Infection service.exe et désinstall antivirus
Fermé
woodstock500
Messages postés
27
Date d'inscription
jeudi 12 février 2009
Statut
Membre
Dernière intervention
16 février 2009
-
12 févr. 2009 à 11:25
Utilisateur anonyme - 17 févr. 2009 à 23:22
Utilisateur anonyme - 17 févr. 2009 à 23:22
A voir également:
- Infection service.exe et désinstall antivirus
- Comodo antivirus - Télécharger - Sécurité
- Panda antivirus - Télécharger - Antivirus & Antimalwares
- Desactiver antivirus windows 10 - Guide
- Bitdefender antivirus gratuit - Télécharger - Antivirus & Antimalwares
- Antivirus norton gratuit - Télécharger - Antivirus & Antimalwares
53 réponses
woodstock500
Messages postés
27
Date d'inscription
jeudi 12 février 2009
Statut
Membre
Dernière intervention
16 février 2009
13 févr. 2009 à 12:44
13 févr. 2009 à 12:44
Bonjour Nicoo,
j'ai bien effectué les manip ,et voici le nouveau rapport après redémarrage (remarque: Zonealarme ma demande si je veux autoriser certains programmes tels que svchost.exe à accéder à internet...que faire??)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:39:55, on 13/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe
C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe
C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer fourni par Yahoo! France
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [HWSetup] C:\Program Files\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [PadTouch] C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [Tvs] C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.fotodiscount.com/infos/migration.cfm
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - https://www.photobox.fr/?channel=1005
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: mss.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
j'ai bien effectué les manip ,et voici le nouveau rapport après redémarrage (remarque: Zonealarme ma demande si je veux autoriser certains programmes tels que svchost.exe à accéder à internet...que faire??)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:39:55, on 13/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe
C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe
C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer fourni par Yahoo! France
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [HWSetup] C:\Program Files\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [PadTouch] C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [Tvs] C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.fotodiscount.com/infos/migration.cfm
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - https://www.photobox.fr/?channel=1005
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: mss.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
woodstock500
Messages postés
27
Date d'inscription
jeudi 12 février 2009
Statut
Membre
Dernière intervention
16 février 2009
13 févr. 2009 à 12:48
13 févr. 2009 à 12:48
euhh oups...
j'ai oublié une manip (restauration sytème)..
je poste un nouveau message dès que c'est fait!
désolé
j'ai oublié une manip (restauration sytème)..
je poste un nouveau message dès que c'est fait!
désolé
woodstock500
Messages postés
27
Date d'inscription
jeudi 12 février 2009
Statut
Membre
Dernière intervention
16 février 2009
13 févr. 2009 à 18:15
13 févr. 2009 à 18:15
Voila voila,
toutes les manip ont bien été effectuées.
Voici les deux rapport (hijackthis et mbam):
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:08:33, on 13/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Safe mode
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer fourni par Yahoo! France
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [HWSetup] C:\Program Files\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [PadTouch] C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [Tvs] C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.fotodiscount.com/infos/migration.cfm
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - https://www.photobox.fr/?channel=1005
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: mss.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1749
Windows 5.1.2600 Service Pack 3
13/02/2009 18:07:25
mbam-log-2009-02-13 (18-07-25).txt
Type de recherche: Examen complet (C:\|)
Eléments examinés: 114302
Temps écoulé: 54 minute(s), 10 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
toutes les manip ont bien été effectuées.
Voici les deux rapport (hijackthis et mbam):
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:08:33, on 13/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Safe mode
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer fourni par Yahoo! France
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [HWSetup] C:\Program Files\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [PadTouch] C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [Tvs] C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.fotodiscount.com/infos/migration.cfm
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - https://www.photobox.fr/?channel=1005
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: mss.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1749
Windows 5.1.2600 Service Pack 3
13/02/2009 18:07:25
mbam-log-2009-02-13 (18-07-25).txt
Type de recherche: Examen complet (C:\|)
Eléments examinés: 114302
Temps écoulé: 54 minute(s), 10 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
afideg
Messages postés
10517
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
602
13 févr. 2009 à 18:37
13 févr. 2009 à 18:37
Bonsoir
Quand la désinfection sera finie, il y a ceci à regarder:
Mises à jour de sécurité
A)- O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
Vas chez Java Sun < https://www.java.com/fr/download/manual.jsp > è VÉRIFIER MAINTENANT
La dernière version Java Runtime Environment est également disponible ici :
https://filehippo.com/download_jre_32/?ex=CORE-116.0
Ensuite, vas dans "Panneau de configuration" > "Ajout/suppr.de programmes", et supprime tes anciennes versions
B)- O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
==> grosse faille de sécurité .
Il faut faire la mise à jour version 9 https://get2.adobe.com/reader/otherversions/
L'installation d' une nouvelle version désinstallera l' ancienne si besoin est.
Décocher "Téléchargez également :Adobe Photoshop® Album Édition"
Vérifier: Dans "Ajout/Suppression des programmes" tu supprimes toutes les autres versions.
C)- O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe Lavasoft AB®Ad-Aware 2007
Je te conseille de désinstaller Ad-Aware 2007.
•- La version gratuite n'offre pas de protection en temps réel, ça reste un scanneur donc l'efficacité est plus qu'à douter, voir : [ https://forum.malekal.com/viewtopic.php?f=45&t=8046 ]
•- Et pour exclure ce service inutile aawservice, il suffit de faire ainsi:
Clic sur « Démarrer » > « Exécuter » ; ensuite, dans la lucarne de saisie, coller (recommencer pour chacune des trois commandes suivantes) :
1°- sc stop aawservice --> valider par [OK]
2°- sc config aawservice start= disabled --> valider par [OK]
3°- sc delete aawservice --> valider par [OK]
Bonne chance
Al.
Quand la désinfection sera finie, il y a ceci à regarder:
Mises à jour de sécurité
A)- O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
Vas chez Java Sun < https://www.java.com/fr/download/manual.jsp > è VÉRIFIER MAINTENANT
La dernière version Java Runtime Environment est également disponible ici :
https://filehippo.com/download_jre_32/?ex=CORE-116.0
Ensuite, vas dans "Panneau de configuration" > "Ajout/suppr.de programmes", et supprime tes anciennes versions
B)- O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
==> grosse faille de sécurité .
Il faut faire la mise à jour version 9 https://get2.adobe.com/reader/otherversions/
L'installation d' une nouvelle version désinstallera l' ancienne si besoin est.
Décocher "Téléchargez également :Adobe Photoshop® Album Édition"
Vérifier: Dans "Ajout/Suppression des programmes" tu supprimes toutes les autres versions.
C)- O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe Lavasoft AB®Ad-Aware 2007
Je te conseille de désinstaller Ad-Aware 2007.
•- La version gratuite n'offre pas de protection en temps réel, ça reste un scanneur donc l'efficacité est plus qu'à douter, voir : [ https://forum.malekal.com/viewtopic.php?f=45&t=8046 ]
•- Et pour exclure ce service inutile aawservice, il suffit de faire ainsi:
Clic sur « Démarrer » > « Exécuter » ; ensuite, dans la lucarne de saisie, coller (recommencer pour chacune des trois commandes suivantes) :
1°- sc stop aawservice --> valider par [OK]
2°- sc config aawservice start= disabled --> valider par [OK]
3°- sc delete aawservice --> valider par [OK]
Bonne chance
Al.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
woodstock500
Messages postés
27
Date d'inscription
jeudi 12 février 2009
Statut
Membre
Dernière intervention
16 février 2009
13 févr. 2009 à 18:41
13 févr. 2009 à 18:41
Merci pour ta réponse mais j'y comprends pas grand chose...
Suis-je encore infecté??? Que dois-je faire exactement??
Suis-je encore infecté??? Que dois-je faire exactement??
Nic00
Messages postés
1701
Date d'inscription
lundi 25 août 2008
Statut
Membre
Dernière intervention
30 mars 2010
95
13 févr. 2009 à 21:39
13 févr. 2009 à 21:39
C'est quasiment terminé.
afideg, si tu veux tu peux continuer car je serais absent une semaine.
Bonne continuation
afideg, si tu veux tu peux continuer car je serais absent une semaine.
Bonne continuation
woodstock500
Messages postés
27
Date d'inscription
jeudi 12 février 2009
Statut
Membre
Dernière intervention
16 février 2009
14 févr. 2009 à 12:00
14 févr. 2009 à 12:00
Merci pour ton aide afideg.
J'ai bien effectué les démarches.
Mais au redémarrage de la machine, j'ai toujours un message d'erreur qui s'affiche sur l'écran "ERROR The application module c:\program files\avira\antivir personaledtition classic\ avgnt.exe cannot be found or has been modified or destroyed..."
Aussi, Zonealarm m'indique sans cesse que l'application "service.exe" et "svchost.exe" tente d'accéder à internet.
Enfin, je ne parviens toujours pas à me connecter à internet.
Suis-je encore infecté???
J'ai bien effectué les démarches.
Mais au redémarrage de la machine, j'ai toujours un message d'erreur qui s'affiche sur l'écran "ERROR The application module c:\program files\avira\antivir personaledtition classic\ avgnt.exe cannot be found or has been modified or destroyed..."
Aussi, Zonealarm m'indique sans cesse que l'application "service.exe" et "svchost.exe" tente d'accéder à internet.
Enfin, je ne parviens toujours pas à me connecter à internet.
Suis-je encore infecté???
afideg
Messages postés
10517
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
602
14 févr. 2009 à 12:51
14 févr. 2009 à 12:51
Bonjour
Trop peu de temps ce samedi; je dois m'absenter.
Donc, et si je t'ai bien lu, tu as pu appliquer tout le post # 24 "Mises à jour".
Si OUI, je me demande comment, puisque tu annonces que tu n'a toujours plus accès à Internet.
Commence par faire ce qui est indiqué au bas de cette page http://www.windowsfacile.com/winsock_xp_fix.html
Et donne des nouvelles.
Quant aux "alertes" de ZA, autorise "service.exe" et "svchost.exe" d'accéder à Internet.
Quant à ANTIVIR, il semble qu'il faille le désinstaller, arrêter et redémarrer le PC, puis le réinstaller.
Merci
Al.
Je dois m'absenter.
Voici la suite:
A)- Télécharge ToolsCleaner (de A.Rothstein) à l’aide de ce lien :
< http://pc-system.fr/ >, et enregistre-le sur le “Bureau”.
Et exécute-le.
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste-moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
B)- Télécharge OTMoveIt3 (OldTimer) sur ton Bureau :
http://oldtimer.geekstogo.com/OTMoveIt3.exe
---> Double-clique sur OTMoveIt3.exe afin de le lancer.
---> Copie (Ctrl+C) le texte suivant (en gras ci-dessous):
:files
c:\windows\system32\reader_s.exe
c:\documents and settings\wagner emilie\reader_s.exe
c:\windows\services.exe
:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"reader_s"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"reader_s"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"services"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"jsf8uiw3jnjgffght"=-
:commands
[emptytemp]
---> Colle (Ctrl+V) le texte précédemment copié dans le cadre "Paste Instructions for Items to be Moved".
---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES. Sinon, redémarre le PC normalement.
---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
Trop peu de temps ce samedi; je dois m'absenter.
Donc, et si je t'ai bien lu, tu as pu appliquer tout le post # 24 "Mises à jour".
Si OUI, je me demande comment, puisque tu annonces que tu n'a toujours plus accès à Internet.
Commence par faire ce qui est indiqué au bas de cette page http://www.windowsfacile.com/winsock_xp_fix.html
Et donne des nouvelles.
Quant aux "alertes" de ZA, autorise "service.exe" et "svchost.exe" d'accéder à Internet.
Quant à ANTIVIR, il semble qu'il faille le désinstaller, arrêter et redémarrer le PC, puis le réinstaller.
Merci
Al.
Je dois m'absenter.
Voici la suite:
A)- Télécharge ToolsCleaner (de A.Rothstein) à l’aide de ce lien :
< http://pc-system.fr/ >, et enregistre-le sur le “Bureau”.
Et exécute-le.
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste-moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
B)- Télécharge OTMoveIt3 (OldTimer) sur ton Bureau :
http://oldtimer.geekstogo.com/OTMoveIt3.exe
---> Double-clique sur OTMoveIt3.exe afin de le lancer.
---> Copie (Ctrl+C) le texte suivant (en gras ci-dessous):
:files
c:\windows\system32\reader_s.exe
c:\documents and settings\wagner emilie\reader_s.exe
c:\windows\services.exe
:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"reader_s"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"reader_s"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"services"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"jsf8uiw3jnjgffght"=-
:commands
[emptytemp]
---> Colle (Ctrl+V) le texte précédemment copié dans le cadre "Paste Instructions for Items to be Moved".
---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES. Sinon, redémarre le PC normalement.
---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
woodstock500
Messages postés
27
Date d'inscription
jeudi 12 février 2009
Statut
Membre
Dernière intervention
16 février 2009
14 févr. 2009 à 13:48
14 févr. 2009 à 13:48
ok.
J'ai commancer par faire ce que tu m'as dis.
Mais en essayant de désinstaller antivir (dans panneau de configuration, ajout/suppression de programmes), il me dit qu'il ne peut pas supprimer le prog car étant infecté par un virus.J'ai essayé de réinstaller le meme prog par dessus mais ca ne fonctionne pas non plus.
Comment le déinstaller?
J'ai commancer par faire ce que tu m'as dis.
Mais en essayant de désinstaller antivir (dans panneau de configuration, ajout/suppression de programmes), il me dit qu'il ne peut pas supprimer le prog car étant infecté par un virus.J'ai essayé de réinstaller le meme prog par dessus mais ca ne fonctionne pas non plus.
Comment le déinstaller?
afideg
Messages postés
10517
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
602
14 févr. 2009 à 13:59
14 févr. 2009 à 13:59
Re,
Il me reste 1 minute.
Vois si dans le dossier ANTIVIR (en Program Files) s'il n'y a pas un fichier "Uninstall". Et lance-le.
J'ai oublié une ligne dans le script OTMoveIt3
Il faut remplacer le pécédent par celui-ci:
:files
c:\windows\system32\reader_s.exe
c:\documents and settings\wagner emilie\reader_s.exe
c:\windows\services.exe
:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"reader_s"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"reader_s"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"services"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"jsf8uiw3jnjgffght"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"jsf8uiw3jnjgffght"=-
:commands
[emptytemp]
La minute est passée
À ce soir si Dieu le veut.
Al.
Il me reste 1 minute.
Vois si dans le dossier ANTIVIR (en Program Files) s'il n'y a pas un fichier "Uninstall". Et lance-le.
J'ai oublié une ligne dans le script OTMoveIt3
Il faut remplacer le pécédent par celui-ci:
:files
c:\windows\system32\reader_s.exe
c:\documents and settings\wagner emilie\reader_s.exe
c:\windows\services.exe
:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"reader_s"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"reader_s"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"services"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"jsf8uiw3jnjgffght"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"jsf8uiw3jnjgffght"=-
:commands
[emptytemp]
La minute est passée
À ce soir si Dieu le veut.
Al.
woodstock500
Messages postés
27
Date d'inscription
jeudi 12 février 2009
Statut
Membre
Dernière intervention
16 février 2009
14 févr. 2009 à 13:59
14 févr. 2009 à 13:59
Voila les deux rapport issus de toolscleaner et OTmoveit:
[ Rapport ToolsCleaner version 2.3.0 (par A.Rothstein & dj QUIOU) ]
-->- Recherche:
C:\SDFIX: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Wagner Emilie\Bureau\SdFix.exe: trouvé !
C:\Documents and Settings\Wagner Emilie\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Wagner Emilie\Bureau\HJTInstall.exe: trouvé !
C:\Documents and Settings\Wagner Emilie\Bureau\OTMoveIt3.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\Hijac\hijackthis.log: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
---------------------------------
-->- Suppression:
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Wagner Emilie\Bureau\SdFix.exe: supprimé !
C:\Documents and Settings\Wagner Emilie\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Wagner Emilie\Bureau\HJTInstall.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Documents and Settings\Wagner Emilie\Bureau\OTMoveIt3.exe: supprimé !
C:\Program Files\Trend Micro\Hijac\hijackthis.log: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\SDFIX: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
========== FILES ==========
File/Folder c:\windows\system32\reader_s.exe not found.
File/Folder c:\documents and settings\wagner emilie\reader_s.exe not found.
File/Folder c:\windows\services.exe not found.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\reader_s not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\reader_s not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\jsf8uiw3jnjgffght not found.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_508.dat scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\ZLT0586b.TMP scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\ZLT0586e.TMP scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
Temp folders emptied.
OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02142009_135227
Files moved on Reboot...
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat moved successfully.
File C:\WINDOWS\temp\Perflib_Perfdata_508.dat not found!
File C:\WINDOWS\temp\ZLT0586b.TMP not found!
File C:\WINDOWS\temp\ZLT0586e.TMP not found!
[ Rapport ToolsCleaner version 2.3.0 (par A.Rothstein & dj QUIOU) ]
-->- Recherche:
C:\SDFIX: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Wagner Emilie\Bureau\SdFix.exe: trouvé !
C:\Documents and Settings\Wagner Emilie\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Wagner Emilie\Bureau\HJTInstall.exe: trouvé !
C:\Documents and Settings\Wagner Emilie\Bureau\OTMoveIt3.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\Hijac\hijackthis.log: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
---------------------------------
-->- Suppression:
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Wagner Emilie\Bureau\SdFix.exe: supprimé !
C:\Documents and Settings\Wagner Emilie\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Wagner Emilie\Bureau\HJTInstall.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Documents and Settings\Wagner Emilie\Bureau\OTMoveIt3.exe: supprimé !
C:\Program Files\Trend Micro\Hijac\hijackthis.log: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\SDFIX: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
========== FILES ==========
File/Folder c:\windows\system32\reader_s.exe not found.
File/Folder c:\documents and settings\wagner emilie\reader_s.exe not found.
File/Folder c:\windows\services.exe not found.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\reader_s not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\reader_s not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\jsf8uiw3jnjgffght not found.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_508.dat scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\ZLT0586b.TMP scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\ZLT0586e.TMP scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
Temp folders emptied.
OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02142009_135227
Files moved on Reboot...
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat moved successfully.
File C:\WINDOWS\temp\Perflib_Perfdata_508.dat not found!
File C:\WINDOWS\temp\ZLT0586b.TMP not found!
File C:\WINDOWS\temp\ZLT0586e.TMP not found!
woodstock500
Messages postés
27
Date d'inscription
jeudi 12 février 2009
Statut
Membre
Dernière intervention
16 février 2009
14 févr. 2009 à 14:13
14 févr. 2009 à 14:13
Pour antivir, pas d'icone uninstall.
Et pour le nouveau rapport OTmoveit, le voila:
========== FILES ==========
File/Folder c:\windows\system32\reader_s.exe not found.
File/Folder c:\documents and settings\wagner emilie\reader_s.exe not found.
File/Folder c:\windows\services.exe not found.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\reader_s not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\reader_s not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\jsf8uiw3jnjgffght not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\jsf8uiw3jnjgffght not found.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_2fc.dat scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\ZLT06af3.TMP scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\ZLT06af7.TMP scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
Temp folders emptied.
OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02142009_140739
Files moved on Reboot...
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
File C:\WINDOWS\temp\Perflib_Perfdata_2fc.dat not found!
C:\WINDOWS\temp\ZLT06af3.TMP moved successfully.
C:\WINDOWS\temp\ZLT06af7.TMP moved successfully.
Et pour le nouveau rapport OTmoveit, le voila:
========== FILES ==========
File/Folder c:\windows\system32\reader_s.exe not found.
File/Folder c:\documents and settings\wagner emilie\reader_s.exe not found.
File/Folder c:\windows\services.exe not found.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\reader_s not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\reader_s not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\jsf8uiw3jnjgffght not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\jsf8uiw3jnjgffght not found.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_2fc.dat scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\ZLT06af3.TMP scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\ZLT06af7.TMP scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
Temp folders emptied.
OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02142009_140739
Files moved on Reboot...
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
File C:\WINDOWS\temp\Perflib_Perfdata_2fc.dat not found!
C:\WINDOWS\temp\ZLT06af3.TMP moved successfully.
C:\WINDOWS\temp\ZLT06af7.TMP moved successfully.
afideg
Messages postés
10517
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
602
14 févr. 2009 à 20:30
14 févr. 2009 à 20:30
Re,
Bonsoir
Il me semble que l'infection se régénère.
Peux-tu faire ceci, svp. :
A)- Désactive ta restauration système
Clic simultanément sur les touches [Windows] et [Pause/Break]
Vas sur l’onglet « Restauration système »
Tu y coches la case « Désactiver la restauration »
Termine par [Appliquer], répondre “OUI” à la question, attendre, terminer par [OK]
B)- Arrêter puis redémarrer le PC
C)- Télécharge combofix.exe http://download.bleepingcomputer.com/sUBs/ComboFix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).
Un guide et un tutoriel sur l'utilisation de ComboFix https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
• Assure toi que tous les programmes sont fermés avant de commencer.
• ==> Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours.
• ==> Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de ton Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil).
• Double-clique combofix.exe afin de l'exécuter.
• Clique sur "Oui" au message de "Limitation de Garantie" qui s'affiche.
• Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
• Ou bien --> Réponds oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
• Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
• Laisse se dérouler le scan.
• /!\ Pendant la durée de cette étape, ne te sers pas du pc et n'ouvre aucun programme.
Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 50 étapes d’analyse)./i\
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
• Copie-colle ce rapport dans ta prochaine réponse.
• Le rapport se trouve dans : C:\Combofix.txt (si jamais).
D)- Télécharger le programme MRB à cette adresse : http://www2.gmer.net/mbr/mbr.exe
- Enregistrer le fichier sur le bureau
- Désactiver tous les programmes de protection (antivirus, antispyware etc.)
- Double-cliquez sur mbr.exe; une fenêtre de l'invite de commande (noire) va s'ouvrir et se refermer.
- Un rapport sera généré:"mbr.log" ==> poste -le SVP..
Merci
Al.
Bonsoir
Il me semble que l'infection se régénère.
Peux-tu faire ceci, svp. :
A)- Désactive ta restauration système
Clic simultanément sur les touches [Windows] et [Pause/Break]
Vas sur l’onglet « Restauration système »
Tu y coches la case « Désactiver la restauration »
Termine par [Appliquer], répondre “OUI” à la question, attendre, terminer par [OK]
B)- Arrêter puis redémarrer le PC
C)- Télécharge combofix.exe http://download.bleepingcomputer.com/sUBs/ComboFix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).
Un guide et un tutoriel sur l'utilisation de ComboFix https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
• Assure toi que tous les programmes sont fermés avant de commencer.
• ==> Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours.
• ==> Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de ton Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil).
• Double-clique combofix.exe afin de l'exécuter.
• Clique sur "Oui" au message de "Limitation de Garantie" qui s'affiche.
• Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
• Ou bien --> Réponds oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
• Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
• Laisse se dérouler le scan.
• /!\ Pendant la durée de cette étape, ne te sers pas du pc et n'ouvre aucun programme.
Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 50 étapes d’analyse)./i\
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
• Copie-colle ce rapport dans ta prochaine réponse.
• Le rapport se trouve dans : C:\Combofix.txt (si jamais).
D)- Télécharger le programme MRB à cette adresse : http://www2.gmer.net/mbr/mbr.exe
- Enregistrer le fichier sur le bureau
- Désactiver tous les programmes de protection (antivirus, antispyware etc.)
- Double-cliquez sur mbr.exe; une fenêtre de l'invite de commande (noire) va s'ouvrir et se refermer.
- Un rapport sera généré:"mbr.log" ==> poste -le SVP..
Merci
Al.
Utilisateur anonyme
15 févr. 2009 à 00:07
15 févr. 2009 à 00:07
bonsoir faudrait virer ceci pour y voir plus clair dans ce pc :
O4 - HKLM\..\Run: [Egofe] rundll32.exe "C:\WINDOWS\Fxewerafiq.dll",e
O4 - HKLM\..\Run: [Egofe] rundll32.exe "C:\WINDOWS\Fxewerafiq.dll",e
afideg
Messages postés
10517
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
602
15 févr. 2009 à 00:22
15 févr. 2009 à 00:22
Salut gen-hackman,
J'aimerais que tu m'expliques.
En effet, O4 - HKLM\..\Run: [Egofe] rundll32.exe "C:\WINDOWS\Fxewerafiq.dll",e
est apparue seulement au 3ème HJT
Fixée là http://www.commentcamarche.net/forum/affich 11006287 infection service exe et desinstall antivirus#18
Disparue à l'HJT qui a suivi # 21, et ...
Ou alors, j'ai mal lu, ... ce qui peut très bien arrivé. ;)
Je souhaite suivre pas à pas le résultat de mes recommandations présentes.
C'est une volonté spécifique à la recherche du comportement de cette infection.
Merci à toi pour l'intérêt que tu portes à ce topic également.
Al
J'aimerais que tu m'expliques.
En effet, O4 - HKLM\..\Run: [Egofe] rundll32.exe "C:\WINDOWS\Fxewerafiq.dll",e
est apparue seulement au 3ème HJT
Fixée là http://www.commentcamarche.net/forum/affich 11006287 infection service exe et desinstall antivirus#18
Disparue à l'HJT qui a suivi # 21, et ...
Ou alors, j'ai mal lu, ... ce qui peut très bien arrivé. ;)
Je souhaite suivre pas à pas le résultat de mes recommandations présentes.
C'est une volonté spécifique à la recherche du comportement de cette infection.
Merci à toi pour l'intérêt que tu portes à ce topic également.
Al
Utilisateur anonyme
15 févr. 2009 à 00:30
15 févr. 2009 à 00:30
je t'en prie
je pense que si une infection ressurvient apres eradication il faut surveiller les fichiers(ou Dosiers systeme)
il doit y avoir une souci de ce cote la
je pense que si une infection ressurvient apres eradication il faut surveiller les fichiers(ou Dosiers systeme)
il doit y avoir une souci de ce cote la
afideg
Messages postés
10517
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
602
15 févr. 2009 à 00:33
15 févr. 2009 à 00:33
Re,
Aide-moi.
Où lis-tu que O4 - HKLM\..\Run: [Egofe] rundll32.exe "C:\WINDOWS\Fxewerafiq.dll",e
... soit ressurgie après avoir été fixée ?
Je suis d'accord sur le fait que fixer une ligne soit le mauvais choix pour supprimer une infection.
Mais je ne vois pas qu'elle "se renouvelle".
D'accord, j'aurais pu demander de supprimer ce DLL
O4 - HKLM\..\Run: [Egofe] rundll32.exe "C:\WINDOWS\Fxewerafiq.dll",e
(il n'est pas trop tard) --> voyons le prochain CF.
Question: « Que signifie le ",e" à la suite du DLL ?? » Merci.
Merci
Al.
Aide-moi.
Où lis-tu que O4 - HKLM\..\Run: [Egofe] rundll32.exe "C:\WINDOWS\Fxewerafiq.dll",e
... soit ressurgie après avoir été fixée ?
Je suis d'accord sur le fait que fixer une ligne soit le mauvais choix pour supprimer une infection.
Mais je ne vois pas qu'elle "se renouvelle".
D'accord, j'aurais pu demander de supprimer ce DLL
O4 - HKLM\..\Run: [Egofe] rundll32.exe "C:\WINDOWS\Fxewerafiq.dll",e
(il n'est pas trop tard) --> voyons le prochain CF.
Question: « Que signifie le ",e" à la suite du DLL ?? » Merci.
Merci
Al.
Utilisateur anonyme
15 févr. 2009 à 00:51
15 févr. 2009 à 00:51
franchement ??????
j'en sais rien a mon avis il faut etre Polonais pour comprtendre le nom des DLL(lol)
quand je disais que Vundo est polonais j'avais peut etre pas tort)
comme quoi dans le delire des gens y a une part de verité
lol
et puis avec Otmoveit et MBAM on s en sort tres bien contre Vundo lol
(remarqué depuis peu je le reconnais)
j'en sais rien a mon avis il faut etre Polonais pour comprtendre le nom des DLL(lol)
quand je disais que Vundo est polonais j'avais peut etre pas tort)
comme quoi dans le delire des gens y a une part de verité
lol
et puis avec Otmoveit et MBAM on s en sort tres bien contre Vundo lol
(remarqué depuis peu je le reconnais)
afideg
Messages postés
10517
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
602
15 févr. 2009 à 09:46
15 févr. 2009 à 09:46
Re,
Bonjour,
Rien compris à ta "réponse" de polonais; de surcroît, cela ne répond en rien à mes questions.
Ce ne pas ainsi que j'apprendrai quelque chose qui me permette d'avancer dans la connaissance.
J'attendrai donc le retour de l'internaute.
Al.
Bonjour,
Rien compris à ta "réponse" de polonais; de surcroît, cela ne répond en rien à mes questions.
Ce ne pas ainsi que j'apprendrai quelque chose qui me permette d'avancer dans la connaissance.
J'attendrai donc le retour de l'internaute.
Al.
Utilisateur anonyme
15 févr. 2009 à 16:50
15 févr. 2009 à 16:50
ok autant pour moi mais trop interesse par le topic je n'ai vu qu il y avait 2 pages :(
afideg
Messages postés
10517
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
602
15 févr. 2009 à 17:36
15 févr. 2009 à 17:36
Re,
Bonsoir gen-hackman,
Merci.
Je préfère ainsi dit.
Cela m'est déjà arrivé également; ... et m'arrivera encore. ;)
Je dois bien admettre que je n'y comprenais rien. Et que ça me contrariait. ;)
à+...
Al.
Bonsoir gen-hackman,
Merci.
Je préfère ainsi dit.
Cela m'est déjà arrivé également; ... et m'arrivera encore. ;)
Je dois bien admettre que je n'y comprenais rien. Et que ça me contrariait. ;)
à+...
Al.
woodstock500
Messages postés
27
Date d'inscription
jeudi 12 février 2009
Statut
Membre
Dernière intervention
16 février 2009
16 févr. 2009 à 09:24
16 févr. 2009 à 09:24
Bonjour afideg,
je me suis absenté ce week-end...désolé pour le retard!
Voici le rapport combofix:
ComboFix 09-02-12.02 - Wagner Emilie 2009-02-16 9:08:09.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.502.226 [GMT 1:00]
Lancé depuis: c:\documents and settings\Wagner Emilie\Bureau\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated)
FW: ZoneAlarm Firewall *enabled*
* Un nouveau point de restauration a été créé
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Autorun.inf
c:\windows\autorun.inf
c:\windows\Install.txt
c:\windows\system32\drivers\ntndis.sys
c:\windows\system32\gaopdxcounter
c:\windows\system32\Install.txt
c:\windows\system32\tmp0_147759160259.bk
c:\windows\system32\tmpxccacj0.exe
c:\windows\system32\tpszxyd.sys
c:\windows\system32\udxfytw.sys
c:\windows\system32\Updater.exe
c:\windows\system32\xcchit32.ini
c:\windows\xccwinsys.ini
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_AFISICX
-------\Legacy_NOYTCYR
-------\Legacy_WSLDOEKD
-------\Service_Passthru
((((((((((((((((((((((((((((( Fichiers créés du 2009-01-16 au 2009-02-16 ))))))))))))))))))))))))))))))))))))
.
2009-02-14 14:07 . 2009-02-14 14:07 <REP> d-------- C:\_OTMoveIt
2009-02-14 11:45 . 2009-02-14 11:46 <REP> d-------- c:\program files\Fichiers communs\Adobe
2009-02-14 11:33 . 2009-02-14 11:33 <REP> d-------- c:\program files\Java
2009-02-14 11:33 . 2009-02-14 11:33 410,984 --a------ c:\windows\system32\deploytk.dll
2009-02-14 11:33 . 2009-02-14 11:33 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-02-13 12:30 . 2009-02-16 09:19 245,792 --ahs---- c:\windows\system32\drivers\fidbox.dat
2009-02-13 12:30 . 2009-02-16 09:16 3,884 --ahs---- c:\windows\system32\drivers\fidbox.idx
2009-02-13 12:26 . 2009-02-13 12:26 <REP> d-------- c:\documents and settings\All Users\Application Data\MailFrontier
2009-02-13 12:26 . 2008-07-09 09:05 54,672 --a------ c:\windows\system32\vsutil_loc040c.dll
2009-02-13 12:26 . 2008-07-09 09:05 42,384 --a------ c:\windows\zllsputility_loc040c.dll
2009-02-13 12:26 . 2008-07-09 09:05 21,904 --a------ c:\windows\system32\imsinstall_loc040c.dll
2009-02-13 12:26 . 2008-07-09 09:05 17,808 --a------ c:\windows\system32\imslsp_install_loc040c.dll
2009-02-13 12:26 . 2009-02-13 12:28 4,212 ---h----- c:\windows\system32\zllictbl.dat
2009-02-13 12:25 . 2009-02-13 12:25 <REP> d-------- c:\program files\Zone Labs
2009-02-13 12:24 . 2009-02-16 09:06 <REP> d-------- c:\windows\Internet Logs
2009-02-12 21:10 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-12 21:10 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-12 20:55 . 2009-02-12 20:55 <REP> d-------- C:\Backups
2009-02-12 19:52 . 2009-02-14 13:49 <REP> d-------- c:\windows\ERUNT
2009-02-12 13:55 . 2009-02-12 21:10 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-02-12 13:15 . 2009-02-14 13:49 <REP> d-------- c:\program files\Trend Micro
2009-02-12 10:56 . 2009-02-12 10:56 24,577 --a------ c:\windows\system32\13.tmp
2009-02-12 10:53 . 2009-02-12 10:53 182,656 --a--c--- c:\windows\system32\dllcache\ndis.sys
2009-02-11 22:12 . 2009-02-11 22:12 0 --a------ c:\windows\_id.dat
2009-02-11 22:07 . 2009-02-12 22:22 <REP> d-------- c:\program files\WebShow
2009-02-11 22:07 . 2009-02-11 22:07 137,408 --a------ c:\windows\system32\drivers\ethmccxn.sys
2009-02-11 22:07 . 2009-02-11 22:11 67,072 ---h----- c:\windows\system32\secupdat.dat
2009-02-11 22:07 . 2009-02-11 22:07 53,248 --a------ c:\windows\system32\drivers\ndisio.sys
2009-02-11 22:07 . 2009-02-11 22:07 31,744 --ah----- c:\documents and settings\Wagner Emilie\befp.exe
2009-02-11 22:07 . 2009-02-11 22:07 24,577 --a------ c:\windows\system32\31.tmp
2009-02-11 22:07 . 2009-02-11 22:07 3,584 --a------ c:\windows\jrblzfgk.exe
2009-02-11 22:07 . 2009-02-11 22:07 616 --a------ c:\windows\system32\33.tmp
2009-02-11 22:04 . 2009-02-11 22:07 163,780 --a------ c:\windows\system32\2C.tmp
2009-02-11 22:04 . 2009-02-11 22:04 102,912 --a------ C:\wppk.exe
2009-02-11 22:04 . 2009-02-11 22:04 22,016 --a------ C:\xmea.exe
2009-02-11 22:04 . 2009-02-11 22:04 128 --a------ c:\windows\system32\2B.tmp
2009-02-11 22:03 . 2009-02-12 22:34 <REP> d-------- c:\windows\system32\inf
2009-02-11 22:03 . 2009-02-11 22:03 41,984 --a------ c:\windows\Fxewerafiq.dll
2009-02-11 22:03 . 2009-02-11 22:03 21,504 --a------ C:\hhibl.exe
2009-02-11 22:03 . 2009-02-11 22:03 2 --a------ C:\-799729020
2009-02-11 22:02 . 2009-02-11 22:02 108,336 --a------ c:\windows\system32\mswinsck.ocx
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-14 10:53 --------- d-----w c:\program files\Lavasoft
2009-02-12 19:40 --------- d-----w c:\program files\Punch! Home Design - AS4000
2009-02-12 18:59 --------- d-----w c:\documents and settings\Wagner Emilie\Application Data\uTorrent
2009-02-12 09:53 182,656 ----a-w c:\windows\system32\drivers\ndis.sys
2008-12-30 16:27 --------- d-----w c:\documents and settings\Wagner Emilie\Application Data\ZoomBrowser EX
2008-12-30 15:44 --------- d-----w c:\documents and settings\Wagner Emilie\Application Data\CameraWindowDC
2008-12-26 17:49 --------- d-----w c:\documents and settings\Wagner Emilie\Application Data\CANON INC
2008-12-26 15:35 --------- d-----w c:\program files\Canon
2008-12-26 15:24 --------- d-----w c:\documents and settings\All Users\Application Data\ZoomBrowser
2008-12-26 15:21 --------- d-----w c:\program files\Fichiers communs\Canon
2008-09-03 13:46 744 -c--a-w c:\documents and settings\Wagner Emilie\Application Data\wklnhst.dat
2006-11-28 16:56 61,008,120 -c--a-w c:\program files\AVP.6.299_11.28_17.56_720.SRV.dmp
2006-11-28 08:38 62,756,744 -c--a-w c:\program files\AVP.6.299_11.28_09.38_71c.SRV.dmp
2006-11-28 07:16 62,178,676 -c--a-w c:\program files\AVP.6.299_11.28_08.16_6f8.SRV.dmp
2006-11-27 16:28 60,912,420 -c--a-w c:\program files\AVP.6.299_11.27_17.28_6f8.SRV.dmp
2006-11-27 12:09 57,607,341 -c--a-w c:\program files\AVP.6.299_11.27_13.09_6ec.SRV.dmp
2006-11-27 11:09 60,615,872 -c--a-w c:\program files\AVP.6.299_11.27_12.09_6f4.SRV.dmp
2006-11-25 05:45 56,014,700 -c--a-w c:\program files\AVP.6.299_11.25_06.45_6ec.SRV.dmp
2006-11-24 16:56 60,847,136 -c--a-w c:\program files\AVP.6.299_11.24_17.55_6f0.SRV.dmp
2006-11-23 16:17 52,973,432 -c--a-w c:\program files\AVP.6.299_11.23_17.17_dd4.SRV.dmp
2006-11-23 15:58 60,416,468 -c--a-w c:\program files\AVP.6.299_11.23_16.58_71c.SRV.dmp
2006-11-22 19:12 55,018,275 -c--a-w c:\program files\AVP.6.299_11.22_20.11_44c.SRV.dmp
2006-11-22 18:52 52,897,740 -c--a-w c:\program files\AVP.6.299_11.22_19.52_af0.SRV.dmp
2006-11-22 18:28 52,921,636 -c--a-w c:\program files\AVP.6.299_11.22_19.28_804.SRV.dmp
2006-11-22 17:43 56,274,048 -c--a-w c:\program files\AVP.6.299_11.22_18.43_3ec.SRV.dmp
2006-11-22 17:13 56,853,452 -c--a-w c:\program files\AVP.6.299_11.22_18.13_730.SRV.dmp
2006-11-22 16:09 61,220,888 -c--a-w c:\program files\AVP.6.299_11.22_17.09_718.SRV.dmp
2006-11-22 13:52 54,555,735 -c--a-w c:\program files\AVP.6.299_11.22_14.52_f94.SRV.dmp
2006-11-22 13:32 60,653,972 -c--a-w c:\program files\AVP.6.299_11.22_14.32_71c.SRV.dmp
2006-09-14 15:54 299,008 -c--a-w c:\program files\Fichiers communs\FDEUnInstaller.exe
2008-04-14 02:34 71,794 --sh--r c:\windows\system32\javaupd.exe
.
------- Sigcheck -------
2004-08-05 11:00 182912 1df7f42665c94b825322fae71721130d c:\windows\$NtServicePackUninstall$\ndis.sys
2008-04-13 20:20 182656 1df7f42665c94b825322fae71721130d c:\windows\ServicePackFiles\i386\ndis.sys
2009-02-12 10:53 213120 1df7f42665c94b825322fae71721130d c:\windows\system32\dllcache\ndis.sys
2009-02-12 10:53 213120 1df7f42665c94b825322fae71721130d c:\windows\system32\drivers\ndis.sys
2008-04-14 03:34 1054720 589dbf09b72b56c3d5524c95b58cf0a4 c:\windows\explorer.exe
2007-06-13 14:10 1054208 f3b0cc4c99c1c6941125b3296e7a0e93 c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
2007-06-13 14:22 1054720 375b3ee547b69e9d61abd87480661db0 c:\windows\$NtServicePackUninstall$\explorer.exe
2004-08-05 11:00 1053184 06f88e360358780e1952da99c79378db c:\windows\$NtUninstallKB938828$\explorer.exe
2008-04-14 03:34 1055232 22f89e2bb8349dadc7dd050249bc313a c:\windows\ServicePackFiles\i386\explorer.exe
2004-08-05 11:00 32256 243ceb8c39a7f3eb5dc6314719ba200e c:\windows\$NtServicePackUninstall$\ctfmon.exe
2008-04-14 03:33 32256 98e7c182335a3f5a3867db2f74dc29c7 c:\windows\ServicePackFiles\i386\ctfmon.exe
2008-04-14 03:33 32256 e05b446a67e103b631df8f9bee1cb640 c:\windows\system32\ctfmon.exe
2005-06-11 01:17 74752 52fc56f280d556e0b4dd7378db305d3d c:\windows\$hf_mig$\KB896423\SP2QFE\spoolsv.exe
2005-06-11 00:53 74752 6d3f07d8aa6810088fad0708f97878ee c:\windows\$NtServicePackUninstall$\spoolsv.exe
2004-08-05 11:00 74752 2d3cf60db25e5f15307dbf16b837e8af c:\windows\$NtUninstallKB896423$\spoolsv.exe
2008-04-14 03:34 74752 f009ae4cb8c73aa1b9352c88df20384d c:\windows\ServicePackFiles\i386\spoolsv.exe
2008-04-14 03:34 75264 fe6991d679c4be0bf3e642dbd7eef427 c:\windows\system32\spoolsv.exe
2004-08-05 11:00 41984 d47dadad1ccf7116e0701d1855f91dce c:\windows\$NtServicePackUninstall$\userinit.exe
2008-04-14 03:34 43520 d8f8230f77f947ed05024f3984777b79 c:\windows\ServicePackFiles\i386\userinit.exe
2008-04-14 03:34 43520 1d1075f1bc93d8ad0420c12e319c6550 c:\windows\system32\userinit.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 32256]
"TOSCDSPD"="c:\program files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-11 86016]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-07-19 114688]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-07-19 98304]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-07-19 135168]
"LtMoh"="c:\program files\ltmoh\Ltmoh.exe" [2003-09-06 204800]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2004-03-24 217088]
"CeEKEY"="c:\program files\TOSHIBA\E-KEY\CeEKey.exe" [2005-09-06 692224]
"TPNF"="c:\program files\TOSHIBA\TouchPad\TPTray.exe" [2005-08-25 73728]
"HWSetup"="c:\program files\TOSHIBA\TOSHIBA Applet\HWSetup.exe" [2004-05-01 49152]
"SVPWUTIL"="c:\program files\Toshiba\Windows Utilities\SVPWUTIL.exe" [2004-05-01 86016]
"SmoothView"="c:\program files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe" [2005-05-17 139264]
"PadTouch"="c:\program files\TOSHIBA\Touch and Launch\PadExe.exe" [2005-08-30 1097808]
"Tvs"="c:\program files\TOSHIBA\Tvs\TvsTray.exe" [2005-04-05 94208]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2005-05-31 143421]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2005-12-15 69632]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-21 286977]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-10-25 118784]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-02-14 148888]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"AGRSMMSG"="AGRSMMSG.exe" [2004-12-22 c:\windows\agrsmmsg.exe]
"Zooming"="ZoomingHook.exe" [2005-06-06 c:\windows\system32\ZoomingHook.exe]
"TCtryIOHook"="TCtrlIOHook.exe" [2005-08-22 c:\windows\system32\TCtrlIOHook.exe]
"TPSMain"="TPSMain.exe" [2005-08-12 c:\windows\system32\TPSMain.exe]
"TFncKy"="TFncKy.exe" [BU]
"NDSTray.exe"="NDSTray.exe" [BU]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 32256]
"jrblzfgk.exe"="c:\windows\jrblzfgk.exe" [2009-02-11 3584]
c:\documents and settings\Wagner Emilie\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide de Microsoft Office OneNote 2003.lnk - c:\program files\Microsoft Office\OFFICE11\ONENOTEM.EXE [2007-04-19 64864]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-02-17 86068]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=mss.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\a.exe]
"Debugger"=c:\windows\system32\alg.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\matrix31290.exe]
"Debugger"=c:\windows\system32\alg.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\~tmpa.exe]
"Debugger"=c:\windows\system32\alg.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\~tmpb.exe]
"Debugger"=c:\windows\system32\alg.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\~tmpc.exe]
"Debugger"=c:\windows\system32\alg.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\uTorrent\\utorrent.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
S1 ethmccxn;ethmccxn;c:\windows\system32\drivers\ethmccxn.sys [2009-02-11 137408]
S3 MBAMCatchMe;MBAMCatchMe;\??\c:\program files\Malwarebytes' Anti-Malware\catchme.sys --> c:\program files\Malwarebytes' Anti-Malware\catchme.sys [?]
S3 PID_0920;Logitech QuickCam Express(PID_0920);c:\windows\system32\drivers\LV532AV.SYS [2006-11-05 163328]
S3 PIXMCV;JVC Communication PIX-MCV Driver;c:\windows\system32\drivers\pixmcvc.sys [2007-03-18 32000]
S3 PIXMCVA;JVC PIX-MCV Audio Capture;c:\windows\system32\drivers\pixmcva.sys [2007-03-18 28057]
S3 PIXMCVV;JVC PIX-MCV Video Capture;c:\windows\system32\drivers\pixmcvv.sys [2007-03-18 21081]
S3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [2005-11-02 215552]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5b8dff09-560e-11db-8f8d-000fb0e05358}]
\Shell\AutoRun\command - E:\setupSNK.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d65280aa-c680-11db-825a-000fb0e05358}]
\Shell\AutoRun\command - E:\LaunchU3.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f269e6f4-d566-11db-8292-000fb0e05358}]
\Shell\AutoRun\command - E:\setupSNK.exe
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://fr.yahoo.com/
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
mStart Page = hxxp://fr.yahoo.com
uInternet Settings,ProxyOverride = <local>
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-16 09:18:16
Windows 5.1.2600 Service Pack 3 NTFS
detected NTDLL code modification:
ZwOpenFile
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ZoneLabs\vsmon.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Toshiba\ConfigFree\CFSvcs.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\HPZipm12.exe
c:\program files\Canon\CAL\CALMAIN.exe
c:\windows\system32\wscntfy.exe
c:\program files\Toshiba\ConfigFree\NDSTray.exe
c:\windows\system32\TPSBattM.exe
c:\program files\Apoint2K\ApntEx.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Heure de fin: 2009-02-16 9:21:59 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-02-16 08:21:53
Avant-CF: 41 939 759 104 octets libres
Après-CF: 41,863,249,920 octets libres
264 --- E O F --- 2009-02-12 19:48:28
je me suis absenté ce week-end...désolé pour le retard!
Voici le rapport combofix:
ComboFix 09-02-12.02 - Wagner Emilie 2009-02-16 9:08:09.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.502.226 [GMT 1:00]
Lancé depuis: c:\documents and settings\Wagner Emilie\Bureau\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated)
FW: ZoneAlarm Firewall *enabled*
* Un nouveau point de restauration a été créé
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Autorun.inf
c:\windows\autorun.inf
c:\windows\Install.txt
c:\windows\system32\drivers\ntndis.sys
c:\windows\system32\gaopdxcounter
c:\windows\system32\Install.txt
c:\windows\system32\tmp0_147759160259.bk
c:\windows\system32\tmpxccacj0.exe
c:\windows\system32\tpszxyd.sys
c:\windows\system32\udxfytw.sys
c:\windows\system32\Updater.exe
c:\windows\system32\xcchit32.ini
c:\windows\xccwinsys.ini
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_AFISICX
-------\Legacy_NOYTCYR
-------\Legacy_WSLDOEKD
-------\Service_Passthru
((((((((((((((((((((((((((((( Fichiers créés du 2009-01-16 au 2009-02-16 ))))))))))))))))))))))))))))))))))))
.
2009-02-14 14:07 . 2009-02-14 14:07 <REP> d-------- C:\_OTMoveIt
2009-02-14 11:45 . 2009-02-14 11:46 <REP> d-------- c:\program files\Fichiers communs\Adobe
2009-02-14 11:33 . 2009-02-14 11:33 <REP> d-------- c:\program files\Java
2009-02-14 11:33 . 2009-02-14 11:33 410,984 --a------ c:\windows\system32\deploytk.dll
2009-02-14 11:33 . 2009-02-14 11:33 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-02-13 12:30 . 2009-02-16 09:19 245,792 --ahs---- c:\windows\system32\drivers\fidbox.dat
2009-02-13 12:30 . 2009-02-16 09:16 3,884 --ahs---- c:\windows\system32\drivers\fidbox.idx
2009-02-13 12:26 . 2009-02-13 12:26 <REP> d-------- c:\documents and settings\All Users\Application Data\MailFrontier
2009-02-13 12:26 . 2008-07-09 09:05 54,672 --a------ c:\windows\system32\vsutil_loc040c.dll
2009-02-13 12:26 . 2008-07-09 09:05 42,384 --a------ c:\windows\zllsputility_loc040c.dll
2009-02-13 12:26 . 2008-07-09 09:05 21,904 --a------ c:\windows\system32\imsinstall_loc040c.dll
2009-02-13 12:26 . 2008-07-09 09:05 17,808 --a------ c:\windows\system32\imslsp_install_loc040c.dll
2009-02-13 12:26 . 2009-02-13 12:28 4,212 ---h----- c:\windows\system32\zllictbl.dat
2009-02-13 12:25 . 2009-02-13 12:25 <REP> d-------- c:\program files\Zone Labs
2009-02-13 12:24 . 2009-02-16 09:06 <REP> d-------- c:\windows\Internet Logs
2009-02-12 21:10 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-12 21:10 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-12 20:55 . 2009-02-12 20:55 <REP> d-------- C:\Backups
2009-02-12 19:52 . 2009-02-14 13:49 <REP> d-------- c:\windows\ERUNT
2009-02-12 13:55 . 2009-02-12 21:10 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-02-12 13:15 . 2009-02-14 13:49 <REP> d-------- c:\program files\Trend Micro
2009-02-12 10:56 . 2009-02-12 10:56 24,577 --a------ c:\windows\system32\13.tmp
2009-02-12 10:53 . 2009-02-12 10:53 182,656 --a--c--- c:\windows\system32\dllcache\ndis.sys
2009-02-11 22:12 . 2009-02-11 22:12 0 --a------ c:\windows\_id.dat
2009-02-11 22:07 . 2009-02-12 22:22 <REP> d-------- c:\program files\WebShow
2009-02-11 22:07 . 2009-02-11 22:07 137,408 --a------ c:\windows\system32\drivers\ethmccxn.sys
2009-02-11 22:07 . 2009-02-11 22:11 67,072 ---h----- c:\windows\system32\secupdat.dat
2009-02-11 22:07 . 2009-02-11 22:07 53,248 --a------ c:\windows\system32\drivers\ndisio.sys
2009-02-11 22:07 . 2009-02-11 22:07 31,744 --ah----- c:\documents and settings\Wagner Emilie\befp.exe
2009-02-11 22:07 . 2009-02-11 22:07 24,577 --a------ c:\windows\system32\31.tmp
2009-02-11 22:07 . 2009-02-11 22:07 3,584 --a------ c:\windows\jrblzfgk.exe
2009-02-11 22:07 . 2009-02-11 22:07 616 --a------ c:\windows\system32\33.tmp
2009-02-11 22:04 . 2009-02-11 22:07 163,780 --a------ c:\windows\system32\2C.tmp
2009-02-11 22:04 . 2009-02-11 22:04 102,912 --a------ C:\wppk.exe
2009-02-11 22:04 . 2009-02-11 22:04 22,016 --a------ C:\xmea.exe
2009-02-11 22:04 . 2009-02-11 22:04 128 --a------ c:\windows\system32\2B.tmp
2009-02-11 22:03 . 2009-02-12 22:34 <REP> d-------- c:\windows\system32\inf
2009-02-11 22:03 . 2009-02-11 22:03 41,984 --a------ c:\windows\Fxewerafiq.dll
2009-02-11 22:03 . 2009-02-11 22:03 21,504 --a------ C:\hhibl.exe
2009-02-11 22:03 . 2009-02-11 22:03 2 --a------ C:\-799729020
2009-02-11 22:02 . 2009-02-11 22:02 108,336 --a------ c:\windows\system32\mswinsck.ocx
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-14 10:53 --------- d-----w c:\program files\Lavasoft
2009-02-12 19:40 --------- d-----w c:\program files\Punch! Home Design - AS4000
2009-02-12 18:59 --------- d-----w c:\documents and settings\Wagner Emilie\Application Data\uTorrent
2009-02-12 09:53 182,656 ----a-w c:\windows\system32\drivers\ndis.sys
2008-12-30 16:27 --------- d-----w c:\documents and settings\Wagner Emilie\Application Data\ZoomBrowser EX
2008-12-30 15:44 --------- d-----w c:\documents and settings\Wagner Emilie\Application Data\CameraWindowDC
2008-12-26 17:49 --------- d-----w c:\documents and settings\Wagner Emilie\Application Data\CANON INC
2008-12-26 15:35 --------- d-----w c:\program files\Canon
2008-12-26 15:24 --------- d-----w c:\documents and settings\All Users\Application Data\ZoomBrowser
2008-12-26 15:21 --------- d-----w c:\program files\Fichiers communs\Canon
2008-09-03 13:46 744 -c--a-w c:\documents and settings\Wagner Emilie\Application Data\wklnhst.dat
2006-11-28 16:56 61,008,120 -c--a-w c:\program files\AVP.6.299_11.28_17.56_720.SRV.dmp
2006-11-28 08:38 62,756,744 -c--a-w c:\program files\AVP.6.299_11.28_09.38_71c.SRV.dmp
2006-11-28 07:16 62,178,676 -c--a-w c:\program files\AVP.6.299_11.28_08.16_6f8.SRV.dmp
2006-11-27 16:28 60,912,420 -c--a-w c:\program files\AVP.6.299_11.27_17.28_6f8.SRV.dmp
2006-11-27 12:09 57,607,341 -c--a-w c:\program files\AVP.6.299_11.27_13.09_6ec.SRV.dmp
2006-11-27 11:09 60,615,872 -c--a-w c:\program files\AVP.6.299_11.27_12.09_6f4.SRV.dmp
2006-11-25 05:45 56,014,700 -c--a-w c:\program files\AVP.6.299_11.25_06.45_6ec.SRV.dmp
2006-11-24 16:56 60,847,136 -c--a-w c:\program files\AVP.6.299_11.24_17.55_6f0.SRV.dmp
2006-11-23 16:17 52,973,432 -c--a-w c:\program files\AVP.6.299_11.23_17.17_dd4.SRV.dmp
2006-11-23 15:58 60,416,468 -c--a-w c:\program files\AVP.6.299_11.23_16.58_71c.SRV.dmp
2006-11-22 19:12 55,018,275 -c--a-w c:\program files\AVP.6.299_11.22_20.11_44c.SRV.dmp
2006-11-22 18:52 52,897,740 -c--a-w c:\program files\AVP.6.299_11.22_19.52_af0.SRV.dmp
2006-11-22 18:28 52,921,636 -c--a-w c:\program files\AVP.6.299_11.22_19.28_804.SRV.dmp
2006-11-22 17:43 56,274,048 -c--a-w c:\program files\AVP.6.299_11.22_18.43_3ec.SRV.dmp
2006-11-22 17:13 56,853,452 -c--a-w c:\program files\AVP.6.299_11.22_18.13_730.SRV.dmp
2006-11-22 16:09 61,220,888 -c--a-w c:\program files\AVP.6.299_11.22_17.09_718.SRV.dmp
2006-11-22 13:52 54,555,735 -c--a-w c:\program files\AVP.6.299_11.22_14.52_f94.SRV.dmp
2006-11-22 13:32 60,653,972 -c--a-w c:\program files\AVP.6.299_11.22_14.32_71c.SRV.dmp
2006-09-14 15:54 299,008 -c--a-w c:\program files\Fichiers communs\FDEUnInstaller.exe
2008-04-14 02:34 71,794 --sh--r c:\windows\system32\javaupd.exe
.
------- Sigcheck -------
2004-08-05 11:00 182912 1df7f42665c94b825322fae71721130d c:\windows\$NtServicePackUninstall$\ndis.sys
2008-04-13 20:20 182656 1df7f42665c94b825322fae71721130d c:\windows\ServicePackFiles\i386\ndis.sys
2009-02-12 10:53 213120 1df7f42665c94b825322fae71721130d c:\windows\system32\dllcache\ndis.sys
2009-02-12 10:53 213120 1df7f42665c94b825322fae71721130d c:\windows\system32\drivers\ndis.sys
2008-04-14 03:34 1054720 589dbf09b72b56c3d5524c95b58cf0a4 c:\windows\explorer.exe
2007-06-13 14:10 1054208 f3b0cc4c99c1c6941125b3296e7a0e93 c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
2007-06-13 14:22 1054720 375b3ee547b69e9d61abd87480661db0 c:\windows\$NtServicePackUninstall$\explorer.exe
2004-08-05 11:00 1053184 06f88e360358780e1952da99c79378db c:\windows\$NtUninstallKB938828$\explorer.exe
2008-04-14 03:34 1055232 22f89e2bb8349dadc7dd050249bc313a c:\windows\ServicePackFiles\i386\explorer.exe
2004-08-05 11:00 32256 243ceb8c39a7f3eb5dc6314719ba200e c:\windows\$NtServicePackUninstall$\ctfmon.exe
2008-04-14 03:33 32256 98e7c182335a3f5a3867db2f74dc29c7 c:\windows\ServicePackFiles\i386\ctfmon.exe
2008-04-14 03:33 32256 e05b446a67e103b631df8f9bee1cb640 c:\windows\system32\ctfmon.exe
2005-06-11 01:17 74752 52fc56f280d556e0b4dd7378db305d3d c:\windows\$hf_mig$\KB896423\SP2QFE\spoolsv.exe
2005-06-11 00:53 74752 6d3f07d8aa6810088fad0708f97878ee c:\windows\$NtServicePackUninstall$\spoolsv.exe
2004-08-05 11:00 74752 2d3cf60db25e5f15307dbf16b837e8af c:\windows\$NtUninstallKB896423$\spoolsv.exe
2008-04-14 03:34 74752 f009ae4cb8c73aa1b9352c88df20384d c:\windows\ServicePackFiles\i386\spoolsv.exe
2008-04-14 03:34 75264 fe6991d679c4be0bf3e642dbd7eef427 c:\windows\system32\spoolsv.exe
2004-08-05 11:00 41984 d47dadad1ccf7116e0701d1855f91dce c:\windows\$NtServicePackUninstall$\userinit.exe
2008-04-14 03:34 43520 d8f8230f77f947ed05024f3984777b79 c:\windows\ServicePackFiles\i386\userinit.exe
2008-04-14 03:34 43520 1d1075f1bc93d8ad0420c12e319c6550 c:\windows\system32\userinit.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 32256]
"TOSCDSPD"="c:\program files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-11 86016]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-07-19 114688]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-07-19 98304]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-07-19 135168]
"LtMoh"="c:\program files\ltmoh\Ltmoh.exe" [2003-09-06 204800]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2004-03-24 217088]
"CeEKEY"="c:\program files\TOSHIBA\E-KEY\CeEKey.exe" [2005-09-06 692224]
"TPNF"="c:\program files\TOSHIBA\TouchPad\TPTray.exe" [2005-08-25 73728]
"HWSetup"="c:\program files\TOSHIBA\TOSHIBA Applet\HWSetup.exe" [2004-05-01 49152]
"SVPWUTIL"="c:\program files\Toshiba\Windows Utilities\SVPWUTIL.exe" [2004-05-01 86016]
"SmoothView"="c:\program files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe" [2005-05-17 139264]
"PadTouch"="c:\program files\TOSHIBA\Touch and Launch\PadExe.exe" [2005-08-30 1097808]
"Tvs"="c:\program files\TOSHIBA\Tvs\TvsTray.exe" [2005-04-05 94208]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2005-05-31 143421]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2005-12-15 69632]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-21 286977]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-10-25 118784]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-02-14 148888]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"AGRSMMSG"="AGRSMMSG.exe" [2004-12-22 c:\windows\agrsmmsg.exe]
"Zooming"="ZoomingHook.exe" [2005-06-06 c:\windows\system32\ZoomingHook.exe]
"TCtryIOHook"="TCtrlIOHook.exe" [2005-08-22 c:\windows\system32\TCtrlIOHook.exe]
"TPSMain"="TPSMain.exe" [2005-08-12 c:\windows\system32\TPSMain.exe]
"TFncKy"="TFncKy.exe" [BU]
"NDSTray.exe"="NDSTray.exe" [BU]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 32256]
"jrblzfgk.exe"="c:\windows\jrblzfgk.exe" [2009-02-11 3584]
c:\documents and settings\Wagner Emilie\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide de Microsoft Office OneNote 2003.lnk - c:\program files\Microsoft Office\OFFICE11\ONENOTEM.EXE [2007-04-19 64864]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-02-17 86068]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=mss.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\a.exe]
"Debugger"=c:\windows\system32\alg.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\matrix31290.exe]
"Debugger"=c:\windows\system32\alg.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\~tmpa.exe]
"Debugger"=c:\windows\system32\alg.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\~tmpb.exe]
"Debugger"=c:\windows\system32\alg.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\~tmpc.exe]
"Debugger"=c:\windows\system32\alg.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\uTorrent\\utorrent.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
S1 ethmccxn;ethmccxn;c:\windows\system32\drivers\ethmccxn.sys [2009-02-11 137408]
S3 MBAMCatchMe;MBAMCatchMe;\??\c:\program files\Malwarebytes' Anti-Malware\catchme.sys --> c:\program files\Malwarebytes' Anti-Malware\catchme.sys [?]
S3 PID_0920;Logitech QuickCam Express(PID_0920);c:\windows\system32\drivers\LV532AV.SYS [2006-11-05 163328]
S3 PIXMCV;JVC Communication PIX-MCV Driver;c:\windows\system32\drivers\pixmcvc.sys [2007-03-18 32000]
S3 PIXMCVA;JVC PIX-MCV Audio Capture;c:\windows\system32\drivers\pixmcva.sys [2007-03-18 28057]
S3 PIXMCVV;JVC PIX-MCV Video Capture;c:\windows\system32\drivers\pixmcvv.sys [2007-03-18 21081]
S3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [2005-11-02 215552]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5b8dff09-560e-11db-8f8d-000fb0e05358}]
\Shell\AutoRun\command - E:\setupSNK.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d65280aa-c680-11db-825a-000fb0e05358}]
\Shell\AutoRun\command - E:\LaunchU3.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f269e6f4-d566-11db-8292-000fb0e05358}]
\Shell\AutoRun\command - E:\setupSNK.exe
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://fr.yahoo.com/
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
mStart Page = hxxp://fr.yahoo.com
uInternet Settings,ProxyOverride = <local>
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-16 09:18:16
Windows 5.1.2600 Service Pack 3 NTFS
detected NTDLL code modification:
ZwOpenFile
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ZoneLabs\vsmon.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Toshiba\ConfigFree\CFSvcs.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\HPZipm12.exe
c:\program files\Canon\CAL\CALMAIN.exe
c:\windows\system32\wscntfy.exe
c:\program files\Toshiba\ConfigFree\NDSTray.exe
c:\windows\system32\TPSBattM.exe
c:\program files\Apoint2K\ApntEx.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Heure de fin: 2009-02-16 9:21:59 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-02-16 08:21:53
Avant-CF: 41 939 759 104 octets libres
Après-CF: 41,863,249,920 octets libres
264 --- E O F --- 2009-02-12 19:48:28
