Desinfection preliminaire impossible
Résolu
Pasglop40
Messages postés
105
Date d'inscription
Statut
Membre
Dernière intervention
-
Pasglop40 Messages postés 105 Date d'inscription Statut Membre Dernière intervention -
Pasglop40 Messages postés 105 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
voila, je vous expose mon problème !! Hier soir en surfant comme d'habitude!! je glanais sur la toile, un jeu flash, une petite chanson!! rien de bien méchant somme toutes! a un moment j'ai fais une nouvelle recherche google et là surprise en cliquant sur un des liens proposé de voir Avast paniquer et m'indiquer qu'il avais bloquer l'accès au site malveillant " easynetsearch.com" puis a "www.easynetsearch.com" breff le même nom, mais écrit différemment a chaque fois !! et j'ai aussi eu des message sur la page FF du genre le site est en cour de chargement, mais pas le site voulu! et puis même en attendant un peu jamais de page qui s'affiche mais tout un tas de tentative de connexion sur des sites dont je ne connais même pas le nom !!!! je me suis donc retourner vers ici ayant deja vu et utiliser la méthode de désinfection que vous proposez!! pas très simple d'arriver ici deja :/ (je recopie mes adresse en haut sans cliquer sur les liens sinon je file ailleurs) j'ai donc commencer par ccleaner et là pas de souci sinon que je pensais tuneup un peu plus efficace!! après nettoyage et re-nettoyage pour être sur !! je suis passé a Avg , mais après installation , au moment de la mise a jour, un message m'indiquant qu'il m'est impossible de me connecter au serveur de mise a jour :/ j'ai désactiver pare feux etc etc mais rien n'y fais :/ donc premiere question :
quelle mise a jour rapatrier ?? la dernière oui !! mais elle est petite o__O c'est pas juste un correctif de la vrai mise a jour ?? je choppe lesquelles en fait ?? :p
ensuite ne pouvant pas scanner mon pc moi même j'ai décider de me rendre chez bitdefender !! mais là pareil !! le scan est impossible et le "easynetserch" affole encore le petit avast :/
je m'en remets donc a vous !! je ne sais pas si cela est utile de mettre pour l'instant un rapport vu que je n'ai rien pu analyser :/ mise a part un scan minutieux en mode sans échec avec avast
je ne suis pas un noob et encore loin d'être un pro !! si sa peut vous aider !!
je vous salue !! et remercie par avance ce qui daigneront bien se pencher sur mon misérable cas ^^
voila, je vous expose mon problème !! Hier soir en surfant comme d'habitude!! je glanais sur la toile, un jeu flash, une petite chanson!! rien de bien méchant somme toutes! a un moment j'ai fais une nouvelle recherche google et là surprise en cliquant sur un des liens proposé de voir Avast paniquer et m'indiquer qu'il avais bloquer l'accès au site malveillant " easynetsearch.com" puis a "www.easynetsearch.com" breff le même nom, mais écrit différemment a chaque fois !! et j'ai aussi eu des message sur la page FF du genre le site est en cour de chargement, mais pas le site voulu! et puis même en attendant un peu jamais de page qui s'affiche mais tout un tas de tentative de connexion sur des sites dont je ne connais même pas le nom !!!! je me suis donc retourner vers ici ayant deja vu et utiliser la méthode de désinfection que vous proposez!! pas très simple d'arriver ici deja :/ (je recopie mes adresse en haut sans cliquer sur les liens sinon je file ailleurs) j'ai donc commencer par ccleaner et là pas de souci sinon que je pensais tuneup un peu plus efficace!! après nettoyage et re-nettoyage pour être sur !! je suis passé a Avg , mais après installation , au moment de la mise a jour, un message m'indiquant qu'il m'est impossible de me connecter au serveur de mise a jour :/ j'ai désactiver pare feux etc etc mais rien n'y fais :/ donc premiere question :
quelle mise a jour rapatrier ?? la dernière oui !! mais elle est petite o__O c'est pas juste un correctif de la vrai mise a jour ?? je choppe lesquelles en fait ?? :p
ensuite ne pouvant pas scanner mon pc moi même j'ai décider de me rendre chez bitdefender !! mais là pareil !! le scan est impossible et le "easynetserch" affole encore le petit avast :/
je m'en remets donc a vous !! je ne sais pas si cela est utile de mettre pour l'instant un rapport vu que je n'ai rien pu analyser :/ mise a part un scan minutieux en mode sans échec avec avast
je ne suis pas un noob et encore loin d'être un pro !! si sa peut vous aider !!
je vous salue !! et remercie par avance ce qui daigneront bien se pencher sur mon misérable cas ^^
A voir également:
- Desinfection preliminaire impossible
- Désinfection du linge - Guide
- Aide pour désinfection - Forum Virus
- Demande de désinfection SVP !!! - Forum Virus
- Désinfection du système - Forum Virus
- Prévention et désinfection ✓ - Forum Virus
98 réponses
Bonjour !!
alors tout d'abord , j'ai effectuer un scan antivir en mode sans échec cette nuit , mais il n'a rien trouver :/
j'ai donc décider de faire un scan du répertoire systeme de windows (chose que je pensais que antivir faisait de base, et bien apparemment non ) et la donc surprise en entendant une dizaine de bip et en voyant antivir me dire qu'il avait trouver(enfin) 7 virus ou fichiers infectés ^^ ( a ce stade je ne sais pas si je doit être content , mais j'avoue sa fais plaisir ^^) je te colle donc ici le rapport, je vais en attendant ta réponse, refaire un scan des processus !! (si antivir ne l'a pas fait, sait on jamais ) je refais ça en mode normal une première fois et je le referais ensuite en mode sans échec ^^ ... et donc voici le rapport :
Avira AntiVir Personal
Date de création du fichier de rapport : jeudi 15 janvier 2009 12:37
La recherche porte sur 1210079 souches de virus.
Détenteur de la licence :Avira AntiVir PersonalEdition Classic
Numéro de série : 0000149996-ADJIE-0001
Plateforme : Windows XP
Version de Windows :(Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : lamaison sylvain
Nom de l'ordinateur :MACMAC-5ABMD3MI
Informations de version :
BUILD.DAT : 8.2.0.52 16931 Bytes 02/12/2008 14:55:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00
AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16
LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36
ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14/01/2009 20:38:59
ANTIVIR2.VDF : 7.1.1.114 2048 Bytes 14/01/2009 20:39:00
ANTIVIR3.VDF : 7.1.1.118 106496 Bytes 14/01/2009 20:39:05
Version du moteur: 8.2.0.54
AEVDF.DLL : 8.1.0.6 102772 Bytes 14/10/2008 10:05:56
AESCRIPT.DLL : 8.1.1.24 340348 Bytes 09/01/2009 16:13:13
AESCN.DLL : 8.1.1.5 123251 Bytes 07/11/2008 15:06:41
AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 13:58:38
AEPACK.DLL : 8.1.3.5 393588 Bytes 09/01/2009 16:13:11
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 09/01/2009 16:13:06
AEHEUR.DLL : 8.1.0.78 1532280 Bytes 09/01/2009 16:13:04
AEHELP.DLL : 8.1.2.0 119159 Bytes 09/01/2009 16:12:47
AEGEN.DLL : 8.1.1.8 323956 Bytes 09/01/2009 16:12:46
AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:56
AECORE.DLL : 8.1.5.2 172405 Bytes 09/01/2009 16:12:43
AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16
RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43
Configuration pour la recherche actuelle :
Nom de la tâche..................: Répertoire système Windows
Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysdir.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:,
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: marche
Fichier mode de recherche........: Tous les fichiers
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Types d'archives divergents......: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen
Catégories de dangers divergentes: +APPL,+GAME,+JOKE,+PCK,+SPR,
Début de la recherche : jeudi 15 janvier 2009 12:37
La recherche d'objets cachés commence.
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20090115-123750-8170C085\AVSCAN-00000007.dll
[0] Type d'archive: HIDDEN
[INFO] Le fichier n'est pas visible.
--> FIL\\\?\C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20090115-123750-8170C085\AVSCAN-00000007.dll
[RESULTAT] Contient le modèle de détection du programme backdoor (dangereux) BDS/TDSS.JW
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20090115-123750-8170C085\AVSCAN-00000009.sys
[0] Type d'archive: HIDDEN
[INFO] Le fichier n'est pas visible.
--> FIL\\\?\C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20090115-123750-8170C085\AVSCAN-00000009.sys
[RESULTAT] Contient le modèle de détection du rootkit RKIT/TDss.G.22
Les instructions de réparation ont été écrites dans le fichier 'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\PROFILES\AVSCAN-20090115-123856-8FAFA7A0.avp'.
c:\windows\system32\drivers\tdssmxfe.sys
[RESULTAT]
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49e220b4.qua' !
c:\windows\system32\tdssakao.log
[INFO] Le fichier n'est pas visible.
c:\windows\system32\tdssdxgp.dll
[INFO] Le fichier n'est pas visible.
c:\windows\system32\tdsskrxx.dll
[INFO] Le fichier n'est pas visible.
[RESULTAT] Contient le modèle de détection du programme backdoor (dangereux) BDS/TDSS.adb
[INFO] Aucune entrée SpecVir trouvée !
c:\windows\system32\tdssmtpe.dat
[INFO] Le fichier n'est pas visible.
c:\windows\system32\tdssnpur.dll
[INFO] Le fichier n'est pas visible.
[RESULTAT] Contient le cheval de Troie TR/TDss.AT.518
[INFO] Aucune entrée SpecVir trouvée !
c:\windows\system32\tdssoitu.dll
[RESULTAT]
[INFO] Aucune entrée SpecVir trouvée !
c:\windows\system32\tdssyoqu.dll
[INFO] Le fichier n'est pas visible.
[RESULTAT] Contient le modèle de détection du programme backdoor (dangereux) BDS/TDSS.acs
[INFO] Aucune entrée SpecVir trouvée !
c:\documents and settings\lamaison sylvain\local settings\temp\tdss18c7.tmp
[INFO] Le fichier n'est pas visible (Shell).
[RESULTAT] Contient le modèle de détection du rootkit RKIT/TDss.djq
[INFO] Aucune entrée SpecVir trouvée !
c:\documents and settings\lamaison sylvain\local settings\temp\tdss18d7.tmp
[INFO] Le fichier n'est pas visible (Shell).
[RESULTAT] Contient le cheval de Troie TR/Patched.DY.1
[INFO] Aucune entrée SpecVir trouvée !
Fin de la recherche : jeudi 15 janvier 2009 12:39
Temps nécessaire: 01:10 Minute(s)
La recherche a été effectuée intégralement
0 Les répertoires ont été contrôlés
10 Des fichiers ont été contrôlés
7 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
1 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
0 Impossible de contrôler des fichiers
3 Fichiers non infectés
0 Les archives ont été contrôlées
0 Avertissements
1 Consignes
37284 Des objets ont été contrôlés lors du Rootkitscan
15 Des objets cachés ont été trouvés
Voili voilou !! et j'espère que ce rapport te feras autant plaisir qu'as moi @ toutes ^^
alors tout d'abord , j'ai effectuer un scan antivir en mode sans échec cette nuit , mais il n'a rien trouver :/
j'ai donc décider de faire un scan du répertoire systeme de windows (chose que je pensais que antivir faisait de base, et bien apparemment non ) et la donc surprise en entendant une dizaine de bip et en voyant antivir me dire qu'il avait trouver(enfin) 7 virus ou fichiers infectés ^^ ( a ce stade je ne sais pas si je doit être content , mais j'avoue sa fais plaisir ^^) je te colle donc ici le rapport, je vais en attendant ta réponse, refaire un scan des processus !! (si antivir ne l'a pas fait, sait on jamais ) je refais ça en mode normal une première fois et je le referais ensuite en mode sans échec ^^ ... et donc voici le rapport :
Avira AntiVir Personal
Date de création du fichier de rapport : jeudi 15 janvier 2009 12:37
La recherche porte sur 1210079 souches de virus.
Détenteur de la licence :Avira AntiVir PersonalEdition Classic
Numéro de série : 0000149996-ADJIE-0001
Plateforme : Windows XP
Version de Windows :(Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : lamaison sylvain
Nom de l'ordinateur :MACMAC-5ABMD3MI
Informations de version :
BUILD.DAT : 8.2.0.52 16931 Bytes 02/12/2008 14:55:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00
AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16
LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36
ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14/01/2009 20:38:59
ANTIVIR2.VDF : 7.1.1.114 2048 Bytes 14/01/2009 20:39:00
ANTIVIR3.VDF : 7.1.1.118 106496 Bytes 14/01/2009 20:39:05
Version du moteur: 8.2.0.54
AEVDF.DLL : 8.1.0.6 102772 Bytes 14/10/2008 10:05:56
AESCRIPT.DLL : 8.1.1.24 340348 Bytes 09/01/2009 16:13:13
AESCN.DLL : 8.1.1.5 123251 Bytes 07/11/2008 15:06:41
AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 13:58:38
AEPACK.DLL : 8.1.3.5 393588 Bytes 09/01/2009 16:13:11
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 09/01/2009 16:13:06
AEHEUR.DLL : 8.1.0.78 1532280 Bytes 09/01/2009 16:13:04
AEHELP.DLL : 8.1.2.0 119159 Bytes 09/01/2009 16:12:47
AEGEN.DLL : 8.1.1.8 323956 Bytes 09/01/2009 16:12:46
AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:56
AECORE.DLL : 8.1.5.2 172405 Bytes 09/01/2009 16:12:43
AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16
RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43
Configuration pour la recherche actuelle :
Nom de la tâche..................: Répertoire système Windows
Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysdir.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:,
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: marche
Fichier mode de recherche........: Tous les fichiers
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Types d'archives divergents......: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen
Catégories de dangers divergentes: +APPL,+GAME,+JOKE,+PCK,+SPR,
Début de la recherche : jeudi 15 janvier 2009 12:37
La recherche d'objets cachés commence.
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20090115-123750-8170C085\AVSCAN-00000007.dll
[0] Type d'archive: HIDDEN
[INFO] Le fichier n'est pas visible.
--> FIL\\\?\C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20090115-123750-8170C085\AVSCAN-00000007.dll
[RESULTAT] Contient le modèle de détection du programme backdoor (dangereux) BDS/TDSS.JW
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20090115-123750-8170C085\AVSCAN-00000009.sys
[0] Type d'archive: HIDDEN
[INFO] Le fichier n'est pas visible.
--> FIL\\\?\C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20090115-123750-8170C085\AVSCAN-00000009.sys
[RESULTAT] Contient le modèle de détection du rootkit RKIT/TDss.G.22
Les instructions de réparation ont été écrites dans le fichier 'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\PROFILES\AVSCAN-20090115-123856-8FAFA7A0.avp'.
c:\windows\system32\drivers\tdssmxfe.sys
[RESULTAT]
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49e220b4.qua' !
c:\windows\system32\tdssakao.log
[INFO] Le fichier n'est pas visible.
c:\windows\system32\tdssdxgp.dll
[INFO] Le fichier n'est pas visible.
c:\windows\system32\tdsskrxx.dll
[INFO] Le fichier n'est pas visible.
[RESULTAT] Contient le modèle de détection du programme backdoor (dangereux) BDS/TDSS.adb
[INFO] Aucune entrée SpecVir trouvée !
c:\windows\system32\tdssmtpe.dat
[INFO] Le fichier n'est pas visible.
c:\windows\system32\tdssnpur.dll
[INFO] Le fichier n'est pas visible.
[RESULTAT] Contient le cheval de Troie TR/TDss.AT.518
[INFO] Aucune entrée SpecVir trouvée !
c:\windows\system32\tdssoitu.dll
[RESULTAT]
[INFO] Aucune entrée SpecVir trouvée !
c:\windows\system32\tdssyoqu.dll
[INFO] Le fichier n'est pas visible.
[RESULTAT] Contient le modèle de détection du programme backdoor (dangereux) BDS/TDSS.acs
[INFO] Aucune entrée SpecVir trouvée !
c:\documents and settings\lamaison sylvain\local settings\temp\tdss18c7.tmp
[INFO] Le fichier n'est pas visible (Shell).
[RESULTAT] Contient le modèle de détection du rootkit RKIT/TDss.djq
[INFO] Aucune entrée SpecVir trouvée !
c:\documents and settings\lamaison sylvain\local settings\temp\tdss18d7.tmp
[INFO] Le fichier n'est pas visible (Shell).
[RESULTAT] Contient le cheval de Troie TR/Patched.DY.1
[INFO] Aucune entrée SpecVir trouvée !
Fin de la recherche : jeudi 15 janvier 2009 12:39
Temps nécessaire: 01:10 Minute(s)
La recherche a été effectuée intégralement
0 Les répertoires ont été contrôlés
10 Des fichiers ont été contrôlés
7 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
1 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
0 Impossible de contrôler des fichiers
3 Fichiers non infectés
0 Les archives ont été contrôlées
0 Avertissements
1 Consignes
37284 Des objets ont été contrôlés lors du Rootkitscan
15 Des objets cachés ont été trouvés
Voili voilou !! et j'espère que ce rapport te feras autant plaisir qu'as moi @ toutes ^^
alors !! scan effectuer en mode sans échec , mais là antivir ne trouve rien !! mais par contre des que je refais le scan en mode normal !! les 7 fichiers sont de nouveaux détecter, et ne figure pas, sauf un rootkit, dans ma quarantaine... pourtant je lui ais bien dis moi même de les déplacer. il m'as demander de redémarrer pour effectuer le déplacement mais ils ne sont pas déplacer !!
il ne déplace que celui ci ! !c:\windows\system32\drivers\tdssmxfe.sys , que j'ai 3 fois en quarantaine du coup !!
plus un cheval de Troie TR/Agent.69632.0 trouver lors d'un premier scan relatif a cette affaire ^^ (que je lui avais pourtant demander de supprimer) mais aucune trace des autre trojan trouver lors de la dernière analyse :/
Merci encore pour ton aide =))
il ne déplace que celui ci ! !c:\windows\system32\drivers\tdssmxfe.sys , que j'ai 3 fois en quarantaine du coup !!
plus un cheval de Troie TR/Agent.69632.0 trouver lors d'un premier scan relatif a cette affaire ^^ (que je lui avais pourtant demander de supprimer) mais aucune trace des autre trojan trouver lors de la dernière analyse :/
Merci encore pour ton aide =))
[RESULTAT] Contient le cheval de Troie TR/Patched.DY.1 ... j'ai effectuer des recherches sur celui là mais n'ai absolument rien trouver !! inconnu au bataillon ou juste inconnu pour mon google a moi ??
pour celui là :[RESULTAT] Contient le modèle de détection du programme backdoor (dangereux) BDS/TDSS.adb
j'ai trouver quelques topics disant qu'il était vraiment ch.... a supprimer !!!
me reste plus qu'a attendre tes directives ^^
je dois y aller!! je serais sûrement là ce soir !! avant de partir je vais lancer un scan complet du systeme , mais pas en mode sans échec !! vu qu'il n'a rien trouver comme ça jusque là !!
@ toutes =)) et encore merci de me donner un peu de ton temps ;)
pour celui là :[RESULTAT] Contient le modèle de détection du programme backdoor (dangereux) BDS/TDSS.adb
j'ai trouver quelques topics disant qu'il était vraiment ch.... a supprimer !!!
me reste plus qu'a attendre tes directives ^^
je dois y aller!! je serais sûrement là ce soir !! avant de partir je vais lancer un scan complet du systeme , mais pas en mode sans échec !! vu qu'il n'a rien trouver comme ça jusque là !!
@ toutes =)) et encore merci de me donner un peu de ton temps ;)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour !!
j'ai effectuer un nouveau test avec antivir: en mode normal et connecter au réseaux les fichiers suspect(vérolé) sont détecter!! mais même après redémarrage il ne sont pas déplacer en quarantaine !!
et aujourd'hui antivir refuse de scanner ou bloque le scan a peu prés au même 51 % ou il détecter les trojans et autres fichiers suspect :/ en scannant la clef des registre suivante :
HKEY_LOCAL_MACHINE\System\Controlset001\Services\TDSSserv.sys
J'ai ouvert mon éditeur de registre pour voir ce qu'était cette clef , mais elle est introuvable!!
un scan sdfix ne nous aiderait il pas ??
merci encre et a bientot
j'ai effectuer un nouveau test avec antivir: en mode normal et connecter au réseaux les fichiers suspect(vérolé) sont détecter!! mais même après redémarrage il ne sont pas déplacer en quarantaine !!
et aujourd'hui antivir refuse de scanner ou bloque le scan a peu prés au même 51 % ou il détecter les trojans et autres fichiers suspect :/ en scannant la clef des registre suivante :
HKEY_LOCAL_MACHINE\System\Controlset001\Services\TDSSserv.sys
J'ai ouvert mon éditeur de registre pour voir ce qu'était cette clef , mais elle est introuvable!!
un scan sdfix ne nous aiderait il pas ??
merci encre et a bientot
bon alors cool!! j'ai enfin reussi a telecharger et a installer "Malwarebytes"
et j'ai effectuer une première analyse en mode normal "sans suppression" afin de vous coller le rapport!! les memes noms ont l'air de ressortir !!
Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1658
Windows 5.1.2600 Service Pack 3
16/01/2009 13:26:14
mbam-log-2009-01-16 (13-26-03).txt
Type de recherche: Examen rapide
Eléments examinés: 50321
Temps écoulé: 1 minute(s), 58 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 10
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\TDSSkrxx.dll (Trojan.TDSS) -> No action taken.
C:\WINDOWS\system32\TDSSnpur.dll (Trojan.TDSS) -> No action taken.
C:\WINDOWS\system32\TDSSoitu.dll (Trojan.TDSS) -> No action taken.
C:\WINDOWS\system32\TDSSyoqu.dll (Trojan.TDSS) -> No action taken.
C:\WINDOWS\system32\drivers\TDSSmxfe.sys (Trojan.TDSS) -> No action taken.
C:\WINDOWS\Temp\TDSS177a.tmp (Trojan.TDSS) -> No action taken.
C:\WINDOWS\Temp\TDSS269d.tmp (Trojan.TDSS) -> No action taken.
C:\WINDOWS\Temp\TDSSc8e.tmp (Trojan.TDSS) -> No action taken.
C:\WINDOWS\Temp\TDSSf433.tmp (Trojan.TDSS) -> No action taken.
C:\WINDOWS\Temp\TDSSfacb.tmp (Trojan.TDSS) -> No action taken.
j'attends de vois ce que vous en dites avant de relancer le scan en mode sans échec avec suppression(j'espère) de ses maudits trojan ^^
@u plaisir de vous relire , merci et a très bientot
et j'ai effectuer une première analyse en mode normal "sans suppression" afin de vous coller le rapport!! les memes noms ont l'air de ressortir !!
Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1658
Windows 5.1.2600 Service Pack 3
16/01/2009 13:26:14
mbam-log-2009-01-16 (13-26-03).txt
Type de recherche: Examen rapide
Eléments examinés: 50321
Temps écoulé: 1 minute(s), 58 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 10
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\TDSSkrxx.dll (Trojan.TDSS) -> No action taken.
C:\WINDOWS\system32\TDSSnpur.dll (Trojan.TDSS) -> No action taken.
C:\WINDOWS\system32\TDSSoitu.dll (Trojan.TDSS) -> No action taken.
C:\WINDOWS\system32\TDSSyoqu.dll (Trojan.TDSS) -> No action taken.
C:\WINDOWS\system32\drivers\TDSSmxfe.sys (Trojan.TDSS) -> No action taken.
C:\WINDOWS\Temp\TDSS177a.tmp (Trojan.TDSS) -> No action taken.
C:\WINDOWS\Temp\TDSS269d.tmp (Trojan.TDSS) -> No action taken.
C:\WINDOWS\Temp\TDSSc8e.tmp (Trojan.TDSS) -> No action taken.
C:\WINDOWS\Temp\TDSSf433.tmp (Trojan.TDSS) -> No action taken.
C:\WINDOWS\Temp\TDSSfacb.tmp (Trojan.TDSS) -> No action taken.
j'attends de vois ce que vous en dites avant de relancer le scan en mode sans échec avec suppression(j'espère) de ses maudits trojan ^^
@u plaisir de vous relire , merci et a très bientot
Salut pasglop:
Combofix. Attention, ce logiciel est très puissant, une mauvaise utilisation peut faire des dégâts...
Fais exactement ce qui suit :
Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :
Fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix, choisis le bureau comme destination et valide :
--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu) le temps de la manipulation (si jamais tu en as et que je ne les ai pas vu sur le rapport hijackthis....)
---> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre...
--->Je te conseil d'installer la console de récupération.(Voir le tutoriel).
Tuto ici : TUTO
---------------------------------------------------------------------------------------------------------------------------------
Ensuite :
Double-clique sur C-Fix.exe (= combofix.exe ) .
Appuie sur une touche pour démarrer le scan .
Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer
Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp
Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.
Combofix. Attention, ce logiciel est très puissant, une mauvaise utilisation peut faire des dégâts...
Fais exactement ce qui suit :
Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :
Fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix, choisis le bureau comme destination et valide :
--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu) le temps de la manipulation (si jamais tu en as et que je ne les ai pas vu sur le rapport hijackthis....)
---> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre...
--->Je te conseil d'installer la console de récupération.(Voir le tutoriel).
Tuto ici : TUTO
---------------------------------------------------------------------------------------------------------------------------------
Ensuite :
Double-clique sur C-Fix.exe (= combofix.exe ) .
Appuie sur une touche pour démarrer le scan .
Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer
Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp
Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.
Bonjour !! alors j'ai essayer de refaire le scan en mode sans échec avec malwarebytes mais il n'en a trouver qu'un seul !! et a planter au démarrage :/ et depuis je ne peux plus m'en servir !!
et donc salut V-X je me cale sur combofix en espérant que je puisse l'installer et m'en servir !! et je vous mets le rapports des que fini !! @ a tres bientot et merci de votre aide
et donc salut V-X je me cale sur combofix en espérant que je puisse l'installer et m'en servir !! et je vous mets le rapports des que fini !! @ a tres bientot et merci de votre aide
salut V-x
alors il m'est impossible de téléchargé combofix!! et ce sur tout les liens que j'ai pu trouver !!!
voici le message que je windaube m'affiche :
C:\Documents and Settings\lamaison sylvain\Bureau\C-Fix.exe ne pourra être enregistré car le fichier source ne peut être lu.
Réessayez plus tard ou contactez l'administrateur du serveur.
ce message ou un autre message me disant
Le téléchargement ne peut pas être enregistré car une erreur inconnue est survenue.
Veuillez essayer à nouveau.
j'ai pourtant bien désactiver toute sécurité avant le début de chargement
et aujourd'hui même malwarebytes refuse de démarrer :/
pour ce qui est de la console de récupération, je ne peux pas non plus l'installer, car mon cd windows est un SP1 et il me dit donc que la version installer sur le disque est plus récente que celle sur le cd!!
alors il m'est impossible de téléchargé combofix!! et ce sur tout les liens que j'ai pu trouver !!!
voici le message que je windaube m'affiche :
C:\Documents and Settings\lamaison sylvain\Bureau\C-Fix.exe ne pourra être enregistré car le fichier source ne peut être lu.
Réessayez plus tard ou contactez l'administrateur du serveur.
ce message ou un autre message me disant
Le téléchargement ne peut pas être enregistré car une erreur inconnue est survenue.
Veuillez essayer à nouveau.
j'ai pourtant bien désactiver toute sécurité avant le début de chargement
et aujourd'hui même malwarebytes refuse de démarrer :/
pour ce qui est de la console de récupération, je ne peux pas non plus l'installer, car mon cd windows est un SP1 et il me dit donc que la version installer sur le disque est plus récente que celle sur le cd!!
Re,
Essai sa alors:
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
SDFix (créé par AndyManchesta)
ou http://downloads.andymanchesta.com/RemovalTools/SDFix.exe.
ou http://downloads.andymanchesta.com/RemovalTools/SDFix.exe?thread
ou http://sdfix.net/SDFix.exe
--> Double-cliques sur SDFix.exe et choisis "Install" .
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
• Puis, ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis. pour lancer le script.
• Appuie sur une touche pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur Y pour commencer le processus de nettoyage.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau rapport Hijackthis !
•NOTE:Si SDFix ne se lance pas
Clique sur=> Démarrer => Exécuter
Copie/colle ceci :
%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe
Clique sur Ok.
Redémarre et essaie de relance SDFix.
Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.
Essai sa alors:
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
SDFix (créé par AndyManchesta)
ou http://downloads.andymanchesta.com/RemovalTools/SDFix.exe.
ou http://downloads.andymanchesta.com/RemovalTools/SDFix.exe?thread
ou http://sdfix.net/SDFix.exe
--> Double-cliques sur SDFix.exe et choisis "Install" .
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
• Puis, ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis. pour lancer le script.
• Appuie sur une touche pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur Y pour commencer le processus de nettoyage.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau rapport Hijackthis !
•NOTE:Si SDFix ne se lance pas
Clique sur=> Démarrer => Exécuter
Copie/colle ceci :
%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe
Clique sur Ok.
Redémarre et essaie de relance SDFix.
Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.
salut et merci de me donner un peu de temps ^^
alors il m'est impossible de faire l'instal
quand je click sur le dossier "archive auto extractable" rien ne se passe , il apparait pourtant dans le gestionnaire de tache
note aussi que je n'ai pas pu le télécharger aujourd'hui, mais en prévision hier j'ai réussi a le chopper !!
puis je le dezipper a l'aide de winrar " extraire ici" ou extraire sans confirmation ??
merci d'avance =))
a noter aussi qu'il m'est impossible de faire windows update ni même de me connecter sur le site microsoft :/
alors il m'est impossible de faire l'instal
quand je click sur le dossier "archive auto extractable" rien ne se passe , il apparait pourtant dans le gestionnaire de tache
note aussi que je n'ai pas pu le télécharger aujourd'hui, mais en prévision hier j'ai réussi a le chopper !!
puis je le dezipper a l'aide de winrar " extraire ici" ou extraire sans confirmation ??
merci d'avance =))
a noter aussi qu'il m'est impossible de faire windows update ni même de me connecter sur le site microsoft :/
en cliquant sur ton lien je suis dirigé sur un serveur de telechargement sur lequel j'ai reussi a chopper l'exe "killtdss.exe"
je m'en sert comme sdfix ?? il s'agit deja de sdfix mais tu l'as renommer a la base ??
merci
je m'en sert comme sdfix ?? il s'agit deja de sdfix mais tu l'as renommer a la base ??
merci
bon sachant que je ne peux pas avoir acces au Tuto pour l'installation et par mesure de precaution , et surtout pour ne pas gâcher ton travail j'aimerais une ou deux confirmation :
j'applique ça a la lettre ou un mode sans échec ou autre se cache dans le tuto :
--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu) le temps de la manipulation (si jamais tu en as et que je ne les ai pas vu sur le rapport hijackthis....)
---> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre...
--->Je te conseil d'installer la console de récupération.(Voir le tutoriel).
Tuto ici : TUTO
---------------------------------------------------------------------------------------------------------------------------------
Ensuite :
Double-clique sur C-Fix.exe (= combofix.exe ) .
Appuie sur une touche pour démarrer le scan .
Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer
Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp
Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.
désolé si je peut paraitre bête en posant mes questions , mais je préfère de loin le paraitre que de faire des bêtises ^^ surtout en relisant ça :
Combofix. Attention, ce logiciel est très puissant, une mauvaise utilisation peut faire des dégâts..
merci ...
j'applique ça a la lettre ou un mode sans échec ou autre se cache dans le tuto :
--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu) le temps de la manipulation (si jamais tu en as et que je ne les ai pas vu sur le rapport hijackthis....)
---> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre...
--->Je te conseil d'installer la console de récupération.(Voir le tutoriel).
Tuto ici : TUTO
---------------------------------------------------------------------------------------------------------------------------------
Ensuite :
Double-clique sur C-Fix.exe (= combofix.exe ) .
Appuie sur une touche pour démarrer le scan .
Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer
Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp
Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.
désolé si je peut paraitre bête en posant mes questions , mais je préfère de loin le paraitre que de faire des bêtises ^^ surtout en relisant ça :
Combofix. Attention, ce logiciel est très puissant, une mauvaise utilisation peut faire des dégâts..
merci ...
Re,
--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu) le temps de la manipulation (si jamais tu en as et que je ne les ai pas vu sur le rapport hijackthis....)
n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer
--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu) le temps de la manipulation (si jamais tu en as et que je ne les ai pas vu sur le rapport hijackthis....)
n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer
Re
donc voici le rapport de combofix en commencant par la fenetre rootkit qu'il m'as demander de noter moi meme :
c:\windows\system32\drivers\TDSSmxfe.sys
c:\windows\system32\TDSSakao.log
c:\windows\system32\TDSSdxgp.dll
c:\windows\system32\TDSSihys.log
c:\windows\system32\TDSSkrxx.dll
c:\windows\system32\TDSSmtpe.dat
c:\windows\system32\TDSSnmxh.log
c:\windows\system32\TDSSnpur.dll
c:\windows\system32\TDSSoitu.dll
c:\windows\system32\TDSSsahc.dll
c:\windows\system32\TDSSyoqu.dll
suivit du rapport combofix:
ComboFix 09-01-16.03 - lamaison sylvain 2009-01-17 17:01:23.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1535.1146 [GMT 1:00]
Lancé depuis: c:\documents and settings\lamaison sylvain\Bureau\killtdss.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Outdated)
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\Downloaded Program Files\Quarantine
c:\windows\system32\drivers\TDSSmxfe.sys
c:\windows\system32\TDSSakao.log
c:\windows\system32\TDSSdxgp.dll
c:\windows\system32\TDSSihys.log
c:\windows\system32\TDSSkrxx.dll
c:\windows\system32\TDSSmtpe.dat
c:\windows\system32\TDSSnmxh.log
c:\windows\system32\TDSSnpur.dll
c:\windows\system32\TDSSoitu.dll
c:\windows\system32\TDSSsahc.dll
c:\windows\system32\TDSSyoqu.dll
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_TDSSserv.sys
-------\Legacy_TDSSserv.sys
((((((((((((((((((((((((((((( Fichiers créés du 2008-12-17 au 2009-01-17 ))))))))))))))))))))))))))))))))))))
.
2009-01-16 13:10 . 2009-01-16 13:10 <REP> d-------- c:\documents and settings\lamaison sylvain\Application Data\Malwarebytes
2009-01-16 13:10 . 2009-01-16 13:10 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-01-16 03:20 . 2009-01-16 03:20 579,584 --a--c--- c:\windows\system32\dllcache\user32.dll
2009-01-16 03:15 . 2009-01-16 03:16 <REP> d-------- c:\windows\ERUNT
2009-01-16 01:28 . 2009-01-16 12:30 <REP> d-------- c:\program files\Anti Trojan Elite
2009-01-16 00:39 . 2009-01-16 00:39 <REP> d-------- c:\program files\NFO viewer
2009-01-13 00:40 . 2009-01-13 00:40 <REP> d-------- c:\windows\system32\NtmsData
2009-01-10 03:38 . 2009-01-10 03:38 <REP> d-------- c:\windows\system32\Kaspersky Lab
2009-01-09 17:08 . 2009-01-09 17:08 <REP> d-------- c:\program files\Avira
2009-01-09 17:08 . 2009-01-09 17:08 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira
2009-01-09 14:24 . 2009-01-09 14:24 <REP> d-------- c:\program files\CCleaner
2008-12-28 19:28 . 2008-12-28 19:29 <REP> d-------- c:\program files\Wormux
2008-12-28 19:28 . 2008-12-28 19:34 <REP> d-------- c:\documents and settings\lamaison sylvain\Application Data\Wormux
2008-12-18 16:38 . 2008-12-18 16:42 <REP> d-------- c:\documents and settings\lamaison sylvain\dwhelper
2008-12-18 15:43 . 2008-12-18 15:43 <REP> d-------- c:\documents and settings\lamaison sylvain\Application Data\OpenOffice.org
2008-12-18 15:40 . 2008-12-18 15:40 <REP> d-------- c:\program files\OpenOffice.org 3
2008-12-18 15:40 . 2008-12-18 15:40 <REP> d-------- c:\program files\JRE
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-16 11:46 --------- d-----w c:\program files\TuneUp Utilities 2008
2009-01-13 15:52 --------- d-----w c:\program files\Elaborate Bytes
2009-01-13 00:27 138,784 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2009-01-13 00:27 111,928 ----a-w c:\windows\system32\PnkBstrB.exe
2008-12-18 14:39 --------- d-----w c:\program files\OpenOffice.org 2.4
2008-12-18 14:36 --------- d-----w c:\documents and settings\lamaison sylvain\Application Data\OpenOffice.org2
2008-12-17 07:43 --------- d-----w c:\program files\Java
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-12-11 02:07 2,331,008 ----a-w c:\windows\system32\TUKernel.exe
2008-12-09 22:57 --------- d-----w c:\documents and settings\All Users\Application Data\pixelStorm
2008-12-01 18:02 --------- d-----w c:\program files\Teamspeak2_RC2
2008-12-01 18:02 --------- d-----w c:\documents and settings\lamaison sylvain\Application Data\teamspeak2
2008-12-01 14:23 --------- d--h--w c:\program files\InstallShield Installation Information
2008-11-29 06:46 --------- d-----w c:\program files\eChanblard
2008-11-20 14:25 --------- d-----w c:\program files\EA SPORTS
2008-11-10 04:43 410,984 ----a-w c:\windows\system32\deploytk.dll
2008-11-09 03:44 339,968 ----a-w c:\windows\system32\pythoncom25.dll
2008-11-09 03:44 2,117,632 ----a-w c:\windows\system32\python25.dll
2008-11-09 03:44 114,688 ----a-w c:\windows\system32\pywintypes25.dll
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-06-17 13:49 22,328 ----a-w c:\documents and settings\lamaison sylvain\Application Data\PnkBstrK.sys
2008-09-03 18:18 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008090320080904\index.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\lib\NMBgMonitor.exe" [2005-10-28 94208]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-06-22 185896]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SystrayORAHSS"="c:\program files\Orange\Systray\SystrayApp.exe" [2007-09-25 94208]
"ORAHSSSessionManager"="c:\program files\Orange\SessionManager\SessionManager.exe" [2007-09-25 102400]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 144784]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"SoundMan"="SOUNDMAN.EXE" [2006-07-21 c:\windows\SoundMan.exe]
"AlcWzrd"="ALCWZRD.EXE" [2006-05-04 c:\windows\alcwzrd.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.X264"= x264vfw.dll
"VIDC.3iv2"= 3ivxVfWCodec.dll
"VIDC.VP31"= vp31vfw.dll
"msacm.l3fhg"= mp3fhg.acm
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Alcmtr"=ALCMTR.EXE
"Raccourci vers la page des propriétés de High Definition Audio"=HDAShCut.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\id Software\\Enemy Territory - QUAKE Wars\\etqwded.exe"=
"c:\\Program Files\\id Software\\Enemy Territory - QUAKE Wars\\etqw.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"c:\\Program Files\\Orange\\Connectivity\\ConnectivityManager.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\eChanblard\\emule.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
S3 ATE_PROCMON;ATE_PROCMON;\??\c:\program files\Anti Trojan Elite\ATEPMon.sys --> c:\program files\Anti Trojan Elite\ATEPMon.sys [?]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contenu du dossier 'Tâches planifiées'
2009-01-16 c:\windows\Tasks\Maintenance en 1 clic.job
- c:\program files\TuneUp Utilities 2008\OneClick.exe [2008-06-20 08:23]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
c:\windows\Downloaded Program Files\InstallerControl.dll - O16 -: CabBuilder
hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
c:\windows\Downloaded Program Files\OSDC5.OSD
c:\windows\Downloaded Program Files\oscan81.ocx_x - c:\windows\bdoscandellang.ini
c:\windows\bdoscandel.exe
c:\windows\Downloaded Program Files\live.ini
c:\windows\Downloaded Program Files\scanoptions.tsi
c:\windows\Downloaded Program Files\lang.ini
c:\windows\Downloaded Program Files\ipsupd.dll
c:\windows\Downloaded Program Files\bdupd.dll
c:\windows\Downloaded Program Files\libfn.dll
c:\windows\Downloaded Program Files\bdcore.dll
c:\windows\Downloaded Program Files\oscan8.ocx
O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}
hxxp://www.zebulon.fr/scan8/oscan8.cab
c:\windows\Downloaded Program Files\oscan8.inf
FF - ProfilePath - c:\documents and settings\lamaison sylvain\Application Data\Mozilla\Firefox\Profiles\m43x63d4.default\
FF - prefs.js: browser.search.selectedEngine - uStart
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
---- PARAMETRES FIREFOX ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
FF - user.js: network.http.max-connections-per-server - 8
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-17 17:03:18
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(644)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2009-01-17 17:04:41
ComboFix-quarantined-files.txt 2009-01-17 16:04:39
Avant-CF: 7,829,848,064 octets libres
Après-CF: 7,817,424,896 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /NoExecute=OptIn /fastdetect /TUTag=AZP2BZ /Kernel=TUKernel.exe
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel (TuneUp Backup)" /NoExecute=OptIn /fastdetect /NOGUIBOOT /TUTag=AZP2BZ-BAK
184 --- E O F --- 2009-01-14 22:08:54
donc voici le rapport de combofix en commencant par la fenetre rootkit qu'il m'as demander de noter moi meme :
c:\windows\system32\drivers\TDSSmxfe.sys
c:\windows\system32\TDSSakao.log
c:\windows\system32\TDSSdxgp.dll
c:\windows\system32\TDSSihys.log
c:\windows\system32\TDSSkrxx.dll
c:\windows\system32\TDSSmtpe.dat
c:\windows\system32\TDSSnmxh.log
c:\windows\system32\TDSSnpur.dll
c:\windows\system32\TDSSoitu.dll
c:\windows\system32\TDSSsahc.dll
c:\windows\system32\TDSSyoqu.dll
suivit du rapport combofix:
ComboFix 09-01-16.03 - lamaison sylvain 2009-01-17 17:01:23.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1535.1146 [GMT 1:00]
Lancé depuis: c:\documents and settings\lamaison sylvain\Bureau\killtdss.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Outdated)
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\Downloaded Program Files\Quarantine
c:\windows\system32\drivers\TDSSmxfe.sys
c:\windows\system32\TDSSakao.log
c:\windows\system32\TDSSdxgp.dll
c:\windows\system32\TDSSihys.log
c:\windows\system32\TDSSkrxx.dll
c:\windows\system32\TDSSmtpe.dat
c:\windows\system32\TDSSnmxh.log
c:\windows\system32\TDSSnpur.dll
c:\windows\system32\TDSSoitu.dll
c:\windows\system32\TDSSsahc.dll
c:\windows\system32\TDSSyoqu.dll
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_TDSSserv.sys
-------\Legacy_TDSSserv.sys
((((((((((((((((((((((((((((( Fichiers créés du 2008-12-17 au 2009-01-17 ))))))))))))))))))))))))))))))))))))
.
2009-01-16 13:10 . 2009-01-16 13:10 <REP> d-------- c:\documents and settings\lamaison sylvain\Application Data\Malwarebytes
2009-01-16 13:10 . 2009-01-16 13:10 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-01-16 03:20 . 2009-01-16 03:20 579,584 --a--c--- c:\windows\system32\dllcache\user32.dll
2009-01-16 03:15 . 2009-01-16 03:16 <REP> d-------- c:\windows\ERUNT
2009-01-16 01:28 . 2009-01-16 12:30 <REP> d-------- c:\program files\Anti Trojan Elite
2009-01-16 00:39 . 2009-01-16 00:39 <REP> d-------- c:\program files\NFO viewer
2009-01-13 00:40 . 2009-01-13 00:40 <REP> d-------- c:\windows\system32\NtmsData
2009-01-10 03:38 . 2009-01-10 03:38 <REP> d-------- c:\windows\system32\Kaspersky Lab
2009-01-09 17:08 . 2009-01-09 17:08 <REP> d-------- c:\program files\Avira
2009-01-09 17:08 . 2009-01-09 17:08 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira
2009-01-09 14:24 . 2009-01-09 14:24 <REP> d-------- c:\program files\CCleaner
2008-12-28 19:28 . 2008-12-28 19:29 <REP> d-------- c:\program files\Wormux
2008-12-28 19:28 . 2008-12-28 19:34 <REP> d-------- c:\documents and settings\lamaison sylvain\Application Data\Wormux
2008-12-18 16:38 . 2008-12-18 16:42 <REP> d-------- c:\documents and settings\lamaison sylvain\dwhelper
2008-12-18 15:43 . 2008-12-18 15:43 <REP> d-------- c:\documents and settings\lamaison sylvain\Application Data\OpenOffice.org
2008-12-18 15:40 . 2008-12-18 15:40 <REP> d-------- c:\program files\OpenOffice.org 3
2008-12-18 15:40 . 2008-12-18 15:40 <REP> d-------- c:\program files\JRE
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-16 11:46 --------- d-----w c:\program files\TuneUp Utilities 2008
2009-01-13 15:52 --------- d-----w c:\program files\Elaborate Bytes
2009-01-13 00:27 138,784 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2009-01-13 00:27 111,928 ----a-w c:\windows\system32\PnkBstrB.exe
2008-12-18 14:39 --------- d-----w c:\program files\OpenOffice.org 2.4
2008-12-18 14:36 --------- d-----w c:\documents and settings\lamaison sylvain\Application Data\OpenOffice.org2
2008-12-17 07:43 --------- d-----w c:\program files\Java
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-12-11 02:07 2,331,008 ----a-w c:\windows\system32\TUKernel.exe
2008-12-09 22:57 --------- d-----w c:\documents and settings\All Users\Application Data\pixelStorm
2008-12-01 18:02 --------- d-----w c:\program files\Teamspeak2_RC2
2008-12-01 18:02 --------- d-----w c:\documents and settings\lamaison sylvain\Application Data\teamspeak2
2008-12-01 14:23 --------- d--h--w c:\program files\InstallShield Installation Information
2008-11-29 06:46 --------- d-----w c:\program files\eChanblard
2008-11-20 14:25 --------- d-----w c:\program files\EA SPORTS
2008-11-10 04:43 410,984 ----a-w c:\windows\system32\deploytk.dll
2008-11-09 03:44 339,968 ----a-w c:\windows\system32\pythoncom25.dll
2008-11-09 03:44 2,117,632 ----a-w c:\windows\system32\python25.dll
2008-11-09 03:44 114,688 ----a-w c:\windows\system32\pywintypes25.dll
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-06-17 13:49 22,328 ----a-w c:\documents and settings\lamaison sylvain\Application Data\PnkBstrK.sys
2008-09-03 18:18 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008090320080904\index.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\lib\NMBgMonitor.exe" [2005-10-28 94208]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-06-22 185896]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SystrayORAHSS"="c:\program files\Orange\Systray\SystrayApp.exe" [2007-09-25 94208]
"ORAHSSSessionManager"="c:\program files\Orange\SessionManager\SessionManager.exe" [2007-09-25 102400]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 144784]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"SoundMan"="SOUNDMAN.EXE" [2006-07-21 c:\windows\SoundMan.exe]
"AlcWzrd"="ALCWZRD.EXE" [2006-05-04 c:\windows\alcwzrd.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.X264"= x264vfw.dll
"VIDC.3iv2"= 3ivxVfWCodec.dll
"VIDC.VP31"= vp31vfw.dll
"msacm.l3fhg"= mp3fhg.acm
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Alcmtr"=ALCMTR.EXE
"Raccourci vers la page des propriétés de High Definition Audio"=HDAShCut.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\id Software\\Enemy Territory - QUAKE Wars\\etqwded.exe"=
"c:\\Program Files\\id Software\\Enemy Territory - QUAKE Wars\\etqw.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"c:\\Program Files\\Orange\\Connectivity\\ConnectivityManager.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\eChanblard\\emule.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
S3 ATE_PROCMON;ATE_PROCMON;\??\c:\program files\Anti Trojan Elite\ATEPMon.sys --> c:\program files\Anti Trojan Elite\ATEPMon.sys [?]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contenu du dossier 'Tâches planifiées'
2009-01-16 c:\windows\Tasks\Maintenance en 1 clic.job
- c:\program files\TuneUp Utilities 2008\OneClick.exe [2008-06-20 08:23]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
c:\windows\Downloaded Program Files\InstallerControl.dll - O16 -: CabBuilder
hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
c:\windows\Downloaded Program Files\OSDC5.OSD
c:\windows\Downloaded Program Files\oscan81.ocx_x - c:\windows\bdoscandellang.ini
c:\windows\bdoscandel.exe
c:\windows\Downloaded Program Files\live.ini
c:\windows\Downloaded Program Files\scanoptions.tsi
c:\windows\Downloaded Program Files\lang.ini
c:\windows\Downloaded Program Files\ipsupd.dll
c:\windows\Downloaded Program Files\bdupd.dll
c:\windows\Downloaded Program Files\libfn.dll
c:\windows\Downloaded Program Files\bdcore.dll
c:\windows\Downloaded Program Files\oscan8.ocx
O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}
hxxp://www.zebulon.fr/scan8/oscan8.cab
c:\windows\Downloaded Program Files\oscan8.inf
FF - ProfilePath - c:\documents and settings\lamaison sylvain\Application Data\Mozilla\Firefox\Profiles\m43x63d4.default\
FF - prefs.js: browser.search.selectedEngine - uStart
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
---- PARAMETRES FIREFOX ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
FF - user.js: network.http.max-connections-per-server - 8
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-17 17:03:18
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(644)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2009-01-17 17:04:41
ComboFix-quarantined-files.txt 2009-01-17 16:04:39
Avant-CF: 7,829,848,064 octets libres
Après-CF: 7,817,424,896 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /NoExecute=OptIn /fastdetect /TUTag=AZP2BZ /Kernel=TUKernel.exe
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel (TuneUp Backup)" /NoExecute=OptIn /fastdetect /NOGUIBOOT /TUTag=AZP2BZ-BAK
184 --- E O F --- 2009-01-14 22:08:54
Re,
Voit tu une amèlioration ?
▶ Télécharge random's system information tool (RSIT) et enregistre le sur ton bureau.
▶ Double clique sur RSIT.exe pour lancer l'outil.
▶ Clique sur ' continue ' à l'écran Disclaimer.
▶ Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
▶ Une fois le scan fini , 2 rapports vont apparaitre. Poste le contenu des 2 rapports
( log.txt & info.txt )
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.
Voit tu une amèlioration ?
▶ Télécharge random's system information tool (RSIT) et enregistre le sur ton bureau.
▶ Double clique sur RSIT.exe pour lancer l'outil.
▶ Clique sur ' continue ' à l'écran Disclaimer.
▶ Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
▶ Une fois le scan fini , 2 rapports vont apparaitre. Poste le contenu des 2 rapports
( log.txt & info.txt )
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.
Re
et oui je constate une nette amélioration !! en effet premiere fois que je ne suis pas rediriger sans avoir "noscript" d'activer ^^
j'ai asussi pu lire le tuto de combofix, chose impossible avant !!
et si je fais click droit "enregistrer la cible du lien sous" sur combofix de toute a l'heure (celui qui ne marchait pas) et bien sa a l'air aussi de fonctionner !!
a noter juste que ff n'est plus mon navigateur par défaut apparemment :/ je le remettrais une fois fini tout ça :=p
je fait la suite et te tiens au courant !! merci beaucoup
ça fais du bien d'entrevoir une issue de sortie lol @ toutes
et oui je constate une nette amélioration !! en effet premiere fois que je ne suis pas rediriger sans avoir "noscript" d'activer ^^
j'ai asussi pu lire le tuto de combofix, chose impossible avant !!
et si je fais click droit "enregistrer la cible du lien sous" sur combofix de toute a l'heure (celui qui ne marchait pas) et bien sa a l'air aussi de fonctionner !!
a noter juste que ff n'est plus mon navigateur par défaut apparemment :/ je le remettrais une fois fini tout ça :=p
je fait la suite et te tiens au courant !! merci beaucoup
ça fais du bien d'entrevoir une issue de sortie lol @ toutes
scan effectuer , voici les rapports: mais un message d'erreur est apparu (m'ouvrant une page vierge sur IE)
Logfile of random's system information tool 1.05 (written by random/random)
Run by lamaison sylvain at 2009-01-17 17:48:29
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 7 GB (25%) free of 30 GB
Total RAM: 1535 MB (74% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:48:56, on 17/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Orange\Systray\SystrayApp.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Orange\Launcher\Launcher.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Orange\connectivity\connectivitymanager.exe
C:\Program Files\Orange\connectivity\CoreCom\CoreCom.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Orange\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\Documents and Settings\lamaison sylvain\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\lamaison sylvain.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: https://www.orange.fr/portail
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.zebulon.fr/outils/antivirus/kavwebscan_unicode.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.ca.com/us/securityadvisor/pestscan/pestscan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab57213.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxenligne.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
Logfile of random's system information tool 1.05 (written by random/random)
Run by lamaison sylvain at 2009-01-17 17:48:29
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 7 GB (25%) free of 30 GB
Total RAM: 1535 MB (74% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:48:56, on 17/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Orange\Systray\SystrayApp.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Orange\Launcher\Launcher.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Orange\connectivity\connectivitymanager.exe
C:\Program Files\Orange\connectivity\CoreCom\CoreCom.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Orange\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\Documents and Settings\lamaison sylvain\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\lamaison sylvain.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: https://www.orange.fr/portail
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.zebulon.fr/outils/antivirus/kavwebscan_unicode.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.ca.com/us/securityadvisor/pestscan/pestscan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab57213.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxenligne.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe