Soupçons.

Bonjour à tous,

Je pense avoir été infecté par un quelconque virus.
Je m'explique. Hier soir, d'un seul coup, une alerte Windows m'avertit que mon pare-feu est désactiver ainsi que les mises à jours. J'ai réussi à réactivé les mises à jour tout de suite mais je ne pouvais plus réactiver le pare-feu, la case "Activé" étant grisé (incochable). Première chose qui me semble étrange.
Ensuite, ce matin, en allumant mon PC, d'un seul coup, peut être 5 minutes après l'avoir démarré, mon fond d'écran du bureau est modifié: la photo est passé en centrer alors qu'elle était en étiré. Deuxième chose bizarre.
Et puis, pour finir, j'ai remarqué que depuis quelque temps, ma souris se comporte étrangement. En effet, lorsque je la bouge, elle fait parfois des gros écarts alors que je l'ai a peine touché.
J'ai au début pensé que c'était le fait qu'elle soit optique et que le support sur lequel je l'utilisais produisait cela mais avec les autres problèmes exposé plus haut, je n'en suis plus sur.

Enfin bref, voila pourquoi j'ai quelques soupçons. scratch

J'ai fait un Hijackthis dans lequel rien me semblait bizarre. Pour "vérification", je l'ai passé à ZHP qui n'a lui aussi rien trouvé.
J'ai fait une analyse avec mon Antivirus: rien.
Et encore une analyse complète avec MBAM: rien.

Auriez-vous quelques idées?

Merci d'avance.

Salut,
Il est plus que possible que ZHP ne trouve pas d'infection.
Ce logiciel a un besoin de constante évolution, car de nombreux et nouveaux virus apparaissent fréquemment.
Il serait donc utile, dans l'intérêt du désinfecteur que tu poste ton rapport
Le fait que ton pare feu et les mises à jours soient désactivées est une grande alerte.
J'ai peur que tu n'ai Bagle...
Cependant tu as encore tes antivirus, donc c'est encore à écarter.
Pour ta souris, il est possible que la sensibilité soit déréglée. Règle la.

Poste donc ton rapport hijackthis.

Salut,

Voila le rapport:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:17:59, on 06/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Samsung\Samsung EDS\EDSAgent.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Program Files\SAMSUNG\MagicKBD\PerformanceManager.exe
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C:\WINDOWS\system32\igfxext.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\iTunes\iTunes.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Program Files\Trend Micro\HijackThis\Hjjtsi.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [EDS] C:\Program Files\Samsung\Samsung EDS\EDSAgent.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [DMHotKey] C:\Program Files\Samsung\Easy Display Manager\DMLoader.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Program Files\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [SUPBackGround] C:\Program Files\Samsung\Samsung Update Plus\SUPBackGround.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Marvell Yukon Service (yksvc) - Unknown owner - RUNDLL32.EXE (file missing)

--
End of file - 5963 bytes

Pour la souris, ça m'étonne que la sensibilité soit déréglé, elle ne m'avait jamais fait ça..

J'ai encore réessayer d'activé mon pare-feu => Impossible.

Merci.

slt

en effet en verifiant aussi sur blepping et systemlook quelques lignes que je soupconnais, ton rapport a l'air sain ( comme on a du te dire a la formation, il ne faut pas se fier a un robot d'analyses quel qu'il soit, ce n'est jamais fiable a 100%)

pourrais tu faire un RSIT stp en l'hebergeant sur cjoint ou autre pour ne pas encombrer le topic, on aura acces a plus de choses a verifier.

je ne suis pas la jusqu'a demain soir, quelqu'un prendra la releve ou je repasserai demain soir.

Salut Neophyte,

Oui, moi aussi j'ai eu quelques doutes sur certains fichiers et je les avais passé à VirusTotal qui ne trouvait rien à chaque fois.
Ne t'inquiète pas, je ne me fie pas à ZHP aveuglement, je l'ai juste utiliser pour voir si il détectait de infections que je n'avais éventuellement pas détecté.
D'ailleurs on avait déjà parlé de ZHP sur la formation, si je ne me trompe pas. Wink

Pour RSIT:
Log.txt.

http://www.cijoint.fr/cjlink.php?file=cj200906/cijvVNUtI2.txt
Info.txt:

http://www.cijoint.fr/cjlink.php?file=cj200906/cijOVQxaSE.txt

Merci.
A+

shareza

pas bien

vecteur de toutes sortes de me***

je te conseille de prendre un autre p2p Wink

je jette un oeil a ton rapport

Si tu as SPYBOT :

Désactiver le TeaTimer de Spybot (Merci à Nico):
Pour désactiver le TeaTimer :
=> Ouvrir Spybot S&D
=> Dans le menu "Mode", séléctionner le mode avancé.
=> Une fenêtre demande confirmation cliquer sur "oui".
=> Une fois le mode avancé actif, ouvrir l'onglet "Outils".
=> Cliquer sur Résident.
=> La partie Résident comporte deux lignes qui sont normalement cochées :
*Résident "SDHelper" (bloqueur de téléchargements nuisibles pour Internet Explorer) actif.
* Résident "TeaTimer" (Protection des réglages système fondamentaux) actif
=> Décocher la ligne TeaTimer.
=> Redémarrer Spybot (le fermer et le réouvrir)
=> Retourner dans le menu Résident et vérifier qu'il soit bien désactivé

ensuite

tu as un cle mountpoints2 pour verifier :
(apparemment tu as deja usbfix, mais vires le et retelecharges le stp)

* Telecharge UsbFix de C_XX & Chiquitine29
https://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe

* Lance l installation avec les parametres par default

* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, card sd mp3/4 etc...) suceptible d'avoir été infectés sans les ouvrir

* Double clic sur le raccourci UsbFix sur ton bureau

* Choisi l'option 1 (recherche)

* Laisse travailler l'outil

* Ensuite post le rapport UsbFix.txt qui apparaîtra

* Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus

de plus ta restauration a ete modifié recemment , c'est toi ?

Salut à tous,
pour suivre

Oui, Shaeraza n'est pas bien.
Il faut que je m'en occupe. Embarassed

Pour la restauration, oui, c'est moi qui l'ai modifié.
Voila le rapport d'USBFix:

############################## [ UsbFix V3.029 | Scan ]

# User : Simon (Administrateurs) # YOUR-D7AD0D1B4E
# Update on 05/06/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 20:36:13 | 06/06/2009

# Intel(R) Atom(TM) CPU N270 @ 1.60GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.26 [ Enabled | Updated ]

# C:\ # Disque fixe local # 71,04 Go (4,3 Go free) # NTFS
# D:\ # Disque fixe local # 72 Go (3,46 Go free) # NTFS
# E:\ # Disque amovible # 1,89 Go (1,87 Go free) # FAT
# F:\ # Disque CD-ROM # 5,49 Mo (0 Mo free) [U3 System] # CDFS
# G:\ # Disque amovible # 973,17 Mo (930,47 Mo free) [USB SIMON] # FAT

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Samsung\Samsung EDS\EDSAgent.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Program Files\SAMSUNG\MagicKBD\PerformanceManager.exe
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C:\WINDOWS\system32\igfxext.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Registre Startup ]

HKCU_Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
HKCU_Main: "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
HKCU_Main: "Start Page"="http://www.google.com"
HKCU_Main: "Window Title"=""
HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
HKLM_logon: "DefaultUserName"="Simon"
HKLM_logon: "AltDefaultUserName"="Simon"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""
HKLM_Run: RTHDCPL=RTHDCPL.EXE
HKLM_Run: EDS=C:\Program Files\Samsung\Samsung EDS\EDSAgent.exe
HKLM_Run: IgfxTray=C:\WINDOWS\system32\igfxtray.exe
HKLM_Run: HotKeysCmds=C:\WINDOWS\system32\hkcmd.exe
HKLM_Run: Persistence=C:\WINDOWS\system32\igfxpers.exe
HKLM_Run: SynTPEnh=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
HKLM_Run: DMHotKey=C:\Program Files\Samsung\Easy Display Manager\DMLoader.exe
HKLM_Run: MagicKeyboard=C:\Program Files\SAMSUNG\MagicKBD\PreMKBD.exe
HKLM_Run: SUPBackGround=C:\Program Files\Samsung\Samsung Update Plus\SUPBackGround.exe
HKLM_Run: avgnt="C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKCU_Run: ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe
HKCU_Run: msnmsgr="C:\Program Files\MSN Messenger\msnmsgr.exe" /background

################## [ Fichiers # Dossiers infectieux ]

Found ! F:\autorun.inf

################## [ Registre # Clés Run infectieuses ]

Found ! HKLM\software\microsoft\security center "AntiVirusDisableNotify" ( 0x1 )
Found ! HKLM\software\microsoft\security center "FirewallDisableNotify" ( 0x1 )
Found ! HKLM\software\microsoft\security center "UpdatesDisableNotify" ( 0x1 )

################## [ Registre # Mountpoints2 ]

HKCU\...\Explorer\MountPoints2\{ba11e134-d4fd-11dd-bf86-001377ae396e}\Shell\AutoRun\Command

################## [ ! Fin du rapport # UsbFix V3.029 ! ]

Il a détecté une infection.

J'ai une petite question. Lorsqu'une clé mountpoint2 est détecté dans un rapport RSIT c'est signe d'une infection USB? Et cette clé est visible dans "Registrery Dump" c'est bien ça?
J'ai du mal à trouver des trucs sur RSIT, ce qu'il détecte etc. Alors qu'avec Hijackthis, dans google, on a déjà un grand nombre de réponses.

Merci.

Salut Jayce's

Lorsqu'une clé mountpoint2 est détecté dans un
rapport RSIT c'est signe d'une infection USB? Et cette clé est visible
dans "Registrery Dump" c'est bien ça?

oui mais pas que USB mais toutes sources amovibles , DD, usb, mp3, portable... tu apprendras bientot a analyser un RSIT Wink

* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés sans les ouvrir

* Double clic sur le raccourci UsbFix présent sur ton bureau

* choisi l'option 2 ( Suppression )

* Ton bureau disparaîtra et le pc redémarrera .

* Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

* Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau .

* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

ensuite

un ptit coup de ccleaner stp

j'ai pas fais attention si tu l'avais donc dans le doute :
(c'est la version slim)

Télécharge et installe CCleaner (si ce n’est déjà fait) : http://www.ccleaner.com/download/builds/downloading-slim

Lance CCleaner
Option --> avancé --> décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis nettoyeur --> Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

(Tu peux garder ce logiciel et l'utiliser régulièrement).

"oui mais pas que USB mais toutes sources amovibles"

Oui, je voulais dire ça mais je me suis embrouillé.

Enfin bref, voila le rapport USBFix:

############################## [ UsbFix V3.029 | Cleaning ]

# User : Simon (Administrateurs) # YOUR-D7AD0D1B4E
# Update on 05/06/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 22:54:50 | 06/06/2009

# Intel(R) Atom(TM) CPU N270 @ 1.60GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.26 [ Enabled | Updated ]

# C:\ # Disque fixe local # 71,04 Go (4,23 Go free) # NTFS
# D:\ # Disque fixe local # 72 Go (3,46 Go free) # NTFS
# E:\ # Disque amovible # 1,89 Go (1,87 Go free) # FAT
# F:\ # Disque CD-ROM # 5,49 Mo (0 Mo free) [U3 System] # CDFS
# G:\ # Disque amovible # 973,17 Mo (930,47 Mo free) [USB SIMON] # FAT

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Fichiers # Dossiers infectieux ]

(!) Not Deleted ! F:\autorun.inf

################## [ Registre # Clés Run infectieuses ]

# HKLM\software\microsoft\security center\\ "AntiVirusDisableNotify" # -> Reset sucessfully !
# HKLM\software\microsoft\security center\\ "FirewallDisableNotify" # -> Reset sucessfully !
# HKLM\software\microsoft\security center\\ "UpdatesDisableNotify" # -> Reset sucessfully !

################## [ Registre # Mountpoints2 ]

################## [ Listing des fichiers présent ]

[06/10/2008 13:06|--a------|0] - C:\AUTOEXEC.BAT
[30/11/2008 04:56|--a------|216] - C:\Boot.bak
[05/06/2009 10:44|-r-hs----|287] - C:\boot.ini
[14/04/2008 14:00|-rahs----|4952] - C:\Bootfont.bin
[04/08/2004 00:00|--a------|263488] - C:\cmldr
[05/04/2009 20:40|-r-hs----|0] - C:\config.sys
[?|?|?] - C:\hiberfil.sys
[06/10/2008 13:06|-rahs----|0] - C:\IO.SYS
[22/01/2009 20:26|-ra------|328] - C:\Marvell0.log
[06/10/2008 13:06|-rahs----|0] - C:\MSDOS.SYS
[14/04/2008 14:00|-rahs----|47564] - C:\NTDETECT.COM
[14/04/2008 14:00|-rahs----|252240] - C:\ntldr
[29/02/2004 17:44|--a------|52576] - C:\orange.bmp
[?|?|?] - C:\pagefile.sys
[06/06/2009 17:25|--a------|13030] - C:\PDOXUSRS.NET
[22/01/2009 21:15|--a------|172] - C:\setup.log
[15/01/2009 21:01|--ah-----|268] - C:\sqmdata00.sqm
[16/01/2009 10:00|--ah-----|268] - C:\sqmdata01.sqm
[16/01/2009 11:07|--ah-----|268] - C:\sqmdata02.sqm
[16/01/2009 12:42|--ah-----|268] - C:\sqmdata03.sqm
[16/01/2009 14:28|--ah-----|268] - C:\sqmdata04.sqm
[16/01/2009 19:47|--ah-----|268] - C:\sqmdata05.sqm
[18/01/2009 01:38|--ah-----|268] - C:\sqmdata06.sqm
[18/01/2009 11:07|--ah-----|268] - C:\sqmdata07.sqm
[01/02/2009 17:11|--ah-----|268] - C:\sqmdata08.sqm
[15/02/2009 23:49|--ah-----|268] - C:\sqmdata09.sqm
[16/02/2009 07:57|--ah-----|268] - C:\sqmdata10.sqm
[18/02/2009 18:32|--ah-----|268] - C:\sqmdata11.sqm
[06/03/2009 03:52|--ah-----|268] - C:\sqmdata12.sqm
[20/03/2009 18:49|--ah-----|268] - C:\sqmdata13.sqm
[18/04/2009 10:50|--ah-----|268] - C:\sqmdata14.sqm
[02/05/2009 19:22|--ah-----|268] - C:\sqmdata15.sqm
[18/05/2009 07:39|--ah-----|268] - C:\sqmdata16.sqm
[02/06/2009 07:51|--ah-----|268] - C:\sqmdata17.sqm
[03/06/2009 00:30|--ah-----|268] - C:\sqmdata18.sqm
[15/01/2009 21:01|--ah-----|244] - C:\sqmnoopt00.sqm
[16/01/2009 10:00|--ah-----|244] - C:\sqmnoopt01.sqm
[16/01/2009 11:07|--ah-----|244] - C:\sqmnoopt02.sqm
[16/01/2009 12:42|--ah-----|244] - C:\sqmnoopt03.sqm
[16/01/2009 14:28|--ah-----|244] - C:\sqmnoopt04.sqm
[16/01/2009 19:47|--ah-----|244] - C:\sqmnoopt05.sqm
[18/01/2009 01:38|--ah-----|244] - C:\sqmnoopt06.sqm
[18/01/2009 11:07|--ah-----|244] - C:\sqmnoopt07.sqm
[01/02/2009 17:11|--ah-----|244] - C:\sqmnoopt08.sqm
[15/02/2009 23:49|--ah-----|244] - C:\sqmnoopt09.sqm
[16/02/2009 07:57|--ah-----|244] - C:\sqmnoopt10.sqm
[18/02/2009 18:32|--ah-----|244] - C:\sqmnoopt11.sqm
[06/03/2009 03:52|--ah-----|244] - C:\sqmnoopt12.sqm
[20/03/2009 18:49|--ah-----|244] - C:\sqmnoopt13.sqm
[18/04/2009 10:50|--ah-----|244] - C:\sqmnoopt14.sqm
[02/05/2009 19:22|--ah-----|244] - C:\sqmnoopt15.sqm
[18/05/2009 07:39|--ah-----|244] - C:\sqmnoopt16.sqm
[02/06/2009 07:51|--ah-----|244] - C:\sqmnoopt17.sqm
[03/06/2009 00:29|--ah-----|244] - C:\sqmnoopt18.sqm
[06/06/2009 22:57|--a------|5236] - C:\UsbFix.txt
[29/12/2008 21:31|-ra------|2617303] - D:\Ecole_france.mp3
[27/12/2008 23:21|--a------|124] - D:\Panneau de configuration.lnk
[12/05/2006 00:13|-r-------|279] - F:\autorun.inf
[19/04/2006 00:33|-r-------|950272] - F:\LaunchU3.exe
[12/05/2006 00:55|-r-------|4746395] - F:\LaunchPad.zip
[18/04/2006 15:33|-ra------|950272] - G:\LaunchU3.exe
[13/04/2009 20:41|--a------|296] - G:\WMPInfo.xml
[18/05/2009 22:11|--a------|393] - G:\Hé toi là-bas.txt
[18/05/2009 22:40|--a------|1220] - G:\Mais c'est ta femme..txt
[01/01/2009 20:46|--ahs----|258] - G:\__IOM_DEVLIB__.__ATTRIBUTES__
[30/03/2009 21:24|--a------|333312] - G:\Dossier ATC.doc

################## [ Vaccination ]

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
# D:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
# E:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
# G:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

################## [ ! Fin du rapport # UsbFix V3.029 ! ]

Je fais Ccleaner

Je viens de réessayer de réactiver mon pare-feu, je ne peux toujours pas le faire. Soupçons. 475349

bonsoir a tous

on va suivre un peu l'évolution

Citation :: (!) Not Deleted ! F:\autorun.inf

bon courage pour la suite

Salut Shion-ares,

Oui, USBFix n'a pas réussi à supprimer cet autorun.
J'attend le retour de Neophyte demain soir.

A+

bonjour tout le monde

je passe en coup de vent et je reviens ce soir comme prevu

je n'ai pas dis que l'autorun etait nefaste !! il est legitime, c'est l'autorun F du lecteur cd Smile

Found ! F:\autorun.inf = F:\ # Disque CD-ROM

pour la cle mountpoints2, elles ne sont pas forcement toutes nefastes !
par contre en passant l'opt2 on vaccine tes sources amovibles.

par contre je suis surpris que ton parefeu ne refonctionne pas..

Salut !

Je ne sais pas si ça pourrait vous aider ^^

Mais ici : http://www.commentcamarche.net/contents/virus/trojan.php3 il dise que les symptômes d'une infection par un trojan, et notamment, des "réactions curieuses de la souris"

Voilà ! Very Happy

neophyte*** a écrit:: bonjour tout le monde

je passe en coup de vent et je reviens ce soir comme prevu

je n'ai pas dis que l'autorun etait nefaste !! il est legitime, c'est l'autorun F du lecteur cd

Found ! F:\autorun.inf = F:\ # Disque CD-ROM

pour la cle mountpoints2, elles ne sont pas forcement toutes nefastes !
par contre en passant l'opt2 on vaccine tes sources amovibles.

par contre je suis surpris que ton parefeu ne refonctionne pas..

Bonjour

ok je pensais que toutes les cles mountpoints2 était nefaste on en apprend tout les jours Very Happy

Bonjour à tous,

"je n'ai pas dis que l'autorun etait nefaste !! il est legitime, c'est l'autorun F du lecteur cd"
Le truc bizarre c'est que je n'ai pas de lecteur CD....
Par contre j'ai regardé et le lecteur F: correspond aussi à ma clef USB. C'est, je crois, le programme U3 qui se lance sur ce disque F:

"pour la cle mountpoints2, elles ne sont pas forcement toutes nefastes !
par contre en passant l'opt2 on vaccine tes sources amovibles."

Oui, moi aussi j'en apprend tout les jours. Very Happy

Merci Nemesis31 pour le lien. Mais bon, les autres symptômes décrit sur cette page ne sont pas sur mon PC. Alors bon, je sais pas trop. Mais ça doit plus venir de ma souris.

Je n'arrive toujours pas à réactiver mon pare-feu. Et ce qui est aussi étrange c'est que je n'ai pas d'alerte de sécurité au démarrage me disant que mon pare-feu est désactiver. C'est pas très normal ça non?!

Bonne journée.
A+

shion-ares a écrit:: on en apprend tout les jours

c'est le but de votre formation, mais meme les helpers ou qui que ce soit en apprennent tous les jours...

les hackeurs ou pirates se surpassent pour trouver de nouvelles infections, et les helpers se surpassent pour trouver les methodes de desinfections...

geoffrey et anthony vous confirmeront que eux aussi en apprennent tous les jours, profitez de votre formation pour suivre ce qu'ils vous expliquent Wink

ce sont a eux 2, une vraie encyclopedie informatique parlante Wink

...

meme les auteurs de logiciels comme chiquitine, c-xx ou s!ri ... en apprennent tous les jours pour faire evoluer leurs logiciels...
donc non vous n'etes pas seuls Very Happy

bon, pour en revenir a ton probleme c'est quoi ton parefeu ?
as tu d'autres problemes que ton parefeu , mises a jours ...
je ne parle pas de ta souris !

je pense bien a une chose mais si ton parefeu est le seul probleme , c'est pas ca !

as tu essayer d'installer un autre pare feu ?

Salut,

Bon, je vais me faire tirer dessus Soupçons. 647743

mais en fait, mon pare-feu est celui de Windows.. Soupçons. 314580

J'avais essayé Zone Alarm un coup mais il ne m'avait pas plu et du coup, je l'avais enlevé et depuis, je n'ai pas pris le temps d'en tester un autre.

Mon pare-feu semble être le seul problème.
Lors de ma première alerte Windows, les MAJ étaient aussi désactivé mais j'ai réussi à les réactiver sans problème et depuis, elles n'ont pas l'air d'avoir de problème.
Par contre, le pare-feu, j'ai jamais réussi et je n'arrive toujours pas à le réactiver.

Et tu penses à quoi si il y a pas que le pare-feu?

si tu avais eu des problemes maj + antivirus + parefeu ... en gros tout ce qui touche a la secu, je pensais a un rootkit mais la ca ne peut pas etre ca ...

Il faudrait voir si le service correspondant au pare-feu est activé : menu démarrer --> exécuter --> tape "services.msc" et valide --> cherche "Pare-feu Windows" --> fais un clic-droit dessus --> Propriétés --> type de démarrage doit être placé sur "Automatique" et statut sur "démarré".
Si ce n'est pas le cas, il faut corriger, puis réessayer d'activer le pare-feu Windows.

pour le parefeu windows ne culpalise pas , je l'utilise aussi ... Very Happy

Salut Neophyte,

Bon, le pare-feu est bien en démarrage activé via service.msc...
Et je n'arrive toujours pas à le réactiver. Soupçons. 77037

neophyte*** a écrit:: pour le parefeu windows ne culpalise pas , je l'utilise aussi ...

Ouf...

A+

est ce qu'il est marqué en demarré ?

Oui oui.

bah c'est qu'il est demarré et en ofnction, c'est quoi le probleme je te suis plus .

si tu veux securiser, tu peux remplacer par commodo si tu veux ou n'importe quel autre ...
voici le tuto : http://www.malekal.com/tutorial_COMODO_Firewall.php

He ben, ce qui me parait bizarre, c'est qu'en passant par Panneau de configuration => Pare-feu Windows il est marqué "désactiver" et je ne peux pas cliquer sur "activé" car la case est grisé, incochable...
Voila.

Je vais tester comodo je pense..

et quand tu vas dans panneau de config et centre de securite, il est comment ?

sinon oui par securite, essaies d'en installer un externe(commodo etant qu'un exemple...)

Il est pareil : désactiver...

Oui, demain j'en installe un externe.

Merci pour ton aide en tout cas. Very Happy

tu me remercieras quand ce sera fini Wink