Sujet Précédent Sujet Suivant

Problème avec un virus (Win32 ?)

Résolu
Fro-Mage -  
sKe69 Messages postés 21955 Statut Contributeur sécurité -
Bonjour, depuis quelques temps, et du jour au lendemain, à peu près tout ce qui touche à Internet s'est mis à planter:
-Outlook Express n'arrive plus à envoyer de message (j'ai télécharger Thunderbird, mais il y a le même problème)
-Spybot S&D et Ad-Aware n'arrivent pas à se mettre à jour (Spybot me dit: "Erreur de la récupération du fichier d'info MAJ!" et le site de Spybot, https://www.safer-networking.org/ est inaccessible, ce qui m'empèche de télécharger la dernière version du logiciel.
- Firefox se met à laisser passer beaucoup de pop-up (un par page visionnée en moyenne) et, dans le même temps, en boque 2 ou 3, ce qui n'a rien à voir avec les toutes petites quantités de pop-up qu'il bloquait quand tout allait bien.

J'ai fait un analyse avec eTrust Antivirus, qui a découvert deux fichiers infectés par Win32/VMalum.DQTR sans réussir à les désinfecter. Voici les emplacements des fichiers infectés:
-C:\WINDOWS\locker.exe
-C:\WINDOWS\system32\nsx52.dll

Dans ce genre de cas vous demandez souvent une anayse Hijackthis, donc la voilà:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:24:32, on 26/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
C:\Program Files\CA\eTrust Antivirus\InoRT.exe
C:\Program Files\CA\eTrust Antivirus\InoTask.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\QTTask.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Program Files\CA\eTrust Antivirus\InocIT.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: offersfortoday - {6adbe261-5b29-6b7f-4604-1fe3730eb2a3} - C:\WINDOWS\system32\nsx52.dll
O2 - BHO: Flash Video Object - {6F886C33-D3EE-4941-84E7-3C4AAD811732} - C:\WINDOWS\system32\6to4svc32.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AA0553D0-0C9E-AB41-67C6-481D3F08681F} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {94A5C93F-BD18-4C46-B777-C94C145C3CAB} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Bluetooth Manager.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Program Files\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} (Java Plug-in 1.5.0_11) -
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) -
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Serveur RPC eTrust Antivirus (InoRPC) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: Serveur eTrust Antivirus Temps réel (InoRT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRT.exe
O23 - Service: Serveur de jobs eTrust Antivirus (InoTask) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
O23 - Service: UB - Unknown owner - C:\DOCUME~1\Lemaire\LOCALS~1\Temp\UB.exe (file missing)
End of file - 10373 bytes

Voila et merci d'avance
A voir également:

64 réponses

Précédent
Réponse 21 / 64
Fro-Mage
 
Alors avant les rapports, 2 choses:
-tout à l'heure tu m'avais dit qu'en utilisant souris/clavier en même temps que combofix l'ordi pouvait geler. L'analyse s'est bien déroulée mais l'ordi a quand même gelé quelques minutes après que j'ai posté mon message précédant.
-Et lorsque j'ai mis le fichier texte CFScript dans combofix, j'ai eu droit à 2 bips très aigus venant de mon PC (enfin... je pense, car il n'y a rien qui puisse bipper à coté de mon ordi, mais les bips étaient bizarres, beaucoup plus aigus que le bip habituel de démarrage, il me les avait jamais fait avant. ça ressemblait un peu a un micro-onde). C'est normal?

Et voilà les fameux rapports:
ComboFix 09-01-21.04 - cedric 2009-01-29 21:32:22.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1535.1019 [GMT 1:00]
Lancé depuis: c:\documents and settings\cedric\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\cedric\Bureau\CFScript.txt
* Un nouveau point de restauration a été créé

FILE ::
c:\docume~1\Lemaire\LOCALS~1\Temp\UB.exe
c:\docume~1\pierre\LOCALS~1\Temp\cpuz_x32.sys
c:\windows\system32\aaaamon32.dll
c:\windows\Tasks\AB04CB1491634548.job
c:\windows\Tasks\Ad-Aware Update (Daily).job
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\aaaamon32.dll
c:\windows\Tasks\AB04CB1491634548.job
c:\windows\Tasks\Ad-Aware Update (Daily).job

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CPUZ129
-------\Legacy_UB
-------\Service_cpuz129
-------\Service_UB

((((((((((((((((((((((((((((( Fichiers créés du 2008-12-28 au 2009-01-29 ))))))))))))))))))))))))))))))))))))
.

2009-01-29 17:08 . 2009-01-29 17:08 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-01-29 17:08 . 2009-01-29 17:08 <REP> d-------- c:\documents and settings\cedric\Application Data\Malwarebytes
2009-01-29 17:08 . 2009-01-29 17:08 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-01-29 17:08 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-29 17:08 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-28 19:59 . 2009-01-28 20:12 <REP> d-------- C:\MSNFix
2009-01-28 18:49 . 2009-01-28 18:49 552 --a------ c:\windows\system32\d3d8caps.dat
2009-01-28 18:42 . 2009-01-28 18:42 579,584 --a--c--- c:\windows\system32\dllcache\user32.dll
2009-01-28 18:39 . 2009-01-28 18:39 <REP> d-------- c:\windows\ERUNT
2009-01-28 18:26 . 2009-01-28 19:07 <REP> d-------- C:\SDFix
2009-01-28 00:02 . 2009-01-28 17:21 0 --a------ c:\windows\system32\tmp.MSNFix
2009-01-27 23:36 . 2009-01-27 23:38 <REP> d-------- C:\ToolBar SD
2009-01-27 22:11 . 2009-01-27 22:11 <REP> d-------- C:\rsit
2009-01-27 19:44 . 2009-01-29 21:37 <REP> d-------- c:\documents and settings\cedric\Application Data\WTablet
2009-01-27 16:29 . 2009-01-29 21:00 <REP> d-------- c:\documents and settings\pierre\Application Data\WTablet
2009-01-26 23:18 . 2009-01-29 20:30 <REP> d-------- c:\documents and settings\LocalService\Application Data\WTablet
2009-01-26 23:15 . 2008-12-11 09:57 4,222,760 --a------ c:\windows\system32\PenTablet.cpl
2009-01-26 23:15 . 2008-11-11 10:45 1,421,964 --a------ c:\windows\system32\PenTablet.znc
2009-01-26 23:14 . 2008-12-11 10:11 2,749,736 --a------ c:\windows\system32\Pen_Tablet.exe
2009-01-26 23:14 . 2008-12-11 09:59 186,152 --a------ c:\windows\system32\Pen_Tablet.dll
2009-01-26 23:13 . 2009-01-29 16:54 <REP> d-------- c:\documents and settings\Lemaire\Application Data\WTablet
2009-01-26 23:13 . 2008-10-30 10:59 6,525,736 --a------ c:\windows\system32\WacomTablet.cpl
2009-01-26 23:13 . 2008-09-30 13:38 1,651,788 --a------ c:\windows\system32\WacomTablet.znc
2009-01-26 23:13 . 2008-04-14 04:33 21,504 --a------ c:\windows\system32\hidserv.dll
2009-01-26 23:13 . 2008-04-14 04:33 21,504 --a--c--- c:\windows\system32\dllcache\hidserv.dll
2009-01-26 23:13 . 2008-04-14 04:05 14,720 --a------ c:\windows\system32\drivers\kbdhid.sys
2009-01-26 23:13 . 2008-04-14 04:05 14,720 --a--c--- c:\windows\system32\dllcache\kbdhid.sys
2009-01-26 23:13 . 2007-02-15 15:11 11,440 --a------ c:\windows\system32\drivers\WacomVKHid.sys
2009-01-26 23:12 . 2009-01-26 23:14 <REP> d-------- c:\windows\system32\WTablet
2009-01-26 23:12 . 2009-01-26 23:15 <REP> d-------- c:\program files\Tablet
2009-01-26 23:12 . 2008-10-30 11:13 2,749,224 --a------ c:\windows\system32\Wacom_Tablet.exe
2009-01-26 23:12 . 2008-10-30 11:00 182,056 --a------ c:\windows\system32\Wacom_Tablet.dll
2009-01-26 23:12 . 2008-10-30 10:50 172,840 --a------ c:\windows\system32\Wintab32.dll
2009-01-26 23:12 . 2008-10-06 11:53 15,656 --a------ c:\windows\system32\drivers\wacmoumonitor.sys
2009-01-26 23:12 . 2008-08-18 14:45 13,352 --a------ c:\windows\system32\drivers\wacomvhid.sys
2009-01-26 23:12 . 2007-02-16 10:12 11,312 --a------ c:\windows\system32\drivers\wacommousefilter.sys
2009-01-25 22:15 . 2009-01-29 16:50 <REP> d-------- c:\program files\Mozilla Thunderbird
2009-01-25 22:15 . 2009-01-25 22:15 <REP> d-------- c:\documents and settings\Lemaire\Application Data\Thunderbird
2009-01-24 16:33 . 2009-01-24 16:47 <REP> d-------- c:\documents and settings\All Users\Application Data\Lavasoft
2009-01-14 12:12 . 2009-01-14 12:12 <REP> d-------- c:\documents and settings\Lemaire\Application Data\CoSoSys
2009-01-02 18:14 . 2008-07-29 13:33 446,464 --a------ c:\windows\system32\nvunrm.exe
2009-01-02 18:14 . 2008-07-29 13:30 6,045 --a------ c:\windows\system32\nvnrm.nvu
2009-01-02 18:14 . 2008-07-08 01:45 4,984 --a------ c:\windows\system32\drivers\nvphy.bin
2009-01-02 17:44 . 2008-07-10 04:07 7,143 --a------ c:\windows\system32\nvide.nvu
2009-01-02 17:43 . 2008-08-20 18:35 453,152 --a------ c:\windows\system32\nvusmb.exe
2009-01-02 17:43 . 2008-08-19 11:41 2,344 --a------ c:\windows\system32\nvsmb.nvu
2009-01-02 16:38 . 2009-01-02 16:38 <REP> d-------- c:\documents and settings\pierre\Application Data\SystemRequirementsLab
2009-01-02 16:22 . 2009-01-02 16:30 <REP> d-------- c:\program files\DofusArena2
2009-01-02 15:08 . 2009-01-02 15:08 <REP> d-------- c:\program files\Realtek AC97
2009-01-02 14:18 . 2009-01-26 23:10 <REP> d-------- c:\program files\ma-config.com
2009-01-02 14:18 . 2009-01-26 23:10 <REP> d-------- c:\documents and settings\All Users\Application Data\ma-config.com
2008-12-30 18:18 . 2008-12-30 18:18 <REP> d-------- c:\program files\DAEMON Tools Lite
2008-12-30 18:18 . 2008-12-30 18:18 <REP> d-------- c:\documents and settings\cedric\Application Data\DAEMON Tools Pro
2008-12-30 18:18 . 2008-12-30 18:18 <REP> d-------- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2008-12-30 18:17 . 2008-12-30 18:18 <REP> d-------- c:\documents and settings\cedric\Application Data\DAEMON Tools Lite
2008-12-30 15:13 . 2008-12-30 15:55 <REP> d-------- c:\documents and settings\cedric\Application Data\vlc
2008-12-30 15:10 . 2008-12-30 15:10 <REP> d-------- c:\program files\DVD Shrink

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-29 20:38 --------- d-----w c:\program files\Wanadoo
2009-01-29 20:00 --------- d-----w c:\documents and settings\pierre\Application Data\DNA
2009-01-29 19:31 --------- d-----w c:\program files\DNA
2009-01-29 15:42 --------- d-----w c:\documents and settings\pierre\Application Data\BitTorrent
2009-01-28 17:16 --------- d-----w c:\program files\CCleaner
2009-01-27 22:54 --------- d-----w c:\program files\Spybot - Search & Destroy
2009-01-27 22:54 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-01-27 15:53 --------- d-----w c:\documents and settings\pierre\Application Data\dvdcss
2009-01-24 15:47 --------- d-----w c:\program files\Lavasoft
2009-01-19 15:29 --------- d-----w c:\program files\Java
2009-01-02 17:50 --------- d--h--w c:\program files\InstallShield Installation Information
2009-01-02 15:38 --------- d-----w c:\program files\SystemRequirementsLab
2009-01-01 16:28 --------- d-----w c:\documents and settings\cedric\Application Data\dvdcss
2009-01-01 15:09 --------- d-----w c:\documents and settings\All Users\Application Data\DVD Shrink
2009-01-01 00:18 --------- d-----w c:\documents and settings\pierre\Application Data\vlc
2008-12-31 14:32 --------- d-----w c:\documents and settings\cedric\Application Data\BitTorrent
2008-12-31 13:44 --------- d-----w c:\program files\Ubisoft
2008-12-30 17:18 --------- d-----w c:\documents and settings\cedric\Application Data\DAEMON Tools
2008-12-30 16:18 --------- d-----w c:\documents and settings\Lemaire\Application Data\vlc
2008-12-16 12:15 --------- d-----w c:\program files\Dofus
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-12-07 17:55 --------- d-----w c:\program files\Ripp-it_AM
2008-12-07 17:54 --------- d-----w c:\program files\AviSynth 2.5
2008-12-04 17:46 --------- d-----w c:\program files\QuickTime
2008-12-04 17:46 --------- d-----w c:\program files\Fichiers communs\Apple
2008-12-04 17:45 --------- d-----w c:\program files\Apple Software Update
2008-11-20 12:51 4,096 --sha-w c:\program files\Thumbs.db
2007-09-29 11:21 357 ----a-w c:\documents and settings\pierre\.cb_layout.bin
2007-07-04 09:58 1 ----a-w c:\documents and settings\cedric\SI.bin
2006-11-03 22:27 278,528 ----a-w c:\program files\Fichiers communs\FDEUnInstaller.exe
2003-12-19 14:18 7,999,018 ----a-w c:\program files\e3.exe
2003-12-03 08:42 6,865 ----a-w c:\program files\readme.txt
2003-12-03 07:19 9,051,567 ----a-w c:\program files\e3.pdf
2003-11-21 14:38 12,058 ----a-w c:\program files\license.txt
2003-05-23 03:47 126,313 ----a-w c:\program files\localizeTC.txt
2003-05-23 03:47 126,311 ----a-w c:\program files\localizeSC.txt
2003-05-23 03:46 161,255 ----a-w c:\program files\localizeFr.txt
2003-05-23 03:46 158,579 ----a-w c:\program files\localizeDe.txt
2003-05-15 18:04 345 ----a-w c:\program files\default.itl
2002-11-25 21:28 11,093 ----a-w c:\program files\default.ccl
2002-07-14 03:54 3,175 ----a-w c:\program files\vwidth.txt
2002-06-27 05:33 0 ----a-w c:\program files\RsrcRoot.txt
2002-06-27 05:33 0 ----a-w c:\program files\ImageLst.txt
2002-05-01 21:46 342,076 ----a-w c:\program files\patternDe.txt
2002-05-01 20:38 3,453 ----a-w c:\program files\gradDe.txt
2002-05-01 20:19 11,505 ----a-w c:\program files\spotclrDe.txt
2002-04-09 08:46 342,669 ----a-w c:\program files\patternFr.txt
2002-04-09 07:10 342,280 ----a-w c:\program files\pattern.txt
2002-03-17 03:44 11,494 ----a-w c:\program files\spotclrFr.txt
2002-03-17 00:56 3,448 ----a-w c:\program files\gradFr.txt
2001-09-20 06:56 0 ----a-w c:\program files\e3.txt
2001-06-20 00:36 3,661 ----a-w c:\program files\gradTC.txt
2001-06-19 22:25 86,571 ----a-w c:\program files\patternTC.txt
2001-06-19 22:25 15,062 ----a-w c:\program files\spotclrTC.txt
2001-06-19 09:30 86,717 ----a-w c:\program files\patternSC.txt
2001-06-19 09:12 3,695 ----a-w c:\program files\gradSC.txt
2001-06-16 06:01 10,682 ----a-w c:\program files\spotclrSC.txt
2000-10-27 06:29 11,468 ----a-w c:\program files\spotclr.txt
2000-10-26 23:29 3,423 ----a-w c:\program files\grad.txt
1999-11-24 22:37 57,344 ----a-w c:\program files\zlib.dll
2008-08-31 17:15 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008083120080901\index.dat
.

((((((((((((((((((((((((((((( snapshot@2009-01-29_18.23.51,31 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-10-20 19:02:28 163,328 ----a-w c:\windows\ERDNT\subs\ERDNT.EXE
+ 2009-01-29 20:37:25 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_a8.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"WOOKIT"="c:\program files\Wanadoo\Shell.exe" [2004-08-23 122880]
"msnmsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]
"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]
"WOOTASKBARICON"="c:\progra~1\Wanadoo\GestMaj.exe" [2004-10-14 32768]
"Realtime Monitor"="c:\progra~1\CA\ETRUST~1\realmon.exe" [2004-06-26 504080]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2006-01-12 155648]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2007-09-26 267064]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-09-06 413696]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-07 86016]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"nwiz"="nwiz.exe" [2008-10-07 c:\windows\system32\nwiz.exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 c:\windows\system32\bthprops.cpl]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 c:\windows\soundman.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2007-03-14 2756608]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.mjpg"= pvmjpg30.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\[u]0/uautocheck lsdelete

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Original War\\OwarFull.DLL"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"c:\\Program Files\\eMule\\eMule.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"c:\\Program Files\\CA\\eTrust Antivirus\\InocIT.exe"=
"c:\\Program Files\\CA\\eTrust Antivirus\\Realmon.exe"=
"c:\\Program Files\\Warcraft III\\Warcraft III.exe"=
"c:\\Program Files\\CA\\eTrust Antivirus\\Shellscn.exe"=
"c:\\Program Files\\TrackMania United\\TmUnited.exe"=
"c:\\Program Files\\Xfire\\xfire.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Program Files\\Ubisoft\\Ghost Recon Advanced Warfighter\\GRAW.exe"=
"c:\\UT2004\\System\\UT2004.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Program Files\\Ubisoft\\Tom Clancy's Rainbow Six Vegas\\Binaries\\R6Vegas_Game.exe"=
"c:\\Program Files\\Ubisoft\\Tom Clancy's Rainbow Six Vegas\\Binaries\\R6Vegas_Launcher.exe"=
"c:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\RM.exe"=
"c:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\PMSRegisterFile.exe"=
"c:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\umi.exe"=
"c:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\VideoSpin.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\DNA\\btdna.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"28000:TCP"= 28000:TCP:Age of Empires
"28000:UDP"= 28000:UDP:Age of empires
"29100:TCP"= 29100:TCP:Age of Empires
"29100:UDP"= 29100:UDP:Age of empires
"29630:TCP"= 29630:TCP:29630
"64259:UDP"= 64259:UDP:64259
"6112:TCP"= 6112:TCP:Warcraft_6112_TCP
"6112:UDP"= 6112:UDP:warcraft_6112_UDP
"6119:UDP"= 6119:UDP:Warcraft_6119_UDP
"6119:TCP"= 6119:TCP:Warcraft_6119_TCP
"4000:TCP"= 4000:TCP:Warcraft_4000_TCP
"4000:UDP"= 4000:UDP:Warcraft_4000_UDP

R3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [2005-11-02 215552]
R3 wacmoumonitor;Wacom Mode Helper;c:\windows\system32\drivers\wacmoumonitor.sys [2009-01-26 15656]
R4 TabletServicePen;TabletServicePen;c:\windows\system32\Pen_Tablet.exe [2009-01-26 2749736]
R4 TabletServiceWacom;TabletServiceWacom;c:\windows\system32\Wacom_Tablet.exe [2009-01-26 2749224]
S3 CAM1210;USB Video Camera;c:\windows\system32\drivers\cam1210.sys [2007-01-09 91776]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\MAGIX\Common\Database\bin\fbserver.exe [2008-07-21 1527900]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2009-01-24 216232]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2005-08-02 32512]
.
Contenu du dossier 'Tâches planifiées'

2009-01-29 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
.
------- Examen supplémentaire -------
.
mWindow Title =
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: { - c:\program files\Messenger\msmsgs.exe
FF - ProfilePath - c:\documents and settings\cedric\Application Data\Mozilla\Firefox\Profiles\g8mwrjlh.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Dailymotion
FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npbittorrent.dll

---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-29 21:37:46
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"cd042efbbd7f7af1647644e76e06692b"=hex:c8,28,51,af,b0,29,a3,98,c0,fd,83,81,bb,
90,9d,eb,e2,63,26,f1,3f,c8,ff,68,40,2a,2e,1f,30,4b,60,ad,e2,63,26,f1,3f,c8,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"bca643cdc5c2726b20d2ecedcc62c59b"=hex:71,3b,04,66,8b,46,0d,96,1b,f9,7c,30,1a,
61,eb,89,6a,9c,d6,61,af,45,84,18,27,74,93,ce,87,c9,bb,cb,6a,9c,d6,61,af,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"2c81e34222e8052573023a60d06dd016"=hex:25,da,ec,7e,55,20,c9,26,99,07,e4,7a,31,
06,2c,a5,ff,7c,85,e0,43,d4,0e,fe,11,d5,de,d9,34,a3,e6,20,ff,7c,85,e0,43,d4,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"2582ae41fb52324423be06337561aa48"=hex:86,8c,21,01,be,91,eb,e7,be,80,4d,70,fa,
94,7e,6f,86,8c,21,01,be,91,eb,e7,05,f8,fd,1e,d1,8e,ff,80,86,8c,21,01,be,91,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"caaeda5fd7a9ed7697d9686d4b818472"=hex:cd,44,cd,b9,a6,33,6c,cd,8f,00,84,53,b3,
d0,68,a4,f5,1d,4d,73,a8,13,5c,05,37,15,b4,64,86,ce,6d,68,f5,1d,4d,73,a8,13,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:b0,18,ed,a7,3f,8d,37,a4,3a,80,69,4e,a2,
f5,5a,c5,df,20,58,62,78,6b,cf,c8,bf,b8,65,61,af,50,04,9c,df,20,58,62,78,6b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"4d370831d2c43cd13623e232fed27b7b"=hex:31,77,e1,ba,b1,f8,68,02,1e,cc,30,7b,ec,
f5,53,ed,fb,a7,78,e6,12,2f,9a,ea,e3,30,28,98,37,ff,8a,01,fb,a7,78,e6,12,2f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"1d68fe701cdea33e477eb204b76f993d"=hex:01,3a,48,fc,e8,04,4a,f1,20,0d,08,55,e7,
9a,74,46,01,3a,48,fc,e8,04,4a,f1,da,3f,90,3d,fe,41,6c,0b,01,3a,48,fc,e8,04,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"1fac81b91d8e3c5aa4b0a51804d844a3"=hex:f6,0f,4e,58,98,5b,89,c9,59,42,6c,f0,2e,
12,f6,79,f6,0f,4e,58,98,5b,89,c9,93,0a,72,85,44,71,c4,58,f6,0f,4e,58,98,5b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"f5f62a6129303efb32fbe080bb27835b"=hex:3d,ce,ea,26,2d,45,aa,78,39,50,d7,3d,c7,
90,fb,0b,3d,ce,ea,26,2d,45,aa,78,79,fd,9d,7e,13,49,26,b4,3d,ce,ea,26,2d,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:2a,b7,cc,b5,b9,7f,41,e7,23,94,da,52,9f,
b6,47,f3,2a,b7,cc,b5,b9,7f,41,e7,1c,24,df,9c,2a,d0,d2,6d,2a,b7,cc,b5,b9,7f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"8a8aec57dd6508a385616fbc86791ec2"=hex:fa,ea,66,7f,d4,3b,6b,70,cc,ae,3c,dd,4f,
18,50,1f,6c,43,2d,1e,aa,22,2f,9c,d0,e5,ee,42,86,d0,47,d8,6c,43,2d,1e,aa,22,\

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\system32\FTRTSVC.exe
c:\program files\CA\eTrust Antivirus\InoRpc.exe
c:\program files\CA\eTrust Antivirus\InoRT.exe
c:\program files\CA\eTrust Antivirus\InoTask.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
c:\windows\system32\WTablet\Pen_TabletUser.exe
c:\windows\system32\WTablet\Wacom_TabletUser.exe
c:\progra~1\Wanadoo\TaskBarIcon.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
c:\program files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtHSP.exe
c:\windows\system32\wscntfy.exe
c:\program files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Heure de fin: 2009-01-29 21:42:24 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-01-29 20:42:21
ComboFix2.txt 2009-01-29 17:25:05

Avant-CF: 33 328 349 184 octets libres
Après-CF: 33,235,230,720 octets libres

358 --- E O F --- 2009-01-29 17:03:37

Et le deuxième de RSIT:
Logfile of random's system information tool 1.05 (written by random/random)
Run by cedric at 2009-01-29 21:53:54
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 32 GB (21%) free of 153 GB
Total RAM: 1535 MB (61% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:54:03, on 29/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
C:\Program Files\CA\eTrust Antivirus\InoRT.exe
C:\Program Files\CA\eTrust Antivirus\InoTask.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\Wacom_Tablet.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
C:\WINDOWS\system32\WTablet\Wacom_TabletUser.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\Wacom_Tablet.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\QTTask.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\cedric\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\cedric.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Bluetooth Manager.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Program Files\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} (Java Plug-in 1.5.0_11) -
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) -
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Serveur RPC eTrust Antivirus (InoRPC) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: Serveur eTrust Antivirus Temps réel (InoRT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRT.exe
O23 - Service: Serveur de jobs eTrust Antivirus (InoTask) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe
O23 - Service: TabletServiceWacom - Wacom Technology, Corp. - C:\WINDOWS\system32\Wacom_Tablet.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
0
Réponse 22 / 64
Fro-Mage
 
OOps, il manque la toute fin du rapport:

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Apple Mobile Device;Apple Mobile Device; C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2007-09-06 110592]
R2 Bonjour Service;Service Bonjour; C:\Program Files\Bonjour\mDNSResponder.exe [2007-07-24 229376]
R2 BthServ;Bluetooth Support Service; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R2 FTRTSVC;France Telecom Routing Table Service; C:\WINDOWS\System32\FTRTSVC.exe [2004-08-23 40960]
R2 InoRPC;Serveur RPC eTrust Antivirus; C:\Program Files\CA\eTrust Antivirus\InoRpc.exe [2004-06-26 139536]
R2 InoRT;Serveur eTrust Antivirus Temps réel; C:\Program Files\CA\eTrust Antivirus\InoRT.exe [2004-06-26 241936]
R2 InoTask;Serveur de jobs eTrust Antivirus; C:\Program Files\CA\eTrust Antivirus\InoTask.exe [2004-06-26 254224]
R2 JavaQuickStarterService;Java Quick Starter; C:\Program Files\Java\jre6\bin\jqs.exe [2008-11-10 152984]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2008-10-07 163908]
R2 TabletServicePen;TabletServicePen; C:\WINDOWS\system32\Pen_Tablet.exe [2008-12-11 2749736]
R2 TabletServiceWacom;TabletServiceWacom; C:\WINDOWS\system32\Wacom_Tablet.exe [2008-10-30 2749224]
R2 TOSHIBA Bluetooth Service;TOSHIBA Bluetooth Service; C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe [2007-02-25 125048]
R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R3 iPod Service;Service de l'iPod; C:\Program Files\iPod\bin\iPodService.exe [2007-09-26 503608]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-04-13 33632]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-04-13 68952]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance; C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 1527900]
S3 IDriverT;InstallDriver Table Manager; C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728]
S3 maconfservice;Ma-Config Service; C:\Program Files\ma-config.com\maconfservice.exe [2009-01-24 216232]
S3 ose;Office Source Engine; C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 rpcapd;Remote Packet Capture Protocol v.0 (experimental); C:\Program Files\WinPcap\rpcapd.exe [2005-08-02 86016]
S3 usnjsvc;Service Messenger Sharing Folders USN Journal Reader; C:\Program Files\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328]
S3 usprserv;User Privilege Service; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
S3 WLSetupSvc;Windows Live Setup Service; C:\Program Files\Windows Live\installer\WLSetupSvc.exe [2007-10-25 266240]
S3 WMPNetworkSvc;Service Partage réseau du Lecteur Windows Media; C:\Program Files\Windows Media Player\WMPNetwk.exe [2006-11-03 918016]

-----------------EOF-----------------
0
Réponse 23 / 64
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Bien ...

Pour le bip , c'est normal ! ^^

Pour ce qui est du figage , un peut moins ... mais l'outil à fait sont job ... ;)

cependant reste quelques merdouilles incrustés ... on va s'en occupé de suite ...

fais ce qui suit :

Télécharge OAD ( par !aur3n7) : http://sosvirus.changelog.fr/OAD.exe
----> Enregistre le sur ton bureau .

Double clique sur l'icone OAD pour le lancer

- nom du fichier à rechercher :
-->tape ou fais un copier/coller de : msqpdxserv

- Type de recherche : sélectionne l'option 6 puis valide ["entrée"]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ait terminé.
Le rapport de recherche s'affichera automatiquement à l’écran dès qu'il aura terminé.

Note : suivant la taille des disques durs cette recherche peut prendre plusieurs minutes. Sois patient ...

->Sauvegarde ce rapport sur ton Bureau et fais un copier / coller de celui-ci dans ta prochaine réponse ...

Puis recommence avec :

aada9y94

poste moi donc les deux rapports obtenus et attends la suite ...

0
Réponse 24 / 64
Fro-Mage
 
voilà la prémière recherche " msqpdxserv "

29/01/2009 ---- 22:44:45,04

----------------------------------
§§§§§§ [msqpdxserv] §§§§§§
----------------------------------
[X] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete

********************
[Registre]
********************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msqpdxserv.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msqpdxserv.sys\modules]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msqpdxserv.sys\modules]
"msqpdxserv"="\\\\?\\globalroot\\systemroot\\system32\\drivers\\msqpdxlrvkaord.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\msqpdxserv.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\msqpdxserv.sys\modules]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\msqpdxserv.sys\modules]
"msqpdxserv"="\\\\?\\globalroot\\systemroot\\system32\\drivers\\msqpdxlrvkaord.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys\modules]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys\modules]
"msqpdxserv"="\\\\?\\globalroot\\systemroot\\system32\\drivers\\msqpdxlrvkaord.sys"

*******************
[Fichier]
*******************

*********************
[Même date]
*********************

Aucun fichier créé à la même date détecté

Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------

Et voici la deuxième, "aada9y94":

29/01/2009 ---- 22:48:11,35

----------------------------------
§§§§§§ [aada9y94] §§§§§§
----------------------------------
[X] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete

********************
[Registre]
********************

[HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\Scsi\Scsi Port 4]
"Driver"="aada9y94"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\ACPI\PNPA000\4&5d18f2df&0]
"DeviceDesc"="AADA9Y94 IDE Controller"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\ACPI\PNPA000\4&5d18f2df&0]
"Service"="aada9y94"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\ACPI\PNPA000\4&5d18f2df&0\Control]
"ActiveService"="aada9y94"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\aada9y94]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\aada9y94\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\aada9y94\Parameters]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\aada9y94\Parameters\PnpInterface]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\ACPI\PNPA000\4&5d18f2df&0]
"DeviceDesc"="AADA9Y94 IDE Controller"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\ACPI\PNPA000\4&5d18f2df&0]
"Service"="aada9y94"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\ACPI\PNPA000\4&5d18f2df&0]
"DeviceDesc"="AADA9Y94 IDE Controller"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\ACPI\PNPA000\4&5d18f2df&0]
"Service"="aada9y94"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\ACPI\PNPA000\4&5d18f2df&0\Control]
"ActiveService"="aada9y94"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aada9y94]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aada9y94\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aada9y94\Parameters]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aada9y94\Parameters\PnpInterface]

*******************
[Fichier]
*******************

*********************
[Même date]
*********************

Aucun fichier créé à la même date détecté

Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 64
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Bien ... la suite :

1-Créer un doc texte sur ton bureau :
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msqpdxserv.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\msqpdxserv.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys]

Driver::
msqpdxserv.sys

Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ...

2-Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.

Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touches à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : poste le accompagné d' un nouveau rapport RSIT pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
0
Réponse 26 / 64
Fro-Mage
 
Voilà le rapport de Combofix (il a rebippé comme la première fois ^^):

ComboFix 09-01-21.04 - cedric 2009-01-29 23:06:33.3 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1535.996 [GMT 1:00]
Lancé depuis: c:\documents and settings\cedric\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\cedric\Bureau\CFScript.txt
* Un nouveau point de restauration a été créé
.

((((((((((((((((((((((((((((( Fichiers créés du 2008-12-28 au 2009-01-29 ))))))))))))))))))))))))))))))))))))
.

2009-01-29 17:08 . 2009-01-29 17:08 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-01-29 17:08 . 2009-01-29 17:08 <REP> d-------- c:\documents and settings\cedric\Application Data\Malwarebytes
2009-01-29 17:08 . 2009-01-29 17:08 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-01-29 17:08 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-29 17:08 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-28 19:59 . 2009-01-28 20:12 <REP> d-------- C:\MSNFix
2009-01-28 18:49 . 2009-01-28 18:49 552 --a------ c:\windows\system32\d3d8caps.dat
2009-01-28 18:42 . 2009-01-28 18:42 579,584 --a--c--- c:\windows\system32\dllcache\user32.dll
2009-01-28 18:39 . 2009-01-28 18:39 <REP> d-------- c:\windows\ERUNT
2009-01-28 18:26 . 2009-01-28 19:07 <REP> d-------- C:\SDFix
2009-01-28 00:02 . 2009-01-28 17:21 0 --a------ c:\windows\system32\tmp.MSNFix
2009-01-27 23:36 . 2009-01-27 23:38 <REP> d-------- C:\ToolBar SD
2009-01-27 22:11 . 2009-01-27 22:11 <REP> d-------- C:\rsit
2009-01-27 19:44 . 2009-01-29 21:37 <REP> d-------- c:\documents and settings\cedric\Application Data\WTablet
2009-01-27 16:29 . 2009-01-29 21:00 <REP> d-------- c:\documents and settings\pierre\Application Data\WTablet
2009-01-26 23:18 . 2009-01-29 20:30 <REP> d-------- c:\documents and settings\LocalService\Application Data\WTablet
2009-01-26 23:15 . 2008-12-11 09:57 4,222,760 --a------ c:\windows\system32\PenTablet.cpl
2009-01-26 23:15 . 2008-11-11 10:45 1,421,964 --a------ c:\windows\system32\PenTablet.znc
2009-01-26 23:14 . 2008-12-11 10:11 2,749,736 --a------ c:\windows\system32\Pen_Tablet.exe
2009-01-26 23:14 . 2008-12-11 09:59 186,152 --a------ c:\windows\system32\Pen_Tablet.dll
2009-01-26 23:13 . 2009-01-29 16:54 <REP> d-------- c:\documents and settings\Lemaire\Application Data\WTablet
2009-01-26 23:13 . 2008-10-30 10:59 6,525,736 --a------ c:\windows\system32\WacomTablet.cpl
2009-01-26 23:13 . 2008-09-30 13:38 1,651,788 --a------ c:\windows\system32\WacomTablet.znc
2009-01-26 23:13 . 2008-04-14 04:33 21,504 --a------ c:\windows\system32\hidserv.dll
2009-01-26 23:13 . 2008-04-14 04:33 21,504 --a--c--- c:\windows\system32\dllcache\hidserv.dll
2009-01-26 23:13 . 2008-04-14 04:05 14,720 --a------ c:\windows\system32\drivers\kbdhid.sys
2009-01-26 23:13 . 2008-04-14 04:05 14,720 --a--c--- c:\windows\system32\dllcache\kbdhid.sys
2009-01-26 23:13 . 2007-02-15 15:11 11,440 --a------ c:\windows\system32\drivers\WacomVKHid.sys
2009-01-26 23:12 . 2009-01-26 23:14 <REP> d-------- c:\windows\system32\WTablet
2009-01-26 23:12 . 2009-01-26 23:15 <REP> d-------- c:\program files\Tablet
2009-01-26 23:12 . 2008-10-30 11:13 2,749,224 --a------ c:\windows\system32\Wacom_Tablet.exe
2009-01-26 23:12 . 2008-10-30 11:00 182,056 --a------ c:\windows\system32\Wacom_Tablet.dll
2009-01-26 23:12 . 2008-10-30 10:50 172,840 --a------ c:\windows\system32\Wintab32.dll
2009-01-26 23:12 . 2008-10-06 11:53 15,656 --a------ c:\windows\system32\drivers\wacmoumonitor.sys
2009-01-26 23:12 . 2008-08-18 14:45 13,352 --a------ c:\windows\system32\drivers\wacomvhid.sys
2009-01-26 23:12 . 2007-02-16 10:12 11,312 --a------ c:\windows\system32\drivers\wacommousefilter.sys
2009-01-25 22:15 . 2009-01-29 16:50 <REP> d-------- c:\program files\Mozilla Thunderbird
2009-01-25 22:15 . 2009-01-25 22:15 <REP> d-------- c:\documents and settings\Lemaire\Application Data\Thunderbird
2009-01-24 16:33 . 2009-01-24 16:47 <REP> d-------- c:\documents and settings\All Users\Application Data\Lavasoft
2009-01-14 12:12 . 2009-01-14 12:12 <REP> d-------- c:\documents and settings\Lemaire\Application Data\CoSoSys
2009-01-02 18:14 . 2008-07-29 13:33 446,464 --a------ c:\windows\system32\nvunrm.exe
2009-01-02 18:14 . 2008-07-29 13:30 6,045 --a------ c:\windows\system32\nvnrm.nvu
2009-01-02 18:14 . 2008-07-08 01:45 4,984 --a------ c:\windows\system32\drivers\nvphy.bin
2009-01-02 17:44 . 2008-07-10 04:07 7,143 --a------ c:\windows\system32\nvide.nvu
2009-01-02 17:43 . 2008-08-20 18:35 453,152 --a------ c:\windows\system32\nvusmb.exe
2009-01-02 17:43 . 2008-08-19 11:41 2,344 --a------ c:\windows\system32\nvsmb.nvu
2009-01-02 16:38 . 2009-01-02 16:38 <REP> d-------- c:\documents and settings\pierre\Application Data\SystemRequirementsLab
2009-01-02 16:22 . 2009-01-02 16:30 <REP> d-------- c:\program files\DofusArena2
2009-01-02 15:08 . 2009-01-02 15:08 <REP> d-------- c:\program files\Realtek AC97
2009-01-02 14:18 . 2009-01-26 23:10 <REP> d-------- c:\program files\ma-config.com
2009-01-02 14:18 . 2009-01-26 23:10 <REP> d-------- c:\documents and settings\All Users\Application Data\ma-config.com
2008-12-30 18:18 . 2008-12-30 18:18 <REP> d-------- c:\program files\DAEMON Tools Lite
2008-12-30 18:18 . 2008-12-30 18:18 <REP> d-------- c:\documents and settings\cedric\Application Data\DAEMON Tools Pro
2008-12-30 18:18 . 2008-12-30 18:18 <REP> d-------- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2008-12-30 18:17 . 2008-12-30 18:18 <REP> d-------- c:\documents and settings\cedric\Application Data\DAEMON Tools Lite
2008-12-30 15:13 . 2008-12-30 15:55 <REP> d-------- c:\documents and settings\cedric\Application Data\vlc
2008-12-30 15:10 . 2008-12-30 15:10 <REP> d-------- c:\program files\DVD Shrink

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-29 22:05 --------- d-----w c:\program files\Wanadoo
2009-01-29 20:00 --------- d-----w c:\documents and settings\pierre\Application Data\DNA
2009-01-29 19:31 --------- d-----w c:\program files\DNA
2009-01-29 15:42 --------- d-----w c:\documents and settings\pierre\Application Data\BitTorrent
2009-01-28 17:16 --------- d-----w c:\program files\CCleaner
2009-01-27 22:54 --------- d-----w c:\program files\Spybot - Search & Destroy
2009-01-27 22:54 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-01-27 15:53 --------- d-----w c:\documents and settings\pierre\Application Data\dvdcss
2009-01-24 15:47 --------- d-----w c:\program files\Lavasoft
2009-01-19 15:29 --------- d-----w c:\program files\Java
2009-01-02 17:50 --------- d--h--w c:\program files\InstallShield Installation Information
2009-01-02 15:38 --------- d-----w c:\program files\SystemRequirementsLab
2009-01-01 16:28 --------- d-----w c:\documents and settings\cedric\Application Data\dvdcss
2009-01-01 15:09 --------- d-----w c:\documents and settings\All Users\Application Data\DVD Shrink
2009-01-01 00:18 --------- d-----w c:\documents and settings\pierre\Application Data\vlc
2008-12-31 14:32 --------- d-----w c:\documents and settings\cedric\Application Data\BitTorrent
2008-12-31 13:44 --------- d-----w c:\program files\Ubisoft
2008-12-30 17:18 --------- d-----w c:\documents and settings\cedric\Application Data\DAEMON Tools
2008-12-30 16:18 --------- d-----w c:\documents and settings\Lemaire\Application Data\vlc
2008-12-16 12:15 --------- d-----w c:\program files\Dofus
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-12-07 17:55 --------- d-----w c:\program files\Ripp-it_AM
2008-12-07 17:54 --------- d-----w c:\program files\AviSynth 2.5
2008-12-04 17:46 --------- d-----w c:\program files\QuickTime
2008-12-04 17:46 --------- d-----w c:\program files\Fichiers communs\Apple
2008-12-04 17:45 --------- d-----w c:\program files\Apple Software Update
2008-11-22 17:19 107,888 ----a-w c:\windows\system32\CmdLineExt.dll
2008-11-20 12:51 4,096 --sha-w c:\program files\Thumbs.db
2008-11-12 12:45 453,152 ----a-w c:\windows\system32\NVUNINST.EXE
2008-11-10 04:43 410,984 ----a-w c:\windows\system32\deploytk.dll
2007-09-29 11:21 357 ----a-w c:\documents and settings\pierre\.cb_layout.bin
2007-07-04 09:58 1 ----a-w c:\documents and settings\cedric\SI.bin
2006-11-03 22:27 278,528 ----a-w c:\program files\Fichiers communs\FDEUnInstaller.exe
2003-12-19 14:18 7,999,018 ----a-w c:\program files\e3.exe
2003-12-03 08:42 6,865 ----a-w c:\program files\readme.txt
2003-12-03 07:19 9,051,567 ----a-w c:\program files\e3.pdf
2003-11-21 14:38 12,058 ----a-w c:\program files\license.txt
2003-05-23 03:47 126,313 ----a-w c:\program files\localizeTC.txt
2003-05-23 03:47 126,311 ----a-w c:\program files\localizeSC.txt
2003-05-23 03:46 161,255 ----a-w c:\program files\localizeFr.txt
2003-05-23 03:46 158,579 ----a-w c:\program files\localizeDe.txt
2003-05-15 18:04 345 ----a-w c:\program files\default.itl
2002-11-25 21:28 11,093 ----a-w c:\program files\default.ccl
2002-07-14 03:54 3,175 ----a-w c:\program files\vwidth.txt
2002-06-27 05:33 0 ----a-w c:\program files\RsrcRoot.txt
2002-06-27 05:33 0 ----a-w c:\program files\ImageLst.txt
2002-05-01 21:46 342,076 ----a-w c:\program files\patternDe.txt
2002-05-01 20:38 3,453 ----a-w c:\program files\gradDe.txt
2002-05-01 20:19 11,505 ----a-w c:\program files\spotclrDe.txt
2002-04-09 08:46 342,669 ----a-w c:\program files\patternFr.txt
2002-04-09 07:10 342,280 ----a-w c:\program files\pattern.txt
2002-03-17 03:44 11,494 ----a-w c:\program files\spotclrFr.txt
2002-03-17 00:56 3,448 ----a-w c:\program files\gradFr.txt
2001-09-20 06:56 0 ----a-w c:\program files\e3.txt
2001-06-20 00:36 3,661 ----a-w c:\program files\gradTC.txt
2001-06-19 22:25 86,571 ----a-w c:\program files\patternTC.txt
2001-06-19 22:25 15,062 ----a-w c:\program files\spotclrTC.txt
2001-06-19 09:30 86,717 ----a-w c:\program files\patternSC.txt
2001-06-19 09:12 3,695 ----a-w c:\program files\gradSC.txt
2001-06-16 06:01 10,682 ----a-w c:\program files\spotclrSC.txt
2000-10-27 06:29 11,468 ----a-w c:\program files\spotclr.txt
2000-10-26 23:29 3,423 ----a-w c:\program files\grad.txt
1999-11-24 22:37 57,344 ----a-w c:\program files\zlib.dll
2008-08-31 17:15 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008083120080901\index.dat
.

((((((((((((((((((((((((((((( snapshot@2009-01-29_18.23.51,31 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-10-20 19:02:28 163,328 ----a-w c:\windows\ERDNT\subs\ERDNT.EXE
+ 2009-01-29 20:37:25 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_a8.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"WOOKIT"="c:\program files\Wanadoo\Shell.exe" [2004-08-23 122880]
"msnmsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]
"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]
"WOOTASKBARICON"="c:\progra~1\Wanadoo\GestMaj.exe" [2004-10-14 32768]
"Realtime Monitor"="c:\progra~1\CA\ETRUST~1\realmon.exe" [2004-06-26 504080]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2006-01-12 155648]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2007-09-26 267064]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-09-06 413696]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-07 86016]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"nwiz"="nwiz.exe" [2008-10-07 c:\windows\system32\nwiz.exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 c:\windows\system32\bthprops.cpl]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 c:\windows\soundman.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2007-03-14 2756608]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.mjpg"= pvmjpg30.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\[u]0/uautocheck lsdelete

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Original War\\OwarFull.DLL"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"c:\\Program Files\\eMule\\eMule.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"c:\\Program Files\\CA\\eTrust Antivirus\\InocIT.exe"=
"c:\\Program Files\\CA\\eTrust Antivirus\\Realmon.exe"=
"c:\\Program Files\\Warcraft III\\Warcraft III.exe"=
"c:\\Program Files\\CA\\eTrust Antivirus\\Shellscn.exe"=
"c:\\Program Files\\TrackMania United\\TmUnited.exe"=
"c:\\Program Files\\Xfire\\xfire.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Program Files\\Ubisoft\\Ghost Recon Advanced Warfighter\\GRAW.exe"=
"c:\\UT2004\\System\\UT2004.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Program Files\\Ubisoft\\Tom Clancy's Rainbow Six Vegas\\Binaries\\R6Vegas_Game.exe"=
"c:\\Program Files\\Ubisoft\\Tom Clancy's Rainbow Six Vegas\\Binaries\\R6Vegas_Launcher.exe"=
"c:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\RM.exe"=
"c:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\PMSRegisterFile.exe"=
"c:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\umi.exe"=
"c:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\VideoSpin.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\DNA\\btdna.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"28000:TCP"= 28000:TCP:Age of Empires
"28000:UDP"= 28000:UDP:Age of empires
"29100:TCP"= 29100:TCP:Age of Empires
"29100:UDP"= 29100:UDP:Age of empires
"29630:TCP"= 29630:TCP:29630
"64259:UDP"= 64259:UDP:64259
"6112:TCP"= 6112:TCP:Warcraft_6112_TCP
"6112:UDP"= 6112:UDP:warcraft_6112_UDP
"6119:UDP"= 6119:UDP:Warcraft_6119_UDP
"6119:TCP"= 6119:TCP:Warcraft_6119_TCP
"4000:TCP"= 4000:TCP:Warcraft_4000_TCP
"4000:UDP"= 4000:UDP:Warcraft_4000_UDP

R3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [2005-11-02 215552]
R3 wacmoumonitor;Wacom Mode Helper;c:\windows\system32\drivers\wacmoumonitor.sys [2009-01-26 15656]
R4 TabletServicePen;TabletServicePen;c:\windows\system32\Pen_Tablet.exe [2009-01-26 2749736]
R4 TabletServiceWacom;TabletServiceWacom;c:\windows\system32\Wacom_Tablet.exe [2009-01-26 2749224]
S3 CAM1210;USB Video Camera;c:\windows\system32\drivers\cam1210.sys [2007-01-09 91776]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\MAGIX\Common\Database\bin\fbserver.exe [2008-07-21 1527900]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2009-01-24 216232]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2005-08-02 32512]
.
Contenu du dossier 'Tâches planifiées'

2009-01-29 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
.
------- Examen supplémentaire -------
.
mWindow Title =
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: { - c:\program files\Messenger\msmsgs.exe
FF - ProfilePath - c:\documents and settings\cedric\Application Data\Mozilla\Firefox\Profiles\g8mwrjlh.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Dailymotion
FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npbittorrent.dll

---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-29 23:07:40
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"cd042efbbd7f7af1647644e76e06692b"=hex:c8,28,51,af,b0,29,a3,98,c0,fd,83,81,bb,
90,9d,eb,e2,63,26,f1,3f,c8,ff,68,40,2a,2e,1f,30,4b,60,ad,e2,63,26,f1,3f,c8,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"bca643cdc5c2726b20d2ecedcc62c59b"=hex:71,3b,04,66,8b,46,0d,96,1b,f9,7c,30,1a,
61,eb,89,6a,9c,d6,61,af,45,84,18,27,74,93,ce,87,c9,bb,cb,6a,9c,d6,61,af,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"2c81e34222e8052573023a60d06dd016"=hex:25,da,ec,7e,55,20,c9,26,99,07,e4,7a,31,
06,2c,a5,ff,7c,85,e0,43,d4,0e,fe,11,d5,de,d9,34,a3,e6,20,ff,7c,85,e0,43,d4,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"2582ae41fb52324423be06337561aa48"=hex:86,8c,21,01,be,91,eb,e7,be,80,4d,70,fa,
94,7e,6f,86,8c,21,01,be,91,eb,e7,05,f8,fd,1e,d1,8e,ff,80,86,8c,21,01,be,91,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"caaeda5fd7a9ed7697d9686d4b818472"=hex:cd,44,cd,b9,a6,33,6c,cd,8f,00,84,53,b3,
d0,68,a4,f5,1d,4d,73,a8,13,5c,05,37,15,b4,64,86,ce,6d,68,f5,1d,4d,73,a8,13,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:b0,18,ed,a7,3f,8d,37,a4,3a,80,69,4e,a2,
f5,5a,c5,df,20,58,62,78,6b,cf,c8,bf,b8,65,61,af,50,04,9c,df,20,58,62,78,6b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"4d370831d2c43cd13623e232fed27b7b"=hex:31,77,e1,ba,b1,f8,68,02,1e,cc,30,7b,ec,
f5,53,ed,fb,a7,78,e6,12,2f,9a,ea,e3,30,28,98,37,ff,8a,01,fb,a7,78,e6,12,2f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"1d68fe701cdea33e477eb204b76f993d"=hex:01,3a,48,fc,e8,04,4a,f1,20,0d,08,55,e7,
9a,74,46,01,3a,48,fc,e8,04,4a,f1,da,3f,90,3d,fe,41,6c,0b,01,3a,48,fc,e8,04,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"1fac81b91d8e3c5aa4b0a51804d844a3"=hex:f6,0f,4e,58,98,5b,89,c9,59,42,6c,f0,2e,
12,f6,79,f6,0f,4e,58,98,5b,89,c9,93,0a,72,85,44,71,c4,58,f6,0f,4e,58,98,5b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"f5f62a6129303efb32fbe080bb27835b"=hex:3d,ce,ea,26,2d,45,aa,78,39,50,d7,3d,c7,
90,fb,0b,3d,ce,ea,26,2d,45,aa,78,79,fd,9d,7e,13,49,26,b4,3d,ce,ea,26,2d,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:2a,b7,cc,b5,b9,7f,41,e7,23,94,da,52,9f,
b6,47,f3,2a,b7,cc,b5,b9,7f,41,e7,1c,24,df,9c,2a,d0,d2,6d,2a,b7,cc,b5,b9,7f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"8a8aec57dd6508a385616fbc86791ec2"=hex:fa,ea,66,7f,d4,3b,6b,70,cc,ae,3c,dd,4f,
18,50,1f,6c,43,2d,1e,aa,22,2f,9c,d0,e5,ee,42,86,d0,47,d8,6c,43,2d,1e,aa,22,\

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ •€|ù•9~ *]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
Heure de fin: 2009-01-29 23:09:22
ComboFix-quarantined-files.txt 2009-01-29 22:09:17
ComboFix2.txt 2009-01-29 20:42:26
ComboFix3.txt 2009-01-29 17:25:05

Avant-CF: 33 210 454 016 octets libres
Après-CF: 33,195,466,752 octets libres

320 --- E O F --- 2009-01-29 17:03:37
0
Réponse 27 / 64
Fro-Mage
 
et celui de RSIT:
Logfile of random's system information tool 1.05 (written by random/random)
Run by cedric at 2009-01-29 23:10:14
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 32 GB (21%) free of 153 GB
Total RAM: 1535 MB (66% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:10:19, on 29/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
C:\Program Files\CA\eTrust Antivirus\InoRT.exe
C:\Program Files\CA\eTrust Antivirus\InoTask.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\Wacom_Tablet.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
C:\WINDOWS\system32\WTablet\Wacom_TabletUser.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\Wacom_Tablet.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\QTTask.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\imapi.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\cedric\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\cedric.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Bluetooth Manager.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Program Files\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} (Java Plug-in 1.5.0_11) -
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) -
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Serveur RPC eTrust Antivirus (InoRPC) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: Serveur eTrust Antivirus Temps réel (InoRT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRT.exe
O23 - Service: Serveur de jobs eTrust Antivirus (InoTask) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe
O23 - Service: TabletServiceWacom - Wacom Technology, Corp. - C:\WINDOWS\system32\Wacom_Tablet.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
0
Réponse 28 / 64
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Bien ...

on est ok ! .... Dis moi comment va le PC ? .... du mieux ?

fais ceci stp :

souligne>Télécharge GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) </souligne>:
http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip

!!Déconnecte toi et ferme tes applications en cours !!

Dézippe (=extraire tout) le contenu de ce que tu viens de télécharger sur ton bureau .

Ouvre le dossier Genproc :
* double-clique sur GenProc.bat et laisse faire ...

* A la question "faites vous aidez sur un forum..." > clique sur " oui " .

-> poste le contenu du rapport qui s'ouvre ...

Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .

0
Réponse 29 / 64
Fro-Mage
 
Un mieux? oula oui, merci beaucoup ! Je n'ai plus du tout de pop-up sur Firefox (I.E je sais pas, mais j'utilise pas de toutes façons). En puis Spybot remarche. Hier, après l'avoir desinstallé (façon bourrine d'enlever le TeaTimer) j'ai tenté de le réinstaller: le site officiel ne marchait toujours pas, je l'ai pris sur 01net mais l'installation était bloquée (par un des virus?). Aujourd'hui tout marche: le site, l'installation, les MaJ...

Sinon tu aurais un antivirus à me conseiller (pas forcement gratuit), histoire d'éviter de faire ce genre de manip' tous les quatre matins... merci

Et voilà le rapport GenProc:
Rapport GenProc 2.351 [1] - 29/01/2009 - Windows XP

Il est impératif de désactiver le résident TeaTimer de Spybot pendant l'ensemble des manipulations qui vont suivre. Aide Tea-Timer : http://ww11.genproc.com/spybot/spybot.html

Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

# Etape 1/ Télécharge :

- SDfix http://downloads.andymanchesta.com/RemovalTools/SDFix.exe (Andy Manchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis "Install" pour l'extraire dans C:\.

Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ ; pour retrouver le rapport, clique sur le raccourci "GenProc" sur ton bureau. Choisis ta session courante *** cedric ***

# Etape 2/

Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script.
- Appuie sur Y pour commencer le processus de nettoyage.
- Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche
pour redémarrer, fais-le pour redémarrer le PC.
- Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
- Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.br />- Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.br />- Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

# Etape 3/

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 4/

Redémarre normalement et poste, dans la même réponse :

- Le contenu du fichier Report.txt;
- Un nouveau rapport HijackThis http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ;

Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

____________________________________________________________________________________________________________

Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
0
Réponse 30 / 64
Fro-Mage
 
n'importe quoi! emporté par... l'habitude (on peut parler de ça maintenant)... ça y est, dès que je vois du .txt...
Alala bon je vais lire et suivre tout ça
0
Réponse 31 / 64
Fro-Mage
 
Euh... je voudrais une confirmation avant de faire tout ça. Comme tu peux le voir (xD), on me demande d'utiliser SDFix (ce qui a déjà été fait) et Hijackthis, alors qu'en même temps tu me demande de ne pas lancer d'applications... c'est pas un peu contradictoire?
0
Réponse 32 / 64
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Effectivement ,c'est bizard ....

Tu me dis que tu as réinstaller Spybot ... j'espère que le " tea timer " est bien désactiver ! ( si tu as un doute , l'astuce pour le désactiver est dans ce poste > http://www.commentcamarche.net/forum/affich 10729773 probleme avec un virus win32#6 )

laisse courrir Genproc pour le moment et fais ce qui suit dans l'ordre :

1-Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://pc-system.fr/

Déconnecte toi et ferme bien toutes tes applications en cours .

Lances le .
*Clique sur Recherche et laisse le scan se terminer (cela peut être long).
*Clique sur Suppression pour finaliser.
*Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
--> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt .

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé .

( garde CCleaner et Malwarebytes : très utiles ! )

======================================

2- Refais un coup de CCleaner ( registre compris ) .

======================================

3- Retélécharge et réinstalle hijackthis ( car supprimé par Toolscleaner2 ) ,

Télécharge et installe le logiciel HijackThis :

ici ftp://ftp.commentcamarche.com/download/HJTInstall.exe
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment )

======================================

4- Important :
Purge de la restauration système
*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
---> Redémarre ton PC ...

*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
--->Redémarre ton PC ...

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).

======================================

5- Fais ce scan en ligne pour vérifier :

( ne rien faire d'autre avec le PC durant le scan ! )

Fais un scan en ligne avec Kaspersky : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
- Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >.
Le scan ne marche que sous Internet Explorer(et pas sous firefox ou autre...).
- On va te demander de télécharger un contôle active x, accepte .
- Dans le menu Choisissez la cible de l'analyse, sélectionne Poste de travail. Le scan va commencer.
- Sauvegarde le rapport qui sera généré, puis copie/colle le dans ta prochaine réponse pour analyse et attends la suite ...

--> tuto :
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566

Note :
*Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte-toi sur le site de Kaspersky pour retenter le scan en ligne.

*S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : http://www.inoculer.com/activex.php3
Rappel : le scan est à faire sous Internet Explorer !

0
Réponse 33 / 64
Fro-Mage
 
Désolé pour hier j'ai pas pu continuer la dévirusification... mais me revoilà :-)

Alors quand on s'est quitté jeudi soir, j'avais bien suivi toutes tes étapes, mais comme il se faisait trad et que je ne peux pas laisser l'ordi tourner toute la nuit, j'ai arrêté Kaspersky en cours d'analyse. Ce matin quand j'ai repris, j'ai pensé qu'il vallait mieux recommencer à partir de l'étape 2 (Ccleaner). J'ai donc refait le coup de la purge de restauration système, alors que cela avait été fait la veille (c'est juste pour prévenir au cas où)

Voilà le rapport Toolscleaner (au fait merci pour ce logiciel, je me deamandais comment je pourrait bien enlever tous les rapports dispersés un peu partout ^^):
[ Rapport ToolsCleaner version 2.3.0 (par A.Rothstein & dj QUIOU) ]

-->- Recherche:

C:\Combofix.txt: trouvé !
C:\TB.txt: trouvé !
C:\*.msnfix: trouvé !
C:\SDFIX: trouvé !
C:\FixWareOut: trouvé !
C:\Combofix: trouvé !
C:\MsnFix: trouvé !
C:\Qoobox: trouvé !
C:\Toolbar SD: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\cedric\Bureau\SdFix.exe: trouvé !
C:\Documents and Settings\cedric\Bureau\Msnfix.zip: trouvé !
C:\Documents and Settings\cedric\Bureau\GenProc.zip: trouvé !
C:\Documents and Settings\cedric\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\cedric\Bureau\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\cedric\Bureau\ToolBarSD.exe: trouvé !
C:\Documents and Settings\cedric\Bureau\OAD.exe: trouvé !
C:\Documents and Settings\cedric\Bureau\Rsit.exe: trouvé !
C:\Documents and Settings\cedric\Bureau\SmitFraudfix: trouvé !
C:\Documents and Settings\cedric\Bureau\GenProc: trouvé !
C:\Documents and Settings\cedric\Bureau\GenProc\Page\GenProc[*].html: trouvé !
C:\Documents and Settings\Lemaire\Bureau\hijackthis.log: trouvé !
C:\Documents and Settings\pierre\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\pierre\Bureau\HJTInstall.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\Program Files\Utils\Gmer.exe: trouvé !
C:\Program Files\Utils\hijackthis.log: trouvé !
C:\WINDOWS\Gmer.exe: trouvé !
C:\WINDOWS\msnfix.txt: trouvé !
C:\WINDOWS\system32\*.msnfix: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\cedric\Bureau\SdFix.exe: supprimé !
C:\Documents and Settings\cedric\Bureau\Msnfix.zip: supprimé !
C:\Documents and Settings\cedric\Bureau\GenProc.zip: supprimé !
C:\Documents and Settings\cedric\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\cedric\Bureau\SmitFraudFix.exe: supprimé !
C:\Documents and Settings\cedric\Bureau\ToolBarSD.exe: supprimé !
C:\Documents and Settings\pierre\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\pierre\Bureau\HJTInstall.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Program Files\Utils\Gmer.exe: supprimé !
C:\WINDOWS\Gmer.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\TB.txt: supprimé !
C:\*.msnfix: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\cedric\Bureau\OAD.exe: supprimé !
C:\Documents and Settings\cedric\Bureau\Rsit.exe: supprimé !
C:\Documents and Settings\cedric\Bureau\GenProc\Page\GenProc[*].html: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\Lemaire\Bureau\hijackthis.log: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Program Files\Utils\hijackthis.log: supprimé !
C:\WINDOWS\msnfix.txt: supprimé !
C:\WINDOWS\system32\*.msnfix: ERREUR DE SUPPRESSION !!
C:\SDFIX: supprimé !
C:\FixWareOut: supprimé !
C:\Combofix: supprimé !
C:\MsnFix: supprimé !
C:\Qoobox: supprimé !
C:\Toolbar SD: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\cedric\Bureau\SmitFraudfix: supprimé !
C:\Documents and Settings\cedric\Bureau\GenProc: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Et sinon pour Kaspersky, l'analyse semble être finie, mais aucune fenêtre contenant le rapport ne s'est ouverte, et je ne sais pas comment aller l'avoir...
0
Réponse 34 / 64
Fro-Mage
 
Je comprend pas j'ai répondu et le message semble avoir été bien comptabilisé dans la liste des sujets (35 message) mais quand je clique sur le sujet, on me dit seulement 34 réponses et je retrouve pas mon message, donc je reposte:
Désolé pour hier j'ai pas pu me connecter et continuer la dévirusification... Mais me revoilà :-)
Alors merci pour ToolsCleaner, je me demandais comment je ferai une fois tout fini pour enlever tous les rapports etc... ben voilà (je met le rapport en fin de message).

Jeudi soir quand on s'est quitté, j'avais lancé l'analyse Kaspersky, pensant que ça serait rapide. Mais bon, il se faisait tard et j'ai dû tout arrêter pour aller dormir. Aujourd'hui, j'ai avant l'analyse, j'ai refait le coup du CCleaner, et celui de la purge de la restauration du système (je préviens au cas où...).
L'analyse en ligne semble s'être bien déroulée, enfin, 11 virus détectés dans 37 fichiers... on n'est pas sortis de l'auberge :-p
Par contre je n'arrive pas à obtenir le rapport: e compteur de temps s'est arrêté, y a écrit "terminé" là où défilaient les noms des fichiers analysaient, mais aucun rapport n'est apparu, et le bouton stopper l'analyse n'a pas disparu, comme si elle fonctionnait toujours... Je fais quoi pour avoir le rapport?

Et sinon voici le rapport ToolsCleaner:
[ Rapport ToolsCleaner version 2.3.0 (par A.Rothstein & dj QUIOU) ]

-->- Recherche:

C:\Combofix.txt: trouvé !
C:\TB.txt: trouvé !
C:\*.msnfix: trouvé !
C:\SDFIX: trouvé !
C:\FixWareOut: trouvé !
C:\Combofix: trouvé !
C:\MsnFix: trouvé !
C:\Qoobox: trouvé !
C:\Toolbar SD: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\cedric\Bureau\SdFix.exe: trouvé !
C:\Documents and Settings\cedric\Bureau\Msnfix.zip: trouvé !
C:\Documents and Settings\cedric\Bureau\GenProc.zip: trouvé !
C:\Documents and Settings\cedric\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\cedric\Bureau\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\cedric\Bureau\ToolBarSD.exe: trouvé !
C:\Documents and Settings\cedric\Bureau\OAD.exe: trouvé !
C:\Documents and Settings\cedric\Bureau\Rsit.exe: trouvé !
C:\Documents and Settings\cedric\Bureau\SmitFraudfix: trouvé !
C:\Documents and Settings\cedric\Bureau\GenProc: trouvé !
C:\Documents and Settings\cedric\Bureau\GenProc\Page\GenProc[*].html: trouvé !
C:\Documents and Settings\Lemaire\Bureau\hijackthis.log: trouvé !
C:\Documents and Settings\pierre\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\pierre\Bureau\HJTInstall.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\Program Files\Utils\Gmer.exe: trouvé !
C:\Program Files\Utils\hijackthis.log: trouvé !
C:\WINDOWS\Gmer.exe: trouvé !
C:\WINDOWS\msnfix.txt: trouvé !
C:\WINDOWS\system32\*.msnfix: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\cedric\Bureau\SdFix.exe: supprimé !
C:\Documents and Settings\cedric\Bureau\Msnfix.zip: supprimé !
C:\Documents and Settings\cedric\Bureau\GenProc.zip: supprimé !
C:\Documents and Settings\cedric\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\cedric\Bureau\SmitFraudFix.exe: supprimé !
C:\Documents and Settings\cedric\Bureau\ToolBarSD.exe: supprimé !
C:\Documents and Settings\pierre\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\pierre\Bureau\HJTInstall.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Program Files\Utils\Gmer.exe: supprimé !
C:\WINDOWS\Gmer.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\TB.txt: supprimé !
C:\*.msnfix: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\cedric\Bureau\OAD.exe: supprimé !
C:\Documents and Settings\cedric\Bureau\Rsit.exe: supprimé !
C:\Documents and Settings\cedric\Bureau\GenProc\Page\GenProc[*].html: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\Lemaire\Bureau\hijackthis.log: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Program Files\Utils\hijackthis.log: supprimé !
C:\WINDOWS\msnfix.txt: supprimé !
C:\WINDOWS\system32\*.msnfix: ERREUR DE SUPPRESSION !!
C:\SDFIX: supprimé !
C:\FixWareOut: supprimé !
C:\Combofix: supprimé !
C:\MsnFix: supprimé !
C:\Qoobox: supprimé !
C:\Toolbar SD: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\cedric\Bureau\SmitFraudfix: supprimé !
C:\Documents and Settings\cedric\Bureau\GenProc: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
0
Réponse 35 / 64
Fro-Mage
 
Lol maintenant y a mes deux réponses ><
je ne cherche même plus à comprendre
0
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
attend pour voir si l'analyse se termine ...

si cela traine , il est peut-être bloqué : dans ce cas là , tu stopes et poste le rapport ...

Il me le faut complet !!! avec les détailles ( vu qu'il a encore trouvé des infections ) .


0
Réponse 36 / 64
Fro-Mage
 
Erf c'est trop con, MaJ automatique Windows, et mon PC redémarre tout seul ><
bon je refais une analyse (le première a pris 3h)
0
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Pas grave ... Il faut le refaire ....


poste moi le rapport dès que possible ... A tout' ...


0
Réponse 37 / 64
Fro-Mage
 
Voila c'est fini:
KASPERSKY ON-LINE SCANNER REPORT
Saturday, January 31, 2009 10:40:30 PM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)
Kaspersky On-line Scanner version : 5.0.84.2
Dernière mise à jour de la base antivirus Kaspersky : 31/01/2009
Enregistrements dans la base antivirus Kaspersky : 1560529

Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie vrai

Cible de l'analyse Poste de travail
A:\
C:\
D:\
E:\
F:\

Statistiques de l'analyse
Total d'objets analysés 180972
Nombre de virus trouvés 10
Nombre d'objets infectés 36 / 0
Nombre d'objets suspects 0
Durée de l'analyse 04:16:30

Nom de l'objet infecté Nom du virus Dernière action
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\1e30ac7d17a1facd99645275642c155e_bed2351f-efe0-4fc6-81d0-2e6ee1406813 L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\2bf75d371470f49c0215b0a8ef49f471_bed2351f-efe0-4fc6-81d0-2e6ee1406813 L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\31d891b32a9a1763bbc474fb156ef201_bed2351f-efe0-4fc6-81d0-2e6ee1406813 L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\a396c183c315a70a23b58b26e6a94250_bed2351f-efe0-4fc6-81d0-2e6ee1406813 L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\user.dmp L'objet est verrouillé ignoré

C:\Documents and Settings\cedric\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\cedric\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\cedric\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\cedric\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\cedric\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\cedric\Local Settings\Historique\History.IE5\MSHist012009013120090201\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\cedric\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat L'objet est verrouillé ignoré

C:\Documents and Settings\cedric\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\cedric\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\cedric\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Lemaire\Mes documents\Catherine LEMAIRE\teenporn-562-movies3317.exe/stream/Script Infecté : Worm.Win32.AutoTDSS.bcw ignoré

C:\Documents and Settings\Lemaire\Mes documents\Catherine LEMAIRE\teenporn-562-movies3317.exe/stream/data0001 Infecté : Packed.Win32.Tdss.a ignoré

C:\Documents and Settings\Lemaire\Mes documents\Catherine LEMAIRE\teenporn-562-movies3317.exe/stream Infecté : Packed.Win32.Tdss.a ignoré

C:\Documents and Settings\Lemaire\Mes documents\Catherine LEMAIRE\teenporn-562-movies3317.exe NSIS: infecté - 3 ignoré

C:\Documents and Settings\Lemaire\Mes documents\Catherine LEMAIRE\track-end.v.3.295.exe/stream/data0001 Infecté : Packed.Win32.Tdss.a ignoré

C:\Documents and Settings\Lemaire\Mes documents\Catherine LEMAIRE\track-end.v.3.295.exe/stream Infecté : Packed.Win32.Tdss.a ignoré

C:\Documents and Settings\Lemaire\Mes documents\Catherine LEMAIRE\track-end.v.3.295.exe NSIS: infecté - 2 ignoré

C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\pierre\Bureau\Merdier\Autres\Voir contact qui ton bloquer.plsc/huhu_ctrl.js Infecté : Backdoor.JS.Agent.a ignoré

C:\Documents and Settings\pierre\Bureau\Merdier\Autres\Voir contact qui ton bloquer.plsc ZIP: infecté - 1 ignoré

C:\Documents and Settings\pierre\Bureau\Merdier\Raccourcis - Logiciels\Contact\pcontact.rar/Pcontact/Pirater contact/A envoyer à la victime/Voir contact qui ton bloquer.plsc/huhu_ctrl.js Infecté : Backdoor.JS.Agent.a ignoré

C:\Documents and Settings\pierre\Bureau\Merdier\Raccourcis - Logiciels\Contact\pcontact.rar/Pcontact/Pirater contact/A envoyer à la victime/Voir contact qui ton bloquer.plsc Infecté : Backdoor.JS.Agent.a ignoré

C:\Documents and Settings\pierre\Bureau\Merdier\Raccourcis - Logiciels\Contact\pcontact.rar RAR: infecté - 2 ignoré

C:\Program Files\CA\eTrust Antivirus\DB\rtmaster.dbf L'objet est verrouillé ignoré

C:\Program Files\CA\eTrust Antivirus\DB\rtmaster.ntx L'objet est verrouillé ignoré

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\System Volume Information\_restore{C50603B5-12FD-4606-8519-9B1660ECA561}\RP3\A0000360.dll Infecté : Trojan-Downloader.Win32.Exchanger.atl ignoré

C:\System Volume Information\_restore{C50603B5-12FD-4606-8519-9B1660ECA561}\RP3\change.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\Temp\Perflib_Perfdata_ac.dat L'objet est verrouillé ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

F:\Documents and Settings\Lemaire\Local Settings\Temp\jar_cache28853.tmp/MagicApplet.class Infecté : Trojan-Downloader.Java.OpenConnection.ao ignoré

F:\Documents and Settings\Lemaire\Local Settings\Temp\jar_cache28853.tmp/OwnClassLoader.class Infecté : Trojan.Java.ClassLoader.au ignoré

F:\Documents and Settings\Lemaire\Local Settings\Temp\jar_cache28853.tmp/Installer.class Infecté : Trojan-Downloader.Java.OpenConnection.ao ignoré

F:\Documents and Settings\Lemaire\Local Settings\Temp\jar_cache28853.tmp ZIP: infecté - 3 ignoré

F:\Documents and Settings\Lemaire\Local Settings\Temp\jar_cache48329.tmp/Baaaaa.class Infecté : Trojan.Java.ClassLoader.ap ignoré

F:\Documents and Settings\Lemaire\Local Settings\Temp\jar_cache48329.tmp/BaaaaBaa.class Infecté : Trojan.Java.ClassLoader.ap ignoré

F:\Documents and Settings\Lemaire\Local Settings\Temp\jar_cache48329.tmp/VaaaaaaaBaa.class Infecté : Trojan.Java.ClassLoader.ap ignoré

F:\Documents and Settings\Lemaire\Local Settings\Temp\jar_cache48329.tmp ZIP: infecté - 3 ignoré

F:\Documents and Settings\Lemaire\Local Settings\Temp\jar_cache52179.tmp/Baaaaa.class Infecté : Trojan.Java.ClassLoader.ap ignoré

F:\Documents and Settings\Lemaire\Local Settings\Temp\jar_cache52179.tmp/BaaaaBaa.class Infecté : Trojan.Java.ClassLoader.ap ignoré

F:\Documents and Settings\Lemaire\Local Settings\Temp\jar_cache52179.tmp/VaaaaaaaBaa.class Infecté : Trojan.Java.ClassLoader.ap ignoré

F:\Documents and Settings\Lemaire\Local Settings\Temp\jar_cache52179.tmp ZIP: infecté - 3 ignoré

F:\Documents and Settings\Lemaire\Local Settings\Temp\notepad.exe Infecté : Trojan.Win32.Monder.gen ignoré

F:\Documents and Settings\Lemaire\Mes documents\Catherine LEMAIRE\black-codec.v.4.572.exe/data0001 Infecté : Trojan-Dropper.NSIS.Agent.c ignoré

F:\Documents and Settings\Lemaire\Mes documents\Catherine LEMAIRE\black-codec.v.4.572.exe NSIS: infecté - 1 ignoré

F:\Documents and Settings\Lemaire\Mes documents\Catherine LEMAIRE\young_girl_getting_fucked_by_big_cock.wmv.exe/data0003 Infecté : Packed.Win32.PolyCrypt.m ignoré

F:\Documents and Settings\Lemaire\Mes documents\Catherine LEMAIRE\young_girl_getting_fucked_by_big_cock.wmv.exe/data0004 Infecté : Packed.Win32.PolyCrypt.m ignoré

F:\Documents and Settings\Lemaire\Mes documents\Catherine LEMAIRE\young_girl_getting_fucked_by_big_cock.wmv.exe NSIS: infecté - 2 ignoré

F:\Documents and Settings\pierre\Bureau\Merdier\Autres\Voir contact qui ton bloquer.plsc/huhu_ctrl.js Infecté : Backdoor.JS.Agent.a ignoré

F:\Documents and Settings\pierre\Bureau\Merdier\Autres\Voir contact qui ton bloquer.plsc ZIP: infecté - 1 ignoré

F:\Documents and Settings\pierre\Bureau\Merdier\Raccourcis - Logiciels\Contact\pcontact.rar/Pcontact/Pirater contact/A envoyer à la victime/Voir contact qui ton bloquer.plsc/huhu_ctrl.js Infecté : Backdoor.JS.Agent.a ignoré

F:\Documents and Settings\pierre\Bureau\Merdier\Raccourcis - Logiciels\Contact\pcontact.rar/Pcontact/Pirater contact/A envoyer à la victime/Voir contact qui ton bloquer.plsc Infecté : Backdoor.JS.Agent.a ignoré

F:\Documents and Settings\pierre\Bureau\Merdier\Raccourcis - Logiciels\Contact\pcontact.rar RAR: infecté - 2 ignoré

F:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

F:\System Volume Information\_restore{C50603B5-12FD-4606-8519-9B1660ECA561}\RP3\change.log L'objet est verrouillé ignoré

Analyse terminée.
0
Réponse 38 / 64
ghani.benmekki Messages postés 141 Statut Membre 4
 
Esaye Panda
0
Réponse 39 / 64
Fro-Mage
 
Si ça te dérange pas je vais attendre la réponse de sKe69 ^^
0
Réponse 40 / 64
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
bien ...

encore un max de merdouilles ( dans toutes tes partitions C et F ) ... faut arrètez de surfer sur les site douteux et de télécharger des conneries pour pirater des comptes MSN !!! Car du coup , c'est toi qui es couillonné ... -_-"

on continue :

1- Télécharge OTMoveIt3 (de Old_Timer) sur ton Bureau.

http://oldtimer.geekstogo.com/OTMoveIt3.exe

! Déconnecte toi et ferme toutes tes applications en cours !

Double clique sur "OTMoveIt3.exe" pour ouvrir le prg .
Puis copie ce qui se trouve en citation ci-dessous, 

:Processes
explorer.exe

:Services

:Reg

:Files
C:\Documents and Settings\Lemaire\Mes documents\Catherine LEMAIRE\teenporn-562-movies3317.exe
C:\Documents and Settings\Lemaire\Mes documents\Catherine LEMAIRE\track-end.v.3.295.exe
C:\Documents and Settings\pierre\Bureau\Merdier\Autres\Voir contact qui ton bloquer.plsc
C:\Documents and Settings\pierre\Bureau\Merdier\Raccourcis - Logiciels\Contact\pcontact.rar
F:\Documents and Settings\Lemaire\Local Settings\Temp\jar_cache28853.tmp
F:\Documents and Settings\Lemaire\Local Settings\Temp\jar_cache48329.tmp
F:\Documents and Settings\Lemaire\Local Settings\Temp\jar_cache52179.tmp
F:\Documents and Settings\Lemaire\Local Settings\Temp\notepad.exe
F:\Documents and Settings\Lemaire\Mes documents\Catherine LEMAIRE\black-codec.v.4.572.exe
F:\Documents and Settings\Lemaire\Mes documents\Catherine LEMAIRE\young_girl_getting_fucked_by_big_cock.wmv.exe
F:\Documents and Settings\pierre\Bureau\Merdier\Autres\Voir contact qui ton bloquer.plsc
F:\Documents and Settings\pierre\Bureau\Merdier\Raccourcis - Logiciels\Contact\pcontact.rar

:Commands
[purity]
[emptytemp]
[Reboot]


et colle le dans le cadre de gauche de OTMoveIt3 :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...

( Note : ton bureau va disparaitre puis réapparaitre, c'est normal .)

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même ...

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTMoveIt\MovedFiles"
( " xxxx2008_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).

===========================

et vu que toutes tes partitions sont pourri , on va faire un scan complet avec Malwarebytes :

2- mets Malwarebytes à jour .

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebyte's .

Fais cette fois un examen dit "COMPLET" ( sélectionne bien tous tes disks avant le scan ! > C et F).

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date),
accompagné d'un nouveau rapport hijackthis pour analyse ...

0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
virus Artemis!
mabiche37 -
Malekal_morte- -

14 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses