Se connecter / S'enregistrer
Votre question

[RESOLU] Virus a.bat (trojan.BAT.Regger.b) impossible à supprimer

Tags :
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
2 Septembre 2007 15:41:20

Bonjour,
Mon PC est infecté par un virus de type trojan. A chaque démarrage, l'anti-spyware orange indique que le fichier a.bat est inffecté et le supprime, mais le problème apparait à chaque démarrage.
Je suis nouveau sur le forum, j'ai noté des posts similaires, mais à chaque fois les conseils de résolution sont basés sur des analyses de rapport/logs que je ne sais pas interpréter.
Une aide de votre part serait la bienvenue
merci d'avance

Ci dessous le rapport de hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:40:28, on 03/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\PROGRA~1\ANTIVI~1\backweb\6588780\Program\SERVIC~1.EXE
C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\FSGK32.EXE
C:\Program Files\AntivirusFirewall\backweb\6588780\program\fsbwsys.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fssm32.exe
C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Program Files\AntivirusFirewall\Common\FSMB32.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AntivirusFirewall\Common\FCH32.EXE
C:\Program Files\AntivirusFirewall\Anti-Virus\fsqh.exe
C:\Program Files\AntivirusFirewall\Common\FAMEH32.EXE
C:\Program Files\AntivirusFirewall\Anti-Virus\fsrw.exe
C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsav32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntivirusFirewall\Common\FSM32.EXE
C:\Program Files\AntivirusFirewall\FSGUI\ispnews.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ANTIVI~1\ANTI-S~1\fsaw.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\AntivirusFirewall\FSGUI\fsguidll.exe
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\system32\winctl.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
C:\PROGRAM FILES\DELL\DELL LASER MFP 1600N\PSU\ScanToPc.exe
C:\Program Files\DELL\Dell Laser MFP 1600n\PaperPort\pptd40nt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\AntivirusFirewall\backweb\6588780\Program\fspex.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\AntivirusFirewall\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\AntivirusFirewall\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\AntivirusFirewall\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Program Files\AntivirusFirewall\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [winctl] winctl.exe
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [P3000x_S2P] C:\PROGRAM FILES\DELL\DELL LASER MFP 1600N\PSU\ScanToPc.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\DELL\Dell Laser MFP 1600n\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\DELL\Dell Laser MFP 1600n\PaperPort\IndexSearch.exe
O4 - HKLM\..\RunServices: [winctl] winctl.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Antivirus Firewall.lnk = C:\Program Files\AntivirusFirewall\backweb\6588780\Program\fspex.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Bloquer cette fenêtre publicitaire - C:\Program Files\AntivirusFirewall\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Protection Internet Explorer - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\AntivirusFirewall\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: Protection Internet Explorer... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\AntivirusFirewall\Anti-Spyware\ieshield.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Antivirus Firewall (BackWeb Plug-in - 6588780) - Securitoo Portal - C:\PROGRA~1\ANTIVI~1\backweb\6588780\Program\SERVIC~1.EXE
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\AntivirusFirewall\backweb\6588780\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 8122 bytes

Autres pages sur : resolu virus bat trojan bat regger impossible supprimer

3 Septembre 2007 00:01:41

Bonjour


Télécharge Combofix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Double clique combofix.exe et suis les invites.
Lorsque le scan sera complété, un rapport apparaîtra.

Copie/colle ce rapport dans ta prochaine réponse avec un nouveau HijackThis.
3 Septembre 2007 07:50:42

Bonjour,

Merci d'accorder du temps à mon cas :
1) Ci-joint le rapport combofix

((((((((((((((((((((((((( Files Created from 2007-08-04 to 2007-09-04 )))))))))))))))))))))))))))))))


2007-09-04 07:44 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-09-03 20:09 59,264 --a--c--- C:\WINDOWS\system32\dllcache\usbaudio.sys
2007-09-03 20:09 59,264 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2007-09-03 20:01 <REP> d-------- C:\JEUX
2007-09-03 19:54 <REP> d-------- C:\MESSAGERIE
2007-09-03 14:46 1,156 --a------ C:\WINDOWS\mozver.dat
2007-09-03 14:45 <REP> d-------- C:\Program Files\Trend Micro
2007-09-03 14:42 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Acronis
2007-09-03 14:09 <REP> d-------- C:\Program Files\RegCleaner
2007-09-03 14:04 266,360 --a------ C:\WINDOWS\system32\TweakUI.exe
2007-09-03 14:02 <REP> d-------- C:\Program Files\Fichiers communs\ScanSoft Shared
2007-09-03 14:02 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\ScanSoft
2007-09-03 14:01 73,728 --------- C:\WINDOWS\WiaInst.exe
2007-09-03 14:01 24,576 --------- C:\WINDOWS\SvcCon.exe
2007-09-03 14:00 81,920 -ra------ C:\WINDOWS\system32\WIAEH.dll
2007-09-03 14:00 77,824 -ra------ C:\WINDOWS\system32\WIAIPH.dll
2007-09-03 14:00 53,349 -ra------ C:\WINDOWS\system32\Sswiadrv.dll
2007-09-03 14:00 49,152 -ra------ C:\WINDOWS\system32\WIASTIIO.dll
2007-09-03 14:00 45,056 -ra------ C:\WINDOWS\system32\Ssuiext.dll
2007-09-03 13:59 57,344 -ra------ C:\WINDOWS\system32\SSCoinst.dll
2007-09-03 13:59 53,248 -ra------ C:\WINDOWS\system32\SVSetup.dll
2007-09-03 13:59 53,248 --a------ C:\WINDOWS\system32\VdSetup.dll
2007-09-03 13:59 151,552 --a------ C:\WINDOWS\system32\VdSetup.Exe
2007-09-03 13:59 143,360 -ra------ C:\WINDOWS\system32\SSCoinst.exe
2007-09-03 13:59 135,168 -ra------ C:\WINDOWS\system32\SVSetup.Exe
2007-09-03 13:59 13,227 --a------ C:\WINDOWS\system32\DelR1LMK.DLL
2007-09-03 13:56 65,536 --a------ C:\WINDOWS\system32\ssdevm.dll
2007-09-03 13:56 49,152 --a------ C:\WINDOWS\system32\ssusbpn.dll
2007-09-03 13:56 <REP> d-------- C:\Program Files\DELL
2007-09-03 13:54 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2007-09-03 13:54 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2007-09-03 13:51 395,744 --a------ C:\WINDOWS\system32\drivers\timntr.sys
2007-09-03 13:51 39,264 --a------ C:\WINDOWS\system32\drivers\tifsfilt.sys
2007-09-03 13:50 114,048 --a------ C:\WINDOWS\system32\drivers\snapman.sys
2007-09-03 13:50 <REP> d-------- C:\Program Files\Fichiers communs\Acronis
2007-09-03 13:50 <REP> d-------- C:\Program Files\Acronis
2007-09-03 12:46 <REP> d-------- C:\Program Files\Foxit Software
2007-09-03 12:43 <REP> d-------- C:\Program Files\Foxit pdf reader
2007-09-03 12:22 <REP> d-------- C:\Program Files\Fichiers communs\Ciel
2007-09-03 12:21 <REP> d-------- C:\Program Files\Fichiers communs\Sage
2007-09-03 12:21 <REP> d-------- C:\Program Files\Ciel
2007-09-03 12:21 <REP> d-------- C:\Donn‚es Ciel
2007-09-03 12:21 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Ciel
2007-09-03 12:12 <REP> d-------- C:\Program Files\Fichiers communs\HP
2007-09-03 12:12 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\HP
2007-09-03 12:11 <REP> d-------- C:\Program Files\Hewlett-Packard
2007-09-03 12:10 <REP> d-------- C:\Program Files\Fichiers communs\Hewlett-Packard
2007-09-03 12:09 51,120 -ra------ C:\WINDOWS\system32\drivers\HPZid412.sys
2007-09-03 12:09 21,744 -ra------ C:\WINDOWS\system32\drivers\HPZius12.sys
2007-09-03 12:09 16,496 -ra------ C:\WINDOWS\system32\drivers\HPZipr12.sys
2007-09-03 12:08 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2007-09-03 12:08 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2007-09-03 12:02 94,208 --a------ C:\WINDOWS\system32\HPZipt12.dll
2007-09-03 12:02 69,632 --a------ C:\WINDOWS\system32\HPZipm12.exe
2007-09-03 12:02 61,440 --a------ C:\WINDOWS\system32\HPZinw12.exe
2007-09-03 12:02 57,344 --a------ C:\WINDOWS\system32\HPZisn12.dll
2007-09-03 12:02 306,688 --------- C:\WINDOWS\IsUninst.exe
2007-09-03 12:02 278,584 --a------ C:\WINDOWS\system32\HPZidr12.dll
2007-09-03 12:02 204,800 --a------ C:\WINDOWS\system32\HPZipr12.dll
2007-09-03 12:00 31,616 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys
2007-09-03 12:00 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2007-09-03 12:00 <REP> d-------- C:\Program Files\HP
2007-09-03 11:57 <REP> d-------- C:\Program Files\Skype
2007-09-03 11:57 <REP> d-------- C:\Program Files\Fichiers communs\Skype
2007-09-03 11:57 <REP> d-------- C:\DOCUME~1\BASILE~1\APPLIC~1\Skype
2007-09-03 11:57 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Skype
2007-09-03 11:55 21,124 --------- C:\WINDOWS\hpomdl07.dat
2007-09-03 11:55 113,573 --------- C:\WINDOWS\hpoins07.dat
2007-09-03 11:55 <REP> d-------- C:\DOCUME~1\BASILE~1\APPLIC~1\HP
2007-09-03 11:54 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Google
2007-09-03 11:50 <REP> d-------- C:\DOCUME~1\BASILE~1\APPLIC~1\Thunderbird
2007-09-03 11:49 <REP> d-------- C:\Program Files\Mozilla Thunderbird
2007-09-03 11:46 0 --a------ C:\WINDOWS\nsreg.dat
2007-09-03 11:46 <REP> d-------- C:\DOCUME~1\BASILE~1\APPLIC~1\Talkback
2007-09-03 11:42 <REP> d-------- C:\Program Files\Microsoft Money
2007-09-03 11:40 61,440 --a------ C:\WINDOWS\system32\DYMOCFG.DLL
2007-09-03 11:40 45,056 --a------ C:\WINDOWS\system32\DYMOPalmLang10.dll
2007-09-03 11:40 421,888 --a------ C:\WINDOWS\system32\DYMOSmartPaste.dll
2007-09-03 11:40 4,608 --a------ C:\WINDOWS\system32\DYMOVendorSetup.dll
2007-09-03 11:40 4,096 --a------ C:\WINDOWS\system32\lmmonres.dll
2007-09-03 11:40 36,864 --a------ C:\WINDOWS\system32\DYMOWPAddInLang.dll
2007-09-03 11:40 188,416 --a------ C:\WINDOWS\system32\DymoInst.dll
2007-09-03 11:40 <REP> d-------- C:\Program Files\DYMO Label
2007-09-03 11:38 <REP> d-------- C:\DOCUME~1\BASILE~1\APPLIC~1\WinRAR
2007-09-03 11:34 <REP> d-------- C:\DOCUME~1\BASILE~1\APPLIC~1\uTorrent
2007-09-03 11:34 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Yahoo! Companion
2007-09-03 11:33 <REP> d-------- C:\Program Files\Utorrent
2007-09-03 11:32 30,512 --a------ C:\WINDOWS\system32\mdimon.dll
2007-09-03 11:32 <REP> d-------- C:\Program Files\VideoLAN
2007-09-03 11:31 <REP> d-------- C:\Program Files\PhotoRescue PC
2007-09-03 11:31 <REP> d-------- C:\Program Files\Microsoft Works
2007-09-03 11:30 <REP> d-------- C:\Program Files\MSBuild
2007-09-03 11:29 <REP> d-------- C:\Program Files\Microsoft.NET
2007-09-03 11:27 <REP> d-------- C:\WINDOWS\SHELLNEW
2007-09-03 11:26 <REP> dr-h----- C:\MSOCache
2007-09-03 11:26 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft Help
2007-09-03 11:24 <REP> d-------- C:\WINDOWS\Documalis Free Scanner 1.0
2007-09-03 11:24 <REP> d-------- C:\Program Files\mp3DirectCut
2007-09-03 11:24 <REP> d-------- C:\Program Files\Documalis Free
2007-09-03 11:23 <REP> d-------- C:\WINDOWS\FLV Player


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-19 15:32 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-13 15:22 1037312 --------- C:\WINDOWS\explorer.exe
2004-08-05 12:00:00 1,638,400 --sh--r C:\WINDOWS\system32\winctl.exe


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"F-Secure Manager"="C:\Program Files\AntivirusFirewall\Common\FSM32.exe" [2005-10-26 03:51]
"F-Secure TNB"="C:\Program Files\AntivirusFirewall\TNB\TNBUtil.exe" [2005-07-18 16:51]
"F-Secure Startup Wizard"="C:\Program Files\AntivirusFirewall\FSGUI\FSSW.exe" [2005-10-18 10:29]
"News Service"="C:\Program Files\AntivirusFirewall\FSGUI\ispnews.exe" [2005-05-31 14:45]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-11-03 21:10]
"High Definition Audio Property Page Shortcut"="HDAudPropShortcut.exe" [2004-08-12 17:45 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-10-21 08:20 C:\WINDOWS\SOUNDMAN.EXE]
"AlcWzrd"="ALCWZRD.EXE" [2004-10-21 11:44 C:\WINDOWS\ALCWZRD.EXE]
"winctl"="winctl.exe" [2004-08-05 14:00 C:\WINDOWS\system32\winctl.exe]
"PWRISOVM.EXE"="C:\Program Files\PowerISO\PWRISOVM.EXE" [2007-04-09 14:23]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 23:12]
"TrueImageMonitor.exe"="C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe" [2006-10-18 17:58]
"AcronisTimounterMonitor"="C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe" [2006-10-18 18:02]
"Acronis Scheduler2 Service"="C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe" [2006-10-17 11:47]
"P3000x_S2P"="C:\PROGRAM FILES\DELL\DELL LASER MFP 1600N\PSU\ScanToPc.exe" [2004-10-27 08:44]
"PaperPort PTD"="C:\Program Files\DELL\Dell Laser MFP 1600n\PaperPort\pptd40nt.exe" [2004-04-19 01:45]
"IndexSearch"="C:\Program Files\DELL\Dell Laser MFP 1600n\PaperPort\IndexSearch.exe" [2004-04-19 02:16]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"winctl"=winctl.exe

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 relog_ap

R0 FSFW;F-Secure Firewall Driver;C:\WINDOWS\system32\drivers\fsdfw.sys
R0 snapman;Acronis Snapshots Manager;C:\WINDOWS\system32\DRIVERS\snapman.sys
R0 timounter;Acronis True Image Backup Archive Explorer;C:\WINDOWS\system32\DRIVERS\timntr.sys
R2 BackWeb Plug-in - 6588780;Antivirus Firewall;C:\PROGRA~1\ANTIVI~1\backweb\6588780\Program\SERVIC~1.EXE
R2 F-Secure Filter;F-Secure File System Filter;\??\C:\Program Files\AntivirusFirewall\Anti-Virus\Win2K\FSfilter.sys
R2 F-Secure Gatekeeper;F-Secure Gatekeeper;\??\C:\Program Files\AntivirusFirewall\Anti-Virus\Win2K\FSgk.sys
R2 F-Secure Recognizer;F-Secure File System Recognizer;\??\C:\Program Files\AntivirusFirewall\Anti-Virus\Win2K\FSrec.sys
R2 tifsfilter;Acronis True Image FS Filter;C:\WINDOWS\system32\DRIVERS\tifsfilt.sys

*Newly Created Service* - CATCHME

Contents of the 'Scheduled Tasks' folder
2007-09-04 05:42:10 C:\WINDOWS\Tasks\Scheduled scanning task.job

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-04 07:46:23
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-09-04 7:46:53
C:\ComboFix-quarantined-files.txt ... 2007-09-04 07:46

--- E O F ---


2) Ci-joint le rapport Hijackthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:48:53, on 04/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\PROGRA~1\ANTIVI~1\backweb\6588780\Program\SERVIC~1.EXE
C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\FSGK32.EXE
C:\Program Files\AntivirusFirewall\backweb\6588780\program\fsbwsys.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fssm32.exe
C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Program Files\AntivirusFirewall\Common\FSMB32.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AntivirusFirewall\Common\FCH32.EXE
C:\Program Files\AntivirusFirewall\Anti-Virus\fsqh.exe
C:\Program Files\AntivirusFirewall\Common\FAMEH32.EXE
C:\Program Files\AntivirusFirewall\Anti-Virus\fsrw.exe
C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\AntivirusFirewall\Common\FSM32.EXE
C:\Program Files\AntivirusFirewall\FSGUI\ispnews.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\PROGRA~1\ANTIVI~1\ANTI-S~1\fsaw.exe
C:\WINDOWS\system32\winctl.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
C:\Program Files\AntivirusFirewall\FSGUI\fsguidll.exe
C:\PROGRAM FILES\DELL\DELL LASER MFP 1600N\PSU\ScanToPc.exe
C:\Program Files\DELL\Dell Laser MFP 1600n\PaperPort\pptd40nt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\AntivirusFirewall\backweb\6588780\Program\fspex.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\AntivirusFirewall\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\AntivirusFirewall\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\AntivirusFirewall\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Program Files\AntivirusFirewall\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [winctl] winctl.exe
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [P3000x_S2P] C:\PROGRAM FILES\DELL\DELL LASER MFP 1600N\PSU\ScanToPc.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\DELL\Dell Laser MFP 1600n\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\DELL\Dell Laser MFP 1600n\PaperPort\IndexSearch.exe
O4 - HKLM\..\RunServices: [winctl] winctl.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Antivirus Firewall.lnk = C:\Program Files\AntivirusFirewall\backweb\6588780\Program\fspex.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Bloquer cette fenêtre publicitaire - C:\Program Files\AntivirusFirewall\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Protection Internet Explorer - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\AntivirusFirewall\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: Protection Internet Explorer... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\AntivirusFirewall\Anti-Spyware\ieshield.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Antivirus Firewall (BackWeb Plug-in - 6588780) - Securitoo Portal - C:\PROGRA~1\ANTIVI~1\backweb\6588780\Program\SERVIC~1.EXE
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\AntivirusFirewall\backweb\6588780\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 8082 bytes


merci d'avance
Contenus similaires
3 Septembre 2007 11:53:12

Bonjour


Relance un scan HijackThis et coche les lignes ci-dessous :

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [winctl] winctl.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\RunServices: [winctl] winctl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »


Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt....
Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve ci-dessous, et colle-la dans le cadre de gauche de OTMoveIt :p aste List of Files/Folders to be moved.

C:\WINDOWS\system32\winctl.exe

Clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.

Il te sera peut-être demander de redémarrer le PC pour achever la suppression. Si c'est le cas accepte par Yes.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.


Ensuite.

Fais une analyse antivirus en ligne sur Kaspersky
http://webscanner.kaspersky.fr/
Clique sur Démarrer Online Scanner.
Sélectionne le poste de travail comme analyse.
Colle son rapport ici.
3 Septembre 2007 12:33:34

Bonjour,

Dois-je au préalable desactiver Orange antivirus/anti-spyware afin d'éviter qu'il ne supprime le fichier a.bat au démarrage ?

merci d'avance
basile
3 Septembre 2007 14:40:54

Non, ce n'est pas utile.
3 Septembre 2007 22:31:45

Bonsoir,

ci-joint le rapport de Moveit! :
C:\WINDOWS\system32\winctl.exe moved successfully.

Created on 09/04/2007 20:15:48


et ci-joint le rapport de l'analyse kaspersky :

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Tuesday, September 04, 2007 9:54:25 PM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 3/09/2007
Enregistrements dans la base antivirus Kaspersky : 378538
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
C:\
D:\
E:\
F:\
G:\
H:\
I:\

Statistiques de l'analyse:
Total d'objets analysés: 45808
Nombre de virus trouvés: 0
Nombre d'objets infectés: 0 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 01:14:34

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\BASILE SCHARR\Application Data\ispnews\ispn.ini L'objet est verrouillé ignoré
C:\Documents and Settings\BASILE SCHARR\Application Data\ispnews\ispnc.items L'objet est verrouillé ignoré
C:\Documents and Settings\BASILE SCHARR\Application Data\ispnews\ispnr.items L'objet est verrouillé ignoré
C:\Documents and Settings\BASILE SCHARR\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\BASILE SCHARR\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\BASILE SCHARR\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\BASILE SCHARR\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\BASILE SCHARR\Local Settings\Historique\History.IE5\MSHist012007090420070905\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\BASILE SCHARR\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\BASILE SCHARR\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\BASILE SCHARR\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Program Files\AntivirusFirewall\Anti-Virus\dbupdate.log L'objet est verrouillé ignoré
C:\Program Files\AntivirusFirewall\Anti-Virus\Qrt.log L'objet est verrouillé ignoré
C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\cache.dat L'objet est verrouillé ignoré
C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\chandir.dat L'objet est verrouillé ignoré
C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\chandir.idx L'objet est verrouillé ignoré
C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\chn.dat L'objet est verrouillé ignoré
C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\chn.idx L'objet est verrouillé ignoré
C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\D0000000.FCS L'objet est verrouillé ignoré
C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\fsbwupst.log L'objet est verrouillé ignoré
C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\inuse.txt L'objet est verrouillé ignoré
C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\L0000002.FCS L'objet est verrouillé ignoré
C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\main.log L'objet est verrouillé ignoré
C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\prs.dat L'objet est verrouillé ignoré
C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\prs.idx L'objet est verrouillé ignoré
C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\prs_die.dat L'objet est verrouillé ignoré
C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\prs_die.idx L'objet est verrouillé ignoré
C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\prs_dnd.dat L'objet est verrouillé ignoré
C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\prs_dnd.idx L'objet est verrouillé ignoré
C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\prs_ext.dat L'objet est verrouillé ignoré
C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\prs_ext.idx L'objet est verrouillé ignoré
C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\prs_rcv.dat L'objet est verrouillé ignoré
C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\prs_rcv.idx L'objet est verrouillé ignoré
C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\storydb.dat L'objet est verrouillé ignoré
C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\storydb.idx L'objet est verrouillé ignoré
C:\Program Files\AntivirusFirewall\Common\admin.pub L'objet est verrouillé ignoré
C:\Program Files\AntivirusFirewall\Common\policy.bpf L'objet est verrouillé ignoré
C:\Program Files\AntivirusFirewall\Common\policy.ipf L'objet est verrouillé ignoré
C:\Program Files\AntivirusFirewall\Spam Control\log\fs_sa_log.txt L'objet est verrouillé ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\System Volume Information\_restore{F6CA266E-C878-41F3-8A09-525E2D64EB35}\RP24\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\EventCache\{4EB1F573-D10C-4E08-831E-682146E29E82}.bin L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\ODiag.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\OSession.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
E:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

Analyse terminée.
3 Septembre 2007 23:07:23

Pas de signe d'infection dans ce rapport.

As tu encore ce fichier qui apparait ?
4 Septembre 2007 12:33:36

Une fois redémarré, je n'ai plus l'indication de l'antivirus qu'un fichier a.bat existe ou est infecté. Je pense donc que le problème doit être résolu. Que dois-je faire avec le répertoire -Moveit où le fichier a été déplacé : le supprimer ? En déplaçant le fichier C:\WINDOWS\system32\winctl.exe avec Moveit, celui-ci ne va-t-il pas manquer au système pour fonctionner ?
Dans tous les cas, merci pour votre temps et expertise.
4 Septembre 2007 14:29:50

Re

C'était un fichier infectieux, rien à voir avec Windows.


Pour supprimer les outils utilisés, fais ceci.

Lance OTmoveIT.
  • Clique sur CleanUp! (le programme va télécharger un fichier texte qui servira a nettoyer les programmes que l'on a téléchargé).
    NOTE : Normalement, ton firewall (parefeu) devrait te demander si OTmoveIT peut accéder a internet, Autorise le.
  • Une liste apparait dans la partie gauche d'OTmoveIT.
  • Un message apparait pour confirmer le nettoyage. Confirme


    Encore deux choses.

    Va sur ce lien pour mieux sécuriser ton PC
    http://www.infos-du-net.com/forum/267223-11-securiser-o...

    Edite ton premier message et ajoute Résolu à côté de ton titre.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS