Mise a jour et beug clavié:étrange !

Question

Bonjour,

Depuis 3 semaines je ne peut plus mettre aucun logiciel a jour ,même windows.Il commence le téléchargement je vois bien le bouclié a droite met il stagne a 0% puis disparait.Et j'ai ausssi autre chose d'étrange c'est que quand j'écrit mon ordi fait parfois un petit bip et lorsque cela se produit la lettre sur laquelle j'appuiyais se met en double et un espace s'y ajoute.

De l'aide SVP.C'est vraiment important et sa me soule ses problèmes :(

InfernO.vir · Answer

Slt,

Clique sur ce lien 
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe 
pour télécharger le fichier d'installation d'HijackThis.

Enregistre HJTInstall.exe sur ton bureau.  

Double-clique sur HJTInstall.exe pour lancer le programme

Par défaut, il s'installera là : 
C:\Program Files\Trend Micro\HijackThis

Accepte la license en cliquant sur le bouton "I Accept"

Choisis l'option "Do a system scan and save a log file"

Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement


Tutoriaux : http://perso.orange.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)
              http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm

oo-k3viin-oo · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:48:30, on 22/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Anti-Autorun-inf.lnk = C:\Program Files\Prg Chris\Anti-Autorun.inf\Anti-Autorun.inf.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{656A38F8-7F20-4CE2-B50A-8E9855C235A5}: NameServer = 85.115.73.14
O17 - HKLM\System\CS2\Services\Tcpip\..\{656A38F8-7F20-4CE2-B50A-8E9855C235A5}: NameServer = 85.115.73.14
O17 - HKLM\System\CS4\Services\Tcpip\..\{656A38F8-7F20-4CE2-B50A-8E9855C235A5}: NameServer = 85.115.73.14
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe

oo-k3viin-oo · Answer

Ah oui j'ai oublié de précisé.Depuis que j'ai sa j'ai aussi des pages de pubs qui s'ouvre quand je n'avige.Malgrés que j'ai Mozilla + Adblock Plus.

Et si je fais une recherche google et que je clique sur un lien il ne m'ouvre pas le lien sur le quel j'ai cliqué mais il m'ouvre un lien pour téléchargé emule.Je n'ai pourtant aucun logiciel de Peer to peer sur mon ordinateur.

InfernO.vir · Answer

1) Imprime ces instructions ou sauvegarde les sur ton Bureau car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton bureau à partir de ce lien :

https://download.cnet.com/Malwarebytes/3000-8022_4-10804572.html


3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain teps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche. 
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Ferme le bloc-note. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

oo-k3viin-oo · Answer

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1654
Windows 5.1.2600 Service Pack 3

22/02/2009 15:05:00
mbam-log-2009-02-22 (15-05-00).txt

Type de recherche: Examen rapide
Eléments examinés: 47435
Temps écoulé: 3 minute(s), 54 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

InfernO.vir · Answer

Refait un scan MBAM mais cette fois-ci, un scan complet non rapide

oo-k3viin-oo · Answer

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1654
Windows 5.1.2600 Service Pack 3

22/02/2009 17:41:59
mbam-log-2009-02-22 (17-41-58).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 122999
Temps écoulé: 1 hour(s), 34 minute(s), 42 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

InfernO.vir · Answer

Ouvre ce lien  (merci a S!RI pour ce programme). http://siri.urz.free.fr/Fix/SmitfraudFix.php 
et télécharge SmitfraudFix.exe.

Regarde le tuto
Exécute le en choisissant l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.

Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

InfernO.vir · Answer

Ouvre ce lien  (merci a S!RI pour ce programme). http://siri.urz.free.fr/Fix/SmitfraudFix.php 
et télécharge SmitfraudFix.exe.

Regarde le tuto
Exécute le en choisissant l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.

Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

oo-k3viin-oo · Answer

Voila:

SmitFraudFix v2.398

Rapport fait à 17:47:58,23, 22/02/2009
Executé à partir de C:\Documents and Settings\Kevin\Mes documents\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est 
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Documents and Settings\Kevin\Mes documents\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Kevin


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Kevin\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Kevin\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Kevin\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
DNS Server Search Order: 85.115.73.14

HKLM\SYSTEM\CCS\Services\Tcpip\..\{656A38F8-7F20-4CE2-B50A-8E9855C235A5}: DhcpNameServer=82.216.111.122 82.216.111.123
HKLM\SYSTEM\CCS\Services\Tcpip\..\{656A38F8-7F20-4CE2-B50A-8E9855C235A5}: NameServer=85.115.73.14
HKLM\SYSTEM\CS1\Services\Tcpip\..\{656A38F8-7F20-4CE2-B50A-8E9855C235A5}: DhcpNameServer=82.216.111.122 82.216.111.123


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin




PS: Encore merci de m'aidé :) C'est simpa.

InfernO.vir · Answer

Fait un scan en ligne ici :

Avec Internet Explorer : https://forum.pcastuces.com/default.asp

oo-k3viin-oo · Answer

Impossible de faire un scan.J'ai tout fait comme ils disent mais après avoir accépté sur la page du scanner en ligne il me dit :"Imposssible de charger les scanners en ligne"

C'est le genre de problème que j'ai depuis que j'ai se problème de mise a jour :/

InfernO.vir · Answer

/!\ Desactive toutes tes protections residentes (Antivirus, antispywares, Tea-timer de Spybot S&d...) /!\




-Télécharge Combofix de sUBs

-Enregistre-le impérativement sur ton bureau et renomme-le en Kevin

-Déconnecte-toi du net et désactive ton antivirus (juste le temps de la procédure).

-Ferme toutes les fenêtres.

-Double-clique sur Kevin.exe (ComboFix)(ne clique pas sur la fenêtre qui s'ouvre).

-Appuie sur Y pour lancer le scan.

-A la fin du scan (cela peut prendre du temps), un rapport sera créé.

-Poste ce rapport dans ton / tes prochain(s) message(s).

oo-k3viin-oo · Answer

Voila le log,mais il faut que je te dises que les modif n'on pas pris effet.Je t'éxplique pourquoi.Après avoir fait le scan.Le logiciel a supprimé des objet.J'ai voulu venir posté le log mais internet ne marchait plus.J'ai donc du faire une restauration systeme a hier.Etrange !

ComboFix 09-02-21.01 - Kevin 2009-02-22 18:31:23.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1535.1187 [GMT 1:00]
Lancé depuis: c:\documents and settings\Kevin\Bureau\Kevin.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Outdated)

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\drivers\gaopdxcnfxskjq.sys
c:\windows\system32\drivers\gaopdxelolgoud.sys
c:\windows\system32\drivers\gaopdxfubgxoqr.sys
c:\windows\system32\drivers\gaopdxpopklydx.sys
c:\windows\system32\drivers\gaopdxxoenbpvq.sys
c:\windows\system32\drivers\gaopdxxrekturb.sys
c:\windows\system32\drivers\gaopdxxtrejduv.sys
c:\windows\system32\drivers\gaopdxydcvkwbu.sys
c:\windows\system32\dumphive.exe
c:\windows\system32\gaopdxcounter
c:\windows\system32\gaopdxjhyidilb.dll
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_gaopdxserv.sys

((((((((((((((((((((((((((((( Fichiers créés du 2009-01-22 au 2009-02-22 ))))))))))))))))))))))))))))))))))))
.

2009-02-22 13:48 . 2009-02-22 13:48 <REP> d-------- c:\program files\Trend Micro
2009-02-21 12:26 . 2009-02-21 12:26 <REP> d-------- c:\windows\Sun
2009-02-21 00:48 . 2009-02-21 00:48 <REP> d-------- c:\program files\Java
2009-02-21 00:48 . 2009-02-21 00:48 410,984 --a------ c:\windows\system32\deploytk.dll
2009-02-21 00:48 . 2009-02-21 00:48 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-02-20 18:10 . 2009-02-20 18:10 <REP> d-------- c:\documents and settings\Kevin\Application Data\Acronis
2009-02-20 18:06 . 2009-02-20 18:06 96,320 --a------ c:\windows\system32\drivers\snapman.sys
2009-02-20 18:05 . 2009-02-20 18:05 <REP> d-------- c:\documents and settings\All Users\Application Data\Acronis
2009-02-20 18:05 . 2009-02-20 18:05 81,984 --a------ c:\windows\system32\drivers\psh_drv.sys
2009-02-17 17:30 . 2009-02-17 17:30 <REP> d-------- c:\program files\Avira
2009-02-17 17:30 . 2009-02-17 17:30 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira
2009-02-07 23:25 . 2009-02-07 23:25 <REP> d-------- c:\program files\CCleaner
2009-02-07 20:07 . 2009-02-07 20:07 <REP> d-------- c:\program files\Windows Media Connect 2
2009-02-07 20:04 . 2009-02-07 20:04 <REP> d-------- c:\windows\system32\LogFiles
2009-02-07 20:04 . 2009-02-07 20:05 <REP> d-------- c:\windows\system32\drivers\UMDF
2009-02-06 21:32 . 2009-02-06 21:32 <REP> d-------- c:\documents and settings\All Users\Application Data\KONAMI
2009-02-06 20:45 . 2009-02-06 20:45 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-02-06 20:45 . 2009-02-06 20:45 <REP> d-------- c:\documents and settings\Kevin\Application Data\Malwarebytes
2009-02-06 20:45 . 2009-02-06 20:45 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-02-06 20:45 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-06 20:45 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-06 18:52 . 2009-02-06 18:52 49,504 --a------ c:\windows\system32\sirenacm.dll
2009-02-06 18:26 . 2003-03-18 21:20 1,060,864 --a------ c:\windows\system32\MFC71.dll
2009-02-06 18:04 . 2009-02-06 18:04 <REP> d-------- c:\program files\Sunbelt Software
2009-02-01 21:02 . 2009-02-01 21:02 <REP> d-------- c:\documents and settings\All Users\Application Data\Messenger Plus!
2009-02-01 19:01 . 2009-02-01 19:01 <REP> d-------- c:\program files\Messenger Plus! Live
2009-01-31 11:36 . 2009-01-31 11:36 <REP> d-------- c:\program files\Free iPod Video Converter
2009-01-31 11:36 . 2004-05-25 17:06 417,792 --a------ c:\windows\system32\ac3filter.ax
2009-01-31 11:36 . 2005-02-27 21:48 356,352 --a------ c:\windows\system32\RealMediaSplitter.ax
2009-01-31 11:36 . 2004-01-10 17:02 258,048 --a------ c:\windows\system32\GplMpgDec.ax
2009-01-25 22:01 . 2009-02-05 19:59 116 --a------ c:\windows\NeroDigital.ini
2009-01-23 23:28 . 2009-01-23 23:28 <REP> d-------- c:\program files\Fichiers communs\Nero
2009-01-23 23:27 . 2009-01-23 23:28 <REP> d-------- c:\program files\Fichiers communs\LightScribe
2009-01-22 22:31 . 2008-06-25 08:44 120,320 --a------ c:\windows\system32\ZLIBOCX2.dll
2009-01-22 22:31 . 1996-06-13 21:24 53,760 --a------ c:\windows\system32\ZlibTool.ocx
2009-01-22 18:02 . 2009-01-22 18:04 <REP> d-------- c:\program files\mp3DirectCut
2009-01-22 17:57 . 2009-01-22 17:57 <REP> d-------- c:\program files\Fichiers communs\DVDVIDEOSOFT
2009-01-22 17:57 . 2009-01-22 17:57 <REP> d-------- c:\program files\DVDVIDEOSOFT
2009-01-22 17:57 . 2002-01-05 15:37 344,064 --a------ c:\windows\system32\msvcr70.dll
2009-01-22 17:53 . 2006-07-29 01:22 51,712 --a------ c:\windows\system32\coodest.dll
2009-01-22 16:56 . 2009-01-22 16:58 <REP> d-------- c:\documents and settings\Kevin\dwhelper

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-07 22:28 --------- d--h--w c:\program files\InstallShield Installation Information
2009-02-06 13:03 --------- d-----w c:\documents and settings\All Users\Application Data\Sports Interactive
2009-01-28 11:53 --------- d-----w c:\program files\CryptLoad
2009-01-22 16:54 --------- d-----w c:\program files\K-Lite Codec Pack
2009-01-21 16:22 --------- d-----w c:\program files\D-Jix
2009-01-21 16:16 --------- d-----w c:\documents and settings\Kevin\Application Data\D-Jix Media
2009-01-16 16:52 --------- d-----w c:\documents and settings\Kevin\Application Data\www.pro-evo.xooit.fr
2009-01-15 20:17 --------- d-----w c:\program files\PhotoFiltre Studio
2009-01-14 11:02 --------- d-----w c:\program files\MSBuild
2009-01-14 11:01 --------- d-----w c:\program files\Reference Assemblies
2009-01-09 23:12 --------- d-----w c:\program files\DLFreeTools
2009-01-08 11:15 107,888 ----a-w c:\windows\system32\CmdLineExt.dll
2009-01-06 18:55 155,648 ----a-w c:\windows\system32\libssl32.dll
2009-01-03 12:41 --------- d-----w c:\documents and settings\Kevin\Application Data\Sports Interactive
2009-01-03 12:00 --------- d-----w c:\program files\Bonjour
2009-01-03 10:10 --------- d--h--w c:\program files\Zero G Registry
2009-01-02 21:39 --------- d-----w c:\program files\iTunes
2009-01-02 21:39 --------- d-----w c:\program files\iPod
2009-01-02 21:39 --------- d-----w c:\program files\Fichiers communs\Apple
2009-01-02 21:39 --------- d-----w c:\documents and settings\Kevin\Application Data\Apple Computer
2009-01-02 21:39 --------- d-----w c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2009-01-02 21:38 --------- d-----w c:\program files\QuickTime
2009-01-02 21:37 --------- d-----w c:\program files\Apple Software Update
2009-01-02 21:37 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer
2009-01-02 21:36 --------- d-----w c:\documents and settings\All Users\Application Data\Apple
2009-01-02 19:07 0 ---ha-w c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2009-01-02 19:07 0 ---ha-w c:\windows\system32\drivers\Msft_Kernel_xusb21_01005.Wdf
2009-01-02 01:49 --------- d-----w c:\program files\Fichiers communs\InstallShield
2009-01-02 01:49 --------- d-----w c:\documents and settings\Kevin\Application Data\DAEMON Tools Lite
2009-01-02 01:46 --------- d-----w c:\documents and settings\Kevin\Application Data\DAEMON Tools Pro
2009-01-02 01:46 --------- d-----w c:\documents and settings\Kevin\Application Data\DAEMON Tools
2009-01-02 01:45 --------- d-----w c:\program files\DAEMON Tools Lite
2009-01-02 01:45 --------- d-----w c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2009-01-02 01:43 717,296 ----a-w c:\windows\system32\drivers\sptd.sys
2009-01-01 23:07 --------- d-----w c:\program files\Windows Live
2009-01-01 23:07 --------- d-----w c:\program files\Microsoft
2009-01-01 23:03 --------- d-----w c:\program files\Fichiers communs\Windows Live
2009-01-01 22:59 --------- d-----w c:\documents and settings\Kevin\Application Data\Media Player Classic
2009-01-01 22:00 --------- d-----w c:\program files\Microsoft.NET
2009-01-01 20:25 --------- d-----w c:\program files\Fichiers communs\Adobe
2009-01-01 20:21 --------- d-----w c:\documents and settings\Kevin\Application Data\InterTrust
2009-01-01 20:04 --------- d-----w c:\documents and settings\All Users\Application Data\ATI
2009-01-01 20:01 --------- d-----w c:\program files\ATI Technologies
2009-01-01 19:59 --------- d-----w c:\program files\Fichiers communs\ATI Technologies
2009-01-01 19:35 90,112 ----a-w c:\windows\DUMP3b34.tmp
2009-01-01 19:20 --------- d-----w c:\documents and settings\Kevin\Application Data\ATI
2008-12-31 04:14 --------- d-----w c:\program files\microsoft frontpage
2008-12-31 04:12 --------- d-----w c:\program files\Services en ligne
2008-12-12 10:18 87,336 ----a-w c:\windows\system32\dns-sd.exe
2008-12-12 10:11 61,440 ----a-w c:\windows\system32\dnssd.dll
2008-12-11 00:33 86,016 ----a-w c:\windows\system32\dpl100.dll
2008-12-08 11:53 57,344 ----a-w c:\windows\system32\ff_vfw.dll
2008-12-07 18:08 795,648 ----a-w c:\windows\system32\xvidcore.dll
2008-12-07 18:08 130,048 ----a-w c:\windows\system32\xvidvfw.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-02-21 148888]
"SoundMan"="SOUNDMAN.EXE" [2002-08-15 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"d:\\Jeux\\KONAMI\\Fichier.iso Pro Evolution Soccer\\pes2009.exe"=
"d:\\Jeux\\KONAMI\\PES2009\\pes2009.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9420:TCP"= 9420:TCP:Akamai NetSession Interface
"5000:UDP"= 5000:UDP:Akamai NetSession Interface

R3 QCEmerald;QuickCam Web Logitech;c:\windows\system32\drivers\OVCE.sys [2009-01-02 31872]
S3 V90drv;v90drv;c:\windows\system32\drivers\v90drv.sys [2009-01-01 1432836]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{130c5952-db48-11dd-bcf1-0010dc7d9ed8}]
\Shell\Auto\command - cmd /C launch.bat
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL cmd /C launch.bat
.
Contenu du dossier 'Tâches planifiées'

2009-01-31 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {656A38F8-7F20-4CE2-B50A-8E9855C235A5} = 85.115.73.14
FF - ProfilePath - c:\documents and settings\Kevin\Application Data\Mozilla\Firefox\Profiles\yel7w4qf.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine -
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-22 18:35:04
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(540)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2009-02-22 18:38:29
ComboFix-quarantined-files.txt 2009-02-22 17:37:57

Avant-CF: 40,819,638,272 octets libres
Après-CF: 40,808,067,072 octets libres

Current=2 Default=2 Failed=3 LastKnownGood=4 Sets=1,2,3,4
209 --- E O F --- 2009-01-14 10:54:12

InfernO.vir · Answer

retente combofix et fait bien gaffe a deconnecter internet et tes protections.

oo-k3viin-oo · Answer

Je l'avait fait ;)

J'ai fermer Avira en le désactivant avant.

Puis j'ai désactivé ma connexion internet.


Attent,je réésaye ;)

oo-k3viin-oo · Answer

J'ai réésayé.Ils supprimes mais internet ne marche plus.J'ai a nouveau du refaire une restauration système.

Voila quand même le log:

ComboFix 09-02-21.01 - Kevin 2009-02-22 19:28:48.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1535.1200 [GMT 1:00]
Lancé depuis: c:\documents and settings\Kevin\Bureau\Kevin.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Outdated)
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\drivers\gaopdxcnfxskjq.sys
c:\windows\system32\drivers\gaopdxelolgoud.sys
c:\windows\system32\drivers\gaopdxfubgxoqr.sys
c:\windows\system32\drivers\gaopdxpopklydx.sys
c:\windows\system32\drivers\gaopdxxoenbpvq.sys
c:\windows\system32\drivers\gaopdxxrekturb.sys
c:\windows\system32\drivers\gaopdxxtrejduv.sys
c:\windows\system32\drivers\gaopdxydcvkwbu.sys
c:\windows\system32\dumphive.exe
c:\windows\system32\gaopdxcounter
c:\windows\system32\gaopdxjhyidilb.dll
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_gaopdxserv.sys

((((((((((((((((((((((((((((( Fichiers créés du 2009-01-22 au 2009-02-22 ))))))))))))))))))))))))))))))))))))
.

2009-02-22 13:48 . 2009-02-22 13:48 <REP> d-------- c:\program files\Trend Micro
2009-02-21 12:26 . 2009-02-21 12:26 <REP> d-------- c:\windows\Sun
2009-02-21 00:48 . 2009-02-21 00:48 <REP> d-------- c:\program files\Java
2009-02-21 00:48 . 2009-02-21 00:48 410,984 --a------ c:\windows\system32\deploytk.dll
2009-02-21 00:48 . 2009-02-21 00:48 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-02-20 18:10 . 2009-02-20 18:10 <REP> d-------- c:\documents and settings\Kevin\Application Data\Acronis
2009-02-20 18:06 . 2009-02-20 18:06 96,320 --a------ c:\windows\system32\drivers\snapman.sys
2009-02-20 18:05 . 2009-02-20 18:05 <REP> d-------- c:\documents and settings\All Users\Application Data\Acronis
2009-02-20 18:05 . 2009-02-20 18:05 81,984 --a------ c:\windows\system32\drivers\psh_drv.sys
2009-02-17 17:30 . 2009-02-17 17:30 <REP> d-------- c:\program files\Avira
2009-02-17 17:30 . 2009-02-17 17:30 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira
2009-02-07 23:25 . 2009-02-07 23:25 <REP> d-------- c:\program files\CCleaner
2009-02-07 20:07 . 2009-02-07 20:07 <REP> d-------- c:\program files\Windows Media Connect 2
2009-02-07 20:04 . 2009-02-07 20:04 <REP> d-------- c:\windows\system32\LogFiles
2009-02-07 20:04 . 2009-02-07 20:05 <REP> d-------- c:\windows\system32\drivers\UMDF
2009-02-06 21:32 . 2009-02-06 21:32 <REP> d-------- c:\documents and settings\All Users\Application Data\KONAMI
2009-02-06 20:45 . 2009-02-06 20:45 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-02-06 20:45 . 2009-02-06 20:45 <REP> d-------- c:\documents and settings\Kevin\Application Data\Malwarebytes
2009-02-06 20:45 . 2009-02-06 20:45 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-02-06 20:45 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-06 20:45 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-06 18:52 . 2009-02-06 18:52 49,504 --a------ c:\windows\system32\sirenacm.dll
2009-02-06 18:26 . 2003-03-18 21:20 1,060,864 --a------ c:\windows\system32\MFC71.dll
2009-02-06 18:04 . 2009-02-06 18:04 <REP> d-------- c:\program files\Sunbelt Software
2009-02-01 21:02 . 2009-02-01 21:02 <REP> d-------- c:\documents and settings\All Users\Application Data\Messenger Plus!
2009-02-01 19:01 . 2009-02-01 19:01 <REP> d-------- c:\program files\Messenger Plus! Live
2009-01-31 11:36 . 2009-01-31 11:36 <REP> d-------- c:\program files\Free iPod Video Converter
2009-01-31 11:36 . 2004-05-25 17:06 417,792 --a------ c:\windows\system32\ac3filter.ax
2009-01-31 11:36 . 2005-02-27 21:48 356,352 --a------ c:\windows\system32\RealMediaSplitter.ax
2009-01-31 11:36 . 2004-01-10 17:02 258,048 --a------ c:\windows\system32\GplMpgDec.ax
2009-01-25 22:01 . 2009-02-05 19:59 116 --a------ c:\windows\NeroDigital.ini
2009-01-23 23:28 . 2009-01-23 23:28 <REP> d-------- c:\program files\Fichiers communs\Nero
2009-01-23 23:27 . 2009-01-23 23:28 <REP> d-------- c:\program files\Fichiers communs\LightScribe
2009-01-22 22:31 . 2008-06-25 08:44 120,320 --a------ c:\windows\system32\ZLIBOCX2.dll
2009-01-22 22:31 . 1996-06-13 21:24 53,760 --a------ c:\windows\system32\ZlibTool.ocx
2009-01-22 18:02 . 2009-01-22 18:04 <REP> d-------- c:\program files\mp3DirectCut
2009-01-22 17:57 . 2009-01-22 17:57 <REP> d-------- c:\program files\Fichiers communs\DVDVIDEOSOFT
2009-01-22 17:57 . 2009-01-22 17:57 <REP> d-------- c:\program files\DVDVIDEOSOFT
2009-01-22 17:57 . 2002-01-05 15:37 344,064 --a------ c:\windows\system32\msvcr70.dll
2009-01-22 17:53 . 2006-07-29 01:22 51,712 --a------ c:\windows\system32\coodest.dll
2009-01-22 16:56 . 2009-01-22 16:58 <REP> d-------- c:\documents and settings\Kevin\dwhelper

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-07 22:28 --------- d--h--w c:\program files\InstallShield Installation Information
2009-02-06 13:03 --------- d-----w c:\documents and settings\All Users\Application Data\Sports Interactive
2009-01-28 11:53 --------- d-----w c:\program files\CryptLoad
2009-01-22 16:54 --------- d-----w c:\program files\K-Lite Codec Pack
2009-01-21 16:22 --------- d-----w c:\program files\D-Jix
2009-01-21 16:16 --------- d-----w c:\documents and settings\Kevin\Application Data\D-Jix Media
2009-01-16 16:52 --------- d-----w c:\documents and settings\Kevin\Application Data\www.pro-evo.xooit.fr
2009-01-15 20:17 --------- d-----w c:\program files\PhotoFiltre Studio
2009-01-14 11:02 --------- d-----w c:\program files\MSBuild
2009-01-14 11:01 --------- d-----w c:\program files\Reference Assemblies
2009-01-09 23:12 --------- d-----w c:\program files\DLFreeTools
2009-01-03 12:41 --------- d-----w c:\documents and settings\Kevin\Application Data\Sports Interactive
2009-01-03 12:00 --------- d-----w c:\program files\Bonjour
2009-01-03 10:10 --------- d--h--w c:\program files\Zero G Registry
2009-01-02 21:39 --------- d-----w c:\program files\iTunes
2009-01-02 21:39 --------- d-----w c:\program files\iPod
2009-01-02 21:39 --------- d-----w c:\program files\Fichiers communs\Apple
2009-01-02 21:39 --------- d-----w c:\documents and settings\Kevin\Application Data\Apple Computer
2009-01-02 21:39 --------- d-----w c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2009-01-02 21:38 --------- d-----w c:\program files\QuickTime
2009-01-02 21:37 --------- d-----w c:\program files\Apple Software Update
2009-01-02 21:37 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer
2009-01-02 21:36 --------- d-----w c:\documents and settings\All Users\Application Data\Apple
2009-01-02 19:07 0 ---ha-w c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2009-01-02 19:07 0 ---ha-w c:\windows\system32\drivers\Msft_Kernel_xusb21_01005.Wdf
2009-01-02 01:49 --------- d-----w c:\program files\Fichiers communs\InstallShield
2009-01-02 01:49 --------- d-----w c:\documents and settings\Kevin\Application Data\DAEMON Tools Lite
2009-01-02 01:46 --------- d-----w c:\documents and settings\Kevin\Application Data\DAEMON Tools Pro
2009-01-02 01:46 --------- d-----w c:\documents and settings\Kevin\Application Data\DAEMON Tools
2009-01-02 01:45 --------- d-----w c:\program files\DAEMON Tools Lite
2009-01-02 01:45 --------- d-----w c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2009-01-02 01:43 717,296 ----a-w c:\windows\system32\drivers\sptd.sys
2009-01-01 23:07 --------- d-----w c:\program files\Windows Live
2009-01-01 23:07 --------- d-----w c:\program files\Microsoft
2009-01-01 23:03 --------- d-----w c:\program files\Fichiers communs\Windows Live
2009-01-01 22:59 --------- d-----w c:\documents and settings\Kevin\Application Data\Media Player Classic
2009-01-01 22:00 --------- d-----w c:\program files\Microsoft.NET
2009-01-01 20:25 --------- d-----w c:\program files\Fichiers communs\Adobe
2009-01-01 20:21 --------- d-----w c:\documents and settings\Kevin\Application Data\InterTrust
2009-01-01 20:04 --------- d-----w c:\documents and settings\All Users\Application Data\ATI
2009-01-01 20:01 --------- d-----w c:\program files\ATI Technologies
2009-01-01 19:59 --------- d-----w c:\program files\Fichiers communs\ATI Technologies
2009-01-01 19:35 90,112 ----a-w c:\windows\DUMP3b34.tmp
2009-01-01 19:20 --------- d-----w c:\documents and settings\Kevin\Application Data\ATI
2008-12-31 04:14 --------- d-----w c:\program files\microsoft frontpage
2008-12-31 04:12 --------- d-----w c:\program files\Services en ligne
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"SoundMan"="SOUNDMAN.EXE" [2002-08-15 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"d:\\Jeux\\KONAMI\\Fichier.iso Pro Evolution Soccer\\pes2009.exe"=
"d:\\Jeux\\KONAMI\\PES2009\\pes2009.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9420:TCP"= 9420:TCP:Akamai NetSession Interface
"5000:UDP"= 5000:UDP:Akamai NetSession Interface

R2 psh_drv;Process Activity Acronis Monitor;c:\windows\system32\drivers\psh_drv.sys [2009-02-20 81984]
R3 QCEmerald;QuickCam Web Logitech;c:\windows\system32\drivers\OVCE.sys [2009-01-02 31872]
S2 psh_svc;Acronis Malware Shield Service;"c:\program files\Fichiers communs\Acronis\Malware Shield\psh_svc.exe" --> c:\program files\Fichiers communs\Acronis\Malware Shield\psh_svc.exe [?]
S3 V90drv;v90drv;c:\windows\system32\drivers\v90drv.sys [2009-01-01 1432836]
.
Contenu du dossier 'Tâches planifiées'

2009-01-31 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-Shield - c:\program files\Acronis\PrivacyExpert\Shield.exe
HKLM-Run-Acronis Scheduler2 Service - c:\program files\Fichiers communs\Acronis\Schedule2\schedhlp.exe

.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {656A38F8-7F20-4CE2-B50A-8E9855C235A5} = 85.115.73.14
FF - ProfilePath - c:\documents and settings\Kevin\Application Data\Mozilla\Firefox\Profiles\yel7w4qf.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine -
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-22 19:34:51
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(520)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Fichiers communs\LightScribe\LSSrvc.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
.
**************************************************************************
.
Heure de fin: 2009-02-22 19:39:30 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-02-22 18:39:27
ComboFix2.txt 2009-02-22 17:59:21
ComboFix3.txt 2009-02-22 17:38:30

Avant-CF: 40,760,586,240 octets libres
Après-CF: 40,680,632,320 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

Current=2 Default=2 Failed=3 LastKnownGood=4 Sets=1,2,3,4
224 --- E O F --- 2009-01-14 10:54:12

InfernO.vir · Answer

Comment ca internet ne marche reesaye, une fois combofix terminé, redemmarre le pc et le modem ou autre

oo-k3viin-oo · Answer

C'est se que j'ai fait.Mais ya rien a faire sa ne marche pas. :/

InfernO.vir · Answer

Bon on va essayer autrement :

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié dans C:\. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le scrïpt.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

oo-k3viin-oo · Answer

Voila pour le rapport:

[b]SDFix: Version 1.240 [/b]
Run by Kevin on 22/02/2009 at 20:11

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]: 

No Trojan Files Found






Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-22 20:19:49
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

disk error: C:\WINDOWS\system32\config\system, 0
scanning hidden registry entries ...

disk error: C:\WINDOWS\system32\config\software, 0
disk error: C:\Documents and Settings\Kevin
tuser.dat, 0
scanning hidden files ...

disk error: C:\WINDOWS\

please note that you need administrator rights to perform deep scan

[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"D:\Jeux\KONAMI\PES 6\PES6.exe"="D:\Jeux\KONAMI\PES 6\PES6.exe:*:Enabled:pes6.exe"
"C:\Program Files\iTunes\iTunes.exe"="C:\Program Files\iTunes\iTunes.exe:*:Enabled:iTunes"
"C:\Program Files\Bonjour\mDNSResponder.exe"="C:\Program Files\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Documents and Settings\Kevin\Local Settings\Temporary Internet Files\Content.IE5\HJDTBD67\pes2009[1].exe"="C:\Documents and Settings\Kevin\Local Settings\Temporary Internet Files\Content.IE5\HJDTBD67\pes2009[1].exe:*:Enabled:Pro Evolution Soccer 2009"
"D:\Jeux\KONAMI\Pro Evolution Soccer 2009\pes2009.exe"="D:\Jeux\KONAMI\Pro Evolution Soccer 2009\pes2009.exe:*:Enabled:Pro Evolution Soccer 2009"
"D:\Jeux\KONAMI\Pro Evolution Soccer 2009\Pes.com.pt Liga Sagres 2009.exe"="D:\Jeux\KONAMI\Pro Evolution Soccer 2009\Pes.com.pt Liga Sagres 2009.exe:*:Enabled:Pro Evolution Soccer 2009"
"H:\Crack\pes2009.exe"="H:\Crack\pes2009.exe:*:Enabled:Pro Evolution Soccer 2009"
"C:\Documents and Settings\Kevin\Bureau\pes2009.exe"="C:\Documents and Settings\Kevin\Bureau\pes2009.exe:*:Enabled:Pro Evolution Soccer 2009"
"D:\Jeux\KONAMI\Fichier.iso Pro Evolution Soccer\pes2009.exe"="D:\Jeux\KONAMI\Fichier.iso Pro Evolution Soccer\pes2009.exe:*:Enabled:Pro Evolution Soccer 2009"
"C:\Program Files\Counter-Strike 1.6\hl.exe"="C:\Program Files\Counter-Strike 1.6\hl.exe:*:Enabled:Half-Life Launcher"
"C:\Program Files\Counter-Strike 1.6\hlds.exe"="C:\Program Files\Counter-Strike 1.6\hlds.exe:*:Enabled:HLDS Launcher"
"D:\Jeux\FM 2009\Football Manager 2009\fm.exe"="D:\Jeux\FM 2009\Football Manager 2009\fm.exe:*:Disabled:Football Manager 2009"
"D:\Jeux\KONAMI\PES2009\pes2009.exe"="D:\Jeux\KONAMI\PES2009\pes2009.exe:*:Enabled:Pro Evolution Soccer 2009"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

[b]Remaining Files [/b]:



[b]Files with Hidden Attributes [/b]:

Mon 14 Apr 2008     1,695,232 ..SH. --- "C:\Program Files\Messenger\msmsgs.exe"
Mon 14 Apr 2008        60,416 A.SH. --- "C:\Program Files\Outlook Express\msimn.exe"
Sat  7 Feb 2009             0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Fri 14 Sep 2007       247,296 A.SH. --- "C:\Documents and Settings\Kevin\Mes documents\Edition PES2009\IMG\ggs\DelZip179.dll"

[b]Finished![/b]


Et voila pour Hijacktis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:22:21, on 22/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Acronis Popup Blocker - {E24AD748-155E-4254-B674-4EDF86E7E1DF} - C:\Program Files\Acronis\PrivacyExpert\Blocker.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Shield] C:\Program Files\Acronis\PrivacyExpert\Shield.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Anti-Autorun-inf.lnk = C:\Program Files\Prg Chris\Anti-Autorun.inf\Anti-Autorun.inf.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\Program Files\Acronis\PrivacyExpert\Blocker.dll (file missing)
O9 - Extra 'Tools' menuitem: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\Program Files\Acronis\PrivacyExpert\Blocker.dll (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{656A38F8-7F20-4CE2-B50A-8E9855C235A5}: NameServer = 85.115.73.14
O17 - HKLM\System\CS2\Services\Tcpip\..\{656A38F8-7F20-4CE2-B50A-8E9855C235A5}: NameServer = 85.115.73.14
O17 - HKLM\System\CS4\Services\Tcpip\..\{656A38F8-7F20-4CE2-B50A-8E9855C235A5}: NameServer = 85.115.73.14
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe (file missing)
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Acronis Malware Shield Service (psh_svc) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\Malware Shield\psh_svc.exe (file missing)
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe

InfernO.vir · Answer

Telecharge FindyKill sur ton Bureau :

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

--> Lance l installation avec les parametres par default

--> Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir


--> Double clic sur le raccourci FindyKill sur ton bureau

--> Au menu principal,choisis l'option 1 (Recherche)

--> Poste le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque

oo-k3viin-oo · Answer

Vooila le rapport FindyKill:

############################## [ FindyKill V4.717 ] 

# User : Kevin (Administrateurs) # KEVIN-8498A78A4
# Update on 17/02/09 by Chiquitine29
# Start at: 20:33:49 | 22/02/2009

#               Intel(R) Pentium(R) 4 CPU 2.00GHz
# Microsoft Windows XP dition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Enabled
# AV : Avira AntiVir PersonalEdition Classic 8.0.1.30 [ Enabled | (!) Outdated ]

# A:\ # Lecteur de disquettes 3 « pouces
# C:\ # Disque fixe local # NTFS
# D:\ # Disque fixe local (Disque local) # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque CD-ROM
# H:\ # Disque CD-ROM
 
############################## [ Processus actifs ] 
 
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
 
################## [ Fichiers / Dossiers infectieux C:\ ] 
 
 
################## [ C:\WINDOWS ] 
 
 
################## [ C:\WINDOWS\system32 ] 
 
 
################## [ C:\WINDOWS\system32\drivers ] 
 
 
################## [ C:\.. Application Data ... ] 
 
 
################## [ Registre / Clés infectieuses ] 
 
 
 
################## [ Recherche dans supports amovibles] 
 
# Presence des fichiers :  

 
################## [ Registre / Mountpoint2 ] 
 
# -> Not found ! 
 
################## [ ! Fin du rapport # FindyKill V4.717 ! ]

InfernO.vir · Answer

Ton pc bug encore car rien n'est detecté et sur ton rapport Hijackthis, il n'y a rien d'infectieux.

oo-k3viin-oo · Answer

Le clavié beug toujours.Et les mises a jour aussi.Je me demande si je n'ai pas un trojan dnschanger ?

InfernO.vir · Answer

Si tu as encore Smitfraudfix, passe l'option 5 et poste moi le rapport.

oo-k3viin-oo · Answer

SmitFraudFix v2.398

Rapport fait à 20:50:33,37, 22/02/2009
Executé à partir de C:\Documents and Settings\Kevin\Mes documents\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est 
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» DNS Avant Fix

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
DNS Server Search Order: 85.115.73.14

HKLM\SYSTEM\CCS\Services\Tcpip\..\{656A38F8-7F20-4CE2-B50A-8E9855C235A5}: DhcpNameServer=82.216.111.122 82.216.111.123
HKLM\SYSTEM\CCS\Services\Tcpip\..\{656A38F8-7F20-4CE2-B50A-8E9855C235A5}: NameServer=85.115.73.14
HKLM\SYSTEM\CS1\Services\Tcpip\..\{656A38F8-7F20-4CE2-B50A-8E9855C235A5}: DhcpNameServer=82.216.111.122 82.216.111.123

»»»»»»»»»»»»»»»»»»»»»»»» DNS Après Fix

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
DNS Server Search Order: 85.115.73.14

HKLM\SYSTEM\CCS\Services\Tcpip\..\{656A38F8-7F20-4CE2-B50A-8E9855C235A5}: DhcpNameServer=82.216.111.122 82.216.111.123
HKLM\SYSTEM\CCS\Services\Tcpip\..\{656A38F8-7F20-4CE2-B50A-8E9855C235A5}: NameServer=85.115.73.14
HKLM\SYSTEM\CS1\Services\Tcpip\..\{656A38F8-7F20-4CE2-B50A-8E9855C235A5}: DhcpNameServer=82.216.111.122 82.216.111.123



Ca donne quoi ?

InfernO.vir · Answer

Télécharge Killbox de Option^Explicit http://www.downloads.subratam.org/KillBox.zip 

ou ici :

https://www.bleepingcomputer.com/download/linux/

(Tu trouveras une démo ici :
http://mickael.barroux.free.fr/securite/killbox.html et une autre là : http://perso.orange.fr/rginformatique/section%20virus/killbox.htm


- Clique sur KillBox Download Link pour le télécharger 
-- Décompresse le sur le bureau 
- Clique sur Démarrer exécuter tape notepad puis clique sur Ok 
- Sélectionne le texte et fais en un copier coller dans le blocnote (notepad) :

c:\windows\system32\404Fix.exe 
c:\windows\system32\Agent.OMZ.Fix.exe 
c:\windows\system32\drivers\gaopdxcnfxskjq.sys 
c:\windows\system32\drivers\gaopdxelolgoud.sys 
c:\windows\system32\drivers\gaopdxfubgxoqr.sys 
c:\windows\system32\drivers\gaopdxpopklydx.sys 
c:\windows\system32\drivers\gaopdxxoenbpvq.sys 
c:\windows\system32\drivers\gaopdxxrekturb.sys 
c:\windows\system32\drivers\gaopdxxtrejduv.sys 
c:\windows\system32\drivers\gaopdxydcvkwbu.sys 
c:\windows\system32\dumphive.exe 
c:\windows\system32\gaopdxcounter 
c:\windows\system32\gaopdxjhyidilb.dll 
c:\windows\system32\IEDFix.C.exe 
c:\windows\system32\IEDFix.exe 
c:\windows\system32\o4Patch.exe 
c:\windows\system32\Process.exe 
c:\windows\system32\SrchSTS.exe 
c:\windows\system32	mp.reg 
c:\windows\system32\VACFix.exe 
c:\windows\system32\VCCLSID.exe 
c:\windows\system32\WS2Fix.exe

* Dans le bloc notes sur le menu en haut clique sur Edition >>> Sélectionner tout puis Edition >>> Copier 
* Ouvre Killbox 
-- Coche la case [X] "Delete on next reboot" 
-- Clique sur le menu File puis sur Paste from Clipboard 

* Clique sur la croix blanche sur fond rouge 
-- au message "All listed files will be deleted on next reboot" clique sur OUI 
-- Au message "Files will be removed on next reboot, Do you want to reboot now ?" clique sur OUI 
-- Redémarre ton ordinateur s'il ne le fait pas automatiquement 

* Aprés son redémarrage supprime le dossier C:\!Killbox

oo-k3viin-oo · Answer

J'ai tout fait.J'ai supprimé le dossier et tout mais dans la corbeille je ne peux pas l'enlevé quand je met vidé la corbeille sa me dit : "Impossible de Supprimer le dossier Dc5:Le répertoire n'est pas vide"

InfernO.vir · Answer

Quest-ce que tu ne peux enlever, killbox ?

Telecharge Toolscleaner 2 :

http://pc-system.fr/

Clique sur Recherche et laisse le scan se terminer.

Clique, sur Suppression pour finaliser.

Tu peux, si tu le souhaites, te servir des Options facultatives.

Clique sur Quitter, pour que le rapport puisse se créer.

Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

oo-k3viin-oo · Answer

Ca ne marche toujours pas.Je me demande si se n'est pas un mauvais réglage,pour les mises a jour.Et un clavier défaillant,pour le bug des touches. Qu'en penses tu ? Si tu est daccord pourrait tu m'aidé a configuré mon PC pour les mises a jour ? Je me chargerait de changé de clavier dès demain.

oo-k3viin-oo · Answer

Ce que je disais que je ne peux pas supprimé c'est le dossier que j'ai du enlevé avant le truc Kill machin.Il reste dans ma corbeille et je ne peux pas l'enlevé.

Attend quelque minute j'essaye se que tu ma dit dans ton dernier post ;)

InfernO.vir · Answer

Fait toolscleaner stp.

oo-k3viin-oo · Answer

[ Rapport ToolsCleaner version 2.3.1 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\SDFIX: trouvé !
C:\Qoobox: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Kevin\Bureau\SdFix.exe: trouvé !
C:\Documents and Settings\Kevin\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Kevin\Bureau\KillBox.exe: trouvé !
C:\Documents and Settings\Kevin\Local Settings	emp\Rar$EX01.594\KillBox.exe: trouvé !
C:\Documents and Settings\Kevin\Menu Démarrer\Programmes\FindyKill: trouvé !
C:\Documents and Settings\Kevin\Mes documents\HJTInstall.exe: trouvé !
C:\Documents and Settings\Kevin\Mes documents\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\Kevin\Mes documents\SmitFraudfix: trouvé !
C:\Documents and Settings\Kevin\Recent\HijackThis.lnk: trouvé !
C:\Program Files\FindyKill: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Kevin\Bureau\SdFix.exe: supprimé !
C:\Documents and Settings\Kevin\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Kevin\Bureau\KillBox.exe: supprimé !
C:\Documents and Settings\Kevin\Local Settings	emp\Rar$EX01.594\KillBox.exe: supprimé !
C:\Documents and Settings\Kevin\Mes documents\HJTInstall.exe: supprimé !
C:\Documents and Settings\Kevin\Mes documents\SmitFraudFix.exe: supprimé !
C:\Documents and Settings\Kevin\Recent\HijackThis.lnk: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\SDFIX: supprimé !
C:\Qoobox: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\Kevin\Menu Démarrer\Programmes\FindyKill: supprimé !
C:\Documents and Settings\Kevin\Mes documents\SmitFraudfix: supprimé !
C:\Program Files\FindyKill: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Corbeille vidée!
Fichiers temporaires nettoyés !

J'en ai refait un quelque seconde plus tard ,le voila :

[ Rapport ToolsCleaner version 2.3.1 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\!Killbox: trouvé !
C:\Qoobox: trouvé !

---------------------------------
-->- Suppression: 

C:\!Killbox: ERREUR DE SUPPRESSION !!
C:\Qoobox: ERREUR DE SUPPRESSION !!

Corbeille vidée!
Fichiers temporaires nettoyés !
Sauvegarde du registre crée !

InfernO.vir · Answer

Supprime ceux la manuellement : C:\!Killbox:  
                                                 C:\Qoobox

Comment va le pc ?

Fait un scan si tu peux ici : https://forum.pcastuces.com/default.asp

oo-k3viin-oo · Answer

J'arrive pas a les enlevé.Pour les deux il me dit : "Le répertoire n'est pas vide" Je fais comment ?

oo-k3viin-oo · Answer

J'suis entrin de faire l'analyse ;)

InfernO.vir · Answer

Il y a quoi dans ces dossiers ?

oo-k3viin-oo · Answer

J'ai pas pu faire l'analyse en ligne il ma dit : "Echec du chargement du controle active x"

Dans le dossier !KillBox il y a rien et dans Qoobox il y a : Quarantine

InfernO.vir · Answer

Essaye avec un autre naviguateur.

Les dossiers essaye de les virer en Mode sans echec. (touche f8 au demarrage a l'affichage du bios)

oo-k3viin-oo · Answer

Ok j'essaye et je te dis ;)

oo-k3viin-oo · Answer

Je n'arrive toujours pas ni a mettre a jour windows ou tout autre logiciel,nia supprimé ses deux dossier,ni a faire cette analyse en ligne.

oo-k3viin-oo · Answer

C'est bon j'arrive a nouveau a mettre a jour mon anti virus et mon clavier ne bloque plus.Il reste un Hic : les mises a jour windows !

oo-k3viin-oo · Answer

Je viens de remarqué quelque chose quand je vais sur le site windowsupdate.com il m'envoi automatiquement sur google.fr.Impossible d'accédé au site de mise a jour de Windows.

Compte rendu:

Les problèmes résolus:
-Plus de beugs claviers
-Mise a jour de l'Antivirus marche a nouveau


Les problèmes réstants a résoudre:
-L'accès au site windowsupdate.com
-Les mises a jour Windows



En éspérant que tu continu a m'aidé ;)

InfernO.vir · Answer

Poste moi un nouveau rapport hijackthis

oo-k3viin-oo · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:45:44, on 23/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\CryptLoad\CryptLoad.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Acronis Popup Blocker - {E24AD748-155E-4254-B674-4EDF86E7E1DF} - C:\Program Files\Acronis\PrivacyExpert\Blocker.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Shield] C:\Program Files\Acronis\PrivacyExpert\Shield.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Anti-Autorun-inf.lnk = C:\Program Files\Prg Chris\Anti-Autorun.inf\Anti-Autorun.inf.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\Program Files\Acronis\PrivacyExpert\Blocker.dll (file missing)
O9 - Extra 'Tools' menuitem: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\Program Files\Acronis\PrivacyExpert\Blocker.dll (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe (file missing)
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Acronis Malware Shield Service (psh_svc) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\Malware Shield\psh_svc.exe (file missing)
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe

InfernO.vir · Answer

Rien d'infectieux sur ce rapport.

Pour le site windows, est-ce qu'avec un autre naviguateur cela marche ? sinon ajoute le site a tes sites de confiances dans les options d'internet explorer.

mises a jour, as-tu verifier dans le panneau de config ?

oo-k3viin-oo · Answer

J'ai essayé avec IE windowsupdate ne marche toujours pas.

Et oui les mises a jour sont bien actifs dons mon panneau de config ;)

InfernO.vir · Answer

Fait un scan en ligne.

oo-k3viin-oo · Answer

Mais je peux pas,dès que je vais sur un site scan en ligne.Mon ordi me donne un echec :/

InfernO.vir · Answer

Télécharge RAV ANTIVIRUS par Evosla  
:
http://ww25.evosla.com/compteur.php?soft=rav_antivirus 


--- Décompresse-le (clic droit >> Extraire ici) et double cliquer sur le fichier RAV.exe

--- Branche tes disques amovibles (clef usb,stick memoire,disque externe,............);

--- une fois RAV ANTIVIRUS lancé laisse le réagir , il scanne automatiquement tous les lecteurs (Disques fixes et amovibles).

--- si un virus est trouvé, un log s'établira, sinon rien ne va se passer et le soft affichera "Votre Ordinateur est Sain".

--- Retire les disques amovible et redémarrez l'ordinateur.


Tu as une infection usb.

oo-k3viin-oo · Answer

Il n'a rien trouvé.

InfernO.vir · Answer

Télécharge Flash_Disinfector de sUBs ici 
: 

https://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe

Enregistre le sur ton bureau.

Double clique sur Flash_Disinfector.exe pour le lancer
. 
Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra : 
Connecte les clés USB et périphériques USB externes susceptibles d'avoir été infectés.

Puis clique sur Ok 

Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: "Done!!" 

Appuye sur "Ok", pour faire réapparaitre le bureau 


_______________________________

télécharge Zeb Restore
http://telechargement.zebulon.fr/zeb-restore.html
Zeb-Restore est un petit utilitaire de restauration de clés de la base de registre. Le but du programme n'est pas de restaurer l'ensemble du système mais uniquement les points les plus souvent touchés afin de solutionner différents problèmes qui peuvent revenir de façon récurrente.

Voici les éléments qui peuvent être restaurés : coche les lignes engras
- RegEdit : réactive l'accès à RegEdit
- Clés RUN : réactive le lancement de programmes par clés RunXXX
- Bouton Arrêter : rétablit le bouton Arrêter
- Windows Update : rétablit la fonction Windows Update- Gestionnaire des tâches : réactive le gestionnaire des tâches
- Panneau de configuration : réactive le Panneau de configuration
- Ajout/Suppression de programmes : restaure la fonction Ajout-Suppression de programmes
- Policies : remet en place des éléments désactivés par "Policies"
- Bureau : réactive le Bureau
- Réparation IE : répare Internet Exploreur (pages de recherche)
- Extension des fichiers : répare les extensions des fichiers .exe .bat .reg. Pif.cmd.scr .com
- Sites de confiance et sensibles : efface le contenu de ces zones (à utiliser si vous êtes infecté par des malwares)
- Préfixes et Protocoles Internet : restore les clés des protocoles Internet (ZoneMap etc.)
- Réinitialiser Fichier Hosts : réinitialise le fichier Hosts

oo-k3viin-oo · Answer

Voila,c'est fait.

oo-k3viin-oo · Answer

Je ne peux touujours pas accédé a windowsupdate. Je pense bien que c'est plus grave que se que tu pense :(

InfernO.vir · Answer

pas d'infection usb !? franchement je vois pas la..

Passe un coup de MBAM et de ccleaner

oo-k3viin-oo · Answer

J'ai fait un coup de ccleaner.Et j'ai aussi essayé avec ccleaner de recherché les erreurs dans le registre.Y'en a tout pleins :O

Y'en avait exactement 344,je les ais toutes réparés ;)

InfernO.vir · Answer

passe malwarebytes anti malwares en scan complet en mode sans echec.

oo-k3viin-oo · Answer

Ok,je fais sa tout des uite.Mais recherche rapide ou complete ?

InfernO.vir · Answer

Complet.

oo-k3viin-oo · Answer

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1654
Windows 5.1.2600 Service Pack 3

23/02/2009 18:15:06
mbam-log-2009-02-23 (18-15-06).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 123211
Temps écoulé: 2 hour(s), 58 minute(s), 14 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

InfernO.vir · Answer

j'aimerais bien savoir ce qui coince dans ton pc !

Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

NB : Les rapports sont sauvegardés dans le dossier C:\rsit

oo-k3viin-oo · Answer

info.txt logfile of random's system information tool 1.05 2009-02-23 18:27:51

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Acronis Privacy Expert Suite-->MsiExec.exe /X{4E4DF456-9F14-4EB4-9D74-8A17A345B9D4}
Adobe Acrobat 5.0-->C:\WINDOWS\ISUN040C.EXE -f"C:\Program Files\Fichiers communs\Adobe\Acrobat 5.0\NT\Uninst.isu" -c"C:\Program Files\Fichiers communs\Adobe\Acrobat 5.0\NT\Uninst.dll"
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Apple Mobile Device Support-->MsiExec.exe /I{EC4455AB-F155-4CC1-A4C5-88F3777F9886}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
Assistant de connexion Windows Live-->MsiExec.exe /I{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}
ATI - Utilitaire de désinstallation du logiciel-->C:\Program Files\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI AVIVO Codecs-->MsiExec.exe /I{89DE67AD-08B8-4699-A55D-CA5C0AF82BF3}
ATI Catalyst Control Center-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{055EE59D-217B-43A7-ABFF-507B966405D8}\setup.exe" -l0x0 
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
ATI Parental Control & Encoder-->MsiExec.exe /I{36CDA33B-909B-4719-97D1-C4B99309BDC7}
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B}
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}
Correctif pour Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
D-Jix Media-->MsiExec.exe /X{C42E2DB7-BD0D-493F-AE08-A29FF7CBF420}
Free iPod Video Converter 1.34-->"C:\Program Files\Free iPod Video Converter\unins000.exe"
Free Video to Mp3 Converter version 2.7-->"C:\Program Files\DVDVIDEOSOFT\Free Video to Mp3 Converter\unins000.exe"
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{7370DF47-B4F9-4279-BFC3-3F09919F720D}
iTunes-->MsiExec.exe /I{318AB667-3230-41B5-A617-CB3BF748D371}
K-Lite Codec Pack 4.4.5 (Standard)-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"
Lecteur Windows Media 11-->"C:\Program Files\Windows Media Player\Setup_wm.exe" /Uninstall
Les Sims 2 : Nuits de Folie-->D:\Jeux\EA GAMES\Les Sims 2  Nuits de Folie\EAUninstall.exe
Les Sims 2 Académie-->D:\Jeux\EA GAMES\Les Sims 2 Académie\EAUninstall.exe
Les Sims 2 Fun en Famille Kit-->D:\Jeux\EA GAMES\Les Sims 2 Fun en Famille Kit\EAUninstall.exe
Les Sims 2 : La bonne affaire-->D:\Jeux\EA GAMES\Les Sims 2  La bonne affaire\EAUninstall.exe
Les Sims 2-->D:\Jeux\EA GAMES\Les Sims 2\EAUninstall.exe
Les Sims™ 2 Animaux & Cie-->D:\Jeux\EA GAMES\Les Sims 2 Animaux & Cie\EAUninstall.exe
Les Sims™ 2 Quartier Libre-->D:\Jeux\EA GAMES\Les Sims 2 Quartier Libre\EAUninstall.exe
Les Sims™ 2 Au fil des saisons-->D:\Jeux\EA GAMES\Les Sims 2 Au fil des saisons\EAUninstall.exe
Les Sims™ 2 Bon Voyage-->D:\Jeux\EA GAMES\Les Sims 2 Bon Voyage\EAUninstall.exe
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Messenger Plus! Live-->"C:\Program Files\Messenger Plus! Live\Uninstall.exe"
Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - FRA-->MsiExec.exe /I{3F7924B9-D148-3141-87B1-68F36043A940}
Microsoft .NET Framework 2.0 Service Pack 1-->MsiExec.exe /I{B508B3F1-A24A-32C0-B310-85786919EF28}
Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - FRA-->MsiExec.exe /I{511DF669-2930-30C0-8EB6-552887E29EC8}
Microsoft .NET Framework 3.0 Service Pack 1-->MsiExec.exe /I{2BA00471-0328-3743-93BD-FA813353A783}
Microsoft .NET Framework 3.5 Language Pack - fra-->MsiExec.exe /I{5B76AEA2-D4E5-3B55-B965-ACC36AE0EAFC}
Microsoft .NET Framework 3.5-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5\setup.exe
Microsoft .NET Framework 3.5-->MsiExec.exe /I{2FC099BD-AC9B-33EB-809C-D332E1B27C40}
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5-->"C:\WINDOWS\$NtUninstallWdf01005$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{9011040C-6000-11D3-8CFE-0150048383C9}
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 10 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP10$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127-v2)-->"C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Mise à jour de sécurité pour Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958215)-->"C:\WINDOWS\$NtUninstallKB958215$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960714)-->"C:\WINDOWS\$NtUninstallKB960714$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Module linguistique Microsoft .NET Framework 3.5 - fra-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack - fra\setup.exe
Mozilla Firefox (3.0.6)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
PhotoFiltre Studio-->"C:\Program Files\PhotoFiltre Studio\Uninst.exe"
Pro Evolution Soccer 2009-->MsiExec.exe /X{A8DB611A-D80E-450D-85F6-3ACDD164BE31}
QuickTime-->MsiExec.exe /I{F958CA02-BB40-4007-894B-258729456EE4}
Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}
Smart Link 56K Voice Modem-->C:\WINDOWS\Modio\SLAMRNTV\slclean.exe
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Messenger-->MsiExec.exe /X{059C042E-796A-4ACC-A81A-ECC2010BB78C}
Windows Media Format 11 runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
XML Paper Specification Shared Components Language Pack 1.0-->"C:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"
Zune Desktop Theme-->MsiExec.exe /X{7E20EFE6-E604-48C6-8B39-BA4742F2CDB4}

======Hosts File======

127.0.0.1 localhost

======Security center information======

AV: Avira AntiVir PersonalEdition Classic

System event log

Computer Name: KEVIN-8498A78A4
Event Code: 7036
Message: Le service Gestion d'applications est entré dans l'état : arrêté.

Record Number: 5803
Source Name: Service Control Manager
Time Written: 20090207202054.000000+060
Event Type: Informations
User: 

Computer Name: KEVIN-8498A78A4
Event Code: 7035
Message: Un contrôle Démarrer a correctement été envoyé au service Gestion d'applications.

Record Number: 5802
Source Name: Service Control Manager
Time Written: 20090207202054.000000+060
Event Type: Informations
User: KEVIN-8498A78A4\Kevin

Computer Name: KEVIN-8498A78A4
Event Code: 7023
Message: Le service Gestion d'applications s'est arrêté avec l'erreur : 
Le module spécifié est introuvable.


Record Number: 5801
Source Name: Service Control Manager
Time Written: 20090207202054.000000+060
Event Type: erreur
User: 

Computer Name: KEVIN-8498A78A4
Event Code: 7036
Message: Le service Gestion d'applications est entré dans l'état : arrêté.

Record Number: 5800
Source Name: Service Control Manager
Time Written: 20090207202054.000000+060
Event Type: Informations
User: 

Computer Name: KEVIN-8498A78A4
Event Code: 7035
Message: Un contrôle Démarrer a correctement été envoyé au service Gestion d'applications.

Record Number: 5799
Source Name: Service Control Manager
Time Written: 20090207202054.000000+060
Event Type: Informations
User: KEVIN-8498A78A4\Kevin

Application event log

Computer Name: KEVIN-8498A78A4
Event Code: 1800
Message: Le service Centre de sécurité Windows a démarré.

Record Number: 474
Source Name: SecurityCenter
Time Written: 20090104174703.000000+060
Event Type: Informations
User: 

Computer Name: KEVIN-8498A78A4
Event Code: 1
Message: 
Record Number: 473
Source Name: Bonjour Service
Time Written: 20090104174702.000000+060
Event Type: Informations
User: 

Computer Name: KEVIN-8498A78A4
Event Code: 105
Message: The service was started.

Record Number: 472
Source Name: ATI Smart
Time Written: 20090104174658.000000+060
Event Type: Informations
User: 

Computer Name: KEVIN-8498A78A4
Event Code: 1002
Message: Application bloquée PES6.exe, version 1.0.0.1, module bloqué hungapp, version 0.0.0.0, adresse de blocage 0x00000000.

Record Number: 471
Source Name: Application Hang
Time Written: 20090104000215.000000+060
Event Type: erreur
User: 

Computer Name: KEVIN-8498A78A4
Event Code: 1000
Message: Application défaillante pes6.exe, version 1.0.0.1, module défaillant pes6.exe, version 1.0.0.1, adresse de défaillance 0x00022551.

Record Number: 470
Source Name: Application Error
Time Written: 20090104000140.000000+060
Event Type: erreur
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files\QuickTime\QTSystem\
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 2 Stepping 4, GenuineIntel
"PROCESSOR_REVISION"=0204
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"CLASSPATH"=.;C:\Program Files\QuickTime\QTSystem\QTJava.zip
"QTJAVA"=C:\Program Files\QuickTime\QTSystem\QTJava.zip

-----------------EOF-----------------



Logfile of random's system information tool 1.05 (written by random/random)
Run by Kevin at 2009-02-23 18:27:43
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 37 GB (65%) free of 57 GB
Total RAM: 1535 MB (67% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:27:48, on 23/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Documents and Settings\Kevin\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Kevin.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Acronis Popup Blocker - {E24AD748-155E-4254-B674-4EDF86E7E1DF} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Anti-Autorun-inf.lnk = C:\Program Files\Prg Chris\Anti-Autorun.inf\Anti-Autorun.inf.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe (file missing)
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Acronis Malware Shield Service (psh_svc) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\Malware Shield\psh_svc.exe (file missing)
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe

InfernO.vir · Answer

Ouvre ce lien https://www.majorgeeks.com/files/details/gmer.html
Clique sur uner des lignes MajorGeeks TX à droite du drapeau américain.
Si une nouvelle fenêtre s'ouvre indiquant 'Your download of GMER will automatically start in a few seconds...' clique 'Click here if it does not. ' pour télécharge gmer et choisis 'Enregistrer' dans la fenêtre de téléchargement. Enregistre le sur le bureau.

Dezippe le sur le bureau.

Déconnecte toi d'Internet et fermer tous les autres programmes.

Double-clique sur gmer.exe pour lancer le programme.

Si on te pose la question, réponds oui au lancement de gmer.sys.
Si tu as un message t'avertissant du démarrage d'un programme sur l'activité des rootkits et si tu veux lancer un scan, réponds NON.

Ouvre l'onglet Rootkit.

Vérifies que toutes les cases de la colonne de droite sont cochées, à l'exception de "Show all".

Clique sur le bouton "Scan". Patiente le temps du scan.

A la fin, clique sur le bouton "Copy".

Le rapport a été copié dans le presse-papier. Ouvre le bloc-notes et appuie en même temps sur les touches Ctrl et V. Le rapport est copié dans le bloc-notes. Sauve le (enregistrer sous)sur le bureau.

Copie le dans ta réponse.

Mentionne moi les lignes en rouge s'il y en a.

NB. Si tu as un problème pour lancer gmer.exe, essaye en mode sans échec. Contrairement à d'autres scanners de rootkits, gmer s'xécute en mode sans échec

oo-k3viin-oo · Answer

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-23 18:45:03
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT            spho.sys                                                                                               ZwCreateKey [0xF74D70E0]
SSDT            F7AA6D54                                                                                               ZwCreateThread
SSDT            spho.sys                                                                                               ZwEnumerateKey [0xF74F5CA2]
SSDT            spho.sys                                                                                               ZwEnumerateValueKey [0xF74F6030]
SSDT            spho.sys                                                                                               ZwOpenKey [0xF74D70C0]
SSDT            F7AA6D40                                                                                               ZwOpenProcess
SSDT            F7AA6D45                                                                                               ZwOpenThread
SSDT            spho.sys                                                                                               ZwQueryKey [0xF74F6108]
SSDT            spho.sys                                                                                               ZwQueryValueKey [0xF74F5F88]
SSDT            spho.sys                                                                                               ZwSetValueKey [0xF74F619A]
SSDT            F7AA6D4F                                                                                               ZwTerminateProcess
SSDT            F7AA6D4A                                                                                               ZwWriteVirtualMemory

INT 0x62        ?                                                                                                      8A069BF8
INT 0x63        ?                                                                                                      89B9BBF8
INT 0x82        ?                                                                                                      8A069BF8
INT 0x94        ?                                                                                                      89B9BBF8
INT 0xA4        ?                                                                                                      89B9BBF8
INT 0xB4        ?                                                                                                      89B9BBF8

Code            89D3EBE0                                                                                               ZwFlushInstructionCache
Code            89D42186                                                                                               IofCallDriver
Code            89D6BD86                                                                                               IofCompleteRequest

---- Kernel code sections - GMER 1.0.14 ----

.text           ntoskrnl.exe!IofCallDriver                                                                             804E37C5 5 Bytes  JMP 89D4218B 
.text           ntoskrnl.exe!IofCompleteRequest                                                                        804E3BF6 5 Bytes  JMP 89D6BD8B 
PAGE            ntoskrnl.exe!ZwFlushInstructionCache                                                                   80577693 5 Bytes  JMP 89D3EBE4 
?               spho.sys                                                                                               Le fichier spécifié est introuvable. !
.text           USBPORT.SYS!DllUnload                                                                                  B91938AC 5 Bytes  JMP 89B9B1D8 

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT             \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint]                                     8A06B2D8
IAT             pci.sys[ntoskrnl.exe!IoDetachDevice]                                                                   [F7508C4C] spho.sys
IAT             pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack]                                                      [F7508CA0] spho.sys
IAT             atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                     [F74D8040] spho.sys
IAT             atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                             [F74D813C] spho.sys
IAT             atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                    [F74D80BE] spho.sys
IAT             atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                            [F74D87FC] spho.sys
IAT             atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                    [F74D86D2] spho.sys
IAT             \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                     [F74E8048] spho.sys
IAT             \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint]                                   89B9B2D8

---- Devices - GMER 1.0.14 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                 8A0681F8
Device          \Driver\PCI_PNP9806 \Device\00000042                                                                   spho.sys
Device          \Driver\PCI_PNP9806 \Device\00000042                                                                   spho.sys
Device          \Driver\usbohci \Device\USBPDO-0                                                                       89D2D500
Device          \Driver\usbehci \Device\USBPDO-1                                                                       89D26500
Device          \Driver\usbohci \Device\USBPDO-2                                                                       89D2D500
Device          \Driver\usbohci \Device\USBPDO-3                                                                       89D2D500
Device          \Driver\Ftdisk \Device\HarddiskVolume1                                                                 8A0D71F8

AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1                                                                 snapman.sys (Acronis Snapshot API/Acronis)

Device          \Driver\Ftdisk \Device\HarddiskVolume2                                                                 8A0D71F8

AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2                                                                 snapman.sys (Acronis Snapshot API/Acronis)

Device          \Driver\Cdrom \Device\CdRom0                                                                           89C001F8
Device          \Driver\Cdrom \Device\CdRom1                                                                           89C001F8
Device          \Driver\Cdrom \Device\CdRom2                                                                           89C001F8
Device          \Driver\NetBT \Device\NetBt_Wins_Export                                                                89C8F500
Device          \Driver\NetBT \Device\NetbiosSmb                                                                       89C8F500
Device          \Driver\usbohci \Device\USBFDO-0                                                                       89D2D500
Device          \Driver\usbohci \Device\USBFDO-1                                                                       89D2D500
Device          \Driver\usbohci \Device\USBFDO-2                                                                       89D2D500
Device          \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                      89BA3500
Device          \Driver\usbehci \Device\USBFDO-3                                                                       89D26500
Device          \FileSystem\MRxSmb \Device\LanmanRedirector                                                            89BA3500
Device          \Driver\Ftdisk \Device\FtControl                                                                       8A0D71F8
Device          \Driver\sptd \Device\1905164806                                                                        spho.sys
Device          \Driver\atkasfkk \Device\Scsi\atkasfkk1                                                                89C9E500
Device          \Driver\atkasfkk \Device\Scsi\atkasfkk1Port2Path0Target0Lun0                                           89C9E500
Device          \FileSystem\Cdfs \Cdfs                                                                                 89E03500

---- Modules - GMER 1.0.14 ----

Module          \systemroot\system32\drivers\gaopdxpopklydx.sys (*** hidden *** )                                      A8F8B000-A8FB5000 (172032 bytes)                               

---- Services - GMER 1.0.14 ----

Service         C:\WINDOWS\system32\drivers\gaopdxpopklydx.sys (*** hidden *** )                                       [SYSTEM] gaopdxserv.sys                                         <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg             HKLM\SYSTEM\ControlSet001\Services\gaopdxserv.sys                                                      
Reg             HKLM\SYSTEM\ControlSet001\Services\gaopdxserv.sys@start                                                1
Reg             HKLM\SYSTEM\ControlSet001\Services\gaopdxserv.sys@type                                                 1
Reg             HKLM\SYSTEM\ControlSet001\Services\gaopdxserv.sys@imagepath                                            \systemroot\system32\drivers\gaopdxpopklydx.sys
Reg             HKLM\SYSTEM\ControlSet001\Services\gaopdxserv.sys@group                                                file system
Reg             HKLM\SYSTEM\ControlSet001\Services\gaopdxserv.sys@userdata                                             -1
Reg             HKLM\SYSTEM\ControlSet001\Services\gaopdxserv.sys\modules                                              
Reg             HKLM\SYSTEM\ControlSet001\Services\gaopdxserv.sys\modules@gaopdxserv                                   \?\globalroot\systemroot\system32\drivers\gaopdxpopklydx.sys
Reg             HKLM\SYSTEM\ControlSet001\Services\gaopdxserv.sys\modules@gaopdxl                                      \?\globalroot\systemroot\system32\gaopdxjhyidilb.dll
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                           
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                        C:\Program Files\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                        0
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                     0xF4 0xA0 0xF5 0x21 ...
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                  
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0               0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh            0xB7 0x86 0xA0 0x12 ...
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40            
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh      0x9A 0x65 0xED 0x98 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys                                                  
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@start                                            1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@type                                             1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@imagepath                                        \systemroot\system32\drivers\gaopdxpopklydx.sys
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@group                                            file system
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@userdata                                         -1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules                                          
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxserv                               \?\globalroot\systemroot\system32\drivers\gaopdxpopklydx.sys
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxl                                  \?\globalroot\systemroot\system32\gaopdxjhyidilb.dll
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                     771343423
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                     285507792
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                     1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                       
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                    C:\Program Files\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                    0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                 0xF4 0xA0 0xF5 0x21 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001              
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0           0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh        0xB7 0x86 0xA0 0x12 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40        
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh  0x9A 0x65 0xED 0x98 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys                                                      
Reg             HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@start                                                1
Reg             HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@type                                                 1
Reg             HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@imagepath                                            \systemroot\system32\drivers\gaopdxpopklydx.sys
Reg             HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@group                                                file system
Reg             HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@userdata                                             -1
Reg             HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules                                              
Reg             HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules@gaopdxserv                                   \?\globalroot\systemroot\system32\drivers\gaopdxpopklydx.sys
Reg             HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules@gaopdxl                                      \?\globalroot\systemroot\system32\gaopdxjhyidilb.dll
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                           
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                        C:\Program Files\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                        0
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                     0xF4 0xA0 0xF5 0x21 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                  
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0               0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh            0xB7 0x86 0xA0 0x12 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40            
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh      0x9A 0x65 0xED 0x98 ...
Reg             HKLM\SYSTEM\ControlSet004\Services\gaopdxserv.sys                                                      
Reg             HKLM\SYSTEM\ControlSet004\Services\gaopdxserv.sys@start                                                1
Reg             HKLM\SYSTEM\ControlSet004\Services\gaopdxserv.sys@type                                                 1
Reg             HKLM\SYSTEM\ControlSet004\Services\gaopdxserv.sys@imagepath                                            \systemroot\system32\drivers\gaopdxpopklydx.sys
Reg             HKLM\SYSTEM\ControlSet004\Services\gaopdxserv.sys@group                                                file system
Reg             HKLM\SYSTEM\ControlSet004\Services\gaopdxserv.sys@userdata                                             -1
Reg             HKLM\SYSTEM\ControlSet004\Services\gaopdxserv.sys\modules                                              
Reg             HKLM\SYSTEM\ControlSet004\Services\gaopdxserv.sys\modules@gaopdxserv                                   \?\globalroot\systemroot\system32\drivers\gaopdxpopklydx.sys
Reg             HKLM\SYSTEM\ControlSet004\Services\gaopdxserv.sys\modules@gaopdxl                                      \?\globalroot\systemroot\system32\gaopdxjhyidilb.dll
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                           
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                        C:\Program Files\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                        0
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                     0xF4 0xA0 0xF5 0x21 ...
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                  
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0               0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh            0xB7 0x86 0xA0 0x12 ...
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40            
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh      0x9A 0x65 0xED 0x98 ...

---- EOF - GMER 1.0.14 ----



Les phrases en rouges sont :

---- Modules - GMER 1.0.14 ----

Module          \systemroot\system32\drivers\gaopdxpopklydx.sys (*** hidden *** )                                      A8F8B000-A8FB5000 (172032 bytes)                               

---- Services - GMER 1.0.14 ----

Service         C:\WINDOWS\system32\drivers\gaopdxpopklydx.sys (*** hidden *** )                                       [SYSTEM] gaopdxserv.sys                                         <-- ROOTKIT !!!

InfernO.vir · Answer

Télécharge F-Secure Blacklight :  https://www.f-secure.com/en
- Clic en bas sur "I accept"
- Dans la nouvelle fenêtre, clic sur le bouton en haut du tableau Download.
- Lance-le en double-cliquant sur le fichier blbeta.exe
- Accepte la licence, et clique enfin sur "Scan" puis Next et exit.
- Un rapport fsbl-bxxxx.log va être créé dans le [b]même dossier[/b] que blbeta.exe
- Ouvre fsbl-bxxxx.log et copie/colle le contenu ici, pour cela :
     - Menu Edition / copier
      - ici dans un nouveau message : clic droit / coller
[b]Aide :[/b] Tu peux consulter le [url=https://www.malekal.com/tutorial-f-secure-blacklight/]tutorial de F-Secure BlackLight[/url]

Tu as un rootkit j'arrive pas a le delogé.

oo-k3viin-oo · Answer

Je trouve pas comment le téléchargé :/

InfernO.vir · Answer

On va le faire avec un autre :

http://static.commentcamarche.net/www.commentcamarche.net/download/files/avgarkt setup 1.1.0.42.exe



double clique sur le fichier telecharger. 
accepte la licence. 
puis sur next puis install 
redemare ton ordinateur. 

lance le programme 
clique sur /search for rootkit 
s'il trouve qu'elle que chose clique sur save result to file. 
puis sur /Perform in-deph searchavg anti-rootkit 
et poste les rapports

oo-k3viin-oo · Answer

Perform in-deph:

comment mettre le rapport ? Il en a trouvé 23.

Search for rootkik:

Il en a trouvé 12 mais j'arrive pas a sauvegardé le rapport.


Est-ce que je supprime tous les trucs qu'ils a trouvé ?

InfernO.vir · Answer

Pas grave pour les rapport dis moi si tu pe un nom d'un rootkit detecté :

Supprime ce qu'il te trouve en les selectionnants et en cliquant sur "removed selected items".

oo-k3viin-oo · Answer

Voila deux noms de rootkik détécte :

-gaopdxpopklydx.sys
-gaopdxcounter

Mais il y en a 12 différents ;)

Je supprime tous sa ;)

InfernO.vir · Answer

Ok supprime c'est bien le rootkit que je voulais buter !

oo-k3viin-oo · Answer

Bon ils sont tous partie sauf un : acnuxy2i

Je fais comment pour l'enlever ?

InfernO.vir · Answer

il se loge ou ?

oo-k3viin-oo · Answer

C:\Windows\System32\drivers

InfernO.vir · Answer

Télécharge Killbox de Option^Explicit http://www.downloads.subratam.org/KillBox.zip 

ou ici :

https://www.bleepingcomputer.com/download/linux/

(Tu trouveras une démo ici :
http://mickael.barroux.free.fr/securite/killbox.html et une autre là : http://perso.orange.fr/rginformatique/section%20virus/killbox.htm


- Clique sur KillBox Download Link pour le télécharger 
-- Décompresse le sur le bureau 
- Clique sur Démarrer exécuter tape notepad puis clique sur Ok 
- Sélectionne le texte en citation et fais en un copier coller dans le blocnote (notepad) 


C:\WINDOWS\System32\Drivers\lenomdurootkit.sys




* Dans le bloc notes sur le menu en haut clique sur Edition >>> Sélectionner tout puis Edition >>> Copier 
* Ouvre Killbox 
-- Coche la case [X] "Delete on next reboot" 
-- Clique sur le menu File puis sur Paste from Clipboard 

* Clique sur la croix blanche sur fond rouge 
-- au message "All listed files will be deleted on next reboot" clique sur OUI 
-- Au message "Files will be removed on next reboot, Do you want to reboot now ?" clique sur OUI 
-- Redémarre ton ordinateur s'il ne le fait pas automatiquement 

* Aprés son redémarrage supprime le dossier C:\!Killbox

oo-k3viin-oo · Answer

Voila,j'ai enfin reussi a supprimé le dossier KillBox et Quootox(machin truc)

Nouveau problème : L'anti Rootkik vient de retrouvé un autre qui n'a pas été supprimé 

Son nom est:

-ahorul62

InfernO.vir · Answer

Fait pareil avec killbox !

oo-k3viin-oo · Answer

Désolé j'avais pas vu ton message. Je fais sa de suite.

oo-k3viin-oo · Answer

Bon c'est fait.Mais ya un nouveau problème.A chaque fois que j'en enlève un.AVG en detecte un autre.

oo-k3viin-oo · Answer

Sinon je tiens a signalé que dans la barre des taches AVg se nomme : "1I7ozwpIwdNtOf3PP8044Boj8Xby7UQ"

Est-ce normal ?

oo-k3viin-oo · Answer

Sinon,le site windowsupdate marche a nouveau.Mais le smises a jour windows snagne toujours a 0%

InfernO.vir · Answer

Oui c'est normal :).

On va essayer de repasser Combofix ! si la connection internet se perd, redemarre ton pc et retente une connection. Moi ca marche.

Pense a bien desactiver toutes protections fermer tout programme et deconnecter internet.

-Télécharge Combofix de sUBs

-Enregistre-le impérativement sur ton bureau

-Déconnecte-toi du net et désactive ton antivirus (juste le temps de la procédure).

-Ferme toutes les fenêtres.

-Double-clique sur combofix.exe (ne clique pas sur la fenêtre qui s'ouvre).

-Appuie sur Y pour lancer le scan.

-A la fin du scan (cela peut prendre du temps), un rapport sera créé.

-Poste ce rapport dans ton / tes prochain(s) message(s).

oo-k3viin-oo · Answer

ComboFix 09-02-21.01 - Kevin 2009-02-24 18:56:28.1 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1535.1122 [GMT 1:00] Lancé depuis: c:\documents and settings\Kevin\Bureau\ComboFix.exe AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) * Un nouveau point de restauration a été créé . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\gaopdxjhyidilb.dl_ c:\windows\system32 mp.reg . ((((((((((((((((((((((((((((( Fichiers créés du 2009-01-24 au 2009-02-24 )))))))))))))))))))))))))))))))))))) . 2009-02-24 15:44 . 2009-02-24 15:44 d-------- c:\program files\Free Audio Pack 2009-02-23 19:21 . 2007-01-18 13:00 3,968 --a------ c:\windows\system32\drivers\AvgArCln.sys 2009-02-23 18:39 . 2009-02-23 18:39 250 --a------ c:\windows\gmer.ini 2009-02-23 12:44 . 2009-02-23 12:44 d-------- c:\program files\Trend Micro 2009-02-23 01:40 . 2009-02-24 19:00 d-------- c:\windows\system32\NtmsData 2009-02-23 00:49 . 2009-02-23 00:50 4,202,496 --a------ c:\windows\sectest.db 2009-02-23 00:47 . 2009-02-23 01:01 d-------- c:\windows\SoftwareDistribution.old 2009-02-23 00:44 . 2009-02-24 18:56 d-------- c:\windows\system32\CatRoot2 2009-02-22 20:10 . 2009-02-22 20:10 579,584 --a--c--- c:\windows\system32\dllcache\user32.dll 2009-02-22 20:08 . 2009-02-22 23:58 d-------- c:\windows\ERUNT 2009-02-22 19:55 . 2009-02-23 19:21 167 --a------ c:\windows\usdthank.ini 2009-02-22 19:55 . 2009-02-22 19:55 31 --a------ c:\windows\idc.ini 2009-02-22 19:43 . 2009-02-24 14:24 4 --a------ c:\windows\system32\gaopdxcounte_ 2009-02-21 12:26 . 2009-02-21 12:26 d-------- c:\windows\Sun 2009-02-21 00:48 . 2009-02-21 00:48 d-------- c:\program files\Java 2009-02-21 00:48 . 2009-02-21 00:48 410,984 --a------ c:\windows\system32\deploytk.dll 2009-02-21 00:48 . 2009-02-21 00:48 73,728 --a------ c:\windows\system32\javacpl.cpl 2009-02-20 18:10 . 2009-02-20 18:10 d-------- c:\documents and settings\Kevin\Application Data\Acronis 2009-02-20 18:06 . 2009-02-20 18:06 96,320 --a------ c:\windows\system32\drivers\snapman.sys 2009-02-20 18:05 . 2009-02-20 18:05 d-------- c:\documents and settings\All Users\Application Data\Acronis 2009-02-20 18:05 . 2009-02-20 18:05 81,984 --a------ c:\windows\system32\drivers\psh_drv.sys 2009-02-17 17:30 . 2009-02-23 01:00 d-------- c:\program files\Avira 2009-02-17 17:30 . 2009-02-17 17:30 d-------- c:\documents and settings\All Users\Application Data\Avira 2009-02-07 23:25 . 2009-02-07 23:25 d-------- c:\program files\CCleaner 2009-02-07 20:16 . 2009-02-07 20:16 75,264 --a------ c:\windows\system32\drivers\gaopdxydcvkwbu.sy_ 2009-02-07 20:07 . 2009-02-07 20:07 d-------- c:\program files\Windows Media Connect 2 2009-02-07 20:04 . 2009-02-07 20:04 d-------- c:\windows\system32\LogFiles 2009-02-07 20:04 . 2009-02-07 20:05 d-------- c:\windows\system32\drivers\UMDF 2009-02-07 18:35 . 2009-02-07 18:35 75,264 --a------ c:\windows\system32\drivers\gaopdxcnfxskjq.sy_ 2009-02-07 16:26 . 2009-02-07 16:26 75,264 --a------ c:\windows\system32\drivers\gaopdxfubgxoqr.sy_ 2009-02-07 16:10 . 2009-02-07 16:10 75,264 --a------ c:\windows\system32\drivers\gaopdxelolgoud.sy_ 2009-02-07 15:00 . 2009-02-07 15:00 75,264 --a------ c:\windows\system32\drivers\gaopdxxoenbpvq.sy_ 2009-02-06 21:32 . 2009-02-06 21:32 d-------- c:\documents and settings\All Users\Application Data\KONAMI 2009-02-06 21:24 . 2009-02-06 21:24 75,264 --a------ c:\windows\system32\drivers\gaopdxxtrejduv.sy_ 2009-02-06 20:45 . 2009-02-06 20:45 d-------- c:\program files\Malwarebytes' Anti-Malware 2009-02-06 20:45 . 2009-02-06 20:45 d-------- c:\documents and settings\Kevin\Application Data\Malwarebytes 2009-02-06 20:45 . 2009-02-06 20:45 d-------- c:\documents and settings\All Users\Application Data\Malwarebytes 2009-02-06 20:45 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-02-06 20:45 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-02-06 18:52 . 2009-02-06 18:52 49,504 --a------ c:\windows\system32\sirenacm.dll 2009-02-06 18:26 . 2003-03-18 21:20 1,060,864 --a------ c:\windows\system32\MFC71.dll 2009-02-06 18:04 . 2009-02-06 18:04 d-------- c:\program files\Sunbelt Software 2009-02-06 17:08 . 2009-02-06 17:08 75,264 --a------ c:\windows\system32\drivers\gaopdxxrekturb.sy_ 2009-02-06 16:56 . 2009-02-06 16:56 75,264 --a------ c:\windows\system32\drivers\gaopdxpopklydx.sy_ 2009-02-01 21:02 . 2009-02-01 21:02 d-------- c:\documents and settings\All Users\Application Data\Messenger Plus! 2009-02-01 19:01 . 2009-02-01 19:01 d-------- c:\program files\Messenger Plus! Live 2009-01-31 11:36 . 2009-01-31 11:36 d-------- c:\program files\Free iPod Video Converter 2009-01-31 11:36 . 2004-05-25 17:06 417,792 --a------ c:\windows\system32\ac3filter.ax 2009-01-31 11:36 . 2005-02-27 21:48 356,352 --a------ c:\windows\system32\RealMediaSplitter.ax 2009-01-31 11:36 . 2004-01-10 17:02 258,048 --a------ c:\windows\system32\GplMpgDec.ax 2009-01-25 22:01 . 2009-02-05 19:59 116 --a------ c:\windows\NeroDigital.ini . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-02-07 22:28 --------- d--h--w c:\program files\InstallShield Installation Information 2009-02-06 13:03 --------- d-----w c:\documents and settings\All Users\Application Data\Sports Interactive 2009-01-28 11:53 --------- d-----w c:\program files\CryptLoad 2009-01-23 22:28 --------- d-----w c:\program files\Fichiers communs\Nero 2009-01-23 22:28 --------- d-----w c:\program files\Fichiers communs\LightScribe 2009-01-22 17:04 --------- d-----w c:\program files\mp3DirectCut 2009-01-22 16:57 --------- d-----w c:\program files\Fichiers communs\DVDVIDEOSOFT 2009-01-22 16:57 --------- d-----w c:\program files\DVDVIDEOSOFT 2009-01-22 16:54 --------- d-----w c:\program files\K-Lite Codec Pack 2009-01-21 16:22 --------- d-----w c:\program files\D-Jix 2009-01-21 16:16 --------- d-----w c:\documents and settings\Kevin\Application Data\D-Jix Media 2009-01-16 16:52 --------- d-----w c:\documents and settings\Kevin\Application Data\www.pro-evo.xooit.fr 2009-01-15 20:17 --------- d-----w c:\program files\PhotoFiltre Studio 2009-01-14 11:02 --------- d-----w c:\program files\MSBuild 2009-01-14 11:01 --------- d-----w c:\program files\Reference Assemblies 2009-01-09 23:12 --------- d-----w c:\program files\DLFreeTools 2009-01-03 12:41 --------- d-----w c:\documents and settings\Kevin\Application Data\Sports Interactive 2009-01-03 12:00 --------- d-----w c:\program files\Bonjour 2009-01-03 10:10 --------- d--h--w c:\program files\Zero G Registry 2009-01-02 21:39 --------- d-----w c:\program files\iTunes 2009-01-02 21:39 --------- d-----w c:\program files\iPod 2009-01-02 21:39 --------- d-----w c:\program files\Fichiers communs\Apple 2009-01-02 21:39 --------- d-----w c:\documents and settings\Kevin\Application Data\Apple Computer 2009-01-02 21:39 --------- d-----w c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6} 2009-01-02 21:38 --------- d-----w c:\program files\QuickTime 2009-01-02 21:37 --------- d-----w c:\program files\Apple Software Update 2009-01-02 21:37 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer 2009-01-02 21:36 --------- d-----w c:\documents and settings\All Users\Application Data\Apple 2009-01-02 19:07 0 ---ha-w c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf 2009-01-02 19:07 0 ---ha-w c:\windows\system32\drivers\Msft_Kernel_xusb21_01005.Wdf 2009-01-02 01:49 --------- d-----w c:\program files\Fichiers communs\InstallShield 2009-01-02 01:49 --------- d-----w c:\documents and settings\Kevin\Application Data\DAEMON Tools Lite 2009-01-02 01:46 --------- d-----w c:\documents and settings\Kevin\Application Data\DAEMON Tools Pro 2009-01-02 01:46 --------- d-----w c:\documents and settings\Kevin\Application Data\DAEMON Tools 2009-01-02 01:45 --------- d-----w c:\program files\DAEMON Tools Lite 2009-01-02 01:45 --------- d-----w c:\documents and settings\All Users\Application Data\DAEMON Tools Lite 2009-01-02 01:43 717,296 -c--a-w c:\windows\system32\drivers\sptd.sys 2009-01-01 23:07 --------- d-----w c:\program files\Windows Live 2009-01-01 23:07 --------- d-----w c:\program files\Microsoft 2009-01-01 23:03 --------- d-----w c:\program files\Fichiers communs\Windows Live 2009-01-01 22:59 --------- d-----w c:\documents and settings\Kevin\Application Data\Media Player Classic 2009-01-01 22:00 --------- d-----w c:\program files\Microsoft.NET 2009-01-01 20:25 --------- d-----w c:\program files\Fichiers communs\Adobe 2009-01-01 20:21 --------- d-----w c:\documents and settings\Kevin\Application Data\InterTrust 2009-01-01 20:04 --------- d-----w c:\documents and settings\All Users\Application Data\ATI 2009-01-01 20:01 --------- d-----w c:\program files\ATI Technologies 2009-01-01 19:59 --------- d-----w c:\program files\Fichiers communs\ATI Technologies 2009-01-01 19:35 90,112 ----a-w c:\windows\DUMP3b34.tmp 2009-01-01 19:20 --------- d-----w c:\documents and settings\Kevin\Application Data\ATI 2008-12-31 04:14 --------- d-----w c:\program files\microsoft frontpage 2008-12-31 04:12 --------- d-----w c:\program files\Services en ligne . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440] "avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "SoundMan"="SOUNDMAN.EXE" [2002-08-15 c:\windows\SOUNDMAN.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "c:\Program Files\Windows Live\Messenger\msnmsgr.exe"= R2 psh_drv;Process Activity Acronis Monitor;c:\windows\system32\drivers\psh_drv.sys [2009-02-20 81984] R3 QCEmerald;QuickCam Web Logitech;c:\windows\system32\drivers\OVCE.sys [2009-01-02 31872] S2 psh_svc;Acronis Malware Shield Service;"c:\program files\Fichiers communs\Acronis\Malware Shield\psh_svc.exe" --> c:\program files\Fichiers communs\Acronis\Malware Shield\psh_svc.exe [?] S3 V90drv;v90drv;c:\windows\system32\drivers\v90drv.sys [2009-01-01 1432836] . Contenu du dossier 'Tâches planifiées' 2009-01-31 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34] . . ------- Examen supplémentaire ------- . uInternet Settings,ProxyOverride = *.local IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 FF - ProfilePath - c:\documents and settings\Kevin\Application Data\Mozilla\Firefox\Profiles\yel7w4qf.default\ FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FF - prefs.js: browser.search.selectedEngine - FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins ppl3260.dll FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins prpjplug.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-02-24 19:01:07 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . --------------------- CLES DE REGISTRE BLOQUEES --------------------- [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*] "C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL" . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'winlogon.exe'(524) c:\windows\system32\Ati2evxx.dll . ------------------------ Autres processus actifs ------------------------ . c:\windows\system32\ati2evxx.exe c:\windows\system32\ati2evxx.exe c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\program files\Bonjour\mDNSResponder.exe c:\program files\Fichiers communs\LightScribe\LSSrvc.exe c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe c:\windows\system32\wscntfy.exe . ************************************************************************** . Heure de fin: 2009-02-24 19:05:58 - La machine a redémarré ComboFix-quarantined-files.txt 2009-02-24 18:05:55 Avant-CF: 39 145 390 080 octets libres Après-CF: 39,134,851,072 octets libres Current=2 Default=2 Failed=3 LastKnownGood=4 Sets=1,2,3,4 195

oo-k3viin-oo · Answer

Les mise a jours se téléchargent !

oo-k3viin-oo · Answer

Comment savoir si elles se sont bien installés car sa ma semblés un peu trop rapide !

InfernO.vir · Answer

Si tu eteins ton pc, un message devrait t'indiquer l'installation des mises a jours.

Fait un scan kaspersky car combofix n'a pas tout buté !

oo-k3viin-oo · Answer

J'ai pas Kapersky,j'ai Avira Antivir. Aufaite tu pense que je devrais prendres un anti-firewall ou spyware ?
Si oui conseil moi en un stp.

InfernO.vir · Answer

Dsl fait un scan en ligne de kaspersky stp.

Pour les conseils on verra a la fin, la l'infection n'est pas butée totalement elle peut se regenerer a tout moment !

oo-k3viin-oo · Answer

Ok.Je te fais sa tout  de suite.

oo-k3viin-oo · Answer

Désolé.Je n'arrive toujours pas a faire une analyse en ligne.

InfernO.vir · Answer

Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau.

http://pc-system.fr/
http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe

Clique sur Recherche et laisse le scan se terminer.

Clique, sur Suppression pour finaliser.

Tu peux, si tu le souhaites, te servir des Options facultatives.

Clique sur Quitter, pour que le rapport puisse se créer.

Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

__________________

Ensuite refait un combofix :

Desactive bien tout avant !


-Télécharge Combofix de sUBs

-Enregistre-le impérativement sur ton bureau

-Déconnecte-toi du net et désactive ton antivirus (juste le temps de la procédure).

-Ferme toutes les fenêtres.

-Double-clique sur combofix.exe (ne clique pas sur la fenêtre qui s'ouvre).

-Appuie sur Y pour lancer le scan.

-A la fin du scan (cela peut prendre du temps), un rapport sera créé.

-Poste ce rapport dans ton / tes prochain(s) message(s).

oo-k3viin-oo · Answer

[ Rapport ToolsCleaner version 2.3.2 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\RECYCLER\S-1-5-21-746137067-1972579041-725345543-1004\Dc14\HijackThis.lnk: trouvé !
C:\WINDOWS\Gmer.exe: trouvé !

---------------------------------
-->- Suppression: 

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\RECYCLER\S-1-5-21-746137067-1972579041-725345543-1004\Dc14\HijackThis.lnk: supprimé !
C:\WINDOWS\Gmer.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !




L'autre arrive ;)

oo-k3viin-oo · Answer

ComboFix 09-02-25.02 - Kevin 2009-02-26 17:02:38.2 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1535.1164 [GMT 1:00] Lancé depuis: c:\documents and settings\Kevin\Bureau\ComboFix.exe AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) * Un nouveau point de restauration a été créé . ((((((((((((((((((((((((((((( Fichiers créés du 2009-01-26 au 2009-02-26 )))))))))))))))))))))))))))))))))))) . 2009-02-25 14:54 . 2009-02-25 14:54 d-------- c:\windows\OvtCam 2009-02-25 14:54 . 2009-02-25 14:54 d-------- c:\windows\Options 2009-02-25 14:54 . 2003-05-06 18:00 163,072 --a------ c:\windows\system32\drivers\ov519vid.sys 2009-02-25 14:54 . 2003-09-25 17:00 135,168 --a------ c:\windows\ov519cap.exe 2009-02-25 14:54 . 2003-05-06 18:00 61,440 --a------ c:\windows\ov519dib.dll 2009-02-25 14:54 . 2003-05-06 18:00 40,960 --a------ c:\windows\system32\ov519ext.dll 2009-02-25 14:54 . 2003-06-02 23:35 40,960 --a------ c:\windows\CleanDev.exe 2009-02-25 14:54 . 2003-05-06 18:00 36,099 --a------ c:\windows\amcap.exe 2009-02-25 14:54 . 2003-05-06 18:00 25,211 --a------ c:\windows\system32\drivers\ov519cmd.sys 2009-02-25 14:54 . 2003-05-06 18:00 25,099 --a------ c:\windows\system32\ov519ext.ax 2009-02-25 14:54 . 2003-05-06 18:00 16,426 --a------ c:\windows\system32\ov519usd.dll 2009-02-25 14:53 . 2009-02-25 14:53 d-------- C:\download 2009-02-25 14:52 . 2008-04-13 19:45 60,032 --a------ c:\windows\system32\drivers\USBAUDIO.sys 2009-02-25 14:52 . 2008-04-13 19:45 60,032 --a--c--- c:\windows\system32\dllcache\usbaudio.sys 2009-02-24 22:39 . 2009-02-25 15:08 1,374 --a------ c:\windows\imsins.BAK 2009-02-24 15:44 . 2009-02-24 15:44 d-------- c:\program files\Free Audio Pack 2009-02-23 19:21 . 2007-01-18 13:00 3,968 --a------ c:\windows\system32\drivers\AvgArCln.sys 2009-02-23 18:39 . 2009-02-23 18:39 250 --a------ c:\windows\gmer.ini 2009-02-23 12:44 . 2009-02-26 14:45 d-------- c:\program files\Trend Micro 2009-02-23 01:40 . 2009-02-26 17:06 d-------- c:\windows\system32\NtmsData 2009-02-23 00:49 . 2009-02-23 00:50 4,202,496 --a------ c:\windows\sectest.db 2009-02-23 00:47 . 2009-02-23 01:01 d-------- c:\windows\SoftwareDistribution.old 2009-02-23 00:44 . 2009-02-26 16:59 d-------- c:\windows\system32\CatRoot2 2009-02-22 20:10 . 2009-02-22 20:10 579,584 --a--c--- c:\windows\system32\dllcache\user32.dll 2009-02-22 20:08 . 2009-02-26 14:45 d-------- c:\windows\ERUNT 2009-02-22 19:55 . 2009-02-25 05:24 167 --a------ c:\windows\usdthank.ini 2009-02-22 19:55 . 2009-02-22 19:55 31 --a------ c:\windows\idc.ini 2009-02-22 19:43 . 2009-02-24 14:24 4 --a------ c:\windows\system32\gaopdxcounte_ 2009-02-21 12:26 . 2009-02-21 12:26 d-------- c:\windows\Sun 2009-02-21 00:48 . 2009-02-21 00:48 d-------- c:\program files\Java 2009-02-21 00:48 . 2009-02-21 00:48 410,984 --a------ c:\windows\system32\deploytk.dll 2009-02-21 00:48 . 2009-02-21 00:48 73,728 --a------ c:\windows\system32\javacpl.cpl 2009-02-20 18:10 . 2009-02-20 18:10 d-------- c:\documents and settings\Kevin\Application Data\Acronis 2009-02-20 18:06 . 2009-02-20 18:06 96,320 --a------ c:\windows\system32\drivers\snapman.sys 2009-02-20 18:05 . 2009-02-20 18:05 d-------- c:\documents and settings\All Users\Application Data\Acronis 2009-02-20 18:05 . 2009-02-20 18:05 81,984 --a------ c:\windows\system32\drivers\psh_drv.sys 2009-02-17 17:30 . 2009-02-23 01:00 d-------- c:\program files\Avira 2009-02-17 17:30 . 2009-02-17 17:30 d-------- c:\documents and settings\All Users\Application Data\Avira 2009-02-07 23:25 . 2009-02-07 23:25 d-------- c:\program files\CCleaner 2009-02-07 20:16 . 2009-02-07 20:16 75,264 --a------ c:\windows\system32\drivers\gaopdxydcvkwbu.sy_ 2009-02-07 20:07 . 2009-02-07 20:07 d-------- c:\program files\Windows Media Connect 2 2009-02-07 20:04 . 2009-02-07 20:04 d-------- c:\windows\system32\LogFiles 2009-02-07 20:04 . 2009-02-07 20:05 d-------- c:\windows\system32\drivers\UMDF 2009-02-07 18:35 . 2009-02-07 18:35 75,264 --a------ c:\windows\system32\drivers\gaopdxcnfxskjq.sy_ 2009-02-07 16:26 . 2009-02-07 16:26 75,264 --a------ c:\windows\system32\drivers\gaopdxfubgxoqr.sy_ 2009-02-07 16:10 . 2009-02-07 16:10 75,264 --a------ c:\windows\system32\drivers\gaopdxelolgoud.sy_ 2009-02-07 15:00 . 2009-02-07 15:00 75,264 --a------ c:\windows\system32\drivers\gaopdxxoenbpvq.sy_ 2009-02-06 21:32 . 2009-02-06 21:32 d-------- c:\documents and settings\All Users\Application Data\KONAMI 2009-02-06 21:24 . 2009-02-06 21:24 75,264 --a------ c:\windows\system32\drivers\gaopdxxtrejduv.sy_ 2009-02-06 20:45 . 2009-02-06 20:45 d-------- c:\program files\Malwarebytes' Anti-Malware 2009-02-06 20:45 . 2009-02-06 20:45 d-------- c:\documents and settings\Kevin\Application Data\Malwarebytes 2009-02-06 20:45 . 2009-02-06 20:45 d-------- c:\documents and settings\All Users\Application Data\Malwarebytes 2009-02-06 20:45 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-02-06 20:45 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-02-06 18:52 . 2009-02-06 18:52 49,504 --a------ c:\windows\system32\sirenacm.dll 2009-02-06 18:26 . 2003-03-18 21:20 1,060,864 --a------ c:\windows\system32\MFC71.dll 2009-02-06 18:04 . 2009-02-06 18:04 d-------- c:\program files\Sunbelt Software 2009-02-06 17:08 . 2009-02-06 17:08 75,264 --a------ c:\windows\system32\drivers\gaopdxxrekturb.sy_ 2009-02-06 16:56 . 2009-02-06 16:56 75,264 --a------ c:\windows\system32\drivers\gaopdxpopklydx.sy_ 2009-02-01 21:02 . 2009-02-01 21:02 d-------- c:\documents and settings\All Users\Application Data\Messenger Plus! 2009-02-01 19:01 . 2009-02-01 19:01 d-------- c:\program files\Messenger Plus! Live 2009-01-31 11:36 . 2009-01-31 11:36 d-------- c:\program files\Free iPod Video Converter 2009-01-31 11:36 . 2004-05-25 17:06 417,792 --a------ c:\windows\system32\ac3filter.ax 2009-01-31 11:36 . 2005-02-27 21:48 356,352 --a------ c:\windows\system32\RealMediaSplitter.ax 2009-01-31 11:36 . 2004-01-10 17:02 258,048 --a------ c:\windows\system32\GplMpgDec.ax . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-02-25 13:54 --------- d--h--w c:\program files\InstallShield Installation Information 2009-02-06 13:03 --------- d-----w c:\documents and settings\All Users\Application Data\Sports Interactive 2009-01-28 11:53 --------- d-----w c:\program files\CryptLoad 2009-01-23 22:28 --------- d-----w c:\program files\Fichiers communs\Nero 2009-01-23 22:28 --------- d-----w c:\program files\Fichiers communs\LightScribe 2009-01-22 17:04 --------- d-----w c:\program files\mp3DirectCut 2009-01-22 16:57 --------- d-----w c:\program files\Fichiers communs\DVDVIDEOSOFT 2009-01-22 16:57 --------- d-----w c:\program files\DVDVIDEOSOFT 2009-01-22 16:54 --------- d-----w c:\program files\K-Lite Codec Pack 2009-01-21 16:22 --------- d-----w c:\program files\D-Jix 2009-01-21 16:16 --------- d-----w c:\documents and settings\Kevin\Application Data\D-Jix Media 2009-01-16 16:52 --------- d-----w c:\documents and settings\Kevin\Application Data\www.pro-evo.xooit.fr 2009-01-15 20:17 --------- d-----w c:\program files\PhotoFiltre Studio 2009-01-14 11:02 --------- d-----w c:\program files\MSBuild 2009-01-14 11:01 --------- d-----w c:\program files\Reference Assemblies 2009-01-03 12:41 --------- d-----w c:\documents and settings\Kevin\Application Data\Sports Interactive 2009-01-03 12:00 --------- d-----w c:\program files\Bonjour 2009-01-03 10:10 --------- d--h--w c:\program files\Zero G Registry 2009-01-02 21:39 --------- d-----w c:\program files\iTunes 2009-01-02 21:39 --------- d-----w c:\program files\iPod 2009-01-02 21:39 --------- d-----w c:\program files\Fichiers communs\Apple 2009-01-02 21:39 --------- d-----w c:\documents and settings\Kevin\Application Data\Apple Computer 2009-01-02 21:39 --------- d-----w c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6} 2009-01-02 21:38 --------- d-----w c:\program files\QuickTime 2009-01-02 21:37 --------- d-----w c:\program files\Apple Software Update 2009-01-02 21:37 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer 2009-01-02 21:36 --------- d-----w c:\documents and settings\All Users\Application Data\Apple 2009-01-02 19:07 0 ---ha-w c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf 2009-01-02 19:07 0 ---ha-w c:\windows\system32\drivers\Msft_Kernel_xusb21_01005.Wdf 2009-01-02 01:49 --------- d-----w c:\program files\Fichiers communs\InstallShield 2009-01-02 01:49 --------- d-----w c:\documents and settings\Kevin\Application Data\DAEMON Tools Lite 2009-01-02 01:46 --------- d-----w c:\documents and settings\Kevin\Application Data\DAEMON Tools Pro 2009-01-02 01:46 --------- d-----w c:\documents and settings\Kevin\Application Data\DAEMON Tools 2009-01-02 01:45 --------- d-----w c:\program files\DAEMON Tools Lite 2009-01-02 01:45 --------- d-----w c:\documents and settings\All Users\Application Data\DAEMON Tools Lite 2009-01-02 01:43 717,296 -c--a-w c:\windows\system32\drivers\sptd.sys 2009-01-01 23:07 --------- d-----w c:\program files\Windows Live 2009-01-01 23:07 --------- d-----w c:\program files\Microsoft 2009-01-01 23:03 --------- d-----w c:\program files\Fichiers communs\Windows Live 2009-01-01 22:59 --------- d-----w c:\documents and settings\Kevin\Application Data\Media Player Classic 2009-01-01 22:00 --------- d-----w c:\program files\Microsoft.NET 2009-01-01 20:25 --------- d-----w c:\program files\Fichiers communs\Adobe 2009-01-01 20:21 --------- d-----w c:\documents and settings\Kevin\Application Data\InterTrust 2009-01-01 20:04 --------- d-----w c:\documents and settings\All Users\Application Data\ATI 2009-01-01 20:01 --------- d-----w c:\program files\ATI Technologies 2009-01-01 19:59 --------- d-----w c:\program files\Fichiers communs\ATI Technologies 2009-01-01 19:35 90,112 ----a-w c:\windows\DUMP3b34.tmp 2009-01-01 19:20 --------- d-----w c:\documents and settings\Kevin\Application Data\ATI 2008-12-31 04:14 --------- d-----w c:\program files\microsoft frontpage 2008-12-31 04:12 --------- d-----w c:\program files\Services en ligne . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440] "avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "SoundMan"="SOUNDMAN.EXE" [2002-08-15 c:\windows\SOUNDMAN.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "c:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "d:\Jeux\KONAMI\PES2009\GSoccerPatchPES2009.exe"= R2 psh_drv;Process Activity Acronis Monitor;c:\windows\system32\drivers\psh_drv.sys [2009-02-20 81984] S2 psh_svc;Acronis Malware Shield Service;"c:\program files\Fichiers communs\Acronis\Malware Shield\psh_svc.exe" --> c:\program files\Fichiers communs\Acronis\Malware Shield\psh_svc.exe [?] S3 QCEmerald;QuickCam Web Logitech;c:\windows\system32\drivers\OVCE.sys [2009-01-02 31872] S3 V90drv;v90drv;c:\windows\system32\drivers\v90drv.sys [2009-01-01 1432836] . Contenu du dossier 'Tâches planifiées' 2009-01-31 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34] . . ------- Examen supplémentaire ------- . uInternet Settings,ProxyOverride = *.local IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 FF - ProfilePath - c:\documents and settings\Kevin\Application Data\Mozilla\Firefox\Profiles\yel7w4qf.default\ FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FF - prefs.js: browser.search.selectedEngine - FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins ppl3260.dll FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins prpjplug.dll FF - plugin: c:\program files\Mozilla Firefox\plugins p-mswmp.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-02-26 17:07:06 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . --------------------- CLES DE REGISTRE BLOQUEES --------------------- [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*] "C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL" . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'winlogon.exe'(532) c:\windows\system32\Ati2evxx.dll . ------------------------ Autres processus actifs ------------------------ . c:\windows\system32\ati2evxx.exe c:\windows\system32\ati2evxx.exe c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\program files\Bonjour\mDNSResponder.exe c:\program files\Fichiers communs\LightScribe\LSSrvc.exe c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe c:\windows\system32\wscntfy.exe . ************************************************************************** . Heure de fin: 2009-02-26 17:12:17 - La machine a redémarré ComboFix-quarantined-files.txt 2009-02-26 16:12:14 Avant-CF: 37 810 884 608 octets libres Après-CF: 37,836,292,096 octets libres Current=2 Default=2 Failed=3 LastKnownGood=4 Sets=1,2,3,4 205 --- E O F --- 2009-02-26 13:38:53 PS: C'est bon pour les mise a jour.Il m'en a installé 30 hier soir .Oo

InfernO.vir · Answer

Wai mais toujours des rootkits !!

Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

NB : Les rapports sont sauvegardés dans le dossier C:\rsit

oo-k3viin-oo · Answer

info.txt logfile of random's system information tool 1.05 2009-02-26 18:09:28

======Uninstall list======

-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{20A4352A-237B-41DD-A6C0-3CD2F8E8D35C}\Setup.exe" -l0x40c 
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Acronis Privacy Expert Suite-->MsiExec.exe /X{4E4DF456-9F14-4EB4-9D74-8A17A345B9D4}
Adobe Acrobat 5.0-->C:\WINDOWS\ISUN040C.EXE -f"C:\Program Files\Fichiers communs\Adobe\Acrobat 5.0\NT\Uninst.isu" -c"C:\Program Files\Fichiers communs\Adobe\Acrobat 5.0\NT\Uninst.dll"
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Apple Mobile Device Support-->MsiExec.exe /I{EC4455AB-F155-4CC1-A4C5-88F3777F9886}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
Assistant de connexion Windows Live-->MsiExec.exe /I{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}
ATI - Utilitaire de désinstallation du logiciel-->C:\Program Files\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI AVIVO Codecs-->MsiExec.exe /I{89DE67AD-08B8-4699-A55D-CA5C0AF82BF3}
ATI Catalyst Control Center-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{055EE59D-217B-43A7-ABFF-507B966405D8}\setup.exe" -l0x0 
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
ATI Parental Control & Encoder-->MsiExec.exe /I{36CDA33B-909B-4719-97D1-C4B99309BDC7}
AVG Anti-Rootkit Free-->C:\Program Files\GRISOFT\AVG Anti-Rootkit Free\Uninstall.exe
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B}
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}
Correctif pour Lecteur Windows Media 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
Correctif pour Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
D-Jix Media-->MsiExec.exe /X{C42E2DB7-BD0D-493F-AE08-A29FF7CBF420}
Free iPod Video Converter 1.34-->"C:\Program Files\Free iPod Video Converter\unins000.exe"
Free Mp3 Wma Converter V 1.8.0-->"C:\Program Files\Free Audio Pack\unins000.exe"
Free Video to Mp3 Converter version 2.7-->"C:\Program Files\DVDVIDEOSOFT\Free Video to Mp3 Converter\unins000.exe"
HijackThis 2.0.2-->"C:\Program Files	rend micro\HijackThis.exe" /uninstall
Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{7370DF47-B4F9-4279-BFC3-3F09919F720D}
iTunes-->MsiExec.exe /I{318AB667-3230-41B5-A617-CB3BF748D371}
K-Lite Codec Pack 4.4.5 (Standard)-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"
Lecteur Windows Media 11-->"C:\Program Files\Windows Media Player\Setup_wm.exe" /Uninstall
Les Sims 2 : Nuits de Folie-->D:\Jeux\EA GAMES\Les Sims 2  Nuits de Folie\EAUninstall.exe
Les Sims 2 Académie-->D:\Jeux\EA GAMES\Les Sims 2 Académie\EAUninstall.exe
Les Sims 2 Fun en Famille Kit-->D:\Jeux\EA GAMES\Les Sims 2 Fun en Famille Kit\EAUninstall.exe
Les Sims 2 : La bonne affaire-->D:\Jeux\EA GAMES\Les Sims 2  La bonne affaire\EAUninstall.exe
Les Sims 2-->D:\Jeux\EA GAMES\Les Sims 2\EAUninstall.exe
Les Sims™ 2 Animaux & Cie-->D:\Jeux\EA GAMES\Les Sims 2 Animaux & Cie\EAUninstall.exe
Les Sims™ 2 Quartier Libre-->D:\Jeux\EA GAMES\Les Sims 2 Quartier Libre\EAUninstall.exe
Les Sims™ 2 Au fil des saisons-->D:\Jeux\EA GAMES\Les Sims 2 Au fil des saisons\EAUninstall.exe
Les Sims™ 2 Bon Voyage-->D:\Jeux\EA GAMES\Les Sims 2 Bon Voyage\EAUninstall.exe
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Messenger Plus! Live-->"C:\Program Files\Messenger Plus! Live\Uninstall.exe"
Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - FRA-->MsiExec.exe /I{3F7924B9-D148-3141-87B1-68F36043A940}
Microsoft .NET Framework 2.0 Service Pack 1-->MsiExec.exe /I{B508B3F1-A24A-32C0-B310-85786919EF28}
Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - FRA-->MsiExec.exe /I{511DF669-2930-30C0-8EB6-552887E29EC8}
Microsoft .NET Framework 3.0 Service Pack 1-->MsiExec.exe /I{2BA00471-0328-3743-93BD-FA813353A783}
Microsoft .NET Framework 3.5 Language Pack - fra-->MsiExec.exe /I{5B76AEA2-D4E5-3B55-B965-ACC36AE0EAFC}
Microsoft .NET Framework 3.5-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5\setup.exe
Microsoft .NET Framework 3.5-->MsiExec.exe /I{2FC099BD-AC9B-33EB-809C-D332E1B27C40}
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5-->"C:\WINDOWS\$NtUninstallWdf01005$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{9011040C-6000-11D3-8CFE-0150048383C9}
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 10 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP10$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127-v2)-->"C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Mise à jour de sécurité pour Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958215)-->"C:\WINDOWS\$NtUninstallKB958215$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960714)-->"C:\WINDOWS\$NtUninstallKB960714$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
Module linguistique Microsoft .NET Framework 3.5 - fra-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack - fra\setup.exe
Mozilla Firefox (3.0.6)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
PhotoFiltre Studio-->"C:\Program Files\PhotoFiltre Studio\Uninst.exe"
Pro Evolution Soccer 2009-->MsiExec.exe /X{A8DB611A-D80E-450D-85F6-3ACDD164BE31}
QuickTime-->MsiExec.exe /I{F958CA02-BB40-4007-894B-258729456EE4}
Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}
Smart Link 56K Voice Modem-->C:\WINDOWS\Modio\SLAMRNTV\slclean.exe
TRUST 320 SPACEC@M-->C:\WINDOWS\CleanDev.exe C:\WINDOWS\ov519.TXT
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Messenger-->MsiExec.exe /X{059C042E-796A-4ACC-A81A-ECC2010BB78C}
Windows Media Format 11 runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
XML Paper Specification Shared Components Language Pack 1.0-->"C:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"
Zune Desktop Theme-->MsiExec.exe /X{7E20EFE6-E604-48C6-8B39-BA4742F2CDB4}

======Security center information======

AV: Avira AntiVir PersonalEdition Classic

System event log

Computer Name: KEVIN-8498A78A4
Event Code: 7023
Message: Le service Gestion d'applications s'est arrêté avec l'erreur : 
Le module spécifié est introuvable.


Record Number: 6726
Source Name: Service Control Manager
Time Written: 20090218184337.000000+060
Event Type: erreur
User: 

Computer Name: KEVIN-8498A78A4
Event Code: 7036
Message: Le service Gestion d'applications est entré dans l'état : arrêté.

Record Number: 6725
Source Name: Service Control Manager
Time Written: 20090218184337.000000+060
Event Type: Informations
User: 

Computer Name: KEVIN-8498A78A4
Event Code: 7035
Message: Un contrôle Démarrer a correctement été envoyé au service Gestion d'applications.

Record Number: 6724
Source Name: Service Control Manager
Time Written: 20090218184337.000000+060
Event Type: Informations
User: KEVIN-8498A78A4\Kevin

Computer Name: KEVIN-8498A78A4
Event Code: 7023
Message: Le service Gestion d'applications s'est arrêté avec l'erreur : 
Le module spécifié est introuvable.


Record Number: 6723
Source Name: Service Control Manager
Time Written: 20090218184337.000000+060
Event Type: erreur
User: 

Computer Name: KEVIN-8498A78A4
Event Code: 7036
Message: Le service Gestion d'applications est entré dans l'état : arrêté.

Record Number: 6722
Source Name: Service Control Manager
Time Written: 20090218184337.000000+060
Event Type: Informations
User: 

Application event log

Computer Name: KEVIN-8498A78A4
Event Code: 1800
Message: Le service Centre de sécurité Windows a démarré.

Record Number: 474
Source Name: SecurityCenter
Time Written: 20090104174703.000000+060
Event Type: Informations
User: 

Computer Name: KEVIN-8498A78A4
Event Code: 1
Message: 
Record Number: 473
Source Name: Bonjour Service
Time Written: 20090104174702.000000+060
Event Type: Informations
User: 

Computer Name: KEVIN-8498A78A4
Event Code: 105
Message: The service was started.

Record Number: 472
Source Name: ATI Smart
Time Written: 20090104174658.000000+060
Event Type: Informations
User: 

Computer Name: KEVIN-8498A78A4
Event Code: 1002
Message: Application bloquée PES6.exe, version 1.0.0.1, module bloqué hungapp, version 0.0.0.0, adresse de blocage 0x00000000.

Record Number: 471
Source Name: Application Hang
Time Written: 20090104000215.000000+060
Event Type: erreur
User: 

Computer Name: KEVIN-8498A78A4
Event Code: 1000
Message: Application défaillante pes6.exe, version 1.0.0.1, module défaillant pes6.exe, version 1.0.0.1, adresse de défaillance 0x00022551.

Record Number: 470
Source Name: Application Error
Time Written: 20090104000140.000000+060
Event Type: erreur
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files\QuickTime\QTSystem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 2 Stepping 4, GenuineIntel
"PROCESSOR_REVISION"=0204
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"CLASSPATH"=.;C:\Program Files\QuickTime\QTSystem\QTJava.zip
"QTJAVA"=C:\Program Files\QuickTime\QTSystem\QTJava.zip

-----------------EOF-----------------




Logfile of random's system information tool 1.05 (written by random/random)
Run by Kevin at 2009-02-26 18:09:14
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 36 GB (63%) free of 57 GB
Total RAM: 1535 MB (60% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:09:26, on 26/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Documents and Settings\Kevin\Bureau\RSIT.exe
C:\Program Files	rend micro\Kevin.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Acronis Popup Blocker - {E24AD748-155E-4254-B674-4EDF86E7E1DF} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Anti-Autorun-inf.lnk = C:\Program Files\Prg Chris\Anti-Autorun.inf\Anti-Autorun.inf.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe (file missing)
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Acronis Malware Shield Service (psh_svc) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\Malware Shield\psh_svc.exe (file missing)
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe

InfernO.vir · Answer

Télécharge Rooter de l'équipe IDN sur ton bureau : 
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/Rooter.exe?attachauth=ANoY7cpzQksLcJt-e1z30LGu7t4JjUhh8amzWs_oSPSJpXbXp8ythGbW2WF8ysioh5NNlarrn7zMnYCRfsT5rCwNrfw5_CZYELApylTiY_MGu0G6uKzWpLEF2YXM3tF7nKZZAWj0JSAajXlZhd8dIyI3MrZ-lAIT5ZrAdcrct9_7bshwVpaZRPizuMTv9SDvmvY31BX4Vvvh2F2Brp1cy_K0jtTTfjttEA%3D%3D&attredirects=2 

! Déconnecte toi d'internet et ferme toutes applications en cours ! 


* Exécute Rooter et laisse travailler l'outil . 

* Une fois terminé, poste le rapport obtenu pour analyse ...





 --
Attention : les cracks et keygens dissimulent Bagle !

~#*'"»€le©&#964;®!C™«"'*#~

InfernO.vir

Mise a jour et beug clavié:étrange !

97 réponses

Discussions similaires

Newsletters