virus vicieux (antivir et Hijackthis bloqués...)
Hors ligneRafiti Le 05/05/2009 à 18:26 Profil de Rafiti Configuration de Rafiti

Je remarque que mon ordi a l'air maintenant de refonctionner de manière correcte...

je trouve le dossier "Resycled" à l'emplacement suivant, mais c'est pas un dossier caché, sinon y'en a pas d'autre: C:\Resycled\Qoobox\Quarantine\G\resycled

le rapport HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:13:32, on 05/05/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe
C:\Program Files\Winamp3\winampa.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Silicon Image\SiICfg\SiICfg.exe
C:\Program Files\TRENDnet\TEW-424UB\WlanCU.exe
C:\Program Files\Java\jre1.6.0_06\bin\jucheck.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\eMule\eMule.exe
C:\Program Files\Adobe\After Effects 6.5\Support Files\AfterFX.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Registration-Studio 8.lnk = C:\Program Files\Pinnacle\Studio 8\Register\RegTool.exe
O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: SiICfg.lnk = C:\Program Files\Silicon Image\SiICfg\SiICfg.exe
O4 - Global Startup: Wireless Configuration Utility HW.14.lnk = C:\Program Files\TRENDnet\TEW-424UB\WlanCU.exe
O8 - Extra context menu item: Ajouter la cible du lien à un fichier PDF existant - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Ajouter à un fichier PDF existant - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir au format Adobe PDF - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien au format Adobe PDF - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/raph/LOCALS~1/Temp/msoclip1/01/clip_image002.jpg

--
End of file - 8758 bytes








LE RAPPORT STREAMS:

Streams v1.53 - Enumerate alternate NTFS data streams
Copyright (C) 1999-2005 Mark Russinovich
Sysinternals - www.sysinternals.com

No files with streams found.
Hors ligneMister_masque Le 05/05/2009 à 19:09 Profil de Mister_masque Configuration de Mister_masque

Zippe le dossier C:\Resycled et C:\QooBox.

Tutorial : Zipper un fichier/dossier

Et héberge le sur senduit pour un delais de 1 jours.
Poste le lien pour que je puisse le prendre, sa m'arrangerais
Sinon :

Démarrer >> Executer :
Combofix /u
>> Ok <<

# 1 - Nettoyage des reste + nettoyage



Télécharge OTMoveIt3.exe (de Old_Timer) sur ton Bureau.

Double-clique sur OTMoveIt3.exe pour le lancer.
Assures toi que la case "Unregister Dll's and Ocx's" soit bien cochée.
Copiez / collez les lignes suivantes (en vert) dans la fenêtre de gauche de OTMoveIt nommé "Paste List of Files/Folders to be moved" (zone fléché sur la capture :)



Copie colle :


:reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2d40f64d-3bc4-11dd-9df6-0014d139fc8a}]

:commands
[EmptyTemp]


Clique sur MoveIt! pour lancer la suppression.
Si OTMoveIt propose de redémarrer votre PC, acceptez.
Lorsque un résultat apparaît dans le cadre Results, cliquez sur Exit.

Afficher le rapport  de OTMoveIt situé sur C:\_OTMoveIt\MovedFiles.

Télécharge ToolsCleaner2 par A.Rothstein sur ton Bureau.



  • Execute le, clique droit >> Executer en tant qu'administrateur sous Vista (si sous XP, ignore cette étape).
  • Clique sur le bouton Recherche, si le programme ne répond pas ou si la fenêtre devient blanche c'est normal.
  • Une fois que la recherche est terminé, clique sur Suppression.
  • Ensuite clique sur, Vider la corbeille et Vider les fichiers temporaires.



NB: A la fin (il y aura des indications dans le cadre en-dessous), clique sur "Quitter" et poste le rapport qui se trouve dans C:\Tcleaner.txt



# 2 - Mise à jour de JAVA







Télécharge JavaRa.zip sur ton Bureau

  • Crée un dossier sur ton Bureau nommé JavaRa
  • Extrait le contenu de JavaRa.exe et gpl-2.0.txt dans le dossier JavaRa crée précédemment
  • Execute JavaRa, sélectionne Français dans la fenêtre Languages puis clique sur "Select"
  • Clique sur Recherche de mise à jour puis, dans la fenêtre qui apparaît sélectionne Mettre à jour via jucheck.exe, clique sur "Rechercher"
  • Une fenêtre pour installer Java apparaît, suis les instruction en évitant d'installer Yahoo! Toolbar
  • Quand cela est fait, clique sur "Effacer les anciennes versions" pour supprimer les anciennes version de Java



Aide: Le tutoriel: II - Mettre à jour Java avec JavaRa

--
Hors ligneRafiti Le 05/05/2009 à 19:34 Profil de Rafiti Configuration de Rafiti

voici le lien pour Qoobox
http://senduit.com/9852f7


========== REGISTRY ==========
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H\\ deleted successfully.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2d40f64d-3bc4-11dd-9df6-0014d139fc8a}\\ deleted successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\raph\LOCALS~1\Temp\etilqs_e5fd9qtKLRWSHKnZL6ii scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\raph\Local Settings\Temporary Internet Files\Content.IE5\PR1NYCYP\emission[1].dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\raph\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. C:\Documents and Settings\raph\Local Settings\Application Data\Mozilla\Firefox\Profiles\a9hcpcj7.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\raph\Local Settings\Application Data\Mozilla\Firefox\Profiles\a9hcpcj7.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\raph\Local Settings\Application Data\Mozilla\Firefox\Profiles\a9hcpcj7.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\raph\Local Settings\Application Data\Mozilla\Firefox\Profiles\a9hcpcj7.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\raph\Local Settings\Application Data\Mozilla\Firefox\Profiles\a9hcpcj7.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\raph\Local Settings\Application Data\Mozilla\Firefox\Profiles\a9hcpcj7.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.

OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 05052009_193218



rapport Tcleaner:

[ Rapport ToolsCleaner version 2.3.5 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\Combofix.txt: trouvé !
C:\FindyKill.txt: trouvé !
C:\Combofix: trouvé !
C:\Qoobox: trouvé !
C:\_OtMoveIt: trouvé !
C:\FindyKill: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\raph\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\raph\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\raph\Bureau\HJTInstall.exe: trouvé !
C:\Documents and Settings\raph\Bureau\Ad-remover.lnk: trouvé !
C:\Documents and Settings\raph\Bureau\OTMoveIt3.exe: trouvé !
C:\Documents and Settings\raph\Bureau\Rsit.exe: trouvé !
C:\Documents and Settings\raph\Bureau\SmitFraudfix: trouvé !
C:\Documents and Settings\raph\Menu Démarrer\Programmes\FindyKill: trouvé !
C:\Documents and Settings\raph\Menu Démarrer\Programmes\Ad-remover: trouvé !
C:\Program Files\Ad-remover: trouvé !
C:\Program Files\Ad-remover\TOOLS\BACKUP\Ad-R.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
--> Suppression:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\raph\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\raph\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\raph\Bureau\HJTInstall.exe: supprimé !
C:\Documents and Settings\raph\Bureau\Ad-remover.lnk: supprimé !
C:\Program Files\Ad-remover\TOOLS\BACKUP\Ad-R.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\FindyKill.txt: supprimé !
C:\Documents and Settings\raph\Bureau\OTMoveIt3.exe: supprimé !
C:\Documents and Settings\raph\Bureau\Rsit.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Combofix: supprimé !
C:\Qoobox: supprimé !
C:\_OtMoveIt: supprimé !
C:\FindyKill: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\raph\Bureau\SmitFraudfix: supprimé !
C:\Documents and Settings\raph\Menu Démarrer\Programmes\FindyKill: supprimé !
C:\Documents and Settings\raph\Menu Démarrer\Programmes\Ad-remover: supprimé !
C:\Program Files\Ad-remover: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Corbeille vidée!
Fichiers temporaires nettoyés !





je fais le reste et j'édite mon message pr indiquer la suite
Hors ligneMister_masque Le 05/05/2009 à 20:05 Profil de Mister_masque Configuration de Mister_masque

Hep, tu ne m'as pas mis C:\Resycled, tu ne m'as mis que C:\Qoobox.
Pourrais tu le rajouter à une archive .zip ? .rar est un format propriétaire, et je suis sous Linux.
--
Hors ligneRafiti Le 05/05/2009 à 20:18 Profil de Rafiti Configuration de Rafiti

Bien comme je te l'ai indiqué plus haut, je ne vois pas de dossier C:\Resycled... peu etre j'ai mal fait quelque chose. J'avais fermé combofix un peu rapidement peu être pensant que c'était terminé., cela peut il venir de ça ?.. à moins que tu veux celui qui est dans Qoobox mais je ne pense pas... sinon j'ai bien fait une archive zip à cette adresse pour qoobox: http://senduit.com/7ce711

Enfin j'ai fait tout ce qui restait à faire...
Hors ligneMister_masque Le 05/05/2009 à 20:29 Profil de Mister_masque Configuration de Mister_masque

C'est bon, Combofix a supprimé correctement l'infection par disque amovible
Hum .. T'as dans la QooBox un vieux CFScript ... donc tu t'es déjà fait aidé et encore pour des cracks ... C'est franchement pas super pour moi de savoir qu'on t'as déjà fait la morale, et que cela n'a pas servit

Tu peux supprimer ToolsCleaner.

Met à jour : Acrobat Reader & Flash Player (C'est rapide).

As-tu des questions ,des remarques à faire sur des dysfonctionnements éventuels ou une demande de documentation ?
Pour moi, le système est sain et stable
--
Hors ligneRafiti Le 05/05/2009 à 21:22 Profil de Rafiti Configuration de Rafiti

Parfois il faut plusieurs coups de battons avant de prendre conscience des choses... mais bon je n'ai pas grand chose à dire pour ma défense... en tout cas un grand merci pour la purification de mon système.... à priori je ne vois pas de question dans l'immédiat...
Vous avez résolu votre problème avec VIC ? Faites-le savoir sur les réseaux sociaux !
Vulgarisation-informatique.com
Cours en informatique & tutoriels