Bonjour,

Mon ordinateur est très lent et mon antivirus (Panda) détecte 3-4 virus par jour sur mon ordinateur ces temps (surtout dans les fichiers internet temporaires). J'ai téléchargé Malwarebytes pour voir si je suis infecté par un malware. Il en a trouvé. Je ne sais pas quoi faire avec ces fichiers car il ne les désinfecte pas. Il me dit juste qu'ils sont infecté et me propose de les supprimer. Voilà le log:
Malwarebytes' Anti-Malware 1.19
Version de la base de données: 912
Windows 5.1.2600 Service Pack 2

20:16:56 01.07.2008
mbam-log-7-1-2008 (20-16-43).txt

Type de recherche: Examen rapide
Eléments examinés: 39324
Temps écoulé: 7 minute(s), 33 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 6
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
C:\WINDOWS\acersv.exe (Backdoor.Bot) -> No action taken.

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\rqRJAsrP.dll (Trojan.Vundo) -> No action taken.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d6a55cd4-0a81-4df5-ad75-cc2ffb762662} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{d6a55cd4-0a81-4df5-ad75-cc2ffb762662} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{be7e4ce1-8cba-44a6-956f-462a667d3286} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{be7e4ce1-8cba-44a6-956f-462a667d3286} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Acer Service (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\mysearchnow.com (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\www.mysearchnow.com (Malware.Trace) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\rqrjasrp -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\rqrjasrp -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\rqRJAsrP.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\PrsAJRqr.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\PrsAJRqr.ini2 (Trojan.Vundo) -> No action taken.
C:\WINDOWS\acersv.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> No action taken.

Que faire?

Salut Johan!

Normalement MBAM supprime ce qu'il a trouvé: je te montre comment faire:

MALWAREBYTES ANTI-MALWARE (MBAM)

• Lance MalwareBytes'AntiMalware
• Connecte tes clés USB et ton disque dur externe
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche"
• Sélectionne "Exécuter un examen complet"
• Clique sur "Rechercher"
• Le scan se lance
• A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur "OK" pour poursuivre.
• Ferme tes navigateurs et clique en bas sur "Afficher les résultats"
• Si des malwares ont été détectés, leur liste s'affiche.
  En cliquant sur "Supprimer la sélection" , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
• MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le

Tu vas m'envoyer ensuite un rapport HijackThis:

HIJACKTHIS

Télécharge et installe la dernière version d'HIJACKTHIS [v2.0.2] en cliquant sur l'image:

• Enregistre HJTInstall.exe sur ton bureau
• Double-clique sur HJTInstall.exe pour lancer le programme
  Par défaut, il s'installera là || C:\Program Files\Trend Micro\HijackThis
• Accepte la license en cliquant sur le bouton "I Accept"
• Choisis l'option "Do a system scan and save a log file"
• Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
• Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport
• Colle le rapport que tu viens de copier sur ce forum
• Ne fixe encore "AUCUNE" ligne, cela pourrait empêcher ton PC de fonctionner correctement

Merci.

Mais si je supprime les fichiers avec MBAM, je ne risque pas de supprimer des fichiers importants? Aucun risque de faire planter le PC?

johan384 a écrit:Mais si je supprime les fichiers avec MBAM, je ne risque pas de supprimer des fichiers importants? Aucun risque de faire planter le PC?

Il y a toujours un risque, mais MBAM fait une sauvegarde des fichiers supprimés/

Nous allons être prudent: supprime tout avec MBAM sauf:
C:\WINDOWS\acersv.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Acer Service

Il te suffit de les décocher dans la liste:




Ensuite:

VIRUSTOTAL

Va sur le site VirusTotal

• Copie cette ligne:
  
  C:\WINDOWS\acersv.exe
  
• Colle cette ligne dans la fenêtre suivante, sur la page VirusTotal, en faisant CTRL-V:
  
  
  
• Clique sur le bouton "Envoyer le fichier" et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
• Une nouvelle fenêtre de ton navigateur va apparaître
• Clique alors sur cette image :
  
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
• Enfin colle le résultat dans ta prochaine réponse.
  
  Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.

Et poste-moi le log HijackThis !

Alors j'ai fait tout ce que tu m'a demandé. Voilà d'abord l'analyse de VirusTotal:


Fichier acersv.exe reçu le 2008.07.02 18:13:58 (CET)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.6.27.1 2008.06.27 Win32/IRCBot.worm.variant
AntiVir 7.8.0.59 2008.06.27 Worm/SdBot.23552.2
Authentium 5.1.0.4 2008.06.27 -
Avast 4.8.1195.0 2008.06.27 Win32:Trojan-gen {Other}
AVG 7.5.0.516 2008.06.27 IRC/BackDoor.SdBot4.CRO
BitDefender 7.2 2008.06.28 Backdoor.Pushbot.E
CAT-QuickHeal 9.50 2008.06.26 Backdoor.SdBot.erm
ClamAV 0.93.1 2008.06.27 -
DrWeb 4.44.0.09170 2008.06.28 -
eSafe 7.0.17.0 2008.06.26 -
eTrust-Vet 31.6.5911 2008.06.27 -
Ewido 4.0 2008.06.27 -
F-Prot 4.4.4.56 2008.06.27 -
F-Secure 7.60.13501.0 2008.06.26 Backdoor.Win32.SdBot.erm
Fortinet 3.14.0.0 2008.06.28 -
GData 2.0.7306.1023 2008.06.28 Backdoor.Win32.SdBot.erm
Ikarus T3.1.1.26.0 2008.06.28 Worm.Sdbot.23552.2
Kaspersky 7.0.0.125 2008.06.28 Backdoor.Win32.SdBot.erm
McAfee 5327 2008.06.27 -
Microsoft 1.3704 2008.06.28 Worm:Win32/Pushbot.FH
NOD32v2 3224 2008.06.27 -
Norman 5.80.02 2008.06.27 -
Panda 9.0.0.4 2008.06.27 -
Prevx1 V2 2008.07.02 Malicious Software
Rising 20.50.50.00 2008.06.28 -
Sophos 4.30.0 2008.06.28 Mal/Generic-A
Sunbelt 3.0.1176.1 2008.06.26 -
Symantec 10 2008.06.28 -
TheHacker 6.2.96.362 2008.06.27 Backdoor/SdBot.erm
TrendMicro 8.700.0.1004 2008.06.27 -
VBA32 3.12.6.8 2008.06.28 Backdoor.Win32.SdBot.erm
VirusBuster 4.5.11.0 2008.06.23 -
Webwasher-Gateway 6.6.2 2008.06.28 Worm.SdBot.23552.2
Information additionnelle
File size: 23552 bytes
MD5...: ce4aa3364e6a94680a277357b26432c5
SHA1..: 66dc5f7bc2b8a0645d3a4a264b2723e5b16397af
SHA256: 0252e5a1bc2421d662f83fc524646067a57b1335fecadc7ac301cfcb9bffd1f4
SHA512: 5201c96aaaddaec42e2ed9e75b6db506b00474ad9d930d87066c228fb18e837c<br>020161ab8f85d3555c4116f4c5edb28585637a1eff2cf4eff36c5080cba3d952
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x401488<br>timedatestamp.....: 0x48508152 (Thu Jun 12 01:52:18 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 4 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x647 0x800 5.18 683f7d3dddb8b230658c1a40aa97416f<br>.rdata 0x2000 0x2a0 0x400 3.55 6276560b29147275c48264ce9587364a<br>.data 0x3000 0x154 0x200 2.56 641f6b1a8a45d439c099e83ebd6db435<br>.rsrc 0x4000 0x4904 0x4a00 7.40 b8a4bc3129aee9f1c07d9d6ceaa6fd4a<br><br>( 1 imports ) <br>&gt; KERNEL32.dll: Sleep, FreeLibrary, GetProcAddress, LoadLibraryA, SetLastError, VirtualAllocEx, SetThreadContext, GetThreadContext, GetModuleHandleA, ResumeThread, ReadFile, OpenFile, GetModuleFileNameA, LockResource, SizeofResource, LoadResource, FindResourceA, HeapAlloc, GetProcessHeap, HeapFree, ExitProcess, GetStartupInfoA, GetCommandLineA, TerminateProcess, GetCurrentProcess<br><br>( 0 exports ) <br>
Prevx info: http://info.prevx.com/aboutprogramtext. ... 00CED505EB

Voilà l'analyse de MBAM:

Malwarebytes' Anti-Malware 1.19
Version de la base de données: 913
Windows 5.1.2600 Service Pack 2

18:04:06 02.07.2008
mbam-log-7-2-2008 (18-04-06).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 157298
Temps écoulé: 35 minute(s), 21 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 6
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 13

Processus mémoire infecté(s):
C:\WINDOWS\acersv.exe (Backdoor.Bot) -> Not selected for removal.

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\rqRJAsrP.dll (Trojan.Vundo) -> Unloaded module successfully.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0b1d2ac2-64b6-4cde-866e-6e670d803940} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0b1d2ac2-64b6-4cde-866e-6e670d803940} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{be7e4ce1-8cba-44a6-956f-462a667d3286} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{be7e4ce1-8cba-44a6-956f-462a667d3286} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Acer Service (Backdoor.Bot) -> Not selected for removal.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\mysearchnow.com (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\www.mysearchnow.com (Malware.Trace) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\rqrjasrp -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\rqrjasrp -> Delete on reboot.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\rqRJAsrP.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\PrsAJRqr.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\PrsAJRqr.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5E2CED7F-4B84-4A49-AE1A-EE9BCC7D6E68}\RP244\A0270413.DLL (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5E2CED7F-4B84-4A49-AE1A-EE9BCC7D6E68}\RP244\A0270414.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5E2CED7F-4B84-4A49-AE1A-EE9BCC7D6E68}\RP244\A0270415.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5E2CED7F-4B84-4A49-AE1A-EE9BCC7D6E68}\RP244\A0270422.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5E2CED7F-4B84-4A49-AE1A-EE9BCC7D6E68}\RP244\A0270423.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5E2CED7F-4B84-4A49-AE1A-EE9BCC7D6E68}\RP244\A0270434.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5E2CED7F-4B84-4A49-AE1A-EE9BCC7D6E68}\RP244\A0278728.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5E2CED7F-4B84-4A49-AE1A-EE9BCC7D6E68}\RP244\A0281769.EXE (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\acersv.exe (Backdoor.Bot) -> Not selected for removal.
C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> Quarantined and deleted successfully.

Et voilà le log HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:09:50, on 02.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\AVENGINE.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\TPSrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\acersv.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PsCtrls.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe
C:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe
c:\program files\panda software\panda titanium antivirus 2005\firewall\PSHOST.EXE
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\psimsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\WebProxy.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://vbeeddxtkdce.com/AqoBK4Aer56wHqN ... gr/cY8.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {728AAF16-F1AF-4C45-8B1E-45C0F8519A28} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: (no name) - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - (no file)
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [PPFW] c:\program files\panda software\panda titanium antivirus 2005\firewall\PPFW.EXE PPFW.EXE /cmd:allowpandarules /prod:titanium /mod:7 /flg:2 /ver:7.0.0
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Windows Acer Service ] acersv.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: PopUpFrn.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.acer.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} - http://eu-housecall.trendmicro-europe.c ... hcImpl.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} - http://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {3FE16C08-D6A7-4133-84FC-D5BFB4F7D886} - http://www.miniclip.com/ricochet/Reflex ... Loader.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} - http://cdn.scan.onecare.live.com/resour ... se8300.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} - http://f012.mail.caramail.lycos.fr/app/ ... loader.cab
O20 - Winlogon Notify: awtsqpqP - awtsqpqP.dll (file missing)
O20 - Winlogon Notify: pmnmjHbb - pmnmjHbb.dll (file missing)
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Panda Software Controller - Panda Software International - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PsCtrls.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe
O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\program files\panda software\panda titanium antivirus 2005\firewall\PSHOST.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\psimsvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\TPSrv.exe

--
End of file - 8699 bytes


Merci beaucoup pour ton aide.

Ok merci!

COMBOFIX

Conseil: lis cette procédure en intégralité avant de te lancer.

• Télécharge ComboFix de sUBs SUR TON BUREAU (il est impératif de le mettre sur le Bureau) en cliquant sur cette image:

• Télécharge ensuite les fichiers de Console de Récupération
  
  • Ici si tu disposes de XP Home/Familial
  • Là si tu disposes de XP Pro
  
  Comme indiqué sur l'image, déplace le fichier Microsoft que tu viens de télécharger et dépose-le sur ComboFix:
  
  
  
  ComboFix va maintenant installer automatiquement la Console de Récupération Windows sur ton ordinateur, et celle-ci s'affichera en tant que nouvelle option au démarrage de ton ordinateur. La Console pourra être utile en cas de coup dur. C'est une simple précaution, qui a déjà sauvé nombre de machines!
  
  
• Scanne enfin ta machine avec ComboFix de sUBs en suivant rigoureusement ce tuto traduit par nickW (sauf la partie Console de récupération que l'on a déjà effectuée !!):
  
  http://www.bleepingcomputer.com/combofix/f...iliser-combofix
  
  jusqu'à arriver à la création du rapport que tu posteras.
  
  

Nota: il se peut que ComboFix endommage ta connection Internet: si tu ne peux plus te connecter après le scan de cet outil, redémarre ton PC. Si cela s'avère insuffisant, suis cette méthode:

1. Clique sur le bouton Démarrer.
2. Clique sur l'option de menu Paramètres.
3. Clique sur l'option Panneau de configuration.
4. Après l'ouverture du Panneau de configuration, fais un double clic sur l'icône Connexions réseau. Si ton Panneau de configuration est paramétré pour un affichage en catégories, fais un double clic sur Connexions réseau et Internet puis clique sur Connexions réseau tout en bas.
5. Tu verras alors une liste de toutes les connexions réseau disponibles. Repère la connexion Réseau local (ou Sans fil si tu es en Wifi) et fais un clic droit dessus.
6. Tu verras alors un menu similaire à celui de l'image ci-dessous. Clique simplement sur l'option de menu Réparer.

Ok. Après avoir redémarré mon PC, mon antivirus a trouvé un fichier potentiellement dangeureux:
Nom: Application/Psexesc.A
Emplacement: c:\windows\psexesvc.exe

Mon antivirus me propose de la bloquer, de le supprimer ou de l'exclure de l'analyse. Que faire?

Et voici le rapport de ComboFix (j'avais installé la console de récupération, je vais le refaire):

ComboFix 08-07-01.5 - Projer 2008-07-02 19:28:48.1 - FAT32x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.191 [GMT 2:00]
Endroit: C:\Documents and Settings\Projer\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\T.EXE
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\rqRJAsrP.dll
C:\WINDOWS\system32\yayaBSmL.dll
C:\WINDOWS\system32\zlib.dll

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-02 to 2008-07-02 ))))))))))))))))))))))))))))))))))))
.

2008-07-01 21:14 . 2008-07-01 21:14 <REP> d-------- C:\Program Files\Trend Micro
2008-07-01 20:02 . 2008-07-01 20:02 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-07-01 20:02 . 2008-07-01 20:02 <REP> d-------- C:\Documents and Settings\Projer\Application Data\Malwarebytes
2008-07-01 20:02 . 2008-07-01 20:02 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-07-01 20:02 . 2008-06-28 14:16 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-01 20:02 . 2008-06-28 14:16 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-20 19:34 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-17 19:12 . 2008-06-17 19:11 23,552 -r-hs---- C:\WINDOWS\acersv.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-02 17:34 1,224 ----a-w C:\WINDOWS\system32\drivers\APPFLTR.CFG.bck
2008-07-02 17:34 1,224 ----a-w C:\WINDOWS\system32\drivers\APPFLTR.CFG
2008-07-02 16:43 13,880 ----a-w C:\WINDOWS\system32\drivers\COMFiltr.sys
2008-07-02 16:07 337,216 ----a-w C:\WINDOWS\system32\drivers\APPFCONT.DAT.bck
2008-07-02 16:07 337,216 ----a-w C:\WINDOWS\system32\drivers\APPFCONT.DAT
2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-05-08 12:28 202,752 ------w C:\WINDOWS\system32\drivers\RMCast.sys
2008-05-08 12:28 202,752 ------w C:\WINDOWS\system32\dllcache\rmcast.sys
2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2008-05-07 05:15 1,293,824 ------w C:\WINDOWS\system32\dllcache\quartz.dll
2008-04-23 20:16 3,591,680 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-04-22 07:41 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-04-22 07:41 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-04-22 07:39 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-04-20 05:07 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll
2008-01-08 09:00 24,184 ----a-w C:\Documents and Settings\Projer\Application Data\GDIPFONTCACHEV1.DAT
2007-04-10 15:54 120,424 ------w C:\Documents and Settings\Projer\Application Data\JuniperSetup.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-11-14 23:43 286720]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-11-15 13:11 267048]
"Windows Acer Service "="acersv.exe" [2008-06-17 19:11 23552 C:\WINDOWS\acersv.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveSearch"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avldr]
2007-02-15 20:02 50736 C:\WINDOWS\system32\avldr.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Magic Keyboard.lnk]
backup=C:\WINDOWS\pss\Magic Keyboard.lnkCommon Startup
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Magic Keyboard.lnk

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"=
"C:\\Program Files\\LimeWire\\LimeWire.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

R0 SI3114;SiI-3114 SATALink Controller;C:\WINDOWS\system32\DRIVERS\SI3114.sys [2003-09-03 06:05]
R1 APPFLT;App Filter Plugin;C:\WINDOWS\system32\Drivers\APPFLT.SYS [2007-05-11 09:33]
R1 DSAFLT;DSA Filter Plugin;C:\WINDOWS\system32\Drivers\DSAFLT.SYS [2007-05-11 09:33]
R1 FNETMON;NetMon Filter Plugin;C:\WINDOWS\system32\Drivers\fnetmon.SYS [2007-05-11 09:33]
R1 IDSFLT;Ids Filter Plugin;C:\WINDOWS\system32\Drivers\IDSFLT.SYS [2007-07-11 11:39]
R1 NETFLTDI;Panda Net Driver [TDI Layer];C:\WINDOWS\system32\Drivers\NETFLTDI.SYS [2007-05-11 09:33]
R1 ShldDrv;Panda File Shield Driver;C:\WINDOWS\system32\Drivers\ShlDrv51.sys [2007-05-23 15:40]
R1 SMSFLT;SMS Filter Plugin;C:\WINDOWS\system32\Drivers\SMSFLT.SYS [2007-05-11 09:33]
R1 WNMFLT;Wifi Monitor Filter Plugin;C:\WINDOWS\system32\Drivers\WNMFLT.SYS [2007-05-11 09:33]
R2 cpoint;Panda CPoint Driver;C:\WINDOWS\system32\drivers\cpoint.sys [2007-06-08 08:44]
R2 Dnscache;Client DNS;C:\WINDOWS\System32\svchost.exe [2004-08-20 01:10]
R2 PavProc;Panda Process Protection Driver;C:\WINDOWS\system32\DRIVERS\PavProc.sys [2007-07-12 13:49]
R3 AvFlt;Antivirus Filter Driver;C:\WINDOWS\system32\drivers\av5flt.sys []
R3 NETIMFLT;PANDA NDIS IM Filter Miniport;C:\WINDOWS\system32\DRIVERS\netimflt.sys [2007-04-24 15:43]
R3 PavTPK.sys;PavTPK.sys;C:\WINDOWS\system32\PavTPK.sys []

*Newly Created Service* - COMFILTR
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-07-02 17:00:00 C:\WINDOWS\Tasks\AF47E6F59180987D.job"
- c:\docume~1\projer\applic~1\exitfa~1\Real Software More.exe
"2008-07-02 17:35:02 C:\WINDOWS\Tasks\User_Feed_Synchronization-{56C0D533-C990-4B07-814F-821A3A7B4F88}.job"
- C:\WINDOWS\system32\msfeedssync.exe
"2008-06-30 09:30:08 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
- - - - ORPHANS REMOVED - - - -

ShellExecuteHooks-{BE7E4CE1-8CBA-44A6-956F-462A667D3286} - C:\WINDOWS\system32\yayaBSmL.dll
Notify-awtsqpqP - awtsqpqP.dll
Notify-pmnmjHbb - pmnmjHbb.dll


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-02 19:34:21
Windows 5.1.2600 Service Pack 2 FAT NTAPI

detected NTDLL code modification:
ZwEnumerateKey, ZwClose, ZwEnumerateValueKey, ZwQueryValueKey, ZwOpenFile

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ComFiltr]
"ImagePath"="\??\C:\WINDOWS\system32\DRIVERS\COMFiltr.sys"
.
------------------------ Other Running Processes ------------------------
.
C:\PROGRAM FILES\PANDA SOFTWARE\PANDA TITANIUM ANTIVIRUS 2005\PAVSRV51.EXE
C:\PROGRAM FILES\PANDA SOFTWARE\PANDA TITANIUM ANTIVIRUS 2005\AVENGINE.EXE
C:\PROGRAM FILES\PANDA SOFTWARE\PANDA TITANIUM ANTIVIRUS 2005\TPSRV.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\APPLE\MOBILE DEVICE SUPPORT\BIN\APPLEMOBILEDEVICESERVICE.EXE
C:\WINDOWS\SYSTEM32\NVSVC32.EXE
C:\WINDOWS\SYSTEM32\OODAG.EXE
C:\PROGRAM FILES\PANDA SOFTWARE\PANDA TITANIUM ANTIVIRUS 2005\PSCTRLS.EXE
C:\PROGRAM FILES\PANDA SOFTWARE\PANDA TITANIUM ANTIVIRUS 2005\PAVFNSVR.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\PANDA SOFTWARE\PAVSHLD\PAVPRSRV.EXE
C:\PROGRAM FILES\PANDA SOFTWARE\PANDA TITANIUM ANTIVIRUS 2005\FIREWALL\PSHOST.EXE
C:\PROGRAM FILES\PANDA SOFTWARE\PANDA TITANIUM ANTIVIRUS 2005\PSIMSVC.EXE
C:\WINDOWS\SYSTEM32\MSPMSPSV.EXE
C:\PROGRAM FILES\PANDA SOFTWARE\PANDA TITANIUM ANTIVIRUS 2005\APVXDWIN.EXE
C:\PROGRAM FILES\ADOBE\ACROBAT 7.0\READER\READER_SL.EXE
C:\PROGRAM FILES\IPOD\BIN\IPODSERVICE.EXE
C:\PROGRAM FILES\PANDA SOFTWARE\PANDA TITANIUM ANTIVIRUS 2005\WEBPROXY.EXE
C:\PROGRAM FILES\PANDA SOFTWARE\PANDA TITANIUM ANTIVIRUS 2005\AVCIMAN.EXE
C:\WINDOWS\system32\imapi.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-07-02 19:37:10 - machine was rebooted [Projer]
ComboFix-quarantined-files.txt 2008-07-02 17:37:00

Pre-Run: 40,209,596,416 octets libres
Post-Run: 40,145,633,280 octets libres

146 --- E O F --- 2008-06-30 09:11:54

Autre question: Est-ce normal que lorsque je veux installer la console de récupération avec la manière décrite ComboFix s'ouvre et me demande d'accepter la licence? Car tu dis que cela se fait automatiquement mais là ComboFix démarre...

Salut!

Ok. Après avoir redémarré mon PC, mon antivirus a trouvé un fichier potentiellement dangeureux:
Nom: Application/Psexesc.A
Emplacement: c:\windows\psexesvc.exe

Ce fichier est lié à PsExec de Sysinternals: tu connais ce logiciel? C'est légitime en tout cas (donc, à exclure de l'analyse). En cas de doute, scanne-le avec VirusTotal.



Pour la Console, suis simplement les consignes données par ComboFix: il est impératif que tu l'installes avant de poursuivre.



CREATION/EXECUTION D'UN CFSCRIPT


Lis bien la procédure avant de te lancer. Tu peux même l'imprimer, éventuellement.

• Ouvre un nouveau fichier du Bloc-notes
• "Copie/Colle" tout le contenu de la boîte Code ci-dessous (mais n'inclus pas le mot "Code") dans le fichier texte du bloc-note :
  
  

  Code: Tout sélectionner

  http://www.libellules.ch/phpBB2/log-malwarebytes-t28845.html

Collect::
C:\WINDOWS\acersv.exe

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Acer Service "=-

  
  
  
  ATTENTION: ce script a été conçu spécifiquement pour le cas de cet utilisateur, ne pas l'utiliser pour votre propre machine!!
  
• Désactive PANDA!
  
• Te référant à l'image ci-dessous, déplace CFScript.txt sur ComboFix.exe
  ComboFix sera lancé.
  
  
  
  
• ComboFix créera ces fichiers sur ton Bureau :
  • Un fichier zippé nommé Submit [Date Time].zip
  • Un second fichier nommé - CF-Submit.htm
• ComboFix peut exiger un redémarrage pour compléter son travail. Accepte.
• Lorsque l'outil aura terminé, un rapport ComboFix.txt apparaîtra à l'écran.
• Une nouvelle fenêtre avec invite "Submit Files for further analysis" s'ouvrira. Clique "OK"
• Ton navigateur se lancera automatiquement avec le fichier CF-Submit.htm et une fenêtre s'ouvrira :
  • Clique sur le bouton "Browse"("Parcourir") et navigue vers le fichier
    Submit [Date Time].zip qui est sur ton Bureau.
  • Clique sur le fichier afin de le sélectionner.
  • Soumets le fichier en cliquant "OK"
• Lorsque cette opération sera complétée, tu peux supprimer les deux fichiers Submit [Date Time].zip et CF-Submit.htm qui se trouvent sur ton Bureau.
• Enfin, poste les deux rapports suivants dans ta prochaine réponse :
  
  - Combofix.txt
  - Un nouveau rapport HijackThis

NOTA: parfois, au redémarrage, ComboFix ne propose pas de poster les fichiers créés: ce n'est pas grave! Il suffit alors de me le signaler !

Re!

Merci pour le post du zip, grâce à toi cette infection sera intégrée à la prochaine mise à jour de nos outils de désinfection.

Tant qu'on est dans les fichiers infectieux non-traités et/ou sujets à caution: connais-tu ce logiciel?

O4 - Global Startup: PopUpFrn.exe

?? J'ai rien trouvé sur Google, c'est mauvais signe en général ^^ !

HIJACKTHIS

• Relance HijackThis
• Sélectionne "Do a system scan only"
• Coche les lignes suivantes:
  
  

  R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - (no file)
  
  O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
  
  O3 - Toolbar: (no name) - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - (no file)
  
  O16 - DPF: {3FE16C08-D6A7-4133-84FC-D5BFB4F7D886} - http://www.miniclip.com/ricochet/Reflex ... Loader.cab
  
  O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} - http://f012.mail.caramail.lycos.fr/app/ ... loader.cab

  
  
• Ferme tes navigateurs (IE, Firefox, Opéra...)
• Clique en bas sur "Fix checked"
• Redémarre

SUPPRESSION TACHES PLANIFIEES

• Dans le menu "démarrer", clique sur: "tous les programmes" --> "accessoires" --> "outils système" --> "tâches planifiées"
• Dans la fenêtre qui s'ouvre, supprime le fichier "AF47E6F59180987D.job"

Tu as peut-être remarqu" qu'un nouveau malware s'est incrusté entre ton avant-dernier rapport et celui que tu viens de fournir. D'après ComboFix, sa valeur se remet toute seule...C'est pas cool, faut faire la lumière là-dessus!

CREATION/EXECUTION D'UN CFSCRIPT

Lis bien la procédure avant de te lancer. Tu peux même l'imprimer, éventuellement.

• Ouvre un nouveau fichier du Bloc-notes
• "Copie/Colle" tout le contenu de la boîte Code ci-dessous (mais n'inclus pas le mot "Code") dans le fichier texte du bloc-note :
  
  

  Code: Tout sélectionner

  KillAll::

Registry::
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{BE7E4CE1-8CBA-44A6-956F-462A667D3286}"=-


  
  
  
• Sauvegarde ce fichier sur ton Bureau en l'appelant IMPERATIVEMENT CFScript.txt
  
  ATTENTION: ce script a été conçu spécifiquement pour le cas de cette machine, ne pas l'utiliser pour votre propre PC sous risque de plantage!!
  
  
  
• Désactive ton antivirus et ton antispyware
  
  
• Te référant à l'image ci-dessous, déplace CFScript.txt sur ComboFix.exe
  ComboFix sera lancé.
  
• Une fenêtre bleue va apparaitre: patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
• ComboFix peut exiger un redémarrage pour compléter son travail. Accepte.
• Lorsque l'outil aura terminé, un rapport ComboFix.txt apparaîtra à l'écran.
• Soumet le fichier en cliquant "OK"
• Enfin, poste les rapports suivant dans ta prochaine réponse :
  
  - Combofix.txt (il est stocké ici: > C:\ComboFix.txt)
  - Puis un nouveau rapport HijackThis fait après ComboFix

Au passage, 2 remarques!

- tu es content de ton antivirus Panda? Parce qu'au vu de tes rapports, l'antivirus espagnol se colle partout, une vraie sangsue, il doit bien te ralentir!!

-Peer-to-peer
PEER-TO-PEER

Je note que tu as deux logiciel de peer-to-peer: LimeWire
Le peer-to-peer est un des principaux vecteurs de virus...Je te conseille de lire:

• L'article de Tesgaz sur les dangers du peer-to-peer et des cracks
• Le test d'eMule par Malekal

A toi de voir si tu veux continuer le peer-to-peer, mais sache que c'est à tes risques et périls











Pour nettoyer en profondeur ta machine (je te donne du taff^^):

EWIDO

Télécharge Ewido Micro-Scanner sur ton bureau en cliquant sur cette image:

• Double-clique sur le fichier ewido_micro.exe pour l'exécuter.
• Le programme va demander dès son lancement un accès internet pour se mettre à jour, accepte.
• Puis, un nouvel écran apparaît, assure toi que toutes les cases soient cochées.
• Connecte tes clés USB et ton disque dur externe
• Clique sur Start Scan et laisse l'outil travailler.
• Quand l'outil à fini, clique sur save report et sauvegarde le rapport sur ton Bureau.
• Poste le dans ta prochaine réponse.
  Nb, ne clique pas tout de suite sur Remove infections; nous devons nous assurer que toutes les détections soient infectieuses car certains utilitaires légitimes pourraient apparaître dans le rapport.

MALWAREBYTES ANTI-MALWARE

Un nouveau scan+rapport s'il te plaît!

Salut,

Avant de faire les rapports, je répond à tes questions:

-PopUpFrn.exe est un popup qui apparaît sur mon bureau au démarrage de mon PC pour me dire qu'il faut graver 3 cds (2 recovery cds et un ressource cd). C'est un popup d'Acer intitulé "Acer Recovery and Ressource Procedure". C'est pour rappeler à l'utilisateur de faire des cds de sauvegarde pour restaurer son PC en cas de problème. Ce n'est donc pas un virus ou autre malware.

-Pour Panda: j'en suis satisfais. Mis à part au démarrage de mon PC, il ne me ralentit pas du tout.

-Peet-to-peer: c'est un ami qui me l'a installé il y a un an. Je ne l'ai jamais utilisé.

Encore une petite remarque: Pour ComboFix, je n'ai eu aucune demande pour soumettre un fichier

Ok, merci de ces infos!

Je ne connaissais pas PopUpFrn, c'est bon à savoir. Et n'oublie pas de graver ces Recovery-CD si tu ne l'as pas déjà fait!

Ils sont gravé.

J'ai rajouté une remarque dans mon post précédent. Je ne sais pas si tu l'a vu car je viens de l'éditer. ComboFix ne m'a pas proposé de soumettre le rapport. Je te le poste tout de suite.

Voilà les logs ComboFix et hijackthis. Les autres suivront. Au passage, on devra mettre la désinfection en veille pendant quelques jours. Je pars ce soir et je reviens mercredi prochain au plus tard. Ca te fera des vacances

comboFix:

ComboFix 08-07-02.3 - Projer 2008-07-03 11:16:05.3 - FAT32x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.215 [GMT 2:00]
Endroit: C:\Documents and Settings\Projer\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Projer\Bureau\CFScript.txt
* Création d'un nouveau point de restauration
.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-03 to 2008-07-03 ))))))))))))))))))))))))))))))))))))
.

2008-07-01 21:14 . 2008-07-01 21:14 <REP> d-------- C:\Program Files\Trend Micro
2008-07-01 20:02 . 2008-07-01 20:02 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-07-01 20:02 . 2008-07-01 20:02 <REP> d-------- C:\Documents and Settings\Projer\Application Data\Malwarebytes
2008-07-01 20:02 . 2008-07-01 20:02 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-07-01 20:02 . 2008-06-28 14:16 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-01 20:02 . 2008-06-28 14:16 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-20 19:34 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\dllcache\bthport.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-03 09:20 1,224 ----a-w C:\WINDOWS\system32\drivers\APPFLTR.CFG.bck
2008-07-03 09:20 1,224 ----a-w C:\WINDOWS\system32\drivers\APPFLTR.CFG
2008-07-03 09:05 336,624 ----a-w C:\WINDOWS\system32\drivers\APPFCONT.DAT.bck
2008-07-03 09:05 336,624 ----a-w C:\WINDOWS\system32\drivers\APPFCONT.DAT
2008-07-03 09:05 13,880 ----a-w C:\WINDOWS\system32\drivers\COMFiltr.sys
2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-05-08 12:28 202,752 ------w C:\WINDOWS\system32\drivers\RMCast.sys
2008-05-08 12:28 202,752 ------w C:\WINDOWS\system32\dllcache\rmcast.sys
2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2008-05-07 05:15 1,293,824 ------w C:\WINDOWS\system32\dllcache\quartz.dll
2008-04-23 20:16 3,591,680 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-04-22 07:41 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-04-22 07:41 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-04-22 07:39 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-04-20 05:07 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll
2008-01-08 09:00 24,184 ----a-w C:\Documents and Settings\Projer\Application Data\GDIPFONTCACHEV1.DAT
2007-04-10 15:54 120,424 ------w C:\Documents and Settings\Projer\Application Data\JuniperSetup.exe
.

((((((((((((((((((((((((((((( snapshot@2008-07-02_19.35.41.23 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-07-02 17:32:54 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-07-03 09:18:32 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-07-02 16:05:28 140,440 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
+ 2008-07-03 08:21:24 140,440 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
- 2001-12-31 22:03:02 56,422 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-07-03 08:26:36 56,422 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2001-12-31 22:03:02 68,068 ----a-w C:\WINDOWS\system32\perfc00C.dat
+ 2008-07-03 08:26:36 68,068 ----a-w C:\WINDOWS\system32\perfc00C.dat
- 2001-12-31 22:03:00 67,920 ----a-w C:\WINDOWS\system32\perfc040.dat
+ 2008-07-03 08:26:34 67,920 ----a-w C:\WINDOWS\system32\perfc040.dat
- 2001-12-31 22:03:02 386,450 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-07-03 08:26:36 386,450 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2001-12-31 22:03:02 452,164 ----a-w C:\WINDOWS\system32\perfh00C.dat
+ 2008-07-03 08:26:36 452,164 ----a-w C:\WINDOWS\system32\perfh00C.dat
- 2001-12-31 22:03:00 451,786 ----a-w C:\WINDOWS\system32\perfh040.dat
+ 2008-07-03 08:26:34 451,786 ----a-w C:\WINDOWS\system32\perfh040.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-11-14 23:43 286720]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-11-15 13:11 267048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveSearch"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avldr]
2007-02-15 20:02 50736 C:\WINDOWS\system32\avldr.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Magic Keyboard.lnk]
backup=C:\WINDOWS\pss\Magic Keyboard.lnkCommon Startup
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Magic Keyboard.lnk

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"=
"C:\\Program Files\\LimeWire\\LimeWire.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

R0 SI3114;SiI-3114 SATALink Controller;C:\WINDOWS\system32\DRIVERS\SI3114.sys [2003-09-03 06:05]
R1 APPFLT;App Filter Plugin;C:\WINDOWS\system32\Drivers\APPFLT.SYS [2007-05-11 09:33]
R1 DSAFLT;DSA Filter Plugin;C:\WINDOWS\system32\Drivers\DSAFLT.SYS [2007-05-11 09:33]
R1 FNETMON;NetMon Filter Plugin;C:\WINDOWS\system32\Drivers\fnetmon.SYS [2007-05-11 09:33]
R1 IDSFLT;Ids Filter Plugin;C:\WINDOWS\system32\Drivers\IDSFLT.SYS [2007-07-11 11:39]
R1 NETFLTDI;Panda Net Driver [TDI Layer];C:\WINDOWS\system32\Drivers\NETFLTDI.SYS [2007-05-11 09:33]
R1 ShldDrv;Panda File Shield Driver;C:\WINDOWS\system32\Drivers\ShlDrv51.sys [2007-05-23 15:40]
R1 SMSFLT;SMS Filter Plugin;C:\WINDOWS\system32\Drivers\SMSFLT.SYS [2007-05-11 09:33]
R1 WNMFLT;Wifi Monitor Filter Plugin;C:\WINDOWS\system32\Drivers\WNMFLT.SYS [2007-05-11 09:33]
R2 cpoint;Panda CPoint Driver;C:\WINDOWS\system32\drivers\cpoint.sys [2007-06-08 08:44]
R2 Dnscache;Client DNS;C:\WINDOWS\System32\svchost.exe [2004-08-20 01:10]
R2 PavProc;Panda Process Protection Driver;C:\WINDOWS\system32\DRIVERS\PavProc.sys [2007-07-12 13:49]
R3 AvFlt;Antivirus Filter Driver;C:\WINDOWS\system32\drivers\av5flt.sys []
R3 NETIMFLT;PANDA NDIS IM Filter Miniport;C:\WINDOWS\system32\DRIVERS\netimflt.sys [2007-04-24 15:43]
R3 PavTPK.sys;PavTPK.sys;C:\WINDOWS\system32\PavTPK.sys []

*Newly Created Service* - COMFILTR
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-07-03 09:20:02 C:\WINDOWS\Tasks\User_Feed_Synchronization-{56C0D533-C990-4B07-814F-821A3A7B4F88}.job"
- C:\WINDOWS\system32\msfeedssync.exe
"2008-06-30 09:30:08 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-03 11:19:53
Windows 5.1.2600 Service Pack 2 FAT NTAPI

detected NTDLL code modification:
ZwEnumerateKey, ZwClose, ZwEnumerateValueKey, ZwQueryValueKey, ZwOpenFile

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\PROGRAM FILES\PANDA SOFTWARE\PANDA TITANIUM ANTIVIRUS 2005\PAVSRV51.EXE
C:\PROGRAM FILES\PANDA SOFTWARE\PANDA TITANIUM ANTIVIRUS 2005\AVENGINE.EXE
C:\PROGRAM FILES\PANDA SOFTWARE\PANDA TITANIUM ANTIVIRUS 2005\TPSRV.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\APPLE\MOBILE DEVICE SUPPORT\BIN\APPLEMOBILEDEVICESERVICE.EXE
C:\WINDOWS\SYSTEM32\NVSVC32.EXE
C:\WINDOWS\SYSTEM32\OODAG.EXE
C:\PROGRAM FILES\PANDA SOFTWARE\PANDA TITANIUM ANTIVIRUS 2005\PSCTRLS.EXE
C:\PROGRAM FILES\PANDA SOFTWARE\PANDA TITANIUM ANTIVIRUS 2005\PAVFNSVR.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\PANDA SOFTWARE\PAVSHLD\PAVPRSRV.EXE
C:\PROGRAM FILES\PANDA SOFTWARE\PANDA TITANIUM ANTIVIRUS 2005\FIREWALL\PSHOST.EXE
C:\PROGRAM FILES\PANDA SOFTWARE\PANDA TITANIUM ANTIVIRUS 2005\PSIMSVC.EXE
C:\WINDOWS\SYSTEM32\MSPMSPSV.EXE
C:\PROGRAM FILES\ADOBE\ACROBAT 7.0\READER\READER_SL.EXE
C:\PROGRAM FILES\PANDA SOFTWARE\PANDA TITANIUM ANTIVIRUS 2005\APVXDWIN.EXE
C:\PROGRAM FILES\IPOD\BIN\IPODSERVICE.EXE
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\WebProxy.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\avciman.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\psimreal.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-07-03 11:23:40 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-03 09:23:30
ComboFix3.txt 2008-07-02 17:37:16
ComboFix2.txt 2008-07-02 18:40:42

Pre-Run: 39,956,627,456 octets libres
Post-Run: 39,943,979,008 octets libres

149 --- E O F --- 2008-06-30 09:11:54


Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:28:50, on 03.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\AVENGINE.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\TPSrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PsCtrls.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe
C:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe
c:\program files\panda software\panda titanium antivirus 2005\firewall\PSHOST.EXE
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\psimsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\ApvxdWin.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\WebProxy.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: PopUpFrn.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.acer.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} - http://eu-housecall.trendmicro-europe.c ... hcImpl.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} - http://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} - http://cdn.scan.onecare.live.com/resour ... se8300.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Panda Software Controller - Panda Software International - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PsCtrls.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe
O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\program files\panda software\panda titanium antivirus 2005\firewall\PSHOST.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\psimsvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\TPSrv.exe

--
End of file - 7279 bytes

Et voici les logs MBAM et Ewido.

Ewido:

__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: Adware.FlashTrack
Path: C:\Program Files\Common Files\Java\Jreg2b.cfg
Risk: Medium

Name: Downloader.IstBar.nh
Path: C:\data
Risk: High


et MBAM:

Malwarebytes' Anti-Malware 1.19
Version de la base de données: 918
Windows 5.1.2600 Service Pack 2

13:16:05 03.07.2008
mbam-log-7-3-2008 (13-16-05).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 159421
Temps écoulé: 29 minute(s), 29 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{be7e4ce1-8cba-44a6-956f-462a667d3286} (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{5E2CED7F-4B84-4A49-AE1A-EE9BCC7D6E68}\RP246\A0287108.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5E2CED7F-4B84-4A49-AE1A-EE9BCC7D6E68}\RP246\A0287134.EXE (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5E2CED7F-4B84-4A49-AE1A-EE9BCC7D6E68}\RP248\A0287257.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5E2CED7F-4B84-4A49-AE1A-EE9BCC7D6E68}\RP248\A0287284.EXE (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\yayaBSmL.dll.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\geBtusts.dll.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Salut!

Je poste la suite de la procédure, mais tu reprends quand tu veux!

De toute façon ta machine est propre maintenant, on va juste fignoler le nettoyage:


DESINSTALLER COMBOFIX

• Copie cette ligne en rouge
  ComboFix /u
  
• Clique sur Démarrer, puis sur Exécuter: une fenêtre d'invite s'ouvre.
• Colle la ligne rouge que tu as préalablement copiée dans la fenêtre d'invite
  
• Appuie sur OK pour valider

NETTOYER LES POINTS DE RESTAURATION

• Aller dans le menu "Démarrer"
• Cliquer droit sur l'icone "Poste de travail"
• Dans l'onglet "Restauration du système", sélectionner "Désactiver la Restauration du système sur tous les lecteurs".
• Cliquer sur "Appliquer."
• Lorsque le message de confirmation apparaît, cliquer sur "Oui"
  
• Cliquer enfin sur "OK".
• Redémarrer
• Puis:
• Aller dans le menu "Démarrer"
• Cliquer droit sur l'icone "Poste de travail"
• Dans l'onglet "Restauration du système", décocher la case "Désactiver la Restauration du système sur tous les lecteurs".
• Cliquer sur "Appliquer."
• Lorsque le message de confirmation apparaît, cliquer sur "Oui"
  
• Cliquer enfin sur "OK".

EWIDO

• Double-clique sur le fichier ewido_micro.exe pour l'exécuter.
• Connecte éventuellement tes clés USB et disques externes.
• Le programme va demander dès son lancement un accès internet pour se mettre à jour, accepte.
• Puis, un nouvel écran apparaît, assure toi que toutes les cases soient cochées.
• Clique sur Start Scan et laisse l'outil travailler.
• Quand l'outil à fini, FERME TES NAVIGATEURS puis clique sur Remove infections

[/b]




Eventuellement, fais un scan complet avec Panda, voir s'il trouve lui aussi du petit gibier.

Si tu le souhaites, quand tu auras le temps, je peux te poster une procédure de sécurisation de ta machine.

A suivre!

Salut,

Merci beaucoup pour ton aide. J'ai suivi les conseils de ton dernier post et fini de nettoyer mon PC.

Je suis intéressé par la procédure de sécurisation de mon PC que tu me propose. Pourrais-tu me dire que faire pour éviter d'avoir de nouveau des ennuis comme ceux que j'ai eu?

Yop!

Je te poste ta procédure de sécurisation, adaptée à ton PC:


SUPPRESSION DES LOGICIELS DE DESINFECTION et des Backups

Explications:Les logiciels que je t'ai fait utiliser ne doivent pas être utilisés sans connaissances sur leurs fonctions et leurs rôles (mis à part Ewido et Malwarebytes qu'il faut conserver et utiliser à l'occasion, une fois par mois): mal utilisés, ils peuvent faire plus de mal que de bien. Nous allons donc les désinstaller.

• Télécharge Tools Cleaner de A.Rothstein sur ton bureau
• Clique sur "rechercher"
• Clique sur "suppression"
• Ferme Tools Cleaner et efface-le

J'ai essayé de regrouper tout ce qui me paraissait simple et efficace.

Quelques règles de base à respecter en sécurité:

• je mets à jour mon XP avec Windows Update

• j'abandonne le peer-to-peer, qui draîne fakes, infections et virus déguisés en cracks.

• ne jamais télécharger n'importe quoi sans se renseigner

• ne jamais installer n'importe quoi sans se renseigner:: attention aux faux logiciels, les rogues, dont Assite tient une liste à jour:
  
  La Crapthèque

• j'ai un doute sur un fichier, un programme, un exécutable? Je le scanne avec [url="http://www.virustotal.com/fr"]VirusTota[/url]l

• je me méfie des sites X (et des sites de cracks et warez), très souvent piégés.

• je me méfie des sites de jeux en lignes (surtout de type Casino et Poker), très souvent piégés.

• ne pas faire une confiance aveugle aux logiciels de protection: ils sont tous faillibles.

• je me méfie des mails que je reçois

• je ne connecte pas mes clés USB n'importe où

• je me méfie de MSN, Windows live Messenger etc..., cibles d'infections quotidiennes

• je sauvegarde les données perso régulièrement, sur DVD ou disque externe

• la première cause d'infection est le manque de prudence et de discernement de l'internaute

• je ne clique pas sur n'importe quoi et je me méfie du Net, qui est autant un espace de loisir qu'un espace de profits, où certains sont sans foi ni loi.

INSTALLER UN HOSTS

Explications: Un hosts est un simple fichier texte recensant les sites à risque (contenant des exploits, des failles de sécurité, des virus etc...); ce fichier va INTERDIRE à ta machine de s'y connecter. Simple et redoutable! On va utiliser un logiciel qui automatise la création d'un hosts: HpHosts

• Télécharge le logiciel HpHosts
• Installe-le en cliquant successivement sur "next" puis "install"
• Avant la fin de l'installation une fenêtre apparaît: cocher "Disable Windows DNS Client (recommended)"
  
  
• Redémarre
• Supprime HpHosts

FERMER LES PORTS

Explications: par défaut, XP comporte de nombreux ports ouverts, qui sont autant de cibles pour les pirates et les infections, qui profitent de ces failles.Nous allons donc verrouiller les ports inutiles (mais dangereux!) avec ZebProtect, créé par des membres de Zebulon !

• Télécharge le logiciel ZebProtect
• Suis le tuto de Tesgaz

RENFORCER LE REGISTRE

Explications: par défaut, le regsitre de Windows n'est pas optimisé pour combattre certains risques sécuritaires: en renforçant le registre avec un peu de "hardening" (= création et modifications de clés), on sécurise le système contre certaines attaques ciblées. Un logiciel automatise ces modifications (qui sont dangereuses et difficiles à faire à la main): ZigStack

• Télécharge le logiciel ZigStack
• Décompresse l'archive sur ton bureau et ouvre le dossier "bin".
• Clique sur l'executable Zigstack.
• Clique en bas sur "select all" puis sur " set hardening".
• Redémarre.
• Pour voir si cela a fonctionné ouvre à nouveau Zigstack et assure-toi que chaque élément soit "enabled" (colonne à droite).
• Si oui tu peux supprimer Zigstack de ton PC.

UTILISER ET SECURISER FIREFOX

Explications: Firefox est un navigateur mieux protégé que Internet Explorer, et qui permet via des extensions de le rendre encore plus sécuritaire.
Utilise exclusivement FIREFOX et Sécurise-le avec les extensions suivantes:

• installe l'extension AdBlock Plus contre les publicités.
• avec AdBlock Plus, installe les filtres antipub FR + EASY LIST en cliquant, en milieu de page, sur cette image
  
• extension Customize Google:disparation des pubs Google et anonymisation des cookies Google[/b]
• extension FlashBlock

SECURISER TA BOX


Explications: les routeurs sont équipés de pare-feu qui complètent très efficacement le firewall de ton PC: jette un oeil sur ce tuto, en espérant que ta Box y soit détaillée. Et surtout pense à modifier le mot de passe de ta Box !


PROTEGER LE NAVIGATEUR, LA MESSAGERIE et ton logiciel de TCHAT

Explications: ces 3 catégories de logiciels sont les premiers pourvoyeurs de virus car ils se conncetent au net: en restreignant leurs droits, tu limite drastiquement les risques que des virus se faufilent par ton navigateur ou tes mails . Un logiciel permet de restreindre les droits: StripMyRights

Suis mon petit tuto sur Libellules.





NETTOYER LES FICHIERS TEMPORAIRES

Explications: les fichiers temporaires, en plus d'avoir une utilité limitée dans le temps, sont un emplacement privilégié pour les droppers et virus. Il faut donc les supprimer de temps à autres avec CCleaner, sur chaque session utilisateur.

• Télécharge CCleaner SLIM en cliquant sur l'image:
  
• LanceCCleaner Slim régulièrement:
• Clique sur l'onglet "Nettoyeur"
• Clique sur le bouton "Lancer le nettoyage"
• Clique sur l'onglet : "Registre"
• Clique sur "Rechercher des erreurs" puis "Corriger les erreurs"
• Répond "oui" à la demande de sauvegarde proposée par le logiciel et enregistre-là dans tes documents

EWIDO & MALWAREBYTES ANTIMALWARE

Garde ces deux antispywares gratuits et lance un scan tous les mois: si le rapport est positif, poste un message d'aide sur le forum en joignant le rapport.




VACCINER SON PC CONTRE LES INFECTIONS de CLES USB

Explications: on trouve de plus en plus de virus spécialement conçus pour s'installer sur une clé USB, et qui, une fois connecteé sur ton PC, reproduit le virus sur ton système (et comme on connecte parfois ses clés sur des PC dont on ne connaît pas la santé, au boulot, au Web café, chez des amis etc..., mieux vaut se prémunir!). Un logiciel automatise cette vaccination: VaccinUSB[/color]


Télécharge VaccinUSB de Gof

ATTENTION:certains antivirus réagissent à son téléchargement: ignore l'alerte, ou bien désactive l'antivirus: VaccinUSB est un logiciel sain!!


• Colle VaccinUSB sur ton disque C:\ (et pas ailleurs!) de manière à obtenir ceci: C:\VaccinUSB
• Double-clique dessus

-----------------> VaccinUSB, à l'image d'un vaccin, va créer sur ta clé de faux virus inoffensifs portant le nom des vrais virus: ainsi si un virus USB tente de s'installer sur ton PC, il ne le fera pas car il aura l'impression d'être déjà installé ! Par ailleurs il va protéger ton autorun en empêchant sa modification par un virus.


Tu peux faire la même opération sur tes clés USB et sur ton disque dur externe, en collant VaccinUSB sur chaque support amovible et en l'exécutant.


XP ANTISPY

Télécharge et installe XP Antispy

Lance-le, clique en haut sur "Profil: recommandé" puis sur "Appliquer les changements".





DEFRAGMENTATION

Si tu ne disposes pas de ton propre défragmenteur (autre que celui de Windows, qui est peu efficace):

Télécharge et installe JKDefrag

Lance-le et laisse-le défragmenter ta machine (cela peut prendre du temps)


CONSOLE DE RECUP'

Installe-la en suivant ce tuto de l'inévitable Falkra:


http://www.libellules.ch/dotclear/index.ph...e-de-rcupration