Bonjour à tous,
En lançant malwarebytes et et avg, ils m'ont détecté différents chevaux de troie: BackDoor.Agent.ACAV et Rootkit-Pakes.K et trojan.Fake.Alerte.H.
Est ce que quelqu'un pourrait m'aider à m'en débarrasser ?

Merci d'avance

Bonjour,

Pourrais-tu poster le rapport de MalwareBytes que tu trouveras sous l'onglet Rapports/logs dans l'interface du logiciel stp?

@++

Voici le rapport


Malwarebytes' Anti-Malware 1.39
Version de la base de données: 2421
Windows 5.1.2600 Service Pack 3

01/08/2009 14:18:17
mbam-log-2009-08-01 (14-15-51).txt

Type de recherche: Examen rapide
Eléments examinés: 92081
Temps écoulé: 8 minute(s), 36 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 11
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ksi32sk (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\amd64si (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ati64si (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\port135sik (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\securentm (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\acpi32 (Rootkit.Spamtool) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\i386si (Rootkit.Spamtool) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Systemntmi (Rootkit.Spamtool) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ws2_32sik (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\nicsk32 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\fips32cup (Rootkit.Agent) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\WINDOWS\system32\MSINET.oca (Rogue.Trace) -> No action taken.
C:\Documents and Settings\Propriétaire\Application Data\wiaserva.log (Malware.Trace) -> No action taken.
C:\Documents and Settings\Propriétaire\oashdihasidhasuidhiasdhiashdiuasdhasd (Trace.Pandex) -> No action taken.


Merci

Bonjour,

"No action taken" veut dire aucune action entreprise, donc MBAM n'a pas supprimé ce qui devait l'être.

Il va falloir recommencer l'analyse complète,après mise à jour de MBAM en n'oubliant surtout pas ceci:

Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
[*] MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.[/list]
Si MBAM demande à redémarrer le pc, fais-le.

!!! Ne pas vider la quarantaine de MBAM sans avis !!!

Poste également un nouveau log Hijackthis stp.

@+tard

Malwarebytes' Anti-Malware 1.39
Version de la base de données: 2421
Windows 5.1.2600 Service Pack 3

02/08/2009 14:48:28
mbam-log-2009-08-02 (14-48-28).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 171874
Temps écoulé: 30 minute(s), 8 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 12
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ksi32sk (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\amd64si (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ati64si (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\port135sik (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\securentm (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\acpi32 (Rootkit.Spamtool) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\i386si (Rootkit.Spamtool) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Systemntmi (Rootkit.Spamtool) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ws2_32sik (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\nicsk32 (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netsik (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\fips32cup (Rootkit.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\WINDOWS\system32\MSINET.oca (Rogue.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\ati64si.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\netsik.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\ws2_32sik.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\Systemntmi.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\port135sik.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Propriétaire\Application Data\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\Propriétaire\oashdihasidhasuidhiasdhiashdiuasdhasd (Trace.Pandex) -> Quarantined and deleted successfully.


Rapport hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:03:12, on 02/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ms18_word.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Documents and Settings\Propriétaire\ms18_word.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Propriétaire\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr9.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr9.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tele2.fr/startpage/dialup/fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr9.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr9.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr9.hpwis.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr9.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {788437EB-FFE7-498F-AA45-C6997480BABC} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ms18_word] C:\WINDOWS\system32\ms18_word.exe
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ms18_word] C:\Documents and Settings\Propriétaire\ms18_word.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - S-1-5-18 Startup: AutoTBar.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: mod_sm.lnk = C:\hp\bin\cloaker.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: AutoTBar.exe (User 'Default user')
O4 - .DEFAULT Startup: mod_sm.lnk = C:\hp\bin\cloaker.exe (User 'Default user')
O4 - .DEFAULT User Startup: mod_sm.lnk = C:\hp\bin\cloaker.exe (User 'Default user')
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.tele2.fr/startpage/dialup/fr/
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O20 - Winlogon Notify: ssqqrpqr - C:\WINDOWS\
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

--
End of file - 5819 bytes

Merci

Re,

Assure toi que la console Java est bien la plus récente; pour le savoir rends-toi sur cette page et clique sur Vérifier la version de Java -> http://www.java.com/fr/download/installed.jsp -> Il te sera indiqué si tu dois installer la dernière version.
Si tu installes une nouvelle version Java, désinstalle toutes les plus anciennes via ajout/suppr de programmes.

Fais un scan en ligne avec Kaspersky.

Va dans outils/options internet et sous l'onglet sécurité, clique sur "par défaut".

TUTO: http://www.vista-xp.fr/forum/topic109.html

Désactive ton antivirus le temps d'installation et de mises à jour du webscanner Kaspersky.

• Fais un scan en ligne Kaspersky
• Clique sur Accept
• Patiente le temps d'installation du Webscanner.
• Les bases de mises à jour vont s'installer, patiente un moment
• Clique sur Next.
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

Copie/colle l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

Colle ce rapport dans ta réponse sur le forum.

Si, pour une raison ou une autre, tu n'arrivais pas à utiliser l'analyse Kasper, mets Antivir à jour et lance l'analyse complète du pc.
Poste le rapport de même qu'un nouveau log Hijackthis stp.

@++

J'ai un problème le scan de kaspersky a planté je ne peux donc pas copier le rapport.
Je pourrai relancer un scan mais pas avant le 15 aout car je suis plus chez moi pendant 2 semaines. Je reprendrai contact le 15/08 pour copier un rapport et les différents éléments que tu as demandé.
Merci pour le temps que tu as déjà accordé à mon problème.
A plus tard

Ok, bonnes vacances si c'est le cas

Bonjour Apollo j'ai cette fois ci le scan de kasperski à fonctionné le voici:
KASPERSKY ONLINE SCANNER 7.0: scan report
Saturday, August 15, 2009
Operating system: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Saturday, August 15, 2009 12:56:41
Records in database: 2631023
Scan settings
scan using the following database extended
Scan archives yes
Scan e-mail databases yes
Scan area My Computer
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
Scan statistics
Objects scanned 73692
Threats found 3
Infected objects found 6
Suspicious objects found 0
Scan duration 03:32:51

File name Threat Threats count
C:\WINDOWS\system32\dllcache\ntfs.sys Infected: Virus.Win32.Protector.c 1
C:\WINDOWS\system32\drivers\ntfs.sys Infected: Virus.Win32.Protector.c 1
C:\WINDOWS\system32\drivers\port135sik.sys Infected: Rootkit.Win32.HareBot.bq 1
C:\WINDOWS\system32\drivers\securentm.sys Infected: Rootkit.Win32.HareBot.bq 1
C:\WINDOWS\system32\drivers\systemntmi.sys Infected: Rootkit.Win32.HareBot.bq 1
C:\WINDOWS\system32\drivers\ws2_32sik.sys Infected: Rootkit.Win32.HareBot.bp 1
Selected area has been scanned.

Merci A+

Bonsoir,

Pour les deux premières lignes détectées par Kasperky, c'est une erreur! Ne touche surtout pas à ces deux drivers, ça appartient à Windows et c'est légitime.
On fera quand-même des vérifications en cas de fichiers patchés par une infection, mais ne les vire surtout pas [EDIT]

OTM

Télécharge OTM de OldTimer sur ton Bureau en cliquant sur ce lien:

OTM

• Double-clique sur OTM.exe pour le lancer (l'extension .exe peut ne pas apparaître)
  
  ---> sous VISTA: clic droit: exécuter en temps qu'administrateur.
  
  Vérifie que la case Unregister Dll's and OCX's.exe soit bien cochée!
  
• Copie l'entièreté du code ci-dessous (depuis rocesses)
  

  Code: Tout sélectionner

  :Processes

explorer.exe

:Files

C:\WINDOWS\system32\drivers\port135sik.sys
C:\WINDOWS\system32\drivers\securentm.sys
C:\WINDOWS\system32\drivers\systemntmi.sys
C:\WINDOWS\system32\drivers\ws2_32sik.sys

:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[reboot]


  
  
• Colle ce code dans la partie jaune de OtMoveIt3 intitulée:
  "Paste Instructions for Items to be Moved"
  
• Clique sur le bouton Moveit! pour lancer le nettoyage:
  
• Copie-colle dans ta prochaine réponse tout ce qui se trouve dans la fenêtre Results
  --> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log)
• Ferme OTM en cliquant sur Exit:

Note : Si un fichier ou un dossier ne peut être supprimé directement, l'outil peut demander un redémarrage pour terminer le processus. Clique alors sur "Yes" pour accepter.

@++

Bonjour Apollo voila le rapport:


All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
C:\WINDOWS\system32\drivers\port135sik.sys moved successfully.
C:\WINDOWS\system32\drivers\securentm.sys moved successfully.
C:\WINDOWS\system32\drivers\systemntmi.sys moved successfully.
C:\WINDOWS\system32\drivers\ws2_32sik.sys moved successfully.
========== REGISTRY ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 8870908 bytes
->Temporary Internet Files folder emptied: 1604804 bytes

User: All Users

User: Default User
->Temp folder emptied: 8870908 bytes
->Temporary Internet Files folder emptied: 1604804 bytes

User: LocalService
->Temp folder emptied: 82255 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Propriétaire
->Temp folder emptied: 79361699 bytes
->Temporary Internet Files folder emptied: 334035 bytes
->Java cache emptied: 128020 bytes
->FireFox cache emptied: 63646024 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 4626617 bytes
%systemroot%\System32 .tmp files removed: 3653632 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 164,84 mb


OTM by OldTimer - Version 3.0.0.6 log created on 08162009_075624

Merci A+

Bonjour,

Crée un point de restauration système par prudence en allant dans Démarrer/tous les programmes/Accessoires/Outils système/restauration du système.
Coche la case "créer un point de restauration" /suivant ; donne lui un nom comme "avant repair" et termine cette création de point restauration.
--------------
Télécharge le dossier repair.zip ici: http://senduit.com/a4e3b7

Enregistre-le sur le bureau puis décompresse-le.

Dans le dossier décompressé, il y a 1 fichier système à réparer et un fichier repair.bat. (roue dentée)
Double clique sur le fichier repair.bat : il doit t'afficher deux copies de fichiers, et ensuite demander d'appuyer sur une touche. Ca doit marquer deux fois "1 fichier(s) copié(s)"

Si Windows discute, genre "insérez le cd Windows" etc. --> ignore sans redémarrer et passe à la suite.

*************
ComboFix ne doit pas être utilisé comme un outil de diagnostic, il ne doit être employé que sur demande expresse d'un conseiller formé à cet outil et sous son contrôle. Cet outil peut être dangereux!

Désactiver les protections (antivirus, firewall, antispyware).

Connecter les supports amovibles (clé usb et autres) avant de procéder.

TUTO Officiel

Fais un clic droit ICI

• Dans le menu qui se déroule, choisis "Enregistrer la cible du lien sous" (si tu utilises Firefox) et "Enregistrer la cible sous" (si tu utilises Internet Explorer)
• Une fenêtre va s'ouvrir: dans le champs Nom du fichier (en bas ), tape ceci > svchost
• On va enregistrer ce fichier sur le Bureau: pour cela, sur le panneau de gauche, clique sur le Bureau.
  
• Clique enfin sur le bouton Enregistrer en bas de page à droite.
• Assure toi que tous les programmes sont fermés avant de lancer le fix!
• Fait un double clique sur svchost.exe.
• Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepte!
• Clique sur Oui au message de Limitation de Garantie qui s'affiche.
• Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
• Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.



@+ Bonne journée.

rapport combofix:

ComboFix 09-08-10.06 - Propriétaire 16/08/2009 14:51.1.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.255.122 [GMT 2:00]
Running from: c:\documents and settings\Propriétaire\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd
c:\recycler\S-1-5-21-3522235665-1545004856-4240889815-1003
c:\windows\Installer\1d0886.msi
c:\windows\Installer\2136a7.msi
c:\windows\Installer\3b933.msi
c:\windows\Installer\57d358.msi
c:\windows\Installer\5edc6.msi
c:\windows\Installer\916a1.msi
c:\windows\Installer\956c7.msi
c:\windows\Installer\fe52f.msi
c:\windows\system32\_000006_.tmp.dll
c:\windows\system32\iAlmcoin.dll
D:\Autorun.inf

Infected copy of c:\windows\system32\drivers\ntfs.sys was found and disinfected
Restored copy from - c:\windows\ServicePackFiles\i386\ntfs.sys


.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ACPI32
-------\Legacy_ATI64SI
-------\Legacy_FIPS32CUP
-------\Legacy_I386SI
-------\Legacy_KSI32SK
-------\Legacy_NETSIK
-------\Legacy_NICSK32
-------\Legacy_PORT135SIK
-------\Legacy_SECURENTM
-------\Legacy_SYSTEMNTMI
-------\Legacy_WS2_32SIK
-------\Service_acpi32
-------\Service_ati64si
-------\Service_fips32cup
-------\Service_i386si
-------\Service_ksi32sk
-------\Service_netsik
-------\Service_nicsk32
-------\Service_port135sik
-------\Service_securentm
-------\Service_systemntmi
-------\Service_ws2_32sik


((((((((((((((((((((((((( Files Created from 2009-07-16 to 2009-08-16 )))))))))))))))))))))))))))))))
.

2009-08-16 05:56 . 2009-08-16 05:56 -------- d-----w- C:\_OTM
2009-08-12 06:48 . 2009-07-10 13:27 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll
2009-08-05 09:00 . 2009-08-05 09:00 205312 -c----w- c:\windows\system32\dllcache\mswebdvd.dll
2009-08-02 11:07 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-08-02 11:07 . 2009-03-24 14:07 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-02 11:07 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-08-02 11:07 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-08-02 11:07 . 2009-08-02 11:07 -------- d-----w- c:\program files\Avira
2009-08-02 11:07 . 2009-08-02 11:07 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2009-07-17 19:03 . 2009-07-17 19:03 58880 -c----w- c:\windows\system32\dllcache\atl.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-15 11:37 . 2009-01-03 19:24 3580 ----a-w- c:\windows\system32\d3d9caps.dat
2009-08-05 13:55 . 2003-01-01 16:00 -------- d---a-w- c:\program files\Java
2009-08-05 09:00 . 2002-12-12 13:14 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-08-02 10:07 . 2008-08-30 16:49 -------- d-----w- c:\documents and settings\All Users\Application Data\avg8
2009-08-01 12:01 . 2008-11-02 11:28 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-07-25 03:23 . 2009-01-03 19:22 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-07-17 19:03 . 2003-01-01 13:59 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 21:43 . 2003-01-01 14:22 286208 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-13 11:36 . 2008-11-02 11:29 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-13 11:36 . 2008-11-02 11:29 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-05 07:25 . 2009-07-05 07:26 2054424 ----a-w- c:\documents and settings\All Users\Application Data\avg8\update\backup\avgcorex.dll
2009-07-05 07:25 . 2009-07-05 07:26 2167576 ----a-w- c:\documents and settings\All Users\Application Data\avg8\update\backup\avgresf.dll
2009-06-29 15:57 . 2006-06-23 11:28 827392 ----a-w- c:\windows\system32\wininet.dll
2009-06-29 15:57 . 2004-08-19 23:09 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-06-29 15:57 . 2003-01-01 13:59 17408 ----a-w- c:\windows\system32\corpol.dll
2009-06-16 14:40 . 2003-01-01 14:02 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-16 14:40 . 2003-01-01 14:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-15 10:44 . 2003-01-01 21:35 78848 ----a-w- c:\windows\system32\telnet.exe
2009-06-10 14:14 . 2003-01-01 13:59 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-06-10 07:21 . 2003-01-01 14:01 2066432 ----a-w- c:\windows\system32\mstscax.dll
2009-06-10 06:15 . 2003-01-01 14:03 132096 ----a-w- c:\windows\system32\wkssvc.dll
2009-06-03 19:10 . 2002-12-12 13:14 1297408 ----a-w- c:\windows\system32\quartz.dll
2001-01-02 08:46 . 2001-01-02 08:46 278528 -c--a-w- c:\program files\Fichiers communs\FDEUnInstaller.exe
2003-12-04 20:44 . 2003-12-04 20:44 32 -csha-w- c:\windows\{17F34FB2-75E9-411A-87E2-F7DC352DFCB5}.dat
2003-12-25 01:45 . 2003-12-24 17:45 0 -csha-w- c:\windows\SMINST\HPCD.sys
2004-11-21 11:54 . 2004-11-21 10:52 56 -csh--r- c:\windows\system32\543C9142ED.sys
2004-11-21 11:54 . 2004-11-21 10:52 10856 -csha-w- c:\windows\system32\KGyGaAvL.sys
2003-12-04 20:44 . 2003-12-04 20:44 32 -csha-w- c:\windows\system32\{97765AA2-9F78-48DF-A152-F46CCDDE96B3}.dat
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]

c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\
AutoTBar.exe [2003-6-21 53248]
mod_sm.lnk - c:\hp\bin\cloaker.exe [1999-11-7 27136]

c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\
AutoTBar.exe [2003-6-21 53248]
mod_sm.lnk - c:\hp\bin\cloaker.exe [1999-11-7 27136]

c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\
AutoTBar.exe [2003-6-21 53248]
mod_sm.lnk - c:\hp\bin\cloaker.exe [1999-11-7 27136]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^AOL 8.0 Icône AOL.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\AOL 8.0 Icône AOL.lnk
backup=c:\windows\pss\AOL 8.0 Icône AOL.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^WinZip Quick Pick.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\WinZip Quick Pick.lnk
backup=c:\windows\pss\WinZip Quick Pick.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Fax"=3 (0x3)
"Dot3svc"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\BitTornado\\btdownloadgui.exe"=
"c:\\Program Files\\Orange\\Connectivity\\ConnectivityManager.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [02/08/2009 13:07 108289]
S0 isjtwauu;isjtwauu;c:\windows\system32\drivers\ihnc.sys --> c:\windows\system32\drivers\ihnc.sys [?]
S3 SDVC05;USB SDVC05;c:\windows\system32\Drivers\SDVC05.sys --> c:\windows\system32\Drivers\SDVC05.sys [?]
.
Contents of the 'Scheduled Tasks' folder
.
- - - - ORPHANS REMOVED - - - -

BHO-{788437EB-FFE7-498F-AA45-C6997480BABC} - (no file)
Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
Notify-ssqqrpqr - (no file)


.
------- Supplementary Scan -------
.
uDefault_Search_URL = hxxp://srch-fr9.hpwis.com/
uStart Page = hxxp://www.orange.fr
mStart Page = hxxp://fr9.hpwis.com/
mSearch Bar = hxxp://srch-fr9.hpwis.com/
DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} - hxxp://minitelweb.minitel.com/imin_data/ocx/MDM.cab
FF - ProfilePath - c:\documents and settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\giqch08e.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.orange.fr
FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-16 15:03
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG08.00.00.01WORKSTATION"="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"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'explorer.exe'(1784)
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Other Running Processes ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\oodag.exe
c:\windows\wanmpsvc.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 2009-08-16 15:08 - machine was rebooted
ComboFix-quarantined-files.txt 2009-08-16 13:08

Pre-Run: 101 131 780 096 octets libres
Post-Run: 100 998 213 632 octets libres

197 --- E O F --- 2009-08-12 12:49
Merci
A+

Re,

Comment se comporte la machine?

Mets MBAM à jour et lance une analyse rapide cette fois.

N'oublie pas ceci, surtout:

Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
[*] MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.[/list]
Si MBAM demande à redémarrer le pc, fais-le.

Je repasse plus tard.

@++

Me revoilou, ravitaillé jusqu'à la nuit

Re,

Je voudrais te faire analyser trois fichiers.
Fais apparaitre les fichiers /dossiers cachés de la manière suivante pour être sûr de tout voir.

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Cocher la case : Afficher les fichiers et dossiers cachés
Décocher la case : Masquer les extensions des fichiers dont le type est connu
Décocher la case : Masquer les fichiers protégés du système d'exploitation
cliquer sur "Appliquer"
cliquer sur le bouton "Appliquer à tous les dossiers" / OK

Pour les recacher, suis le même chemin et sous l'onglet Affichage, fais exactement l'inverse avec les cases ou clique sur "Paramètres par défaut".

Afficher les dossiers/fichiers cachés sous XP

-------------------------
Rends toi sur ce lien : Virus Total

• Clique sur le bouton Parcourir...
• Parcours tes dossiers jusque à ce fichier, si tu le trouves :

c:\windows\{17F34FB2-75E9-411A-87E2-F7DC352DFCB5}.dat

• Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
• Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page.
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche)
• Une nouvelle fenêtre de ton navigateur va apparaître
• Clique alors sur cette image :
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
• Enfin colle le résultat dans ta prochaine réponse.
  NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes.

Fais de même avec ces deux fichiers stp:

c:\windows\system32\{97765AA2-9F78-48DF-A152-F46CCDDE96B3}.dat

c:\windows\system32\drivers\ihnc.sys

Cela fera donc trois rapports à poster stp, sauf si tu ne trouvais pas le dernier (ce qui est probable mais pas sûr-sûr).

@++

Bonjour Apollo, voici les différents rapports:

-tout d'abord celui de malwarebytes:

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2638
Windows 5.1.2600 Service Pack 3

17/08/2009 13:56:11
mbam-log-2009-08-17 (13-56-11).txt

Type de recherche: Examen rapide
Eléments examinés: 95072
Temps écoulé: 7 minute(s), 38 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Propriétaire\oashdihasidhasuidhiasdhiashdiuasdhasd (Trace.Pandex) -> Quarantined and deleted successfully.

-ceux de virus total:

Fichier _17F34FB2-75E9-411A-87E2-F7DC352D reçu le 2009.08.17 12:35:20 (UTC)
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.17 -
AhnLab-V3 5.0.0.2 2009.08.15 -
AntiVir 7.9.1.1 2009.08.17 -
Antiy-AVL 2.0.3.7 2009.08.17 -
Authentium 5.1.2.4 2009.08.17 -
Avast 4.8.1335.0 2009.08.17 -
AVG 8.5.0.406 2009.08.17 -
BitDefender 7.2 2009.08.17 -
CAT-QuickHeal 10.00 2009.08.17 -
ClamAV 0.94.1 2009.08.17 -
Comodo 1999 2009.08.17 -
DrWeb 5.0.0.12182 2009.08.17 -
eSafe 7.0.17.0 2009.08.16 -
eTrust-Vet 31.6.6681 2009.08.17 -
F-Prot 4.4.4.56 2009.08.16 -
F-Secure 8.0.14470.0 2009.08.17 -
Fortinet 3.120.0.0 2009.08.17 -
GData 19 2009.08.17 -
Ikarus T3.1.1.68.0 2009.08.17 -
Jiangmin 11.0.800 2009.08.17 -
K7AntiVirus 7.10.819 2009.08.14 -
Kaspersky 7.0.0.125 2009.08.17 -
McAfee 5711 2009.08.16 -
McAfee+Artemis 5711 2009.08.16 -
McAfee-GW-Edition 6.8.5 2009.08.17 -
Microsoft 1.4903 2009.08.17 -
NOD32 4341 2009.08.17 -
Norman 6.01.09 2009.08.17 -
nProtect 2009.1.8.0 2009.08.17 -
Panda 10.0.0.14 2009.08.16 -
PCTools 4.4.2.0 2009.08.17 -
Prevx 3.0 2009.08.17 -
Rising 21.43.03.00 2009.08.17 -
Sophos 4.44.0 2009.08.17 -
Sunbelt 3.2.1858.2 2009.08.16 -
Symantec 1.4.4.12 2009.08.17 -
TheHacker 6.3.4.3.383 2009.08.13 -
TrendMicro 8.950.0.1094 2009.08.17 -
VBA32 3.12.10.9 2009.08.17 -
ViRobot 2009.8.17.1887 2009.08.17 -
VirusBuster 4.6.5.0 2009.08.16 -
Information additionnelle
File size: 32 bytes
MD5...: 4a84a7e08a4f4680bc5ee2e765221e66
SHA1..: ff3c1e661a1001d6aebdf87f323823a388b437be
SHA256: 66028f7c3427749ace0596c2fe7afd5cba7b25ff2ffeb0ef8652df01077703cf
ssdeep: 3:dyUEW:dy/W<br>
PEiD..: -
TrID..: File type identification<br>Unknown!
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set<br>-

-le deuxiéme fichier:

Fichier _97765AA2-9F78-48DF-A152-F46CCDDE reçu le 2009.08.17 12:40:15 (UTC)
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.17 -
AhnLab-V3 5.0.0.2 2009.08.15 -
AntiVir 7.9.1.1 2009.08.17 -
Antiy-AVL 2.0.3.7 2009.08.17 -
Authentium 5.1.2.4 2009.08.17 -
Avast 4.8.1335.0 2009.08.17 -
AVG 8.5.0.406 2009.08.17 -
BitDefender 7.2 2009.08.17 -
CAT-QuickHeal 10.00 2009.08.17 -
ClamAV 0.94.1 2009.08.17 -
Comodo 1999 2009.08.17 -
DrWeb 5.0.0.12182 2009.08.17 -
eSafe 7.0.17.0 2009.08.16 -
eTrust-Vet 31.6.6681 2009.08.17 -
F-Prot 4.4.4.56 2009.08.16 -
F-Secure 8.0.14470.0 2009.08.17 -
Fortinet 3.120.0.0 2009.08.17 -
GData 19 2009.08.17 -
Ikarus T3.1.1.68.0 2009.08.17 -
Jiangmin 11.0.800 2009.08.17 -
K7AntiVirus 7.10.819 2009.08.14 -
Kaspersky 7.0.0.125 2009.08.17 -
McAfee 5711 2009.08.16 -
McAfee+Artemis 5711 2009.08.16 -
McAfee-GW-Edition 6.8.5 2009.08.17 -
Microsoft 1.4903 2009.08.17 -
NOD32 4341 2009.08.17 -
Norman 6.01.09 2009.08.17 -
nProtect 2009.1.8.0 2009.08.17 -
Panda 10.0.0.14 2009.08.16 -
PCTools 4.4.2.0 2009.08.17 -
Prevx 3.0 2009.08.17 -
Rising 21.43.03.00 2009.08.17 -
Sophos 4.44.0 2009.08.17 -
Sunbelt 3.2.1858.2 2009.08.16 -
Symantec 1.4.4.12 2009.08.17 -
TheHacker 6.3.4.3.383 2009.08.13 -
TrendMicro 8.950.0.1094 2009.08.17 -
VBA32 3.12.10.9 2009.08.17 -
ViRobot 2009.8.17.1887 2009.08.17 -
VirusBuster 4.6.5.0 2009.08.16 -
Information additionnelle
File size: 32 bytes
MD5...: 9b15f3f2c13d860988403ffbc43e2c0c
SHA1..: 15d3bcd20c33a163f6c9f943955addc8892b539a
SHA256: 7330f435f8d0131195d513bbd6f1738c4b0ef7d79683dc34a8887e656957c029
ssdeep: 3:Mx+7IcN6dRMs7IcN6dB:MxcPN67NPN6D<br>
PEiD..: -
TrID..: File type identification<br>Unknown!
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set<br>-

en ce qui concerne le fichier ihnc.sys je ne l'ai trouvé ni manuellement, ni avec la fonction de recherche de windows

Merci à plus tard

Bonjour,

Donne-moi des nouvelles du pc, il y a du mieux sans doute...?

Ca a l'air bien mais par sécurité tu devrais relanacer MalwareBytes après mise à jour, en analyse totale cette fois.

On ne désinstallera les outils qu'à la toute fin du sujet si tout est ok.

@++

Salut le pc semble tourner normalement c'est juste que de temps en temps antivir détecte un trojean: TR/Crpt.XDR.gen ou BDS/Bredolab.BV dans le dossier restore de windows.
Voici le nouveau rapport de la dernière analyse de malwarebytes qui a trouvé 15 fichiers infectés:

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2644
Windows 5.1.2600 Service Pack 3

17/08/2009 23:20:24
mbam-log-2009-08-17 (23-20-24).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 176615
Temps écoulé: 31 minute(s), 53 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 16

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{BCBB538F-4B22-4C6E-BAFD-9A806D251BB2}\RP420\A0159187.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BCBB538F-4B22-4C6E-BAFD-9A806D251BB2}\RP420\A0159188.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BCBB538F-4B22-4C6E-BAFD-9A806D251BB2}\RP420\A0159189.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BCBB538F-4B22-4C6E-BAFD-9A806D251BB2}\RP420\A0159301.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BCBB538F-4B22-4C6E-BAFD-9A806D251BB2}\RP424\A0159422.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BCBB538F-4B22-4C6E-BAFD-9A806D251BB2}\RP424\A0159423.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BCBB538F-4B22-4C6E-BAFD-9A806D251BB2}\RP424\A0159448.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BCBB538F-4B22-4C6E-BAFD-9A806D251BB2}\RP424\A0159458.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BCBB538F-4B22-4C6E-BAFD-9A806D251BB2}\RP427\A0159731.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BCBB538F-4B22-4C6E-BAFD-9A806D251BB2}\RP427\A0159770.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BCBB538F-4B22-4C6E-BAFD-9A806D251BB2}\RP437\A0160619.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BCBB538F-4B22-4C6E-BAFD-9A806D251BB2}\RP437\A0160620.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BCBB538F-4B22-4C6E-BAFD-9A806D251BB2}\RP437\A0160622.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BCBB538F-4B22-4C6E-BAFD-9A806D251BB2}\RP437\A0160623.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BCBB538F-4B22-4C6E-BAFD-9A806D251BB2}\RP437\A0160624.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\_OTM\MovedFiles\08162009_075624\WINDOWS\system32\drivers\ws2_32sik.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

Merci A+

Il y a aussi un truc qui ne fonctionne pas correctement sur mon PC mais quasiment le début, c'est lorsque qu'un logiciel me demande de redémarrer, la fermeture de windows s'effectue normalement et lorsqu'il redémarre et qu'il arrive à la petite barre le curseur bleu défile de manière saccadé (comme si les briques étaient cassées) et ensuite écran noir, la tour tourne et je suis obligé de l'arrêter manuellement puis de relancer. Qu'en penses tu ?

Merci A+

Pour cette dernière question, il faudra voir cela avec les personnes des forums qui s'occupent plutôt de Software ici.
Pour le reste c'est ok, on videra la restauration du système après désinstallation des outils spéciaux.

Ainsi les fichiers Restore seront débarrassés de ces infections mais là elles sont inactives mais il vaut mieux tout virer quand c'est propre.

Désinstalle ComboFix de cette manière en copiant/collant la ligne ci-dessous dans exécuter et valide:

Code: Tout sélectionner

ComboFix /u

Vire ces dossiers: C:\Qoobox et C:\ComboFix puis vide la corbeille. (si tu les trouvais encore).

-----------
Pour Désinstaller OTM, lance-le et clique sur Clean Up!

---------
Désactiver la Restauration Système.

Démarrer/Tous les programmes/Accessoires/Outils Système/

Cliquer sur Restauration Système.

Cliquer sur "Paramètres de la restauration du système; cocher la case: "Désactiver la Restauration du système sur tous les lecteurs"
Appliquer/OK.
Redémarrer le navigateur.

Pour réactiver la Restauration système, suivre le même chemin et décocher la case. Appliquer/OK.

Bonne fin de soirée.