Votre question

Virus bloquant Norton + Internet + clé USB + lecteur CD

Tags :
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
19 Février 2008 20:00:25

Bonjour,
J'ai un énorme souci :
En voulant installé un fichier.exe qu'un ami m'avait envoyer, il ma installé un virus. Les symptomes sont les suivants :

-Impossible d'ouvrir norton internet security 2005 (fichier nvmain.exe n'es pas une application win32 valide)
-Impossible de me connecter a internet (j'ai pourtant réactivé ma carte wifi en allant dans l'éditeur de registre (HKEY LOCAL MACHINE/.../Ndistudio/start valeur 2 à la palce du 4)
-L'ordinateur reconnait mes clé usb mais veut les formater, alors que sur les autres ordinateurs elles fonctionnent toutes.
-Impossible d'explorer le contenu d'un CD (pourtant j'ai réussi à lire un CD audio dans WMP11, mais sans pouvoir l'explorer.)

Cependant il y a une bonne nouvelle. LClock ne marchait plus et en le réinstallant il marche a nouveau (quelle nouvelle...)

Etant dans l'impossibilité de mettre un autre logiciel antivirus par le bias d'internet, d'une clé, ou d'un cd, je suis totalement perdu sans votre aide...

Merci de votre lecture et en espérant que vous puissiez m'aider...

PS : ordinateur portable acer aspire 3130 - windows xp sp2

Autres pages sur : virus bloquant norton internet cle usb lecteur

19 Février 2008 20:04:36

Salut,

Télécharge ELIBAGLA au bas de cette page. Il est préférable pour certains antivirus de les désactiver avant d’entâmer cette procédure !
Clique sur le Descargar Elibagla afin de télécharger le fichier, enregistre-le sur ton bureau.
Lance le en double cliquant dessus.
Vérifie que dans le menu déroulant Unidad, il y ait bien C:\
L'option Eliminar Ficheros Automaticamente doit également être cochée.
Clique sur Explorar pour lancer l'analyse.
Poste le rapport généré en fin fin d'analyse.
19 Février 2008 20:40:49

Le problème c'est que j'ai aucun moyen de mettre elibagla sur mon pc portable...
19 Février 2008 20:44:12

Tu n'as pas accès à un autre ordi pour charger les tools ?
Et le mode sans échec avec prise en charge réseau, tu as essayé ?
19 Février 2008 21:08:48

Si j'ai accés à un autre ordi mais aprés une fois le logiciel sur le support de stockage, je le met comment sur mon ordi qui ne reconnait aucun périphérique de stockage externe ?
Je n'est pas encore essayé le mode sans échec mais j'y vais sur le champ !
19 Février 2008 21:12:03

Ah oui, c'est ennuyant ..
Essaie aussi de connecter tes supports en mode sans échec, espérant que quelque chose marche ! ;) 
19 Février 2008 21:30:47

Ca aurait été trop beau pour etre vrai... Que ce soit en mode sans échec avec ou sans prise en charge réseaux, pendant le chargement l'écran bleu made in windows s'affiche et l'ordi redemarre... J'ai réussi à le réouvrir en mode normal mais j'ai toujours les mêmes problèmes... :( 
19 Février 2008 21:52:17

Oui j'avais oublié , pas de SE avec Bagle (que tu as sûrement..).
Je dois t'avouer que je n'ai pas d'idée.
Si tu ne peux rien télécharger et rien amener... :'( 
23 Février 2008 20:51:39

J'ai peut etre une idée ! Je vais mettre mon disque dur infecté en disque dur externe et tenté de faire une analyse !
Je vous poste le rapport si j'y arrive
@+
23 Février 2008 21:31:46

Fais attention, j'ai peur que ça n'infecte le disque dur Sain.
23 Février 2008 21:51:28

Quelle serait la solution alors ?
Parce que je ne peut même pas formater...
23 Février 2008 22:35:24

Je ne suis pas sûr que ça infecte ton autre disque dur sain, mais je n'aimerais pas prendre le risque inutilement.

Je me renseigne et te recontacte.
Fais un up au cas où ;) 
24 Février 2008 12:23:42

Re,

On va essayer quelque chose.

  • Aller dans poste de travail/outils/option des dossiers/affichage/afficher les fichiers et dossiers cachés/Appliquer - - > OK

  • Aller dans poste de travail/outils/option des dossiers/affichage/décocher masquer les fichiers protégés du système d’exploitation./Appliquer - - > OK

    Supprime les autorun.inf que tu trouveras sur tous tes lecteurs !
    Y compris sur la clef usb si tu y arrives.
    Ensuite quand tu connectes ta clef, arrives-tu à y accéder ? Par clique droit ?
    24 Février 2008 15:27:39

    Qu'entends tu par "sur tous tes lecteurs". Je ne vois pas les fichiers autoruns, ils sont dans quel dossier ?
    24 Février 2008 19:27:58

    A la racine de tes disques .
    C:\
    D:\
    Et sur ta clef si possible.

    Il faut affichier les fichiers cachés/système pour les voir.
    25 Février 2008 08:16:37

    Soit les fichiers ont été supprimés, soit je suis vraiment nul mais en tout cas dans tous mes disques (DD et Lecteur) je ne trouve aucun fichier à la racine...

    En tout cas merci d'essayé de m'aider XmichouX ;) 

    Je crois que la seule solution serais de mettre mon DD infecté en externe car je ne peut pas démarrer avec l'invite de commande ms dos (ça redémarre...).
    25 Février 2008 15:40:14

    Tu as le CD de windows ?

    Tu peux peut-être essayer de booter dessus ..
    26 Février 2008 13:26:20

    Sinon, essaie donc de le mettre en externe, et à ce moment là passe l'outil que je t'ai montré plus haut, en sélectionnant le lecteur correspondant à ton disque dur externe bien-sûr.
    26 Février 2008 16:41:58

    Non j'ai pas le CD de windows correspondant a celui de mon pc portable (xp familial au lieu de xp pro)
    Les CD de windows ne sont livré qu'avec des PC portable Toshiba il me semble (ou une autre marque peut être... mais pas toutes les marques).

    Je vais essayé tout à l'heure de le mettre en externe chez un ami qui a un disque dur qui ne risque rien s'il est infecté.

    Je te tiens au courant des que possible.
    26 Février 2008 18:22:35

    Ca y est j'ai scanner mon DD avec elibagla, il ma éliminé 2 fichiers
    voici le fichier infosat :


    Tue Feb 26 18:00:50 2008
    EliBagle v11.04 (c)2008 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):

    Tue Feb 26 18:02:37 2008
    EliBagle v11.04 (c)2008 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):

    Tue Feb 26 18:02:52 2008
    EliBagle v11.04 (c)2008 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):

    Tue Feb 26 18:03:02 2008
    EliBagle v11.04 (c)2008 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad F:\
    F:\WINDOWS\system32\drivers\HLDRRR.EXE --> Eliminado Bagle.dldr
    F:\WINDOWS\system32\drivers\SROSA.SYS --> Eliminado Bagle (rootkit)

    Nº Total de Directorios: 9201
    Nº Total de Ficheros: 99386
    Nº de Ficheros Analizados: 12365
    Nº de Ficheros Infectados: 2
    Nº de Ficheros Limpiados: 2


    Je vais réessayer mon DD sur mon ordi, je croise les doigts (ca serait trop beau pour être vrai mais bon...)

    PS : L'ordinateur sain n'a pas été infecté par le DD externe infecté ;) 
    26 Février 2008 18:39:16

    Cool alors ;) 

    Ok, on continue :) 

    Télécharge Combofix (de sUBs) sur ton Bureau.

    Désactive temporairement toute protection résidente ! (Antivirus, antispywares..)
    Double clique combofix.exe. (Clique droit->Exécuter en tant qu'administrateur si sous Vista)
    Tape sur la touche 1 (Yes) pour démarrer le scan.
    Lorsque le scan sera complété, un rapport apparaîtra. Poste ce rapport dans ta prochaine réponse.

    Le rapport se trouve ici : C:\Combofix.txt
    26 Février 2008 18:43:02

    Bon j'ai 2 bonnes et une mauvaise nouvelle,
    Les 2 bonnes nouvelles sont que les CD et les clé USB remarchent !!!
    Par contre la mauvaise c'est que internet ne fonctionne toujours pas.
    J'ai peut être modifier quelque chose qu'il fallait pas quand j'ai touché avec l'éditeur de registre "HKEY LOCAL MACHINE/.../Ndistudio/start valeur 2 à la palce du 4" pour ma connexion Wifi.

    En fait ils me disent qu'il n'y a pas d'erreur, que je suis connecté sur le réseau. Mais si j'ouvre une page internet ça fait comme si j'avais pas de connexions ... :s

    Après ce petit souci de configuration, je pense que mon problème sera résolu ! (j'espère que c'est juste une config ou bien des pilotes manquant peut être...) mais je croi bien que le virus a mouru :D 

    en tout cas merci pour tout XmichouX
    26 Février 2008 18:55:07

    Fais tout de même Combofix.

    Pour ta connexion, c'est en effet dû à ton changement.
    Tu dois la laisser à deux. 2= démarrage automatique
    4= démarrage désactivé
    Au fait, pourquoi as-tu fait cette modif ?
    26 Février 2008 19:07:36

    Ben en fait en fait j'était en train de chercher sur des forum mon problème de connexion internet, et j'ai vu quelqu'un parler de ça.
    Alors je l'ai alors changé sur 2, et la connexion wifi a été réactivé mais internet ne marchais toujours pas.
    Et là ça ne remarche toujours pas... :/ 

    (ps : Combofix est en cours de scannage...)
    26 Février 2008 19:25:00

    Ca y est terminé !
    Pour mon problème d'internet, WLM me dit qu'il s'aggirait d'une erreur de proxy ou de pare-feu, mais j'ai désactivé le pare-feu windows et j'ai que lui... :/ 

    Voici le log :

    ComboFix 08-02-25.3 - xxx 2008-02-26 19:02:10.1 - NTFSx86
    Microsoft Windows XP Édition familiale xxx [GMT 1:00]
    Endroit: C:\Documents and Settings\xxx\Bureau\ComboFix.exe
    * Création d'un nouveau point de restauration

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\system32\drivers\down

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

    .
    -------\LEGACY_SROSA
    -------\srosa


    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-26 to 2008-02-26 ))))))))))))))))))))))))))))))))))))
    .

    2008-02-25 22:00 . 2008-02-25 22:00 54,156 --ah----- C:\WINDOWS\QTFont.qfn
    2008-02-25 22:00 . 2008-02-25 22:00 1,409 --a------ C:\WINDOWS\QTFont.for
    2008-02-18 22:25 . 2008-02-18 22:25 <REP> d-------- C:\Program Files\OOBOX
    2008-02-07 18:51 . 2008-02-07 18:59 <REP> d-------- C:\Documents and Settings\xxx\Application Data\U3
    2008-02-06 21:47 . 2008-02-23 14:48 <REP> d-------- C:\Documents and Settings\xxx\Application Data\AdobeUM
    2008-02-06 21:43 . 2008-02-06 21:43 <REP> d-------- C:\Program Files\Fichiers communs\Adobe Systems Shared
    2008-02-06 21:43 . 2008-02-06 21:43 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Adobe Systems
    2008-02-06 09:51 . 2008-02-06 09:55 <REP> d-------- C:\Documents and Settings\xxx\Graphisoft
    2008-02-06 09:51 . 2008-02-06 09:51 <REP> d-------- C:\Documents and Settings\xxx\Application Data\Graphisoft
    2008-02-06 09:09 . 2008-02-06 09:09 <REP> d-------- C:\Program Files\WIBUKEY
    2008-02-06 09:09 . 2008-02-06 09:09 <REP> d-------- C:\Program Files\WIBU-SYSTEMS
    2008-02-06 09:06 . 2008-02-06 09:06 <REP> d-------- C:\Program Files\Graphisoft

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-02-23 14:13 --------- d-----w C:\Program Files\eMule
    2008-02-23 11:55 --------- d-----w C:\Program Files\Norton Internet Security
    2008-02-19 17:34 --------- d-----w C:\Program Files\LClock
    2008-02-19 17:33 --------- d-----w C:\Program Files\Windows Live
    2008-02-18 21:25 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
    2008-02-18 19:06 --------- d-----w C:\Program Files\Soulseek
    2008-02-14 02:02 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help
    2008-02-06 20:41 --------- d-----w C:\Program Files\Fichiers communs\Adobe
    2008-02-06 12:55 --------- d-----w C:\Documents and Settings\xxx\Application Data\BitTorrent
    2008-01-19 18:04 --------- d-----w C:\Program Files\iTunes
    2008-01-19 18:04 --------- d-----w C:\Program Files\iPod
    2008-01-19 18:02 --------- d-----w C:\Program Files\QuickTime
    2008-01-14 21:02 --------- d-----w C:\Program Files\DivX
    2008-01-08 13:09 --------- d-----w C:\Program Files\Windows Live Toolbar
    2008-01-08 13:09 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
    2008-01-08 12:18 --------- d-----w C:\Program Files\Microsoft SQL Server Compact Edition
    2008-01-06 19:03 --------- d-----w C:\Documents and Settings\xxx\Application Data\TransRender
    2008-01-04 19:37 --------- d-----w C:\Documents and Settings\xxx\Application Data\Temporary
    2008-01-04 19:37 --------- d-----w C:\Documents and Settings\xxx\Application Data\Samsung
    2008-01-04 19:37 --------- d-----w C:\Documents and Settings\xxx\Application Data\ConvertTemp
    2008-01-03 16:47 --------- d-----w C:\Program Files\Corel
    2007-12-28 18:25 --------- d-----w C:\Program Files\Jasc Software Inc
    2007-12-28 18:25 --------- d-----w C:\Documents and Settings\xxx\Application Data\Jasc
    .

    ------- Sigcheck -------

    0af023d93c7432a03f8fb91a38cff80e C:\WINDOWS\explorer.exe
    ----a-w 1,408,512 2007-06-13 13:22:28 C:\WINDOWS\explorer.exe
    ----a-w 1,037,312 2007-06-13 13:10:53 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
    -c----w 1,036,288 2006-03-02 12:00:00 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
    -c--a-w 1,408,512 2007-06-13 13:22:28 C:\WINDOWS\system32\dllcache\explorer.exe
    ----a-w 1,037,312 2007-06-13 13:22:28 C:\WINDOWS\VIPv3\backup\explorer.exe
    ----a-w 1,408,512 2007-06-13 13:22:28 C:\WINDOWS\VIPv3\resources\explorer.exe
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 13:00 15360]
    "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe" [2007-08-03 12:51 202024]
    "LClock"="C:\Program Files\LClock\lclock.exe" [2004-09-19 19:27 65536]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SiSPower"="SiSPower.dll" [2005-02-25 19:35 49152 C:\WINDOWS\system32\SiSPower.dll]
    "SoundMan"="SOUNDMAN.EXE" [2005-02-23 18:13 77824 C:\WINDOWS\SOUNDMAN.EXE]
    "VIPv3_Auto_Update"="C:\WINDOWS\VIPv3\CheckForUpdates.exe" [2006-09-08 15:54 23723]
    "Vistadrv"="C:\WINDOWS\VIPv3\VIPhd\vsdrv.exe" [2006-07-30 02:37 121089]
    "ISUSPM Startup"="C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" [2005-08-11 16:30 249856]
    "ISUSScheduler"="C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2005-08-11 16:30 81920]
    "ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2008-02-23 14:49 58984]
    "Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" [2007-12-08 19:35 100056]
    "Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-09-21 03:10 55824 C:\WINDOWS\KHALMNPR.Exe]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
    "LogitechCommunicationsManager"="C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" [2007-10-25 16:33 563984]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 13:00 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
    c:\program files\fichiers communs\logishrd\bluetooth\LBTWlgn.dll 2007-11-15 10:10 72208 c:\Program Files\Fichiers communs\Logishrd\Bluetooth\LBTWLgn.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\MCPClient]
    C:\PROGRA~1\FICHIE~1\Stardock\mcpstub.dll 2005-01-31 14:13 49152 C:\PROGRA~1\FICHIE~1\Stardock\MCPStub.dll

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
    @=""

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Acrobat Speed Launcher.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Acrobat Speed Launcher.lnk
    backup=C:\WINDOWS\pss\Adobe Acrobat Speed Launcher.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 7.0]
    --a------ 2006-01-12 20:52 483328 C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Corel File Shell Monitor]
    --a------ 2007-10-30 19:52 16200 C:\Program Files\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
    --a------ 2008-01-15 03:22 267048 C:\Program Files\iTunes\iTunesHelper.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
    --a------ 2007-10-25 16:37 2178832 C:\Program Files\Logitech\QuickCam\Quickcam.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
    --a------ 2007-08-08 09:25 1828136 C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
    --a------ 2007-03-01 15:57 153136 C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
    --a------ 2008-01-10 15:27 385024 C:\Program Files\QuickTime\QTTask.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
    --a------ 2005-10-24 16:53 307200 C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
    "Nero BackItUp Scheduler 3"=2 (0x2)
    "iPod Service"=3 (0x3)
    "Apple Mobile Device"=2 (0x2)
    "Adobe LM Service"=3 (0x3)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\Messenger\\msmsgs.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "C:\\Program Files\\BitTorrent\\bittorrent.exe"=
    "C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "C:\\Program Files\\iTunes\\iTunes.exe"=

    R0 PzWDM;PzWDM;C:\WINDOWS\system32\Drivers\PzWDM.sys [2005-06-29 01:38]
    R2 Planificateur LiveUpdate automatique;Planificateur LiveUpdate automatique;"C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe" [2006-08-03 17:29]
    R3 HSFHWSIS;HSFHWSIS;C:\WINDOWS\system32\DRIVERS\HSFHWSIS.sys [2004-12-15 15:18]
    S3 MA_CMIDI;%EVOL_USB.SvcDesc%;C:\WINDOWS\system32\drivers\ma_cmidi.sys [2005-06-14 13:44]

    .
    Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
    "2008-02-23 16:35:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
    - C:\Program Files\Apple Software Update\SoftwareUpdate.exe
    "2008-02-23 11:49:29 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"
    - C:\Program Files\TuneUp Utilities 2007\SystemOptimizer.exe
    "2008-02-22 19:00:00 C:\WINDOWS\Tasks\Norton AntiVirus - Analyser mon ordinateur - ROUQUETTE.job"
    - C:\PROGRA~1\NORTON~1\NORTON~1\Navw32.exeh/task:
    .
    **************************************************************************

    catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-02-26 19:08:28
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cach‚s ...

    Balayage cach‚ autostart entries ...

    Balayage des fichiers cach‚s ...

    Scan termin‚ avec succŠs
    Les fichiers cach‚s: 0

    **************************************************************************
    .
    --------------------- DLLs a charg‚ sous des processus courants ---------------------

    PROCESS: C:\WINDOWS\explorer.exe [6.00.2900.3156]
    -> C:\Program Files\Stardock\ObjectDock\DockShellHook.dll
    -> C:\Program Files\LClock\LC.dll
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\PROGRA~1\FICHIE~1\Stardock\SDMCP.exe
    C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
    C:\Program Files\M-Audio MA_CMIDI\MA_CMIDI_Inst.exe
    C:\WINDOWS\system32\PSIService.exe
    C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
    C:\Program Files\Logitech\SetPoint\SetPoint.exe
    C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
    C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
    C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
    C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
    C:\DOCUME~1\ROUQUE~1\LOCALS~1\Temp\{20CF4BFB-8575-4213-AF5B-DA6C113B8304}\Blaero Start Orb - Normal Taskbar.exe
    .
    **************************************************************************
    .
    Temps d'accomplissement: 2008-02-26 19:13:31 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-02-26 18:13:28
    .
    2008-02-14 02:03:53 --- E O F ---
    26 Février 2008 20:07:05

    Tu as redémarré après l'avoir remis sur 2 ?

    Si tu as XP, fais ceci :

    Sélectionne l’intégralité du cadre ci-dessous :
    @echo off
    CD \
    del /q "%windir%\Temp\*.*"
    del /q "%windir%\Prefetch\*.*"
    del /q "%userprofile%\Cookies\*.*"
    del /s /q "%temp%\*.*"
    del /s /q "%userprofile%\Local Settings\Temporary Internet Files\*.*"
    del /s /q "%userprofile%\Local Settings\Historique\*.*"
    exit

    Copie/colle le dans le Bloc Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
    Enregistre le sous sur ton bureau sous le nom de Correction.bat
    Double-clique dessus.
    26 Février 2008 20:40:24

    C'EST BON TOUT REMARCHE !!!
    Encore merci pour ton aide précieuse, en espérant que ce topic puisse aider un e future victime de bagle...

    Mille merci à bientôt !
    26 Février 2008 22:32:36

    Re,

    Pars pas si vite ;) 

    Vérifie que ce fichier n'existe plus :
    C:\DOCUME~1\ROUQUE~1\LOCALS~1\Temp\{20CF4BFB-8575-4213-AF5B-DA6C113B8304}\Blaero Start Orb - Normal Taskbar.exe

    S'il existe toujours supprime : C:\DOCUME~1\ROUQUE~1\LOCALS~1\Temp\{20CF4BFB-8575-4213-AF5B-DA6C113B8304}

    ********

    Reposte un Hijackthis :) 
    27 Février 2008 23:14:22

    Logfile of HijackThis v1.99.1
    Scan saved at 22:18:36, on 27/02/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16608)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\PROGRA~1\FICHIE~1\Stardock\SDMCP.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Norton Internet Security\ISSVC.exe
    C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
    C:\Program Files\M-Audio MA_CMIDI\MA_CMIDI_Inst.exe
    C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
    C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
    C:\WINDOWS\system32\PSIService.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
    C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe
    C:\Program Files\LClock\lclock.exe
    C:\Program Files\Logitech\SetPoint\SetPoint.exe
    C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
    C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
    C:\DOCUME~1\ROUQUE~1\LOCALS~1\Temp\{7F702806-7EF2-49AC-84DF-AFC6C8377161}\Blaero Start Orb - Normal Taskbar.exe
    C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
    C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Windows Live\Contacts\wlcomm.exe
    C:\WINDOWS\system32\atwtusb.exe
    C:\WINDOWS\system32\WTMKM.exe
    C:\Program Files\eMule\emule.exe
    C:\Documents and Settings\ROUQUETTE\Bureau\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
    O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [VIPv3_Auto_Update] C:\WINDOWS\VIPv3\CheckForUpdates.exe
    O4 - HKLM\..\Run: [Vistadrv] C:\WINDOWS\VIPv3\VIPhd\vsdrv.exe
    O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" -startup
    O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
    O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
    O4 - HKLM\..\Run: [MacrokeyManager] WTMKM.exe
    O4 - HKLM\..\RunOnce: [InstallShieldSetup] C:\PROGRA~1\INSTAL~1\{556F2~1\Setup.exe -rebootC:\PROGRA~1\INSTAL~1\{556F2~1\reboot.ini -l0x40c
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"
    O4 - HKCU\..\Run: [LClock] C:\Program Files\LClock\lclock.exe
    O4 - Startup: Blaero Start Orb (Normal taskbar).lnk = D:\Logiciels\Logiciels vista\Blaero Start Orb - Normal Taskbar.exe
    O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
    O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
    O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
    O11 - Options group: [INTERNATIONAL] International*
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/fl...
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B40B7B8C-FA8E-401B-9746-09512DAA4DF5}: NameServer = 192.168.1.1
    O17 - HKLM\System\CS1\Services\Tcpip\..\{B40B7B8C-FA8E-401B-9746-09512DAA4DF5}: NameServer = 192.168.1.1
    O17 - HKLM\System\CS2\Services\Tcpip\..\{B40B7B8C-FA8E-401B-9746-09512DAA4DF5}: NameServer = 192.168.1.1
    O17 - HKLM\System\CS3\Services\Tcpip\..\{B40B7B8C-FA8E-401B-9746-09512DAA4DF5}: NameServer = 192.168.1.1
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
    O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
    O20 - Winlogon Notify: LBTWlgn - c:\program files\fichiers communs\logishrd\bluetooth\LBTWlgn.dll
    O20 - Winlogon Notify: MCPClient - C:\PROGRA~1\FICHIE~1\Stardock\mcpstub.dll
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
    O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logishrd\Bluetooth\LBTServ.exe
    O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
    O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
    O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
    O23 - Service: M-Audio CMIDI Installer (MA_CMIDI_InstallerService) - Unknown owner - C:\Program Files\M-Audio MA_CMIDI\MA_CMIDI_Inst.exe
    O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
    O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
    O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
    O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
    O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
    O23 - Service: WTService - Unknown owner - C:\WINDOWS\system32\atwtusb.exe

    27 Février 2008 23:34:24

    Re,

    Tu tiens à Symantec ?

    Relance HiJackThis, do a system scan only, coche ces lignes (si toujours présentes) :
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [MacrokeyManager] WTMKM.exe
    O4 - HKLM\..\RunOnce: [InstallShieldSetup] C:\PROGRA~1\INSTAL~1\{556F2~1\Setup.exe -rebootC:\PROGRA~1\INSTAL~1\{556F2~1\reboot.ini -l0x40c
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

    Puis Fix Checked !

    ******

    J'aimerais vérifier quelque chose :

    Télécharge SmitfraudFix (de S!ri)
    Enregistre le sur ton bureau.

    Lance-le en double cliquant sur SmitfraudFix.exe
    Appuie sur une touche comme demandé.
    Exécute l’option 1, un rapport va apparaître, poste le .
    28 Février 2008 00:26:25

    Ben Norton est réputé pour être le meilleur antivirus malgré toutes les médisance à son égard.
    Et depuis le temps que je l'utilise (au moins 5 ans) je n'ai jamais eu de gros virus, sauf celui ci bien entendu...
    Pendant une période j'avais f-secure...
    En fait personne n'est d'accord sur le meilleur antivirus je crois...


    "O4 - HKLM\..\Run: [MacrokeyManager] WTMKM.exe" Ceci est le logiciel de ma tablette graphique...


    voici le log :

    SmitFraudFix v2.297

    Rapport fait à 0:19:17,31, 28/02/2008
    Executé à partir de C:\Documents and Settings\xxx\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\PROGRA~1\FICHIE~1\Stardock\SDMCP.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Norton Internet Security\ISSVC.exe
    C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
    C:\Program Files\M-Audio MA_CMIDI\MA_CMIDI_Inst.exe
    C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
    C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
    C:\WINDOWS\system32\PSIService.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
    C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe
    C:\Program Files\LClock\lclock.exe
    C:\Program Files\Logitech\SetPoint\SetPoint.exe
    C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
    C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
    C:\DOCUME~1\ROUQUE~1\LOCALS~1\Temp\{7F702806-7EF2-49AC-84DF-AFC6C8377161}\Blaero Start Orb - Normal Taskbar.exe
    C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
    C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
    C:\WINDOWS\system32\atwtusb.exe
    C:\WINDOWS\system32\WTMKM.exe
    C:\Program Files\eMule\emule.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts


    »»»»»»»»»»»»»»»»»»»»»»»» C:\


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\xxx


    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\xxx\Application Data


    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ROUQUE~1\Favoris


    »»»»»»»»»»»»»»»»»»»»»»»» Bureau


    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"


    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri


    »»»»»»»»»»»»»»»»»»»»»»»» VACFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri


    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll


    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""


    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""
    "Startup"="MCPSystemStartup"


    »»»»»»»»»»»»»»»»»»»»»»»» Rustock



    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: Carte réseau Broadcom 802.11g - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 192.168.1.1

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{B40B7B8C-FA8E-401B-9746-09512DAA4DF5}: NameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{B40B7B8C-FA8E-401B-9746-09512DAA4DF5}: NameServer=192.168.1.1
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{B40B7B8C-FA8E-401B-9746-09512DAA4DF5}: NameServer=192.168.1.1
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{B40B7B8C-FA8E-401B-9746-09512DAA4DF5}: NameServer=192.168.1.1


    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    28 Février 2008 01:32:46

    Ok, j'avais des doutes à son sujet d'où SmitfraudFix.

    Télécharge ToolsCleaner2( de A.Rothstein)

    Installe le sur ton Bureau
    Clique sur [Recherche] pour lancer le scan
    Clique sur [Supprimer] pour nettoyer les outils utilisés
    Clique sur [Quitter],
    Poste ce rapport ~>C:\TCleaner.txt<~

    Garde ccleaner, avg et antivir si nous les avons installé..
    Rapporte ton infection sur Malware Complaints >Tuto<
    Ton(tes) infection(s) : Bagle

    Puis regarde ces dossiers :

    Sécurité/Prévention
    Conséquences de la multi-protection
    1 Mars 2008 19:43:40



    -->- Recherche:

    C:\Qoobox: trouvé !
    C:\Documents and Settings\xxx\Bureau\HijackThis.exe: trouvé !
    C:\Documents and Settings\xxx\Bureau\SmitFraudFix.exe: trouvé !
    C:\Documents and Settings\xxx\Bureau\SmitFraudfix: trouvé !
    C:\QooBox\Quarantine\C\Combofix: trouvé !

    ---------------------------------
    -->- Suppression:

    C:\Documents and Settings\xxx\Bureau\HijackThis.exe: supprimé !
    C:\Documents and Settings\xxx\Bureau\SmitFraudFix.exe: supprimé !
    C:\Qoobox: supprimé !
    C:\Documents and Settings\xxx\Bureau\SmitFraudfix: supprimé !

    Corbeille vidée!
    Fichiers temporaires nettoyés !
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS