terminer son job ! ....







    Puis on va faire autrement .... dans l'ordre :



    1- Supprime proprement ZHPDiag en utilisant son propre utilitaire de désinstalation ici :

    > C:\Program files\ZHPDiag\Unins00.exe


    Puis supprime ce dossier : C:\Program files\ZHPDiag


    ======================


    2- On va utiliser la dernière version mis en ligne de ZHPDiag; reprends ainsi donc :


    Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

    -> http://telechargement.zebulon.fr/zhpdiag.html

    !! déconnecte toi et ferme toutes tes applications en cours !!

  • Double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) .

  • Lance ZHPDiag depuis le raccourci du bureau .

  • Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite ( celui avec le tournevis ) :

    une liste apparait dans l'encadré principal > vérifie que toutes les lignes soient bien cochées sauf les 045 et 061 ( important ! ) .

  • Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .

    > Laisses travailler l'outil ...

  • Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...
    Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

    ( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag)


    Puis ferme le programme ...


    > rends toi ensuite sur ce site : http://www.cijoint.fr/

  • Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
  • Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
  • Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....


    ========================


    3- Télécharge gmer sur le bureau et dézippe-le (clic droit et "extraire ici") :

    http://www.gmer.net/gmer.zip

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe ( naviguateurs compris ) !!

    * Double-clique sur gmer.exe sur le bureau.
    * Clique sur l'onglet "rootkit", puis clique sur scan.
    * A la fin du scan, clique sur le bouton copy.
    * Puis va dans le menu "démarrer"> "programmes" > accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note . Sauvegarde bien ce rapport .

    > poste le rapport via "Cijoint" stp ...
    6 Février 2010 15:38:02

    Up,


    :bounce: 


    j'attends toujours le rapport de GMER ...


    A+

    :whistle: 
    8 Février 2010 10:19:56

    Bonjour,

    bon bah GMER il plante et replante à chaque fois pendant le travail et souvent après deux trois heures de scan (un peu long non ?) donc je relance là...
    mais casse-bonbon le truc
    8 Février 2010 10:46:52

    hello,


    fais ceci maintenant :



    1- Désactiver le "redémarrage automatique" :

    A) Aller dans le menu "Démarrer"/"Panneau de configuration", puis "Performances et maintenance" et enfin "Système" .
    Ou bien en faisant un clic-droit sur "Poste de travail" ( sur "ordinateur" pour Vista ) et en sélectionnant "Propriétés" .

    B) Cliquez sur l'onglet "Avancé" ( pour Vista , cliquer dans "tâche" sur "paramètre systeme avancés" )
    C) Ensuite , dans le 3eme paragraphe "Démarrage et récupération" , cliquer sur "paramètre" .
    D) Dans le paragraphe "Défaillance du système" : décocher "Redémarrer automatiquement" .

    puis cliquer sur "Ok" , "appliquer" et encore "Ok" pour valider la modif .

    Conseil : laisse ces paramètres par la suite ...



    =======================


    2- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe


    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
  • Ferme tes applications en cours ( ainsi que ton navigateur ) .
  • DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe.
    En effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !
    > Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
  • Tuto ( aide ) ici : http://www.bleepingcomputer.com/combofix/fr/comment-uti...
  • Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<


    Ensuite :
    > Double-clique sur l'icône "Combofix.exe" pour lancer l'outil .
    > A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


    -- Pour XP, l' installation de la Console de Récupération sera demandé :
    * Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
    image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gi...
    *Une fois la console installée,
    image > http://img.photobucket.com/albums/v706/ried7/whatnext.p...
    Déconnecte toi si possible avant de cliquer sur "yes" pour lancer le scan --


    Notes importantes :
    -> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
    -> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
    -> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
    -> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

    Le rapport sera crée ici : C:\Combofix.txt

    Réactive bien tes défenses .


    > Poste le rapport Combofix pour analyse et attends la suite ...


    8 Février 2010 11:27:59

    RAPPORT COMBOFIX :

    ComboFix 10-02-07.07 - PC01 08/02/2010 11:20:17.1.4 - x86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2047.1590 [GMT 1:00]
    Lancé depuis: c:\documents and settings\PC01\Bureau\ComboFix.exe
    AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\program files\WinPCap
    c:\program files\WinPCap\rpcapd.exe
    c:\windows\system32\drivers\npf.sys
    c:\windows\system32\drivers\wkhndirq.sys
    c:\windows\system32\Packet.dll
    c:\windows\system32\pthreadVC.dll
    c:\windows\system32\twain_32.dll
    c:\windows\system32\WanPacket.dll
    c:\windows\system32\wpcap.dll

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_NPF
    -------\Service_npf
    -------\Legacy_wkhndirq
    -------\Service_wkhndirq


    ((((((((((((((((((((((((((((( Fichiers créés du 2010-01-08 au 2010-02-08 ))))))))))))))))))))))))))))))))))))
    .

    2010-02-05 12:38 . 2010-02-05 12:40 -------- d-----w- c:\program files\ZHPDiag
    2010-02-05 08:42 . 2010-02-05 08:42 -------- d-----w- c:\documents and settings\PC01\Application Data\Malwarebytes
    2010-02-05 08:42 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-02-05 08:42 . 2010-02-05 08:42 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-02-05 08:42 . 2010-02-05 08:42 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2010-02-05 08:42 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-02-04 16:52 . 2010-02-04 16:52 -------- d-----w- c:\program files\CCleaner
    2010-02-04 16:08 . 2010-02-04 16:08 1680 ----a-w- C:\UsbFix_Upload_Me_PC02.zip
    2010-02-04 15:00 . 2010-02-04 16:08 -------- d-----w- C:\UsbFix
    2010-02-03 15:24 . 2010-02-03 15:24 -------- d-----w- C:\scan
    2010-02-02 12:57 . 2010-02-04 16:54 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
    2010-02-02 12:57 . 2010-02-02 12:57 -------- d-----w- c:\program files\Spybot - Search & Destroy
    2010-01-29 17:58 . 2010-01-29 17:58 -------- d--h--w- c:\documents and settings\PC01\InstallAnywhere
    2010-01-14 17:31 . 2010-01-14 17:31 -------- d-----w- c:\documents and settings\PC01\.poseidon
    2010-01-14 17:30 . 2010-01-14 17:30 -------- d-----w- c:\program files\Poseidon For UML_CE_8.0
    2010-01-13 09:26 . 2010-02-08 09:21 79488 ----a-w- c:\documents and settings\PC01\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
    2010-01-12 17:24 . 2010-01-13 11:03 -------- d-----w- c:\documents and settings\PC01\.achatpublic
    2010-01-12 17:24 . 2010-01-12 17:24 -------- d-----w- c:\windows\Sun
    2010-01-12 17:23 . 2010-01-12 17:23 -------- d-----w- c:\program files\Fichiers communs\Java
    2010-01-12 17:23 . 2010-01-12 17:23 -------- d-----w- c:\documents and settings\PC01\Local Settings\Application Data\{7148F0A6-6813-11D6-A77B-00B0D0142040}
    2010-01-12 17:22 . 2010-01-12 17:21 410984 ----a-w- c:\windows\system32\deploytk.dll
    2010-01-12 17:21 . 2010-01-12 17:23 -------- d-----w- c:\program files\Java

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-01-28 08:34 . 2010-01-28 08:34 16 ----a-w- c:\documents and settings\NetworkService\Application Data\anvkgp.dat
    2010-01-20 08:24 . 2009-10-20 07:14 -------- d-----w- c:\documents and settings\PC01\Application Data\U3
    2009-12-21 13:17 . 2008-10-30 07:33 -------- d-----w- c:\program files\Fichiers communs\Adobe
    2009-12-21 13:17 . 2009-12-21 13:17 -------- d-----w- c:\program files\Fichiers communs\Control Panels
    2009-12-21 10:14 . 2010-02-02 08:57 214660 ----a-w- c:\windows\pchealth\helpctr\Config\Cache\Professional_32_1036.dat
    2009-12-11 09:03 . 2009-09-16 12:00 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
    2009-11-20 15:31 . 2008-10-10 16:56 62816 ----a-w- c:\documents and settings\PC01\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2009-11-10 16:00 . 2008-10-10 16:55 196608 ----a-w- c:\windows\system32\drivers\aStandard.bin
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-08-03 1667584]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2008-03-16 1040384]
    "Six Engine"="c:\program files\ASUS\Six Engine\SixEngine.exe" [2008-05-14 5958656]
    "ATICCC"="c:\program files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 90112]
    "Acrobat Assistant 8.0"="c:\applications\Acrobat 8.0\Acrobat\Acrotray.exe" [2006-10-22 620152]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2010-01-12 136600]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Adobe Reader Synchronizer.lnk - c:\applications\Acrobat 8.0\Acrobat\AdobeCollabSync.exe [2006-10-23 734872]
    Lancement rapide d'Adobe Acrobat.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe [2009-3-14 295606]
    Lancement rapide d'Adobe Reader.lnk - c:\applications\Acrobat reader\Reader\reader_sl.exe [2006-10-23 40048]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
    "HonorAutoRunSetting"= 0 (0x0)

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "HonorAutoRunSetting"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
    Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "c:\\Program Files\\Messenger\\msmsgs.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

    R0 mv61xx;mv61xx;c:\windows\system32\drivers\mv61xx.sys [10/10/2008 17:45 150568]
    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [16/09/2009 13:00 108289]
    .
    .
    ------- Examen supplémentaire -------
    .
    IE: Ajouter au fichier PDF existant - c:\applications\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    IE: Convertir en Adobe PDF - c:\applications\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    IE: Convertir la cible du lien en Adobe PDF - c:\applications\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    IE: Convertir la cible du lien en un fichier PDF existant - c:\applications\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    IE: Convertir la sélection en Adobe PDF - c:\applications\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    IE: Convertir la sélection en un fichier PDF existant - c:\applications\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\applications\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    IE: Convertir les liens sélectionnés en un fichier PDF existant - c:\applications\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
    TCP: {1296A0C9-AF7E-4B60-B476-C49ABCD7C235} = 192.168.1.1
    FF - ProfilePath - c:\documents and settings\PC01\Application Data\Mozilla\Firefox\Profiles\kyld58tw.default\
    FF - plugin: c:\applications\Acrobat reader\Reader\browser\nppdf32.dll
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-02-08 11:23
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(832)
    c:\windows\system32\Ati2evxx.dll

    - - - - - - - > 'explorer.exe'(2844)
    c:\windows\system32\wpdshext.dll
    c:\windows\system32\PortableDeviceApi.dll
    c:\windows\system32\Audiodev.dll
    c:\windows\system32\WMVCore.DLL
    c:\windows\system32\WMASF.DLL
    c:\windows\system32\msi.dll
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\windows\system32\Ati2evxx.exe
    c:\windows\system32\Ati2evxx.exe
    c:\program files\Avira\AntiVir Desktop\avguard.exe
    c:\windows\ATKKBService.exe
    c:\program files\Bonjour\mDNSResponder.exe
    c:\program files\Java\jre6\bin\jqs.exe
    c:\applications\Acrobat 8.0\Acrobat\acrobat_sl.exe
    c:\program files\ATI Technologies\ATI.ACE\CLI.EXE
    c:\windows\system32\wscntfy.exe
    c:\program files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    c:\program files\ATI Technologies\ATI.ACE\cli.exe
    c:\program files\ATI Technologies\ATI.ACE\cli.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-02-08 11:26:02 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-02-08 10:26

    Avant-CF: 474 706 636 800 octets libres
    Après-CF: 474 615 287 808 octets libres

    WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

    - - End Of File - - 8C64802FC21286F86B6CB6792AE49B88
    8 Février 2010 11:43:01

    impec ....


    Contrôle se fichier sur VirusTotal :


    c:\documents and settings\NetworkService\Application Data\anvkgp.dat


    Poste moi le rapport obtenu stp et attends la suite ....


    8 Février 2010 12:03:59

    hummm ....

    septique ....



    fais ceci stp :


    1- Télécharge SEAF ( de C__XX ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe
    ou ici http://forum-aide-contre-virus.be/download/C_XX/SEAF.ex...

    ! Ferme toutes applications en cours !

  • Double clique sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil.
  • Dans l'encardré blanc " Entrez ci dessous...." copie/colle ceci :

    anvkgp


  • Au niveau des "options des fichiers ", fait les réglages suivant :
    > A "Calculer le checksum" , choisis : MD5
    > Coche la case devant " Info. supplémentaire ".
    > Coche la case devant " Afficher les ADS "

  • Au niveau des " options du registre " :
    > coche " chercher également dans le registre "


    ( ne touche à aucun autre réglage )

  • Clique sur " Lancer la recherche " et laisse travailler l'outil ...

    ( cela peut-être plus ou moins long suivant les cas ).

    --> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )

    --> Copie/colle le contenu de ce rapport dans ta prochaine réponse . Si le rapport est trop long, utilise le site d'uplaod "Cijoint" pour me le faire parvenir > http://www.cijoint.fr/


    ============================

    2- Télécharge WC32 / Virut-Scan ( d'Eric_71 ) sur ton bureau :

    > http://eric71.geekstogo.com/beta/WC32.exe

    !! Déconnecte toi et ferme toutes tes applications en cours le temps de la manipe !!

  • Double clique sur WC32 pour lancer l'outil.
  • Clique sur le bouton [SCAN] ( ne touche à rien d'autre ) puis laisse travailler ...
  • Une fois le scan terminé un rapport s'affiche dans l'encadré principal .

    -> copie/colle le contenu de ce rapport dans ta prochaine réponse pour analyse ... ( le rapport sera en outre enregistrer sur ton bureau sous le nom de virscan.txt )

    Puis ferme l'outil ...

    8 Février 2010 12:09:06

    le rapport SEAF

    1. ========================= SEAF 1.0.0.7 - C_XX
    2.
    3. Commencé à: 12:07:48 le 08/02/2010
    4.
    5. Valeur(s) recherchée(s):
    6.
    7. anvkgp
    8.
    9. (!) --- Calcul du Hash "MD5"
    10. (!) --- Affichage des ADS
    11. (!) --- Informations supplémentaires
    12. (!) --- Recherche registre
    13.
    14. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
    15.
    16. "c:\Documents and Settings\NetworkService\Application Data\anvkgp.dat" [ ----A---- | 16 ]
    17. TC: 28/01/2010,09:34:51 | TM: 28/01/2010,09:34:51 | DA: 08/02/2010,11:20:19
    18. MD5: 07c37ac3b0f755b6cf0da84f56fb2a1c
    19.
    20.
    21.
    22. =========================
    23.
    24. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
    25.
    26. Aucun dossier trouvé
    27.
    28.
    29. ====== Entrée(s) du registre ======
    30.
    31.
    32.
    33. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
    34. "b"="c:\documents and settings\NetworkService\Application Data\anvkgp.dat"
    35.
    36. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dat]
    37. "a"="c:\documents and settings\NetworkService\Application Data\anvkgp.dat"
    38.
    39. [HKEY_USERS\S-1-5-21-839522115-1004336348-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
    40. "b"="c:\documents and settings\NetworkService\Application Data\anvkgp.dat"
    41.
    42. [HKEY_USERS\S-1-5-21-839522115-1004336348-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dat]
    43. "a"="c:\documents and settings\NetworkService\Application Data\anvkgp.dat"
    44.
    45. =========================
    46.
    47. Fin à: 12:08:31 le 08/02/2010 ( E.O.F )
    8 Février 2010 12:29:44

    et le rapport virut... bien vide


    -- Report --
    .
    .
    -- EOF --
    8 Février 2010 13:41:36

    bien ....




    fait ce qui suit dans l'ordre :



    1- Créer un doc texte sur ton bureau :
    pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

    Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :


    File::
    C:\Documents and Settings\NetworkService\Application Data\anvkgp.dat
    C:\UsbFix_Upload_Me_PC02.zip



    Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : CFScript puis valide ...


    2- Nettoyage :

    !! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

    --> Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

    (Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gi... )

    Cette manipulation va relancer combofix .

    Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

    ! Ne touches à rien tant que le scan n'est pas terminé !

    Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    -> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


    ========================


    3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

    8 Février 2010 14:12:11

    oki .....




    Dis moi comment va le Pc maintenant ... du mieux ?




    puis fais ceci :


    Télécharge Ad-remover ( de C_XX ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
    ou ici http://forum-aide-contre-virus.be/download/C_XX/AD-R.ex...

    ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !

    • Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

    • Au menu principal choisis l'option "S" et tape sur [entrée] .

    • le scan démarre , laisse travailler l'outil et ne touche à rien ...

    /!\ l'outil donne l'impression qu'il a planté et qu'il ne se passe rien , mais ce n'est pas le cas ! ( le scan est très discret et assez long , donc patience ... )


    --> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )


    Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus :
    (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


    Aides en images (Installation) : http://pagesperso-orange.fr/NosTools/tuto_ad_r1.html
    Aides en images (Recherche) : http://pagesperso-orange.fr/NosTools/tuto_ad_r2.html

    8 Février 2010 15:12:38

    Ouai l'ordi ralenti plus
    autocad fonctionne normalement,
    donc ça marche
    merci

    ci-joint le rapport AD-R

    .
    ======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
    .
    Mis à jour par C_XX le 05.02.2010 à 17:34
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 15:05:46, 08/02/2010 | Mode Normal | Option: SCAN
    Exécuté de: C:\Ad-Remover\
    Système d'exploitation: Microsoft® Windows XP™ Service Pack 2 v5.1.2600
    Nom du PC: PC02 | Utilisateur actuel: PC01
    .
    ============== ÉLÉMENT(S) TROUVÉ(S) ==============
    .

    .
    HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
    .
    ============== Scan additionnel ==============
    .
    .
    * Mozilla FireFox Version 3.5.7 [fr] *
    .
    Nom du profil: kyld58tw.default (PC01)
    .
    (PC01, prefs.js) Browser.download.lastDir, C:\Documents and Settings\PC01\Bureau
    (PC01, prefs.js) Extensions.enabledItems, {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}:6.0.11,jqs@sun.com:1.0,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5.7
    .
    .
    * Internet Explorer Version 6.0.2900.2180 *
    .
    [HKEY_CURRENT_USER\..\Internet Explorer\Main]
    .
    Do404Search: 01000000
    Local Page: C:\WINDOWS\system32\blank.htm
    Show_ToolBar: yes
    Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    .
    [HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
    Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Delete_Temp_Files_On_Exit: yes
    Local Page: %SystemRoot%\system32\blank.htm
    Start Page: hxxp://fr.msn.com/
    .
    [HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
    .
    Error: Value: "Tabs" does not exist!
    .
    ============== Suspect (Cracks, Serials, ...) ==============
    .
    C:\Documents and Settings\PC01\Mes documents\A_sub\Adobe\Crack\Crack Adobe CS3 [Acrobat 8.0_After Effects_Contribute_Dreamweaver_Fireworks_Flash_Illustrator_InDesign_Photoshop] © [camp@gnese\Adobe Contribute CS3\Contribute.exe
    C:\Documents and Settings\PC01\Mes documents\A_sub\Adobe\Crack\Crack Adobe CS3 [Acrobat 8.0_After Effects_Contribute_Dreamweaver_Fireworks_Flash_Illustrator_InDesign_Photoshop] © [camp@gnese\Adobe Dreamweaver CS3\Dreamweaver.exe
    C:\Documents and Settings\PC01\Mes documents\A_sub\Adobe\Crack\Crack Adobe CS3 [Acrobat 8.0_After Effects_Contribute_Dreamweaver_Fireworks_Flash_Illustrator_InDesign_Photoshop] © [camp@gnese\Adobe Fireworks CS3\Fireworks.exe
    C:\Documents and Settings\PC01\Mes documents\A_sub\Adobe\Crack\Crack Adobe CS3 [Acrobat 8.0_After Effects_Contribute_Dreamweaver_Fireworks_Flash_Illustrator_InDesign_Photoshop] © [camp@gnese\Adobe Flash CS3\Flash.exe
    C:\Documents and Settings\PC01\Mes documents\A_sub\Adobe\Crack\Crack Adobe CS3 [Acrobat 8.0_After Effects_Contribute_Dreamweaver_Fireworks_Flash_Illustrator_InDesign_Photoshop] © [camp@gnese\Adobe Illustrator CS3\Illustrator.exe
    C:\Documents and Settings\PC01\Mes documents\A_sub\Adobe\Crack\Crack Adobe CS3 [Acrobat 8.0_After Effects_Contribute_Dreamweaver_Fireworks_Flash_Illustrator_InDesign_Photoshop] © [camp@gnese\Adobe Photoshop CS3\Photoshop.exe
    .
    ===================================
    .
    3234 Octet(s) - C:\Ad-Report-SCAN[1].log
    .
    1 Fichier(s) - C:\DOCUME~1\PC01\LOCALS~1\Temp
    1 Fichier(s) - C:\WINDOWS\Temp
    129 Fichier(s) - C:\WINDOWS\Prefetch
    .
    2 Fichier(s) - C:\Ad-Remover\BACKUP
    0 Fichier(s) - C:\Ad-Remover\QUARANTINE
    .
    Fin à: 15:07:19 | 08/02/2010 - SCAN[1]
    .
    ============== E.O.F ==============
    .
    8 Février 2010 16:14:12

    Nickel ....



    encore un peut de nettoyage donc avec Ad-R .... puis une dernière vérife globale avant de finaliser ... :) 




    la suite donc :


    1- ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !


    • Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

    • Au menu principal choisis cette fois l'option "L" et tape sur [entrée] .

    • Le nettoyage débute > Laisse travailler l'outil et ne touche à rien !...

    /!\ l'outil donne l'impression qu'il a planté et qu'il ne se passe rien , mais ce n'est pas le cas ! ( le scan est très discret et assez long , donc patience ... )


    --> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )


    ==========================


    2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...


    8 Février 2010 16:58:57

    Bien ....




    fais ce qui suit dans l'ordre ( si le dernier rapport est clean , on pourra finaliser ) :



    ( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )


    1- Utilisation de l'outil ZHPFix :

    > Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert :

    !! ferme tes autres applications en cours !!


    A- Clique sur le bouton " Nettoyeur de tools " ( le grand A rouge ) . Des lignes pré-cochées apparaissent alors dans l'encadré principal .

    > Là tu décoches la case devant ZHPDiag !


    > Enfin clique en bas sur "Nettoyer" .


    Laisse travailler l'outil ... une fois terminé , un nouveau rapport apparait dans l'encadré principal .

    -> Copie/colle le contenu de ce rapport pour analyse ...

    ( il est également sauvegardé ici : C:\Program files\ZHPFix\ZHPFixReport.txt )

    Note : si il t'est demandé de redémarrer le PC pour finir le nettoyage, fait le !



    B- Clique sur le bouton en haut à droite " Vider la quarantaine " ( la poubelle vide ).

    Au message de confirmation , clique sur "Ok" .


    Puis ferme ZHPFix ...


    ======================================

    2- Refais un coup de CCleaner ( registre compris ) .


    ======================================

    3- Télécharge et installe le logiciel HijackThis :

    ici http://www.trendsecure.com/portal/en-US/_download/HJTIn...
    ou ici http://www.commentcamarche.net/telecharger/telecharger-...

    > Clique sur le setup pour lancer l'installe :
    * laisse toi guider et ne modifie pas les paramètres d'installation .
    * A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .

    Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
    C:\program files\Trend Micro\HijackThis\HijackThis.exe .

    ( ne fais pas de scan pour le moment )


    ======================================

    4- Important :
    Purge de la restauration système
    *Désactive ta restauration :
    Clique droit sur poste de travail/propriétés/Restauration système/ coche la case désactiver la restauration, appliquer, OK
    ---> Redémarre ton PC ...

    *Réactive ta restauration :
    Clique droit sur poste de travail/propriétés/Restauration système/ décoche la case désactiver la restauration, appliquer, OK
    --->Redémarre ton PC ...

    ( Note : tu peux aussi y accéder via panneau de configuration->"systeme"->" restauration système " ).


    ======================================

    5-Utilise AntiVir ainsi ,


    > mets le à jour si besoin .


    Aide AntiVir : http://www.malekal.com/tutorial_antivir.php



    Fais ce réglage supplémentaire :

    ***************************************
    Une fois AntiVir ouvert, clique sur "configuration" et coche bien la case " mode expert " :

    * mets toi sur "scanner"/"recherche" (à gauche) -> dans "fichiers", coche tous les fichiers et en dessous dans priorité scanner= élevé .
    coche aussi : autorisé l'arrêt , comme cela tu peux faire une pause pendant le scan si tu le desir.
    * toujours dans "recherche" -> "Autres réglages", coche les cases suivantes :
    > secteur d'amorçage lecteurs de rech.
    > Contrôler secteurs d'amorçage maître
    > Suivre les liens symboliques
    > Rech.Rootkit au dém. de la recherche
    et décoche :
    ignorer les fichiers hors ligne

    * mets toi sur "scanner"/"recherche"/ "heuristique" -> Heuristique macrovirus = coché, et en dessous coche activer AHeAD et coche la case degré d'identification élevé ...
    * mets toi sur "scanner"/"recherche"/ "action en cas de résultat positif" -> coche " interactif" et choisis le mode "individuel" .

    * mets toi sur "Guard"/"recherche"/ "heuristique" -> Heuristique macrovirus = coché, et en dessous coche activer AHeAD et coche la case degré d'identification moyen ...


    ---> clique sur "OK" pour valider le réglage ..

    ****************************************



    Une fois fait, lance un scan complet de ton PC , mets tout ce qu'il peut trouver en "quarantaine" ...

    > poste moi le rapport obtenu ... Aide toi bien du tuto ;) 


    8 Février 2010 17:14:59

    d'entrée ptit pb

    quand je lance ZHPFix
    il lance à la fois combofix et antivir,
    et combofix se désinstalle,
    est-ce que je ferme toutes les protections sur l'ordi ?
    avant de faire le scan ZHPfix ??
    8 Février 2010 17:41:48

    Re,

    pour Combo c'est normal ... c'est pour lancer sa désinstalle ...

    parcontre désactive AntiVir le temps de cette manipe ...
    8 Février 2010 19:07:23


    rapport d'antivir: bonne lecture (il a trouvé un seul truc)

    Avira AntiVir Personal
    Date de création du fichier de rapport : lundi 8 février 2010 18:13

    La recherche porte sur 1735881 souches de virus.

    Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
    Numéro de série : 0000149996-ADJIE-0000001
    Plateforme : Windows XP
    Version de Windows : (Service Pack 2) [5.1.2600]
    Mode Boot : Démarré normalement
    Identifiant : SYSTEM
    Nom de l'ordinateur : PC02

    Informations de version :
    BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00
    AVSCAN.EXE : 9.0.3.10 466689 Bytes 20/11/2009 09:14:50
    AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
    LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
    LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
    VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 09:14:50
    VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 09:14:50
    VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 07:47:49
    VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 07:49:13
    VBASE004.VDF : 7.10.3.76 2048 Bytes 26/01/2010 07:49:13
    VBASE005.VDF : 7.10.3.77 2048 Bytes 26/01/2010 07:49:16
    VBASE006.VDF : 7.10.3.78 2048 Bytes 26/01/2010 07:49:16
    VBASE007.VDF : 7.10.3.79 2048 Bytes 26/01/2010 07:49:17
    VBASE008.VDF : 7.10.3.80 2048 Bytes 26/01/2010 07:50:17
    VBASE009.VDF : 7.10.3.81 2048 Bytes 26/01/2010 07:50:17
    VBASE010.VDF : 7.10.3.82 2048 Bytes 26/01/2010 07:50:18
    VBASE011.VDF : 7.10.3.83 2048 Bytes 26/01/2010 07:50:18
    VBASE012.VDF : 7.10.3.84 2048 Bytes 26/01/2010 07:50:18
    VBASE013.VDF : 7.10.3.85 2048 Bytes 26/01/2010 07:50:18
    VBASE014.VDF : 7.10.3.122 172544 Bytes 29/01/2010 10:54:24
    VBASE015.VDF : 7.10.3.149 79872 Bytes 01/02/2010 10:54:24
    VBASE016.VDF : 7.10.3.174 68608 Bytes 03/02/2010 08:28:15
    VBASE017.VDF : 7.10.3.199 76800 Bytes 04/02/2010 08:41:45
    VBASE018.VDF : 7.10.3.222 64512 Bytes 05/02/2010 17:09:23
    VBASE019.VDF : 7.10.3.223 2048 Bytes 05/02/2010 17:09:23
    VBASE020.VDF : 7.10.3.224 2048 Bytes 05/02/2010 17:09:23
    VBASE021.VDF : 7.10.3.225 2048 Bytes 05/02/2010 17:09:23
    VBASE022.VDF : 7.10.3.226 2048 Bytes 05/02/2010 17:09:23
    VBASE023.VDF : 7.10.3.227 2048 Bytes 05/02/2010 17:09:23
    VBASE024.VDF : 7.10.3.228 2048 Bytes 05/02/2010 17:09:23
    VBASE025.VDF : 7.10.3.229 2048 Bytes 05/02/2010 17:09:23
    VBASE026.VDF : 7.10.3.230 2048 Bytes 05/02/2010 17:09:23
    VBASE027.VDF : 7.10.3.231 2048 Bytes 05/02/2010 17:09:23
    VBASE028.VDF : 7.10.3.232 2048 Bytes 05/02/2010 17:09:24
    VBASE029.VDF : 7.10.3.233 2048 Bytes 05/02/2010 17:09:24
    VBASE030.VDF : 7.10.3.234 2048 Bytes 05/02/2010 17:09:24
    VBASE031.VDF : 7.10.3.239 69632 Bytes 08/02/2010 17:09:24
    Version du moteur : 8.2.1.160
    AEVDF.DLL : 8.1.1.3 106868 Bytes 25/01/2010 07:47:53
    AESCRIPT.DLL : 8.1.3.13 823674 Bytes 02/02/2010 10:54:29
    AESCN.DLL : 8.1.4.0 127348 Bytes 28/01/2010 08:35:27
    AESBX.DLL : 8.1.1.1 246132 Bytes 20/11/2009 09:14:50
    AERDL.DLL : 8.1.3.4 479605 Bytes 01/12/2009 10:16:54
    AEPACK.DLL : 8.2.0.5 422262 Bytes 19/01/2010 10:15:19
    AEOFFICE.DLL : 8.1.0.38 196987 Bytes 16/09/2009 12:05:51
    AEHEUR.DLL : 8.1.1.5 2326901 Bytes 08/02/2010 07:38:29
    AEHELP.DLL : 8.1.10.0 237942 Bytes 19/01/2010 10:15:16
    AEGEN.DLL : 8.1.1.86 369012 Bytes 02/02/2010 10:54:28
    AEEMU.DLL : 8.1.1.0 393587 Bytes 05/10/2009 08:23:59
    AECORE.DLL : 8.1.11.1 184694 Bytes 02/02/2010 10:54:27
    AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40
    AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
    AVPREF.DLL : 9.0.3.0 44289 Bytes 28/09/2009 12:36:03
    AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28
    AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
    AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
    AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
    SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
    SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
    NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
    RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 16/09/2009 12:05:51
    RCTEXT.DLL : 9.0.73.0 88321 Bytes 20/11/2009 09:14:49

    Configuration pour la recherche actuelle :
    Nom de la tâche...............................: Contrôle intégral du système
    Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
    Documentation.................................: bas
    Action principale.............................: interactif
    Action secondaire.............................: ignorer
    Recherche sur les secteurs d'amorçage maître..: marche
    Recherche sur les secteurs d'amorçage.........: marche
    Secteurs d'amorçage...........................: C:,
    Recherche dans les programmes actifs..........: marche
    Recherche en cours sur l'enregistrement.......: marche
    Recherche de Rootkits.........................: marche
    Contrôle d'intégrité de fichiers système......: arrêt
    Fichier mode de recherche.....................: Tous les fichiers
    Recherche sur les archives....................: marche
    Limiter la profondeur de récursivité..........: 20
    Archive Smart Extensions......................: marche
    Heuristique de macrovirus.....................: marche
    Heuristique fichier...........................: moyen
    Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+SPR,

    Début de la recherche : lundi 8 février 2010 18:13

    La recherche d'objets cachés commence.
    '35350' objets ont été contrôlés, '0' objets cachés ont été trouvés.

    La recherche sur les processus démarrés commence :
    Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'FNPLicensingService.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'wscntfy.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'CLI.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'CLI.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'msmsgs.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ATKKBService.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'CLI.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'acrotray.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'SixEngine.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'smax4pnp.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
    '35' processus ont été contrôlés avec '35' modules

    La recherche sur les secteurs d'amorçage maître commence :
    Secteur d'amorçage maître HD0
    [INFO] Aucun virus trouvé !

    La recherche sur les secteurs d'amorçage commence :
    Secteur d'amorçage 'C:\'
    [INFO] Aucun virus trouvé !

    La recherche sur les renvois aux fichiers exécutables (registre) commence :
    Le registre a été contrôlé ( '53' fichiers).


    La recherche sur les fichiers sélectionnés commence :

    Recherche débutant dans 'C:\'
    C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE] Ce fichier est un fichier système Windows.
    [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
    C:\Documents and Settings\PC01\Bureau\AD-R.exe
    [0] Type d'archive: NSIS
    --> ProgramFilesDir/List.dat
    [RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Malicious.ActiveX.Gen
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b9d4953.qua' !


    Fin de la recherche : lundi 8 février 2010 18:46
    Temps nécessaire: 33:38 Minute(s)

    La recherche a été effectuée intégralement

    8624 Les répertoires ont été contrôlés
    515921 Des fichiers ont été contrôlés
    1 Des virus ou programmes indésirables ont été trouvés
    0 Des fichiers ont été classés comme suspects
    0 Des fichiers ont été supprimés
    0 Des virus ou programmes indésirables ont été réparés
    1 Les fichiers ont été déplacés dans la quarantaine
    0 Les fichiers ont été renommés
    1 Impossible de contrôler des fichiers
    515919 Fichiers non infectés
    2428 Les archives ont été contrôlées
    1 Avertissements
    2 Consignes
    35350 Des objets ont été contrôlés lors du Rootkitscan
    0 Des objets cachés ont été trouvés

    8 Février 2010 19:51:04

    Bien ....




    on finalise .... dans l'ordre :




    1- Mets à jours ce qui suit, c'est important ( des versions pas à jours = failles de sécurité ) :

  • Version Console Java à jour > 6 Update 18
  • Version Adobe Reader à jour > v 9.3.0
  • Version FireFox à jour > V 3.6


    * pour la console Java :
    -> désinstalle toutes les versions antérieurs via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .
    -> Puis télécharge et installe la dernière version ici :
    http://www.commentcamarche.net/telecharger/telecharger-...
    ou http://www.java.com/fr/

    ( Autre astuce pour faire cette maj ainsi que la suppression des anciennes versions
    avec l'outil Javara : http://www.commentcamarche.net/faq/sujet-15645-javara-i... )

    -> Enfin contrôle ceci :
    Démarrer > Panneau de configuration > Icône Java > onglet Mise à jour > cocher la case "Automatiser la détection des mises à jour".



    * Adobe Reader :
    -> désinstalle avant l'ancienne version via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .
    -> télécharge et installe la dernière version ici :
    http://www.infos-du-net.com/telecharger/Reader-Adobe,03...


    * FireFox :
    Soit le mettre à jour depuis le navigateur / onglet "?" / "rechercher des mises à jour" .
    Soit tu télécharges et installes la dernière version directement ici > http://www.mozilla-europe.org/fr/


    =========================

    2- Fais une mise à jours de ton Système via panneau de config / "Windows Update" :

    -> fais toutes les mises à jours disponibles, surtout les dites "critiques" et "importantes" .
    (XP SP3 , Internet Explorer 8 , etc ... )
    -> tu les télécharges , puis une fois celles-ci téléchargées , lance les installations ( il te sera surement demandé de redémarrer le PC pour finir les installes ...).

    -> il faudra sûrement recommencer l'opération plusieurs fois pour que tout soit fait !

    Astuce ici :
    http://www.commentcamarche.net/faq/sujet-273-windows-up...

    Note :
    ferme toutes applications en cours et ne fais rien d'autre avec le PC lors de la mise à jour du système .



    =======================

    3- une fois tout ceci fait , utilise Hijackthis ainsi :

    tuto pour utilisation :
    Regarde ici, c'est parfaitement expliqué en images (merci balltrap34),
    http://perso.orange.fr/rginformatique/section%20virus/d...
    ( Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement )

    !! Déconnecte toi et ferme toutes tes applications en cours !!

    Clique sur le raccourci du bureau pour lancer le prg :
    fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile"

    ---> Poste le rapport généré pour analyse ...
    9 Février 2010 15:25:31

    voilà j'ai fait les mises à jour

    +rapport hyjackthis

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:24:01, on 09/02/2010
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir Desktop\sched.exe
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    C:\WINDOWS\ATKKBService.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Analog Devices\Core\smax4pnp.exe
    C:\Program Files\ASUS\Six Engine\SixEngine.exe
    C:\Applications\Acrobat 8.0\Acrobat\Acrotray.exe
    C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\WINDOWS\system32\msiexec.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.microsoft.com/fwlink/?linkid=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Applications\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Applications\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
    O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
    O4 - HKLM\..\Run: [Six Engine] "C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r
    O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
    O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Applications\Acrobat 8.0\Acrobat\Acrotray.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Applications\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
    O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
    O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Applications\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Applications\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Applications\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Applications\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Applications\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Applications\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Applications\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Applications\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1296A0C9-AF7E-4B60-B476-C49ABCD7C235}: NameServer = 192.168.1.1
    O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
    O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
    O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

    --
    End of file - 7496 bytes
    9 Février 2010 15:37:13

    Hello,


    Citation :
    voilà j'ai fait les mises à jour



    Ah non ! ... :non: 



    tu n'as pas fait l'étape 2 de la manipe que je t'ai donné ici ....



    Donc faite toutes les maj et poste un nouvel Hijackthis une fois fait ...




    9 Février 2010 15:54:23

    xp je pense qu'il va rester comme il est,
    en fait

    9 Février 2010 16:13:27

    re,


    Citation :
    xp je pense qu'il va rester comme il est,
    en fait



    Donc tout ce qu'on a fait n'a servis à rien .... :pfff: 

    Windows pas à jour = GROSSE FAILLE DE SECURITE ! Plus aucun correctif pour cette version de l'OS ... les failles actuelles ne seront jamais corrigées ( alors que le SP3 est toujours suivi )

    Internet Explorer 6 , c'est la pire version du navigateur ! Pourquoi mettre à jours IE > http://forum.malekal.com/viewtopic.php?f=45&t=12405


    donc j'espère que tu ne vas pas faire n'importe quoi et vite mettre ton ordi dans de meilleurs dispositions face aux nouvelles saltés qui pululent sur le net ... :sweat: 

    ( A moins que ton XP soit un piraté ! ... )



    Poste moi un Hijackthis une fois les maj faites .... :whistle: 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS