Probleme de liens internet,d'image et de .exe

slt,

Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Clique Continue à l'écran Disclaimer.

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

NB : Les rapports sont sauvegardés dans le dossier C:\rsit

Voila mon rapport de log:

Logfile of random's system information tool 1.05 (written by random/random)
Run by Pichon at 2009-03-01 21:35:50
Microsoft Windows XP Édition familiale Service Pack 2
System drive D: has 2 GB (28%) free of 7 GB
Total RAM: 2046 MB (82% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:36:09, on 01/03/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
D:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\RUNDLL32.EXE
D:\Program Files\Analog Devices\Core\smax4pnp.exe
D:\Program Files\Analog Devices\SoundMAX\Smax4.exe
D:\Program Files\Ideazon\ZEngine\Zboard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Steam\Steam.exe
D:\Program Files\TRENDnet\TRENDnet TEW-421PC_TEW-423PI\WlanCU.exe
D:\Program Files\IncrediMail\bin\IMApp.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Documents and Settings\Pichon\Bureau\RSIT.exe
D:\Program Files\trend micro\Pichon.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredimail.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMAXPnP] D:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "D:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Zboard] D:\Program Files\Ideazon\ZEngine\Zboard.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [IncrediMail] D:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - .DEFAULT User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')
O4 - .DEFAULT User Startup: PinMcLnk.lnk = C:\hp\bin\cloaker.exe (User 'Default user')
O4 - Global Startup: Wireless Configuration Utility .lnk = D:\Program Files\TRENDnet\TRENDnet TEW-421PC_TEW-423PI\WlanCU.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{AA844F16-1894-4E2F-870D-4D8269E68D4F}: NameServer = 85.255.114.89,85.255.112.82
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.89,85.255.112.82
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.89,85.255.112.82
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.89,85.255.112.82
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - D:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - D:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe

Et le rapport d'info:

info.txt logfile of random's system information tool 1.05 2009-03-01 21:36:11

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 D:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 Plugin-->D:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
Correctif pour Windows XP (KB952287)-->"D:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
High Definition Audio Driver Package - KB888111-->D:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe
HijackThis 2.0.2-->"D:\Program Files\trend micro\HijackThis.exe" /uninstall
IncrediMail-->D:\Program Files\IncrediMail\bin\ImSetup.exe /remove /addon:IncrediMail /log:IncMail.log
Ma-Config.com-->MsiExec.exe /X{8AFB8FC4-3EBA-4C67-943F-CF43DB2180F1}
marvell 61xx-->D:\Program Files\Marvell\61xx\uninst-61xx.exe
Microsoft .NET Framework 2.0-->D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Mise à jour de sécurité pour Lecteur Windows Media (KB952069)-->"D:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB923789)-->D:\WINDOWS\system32\MacroMed\Flash\genuinst.exe D:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Mise à jour de sécurité pour Windows XP (KB938464)-->"D:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB944338-v2)-->"D:\WINDOWS\$NtUninstallKB944338-v2$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB946648)-->"D:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950760)-->"D:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950762)-->"D:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950974)-->"D:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951066)-->"D:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951376-v2)-->"D:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951698)-->"D:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951748)-->"D:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB952954)-->"D:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954211)-->"D:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954600)-->"D:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB955069)-->"D:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956802)-->"D:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956803)-->"D:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956841)-->"D:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB957097)-->"D:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958215)-->"D:\WINDOWS\$NtUninstallKB958215$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958644)-->"D:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958687)-->"D:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960714)-->"D:\WINDOWS\$NtUninstallKB960714$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960715)-->"D:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB898461)-->"D:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB955839)-->"D:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB967715)-->"D:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
NVIDIA Drivers-->D:\WINDOWS\system32\NVUNINST.EXE UninstallGUI
NVIDIA ForceWare Network Access Manager-->"D:\Program Files\InstallShield Installation Information\{7CFA46E3-CC2F-4355-82AE-6012DC3633FD}\setup.exe" -runfromtemp -l0x040c -removeonly
NVIDIA ForceWare Network Access Manager-->MsiExec.exe /I{7CFA46E3-CC2F-4355-82AE-6012DC3633FD}
SoundMAX-->RunDll32 D:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "D:\Program Files\InstallShield Installation Information\{F0A37341-D692-11D4-A984-009027EC0A9C}\Setup.exe" -l0x40c -removeonly
Steam-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3}
TRENDnet TEW-421PC/TEW-423PI 802.11g Wireless Cardbus/PCI Adapter Driver and Utility-->D:\Program Files\InstallShield Installation Information\{F266A90C-3F4A-4F65-9901-3DBBB0D77D80}\setup.exe -runfromtemp -l0x0409
Z Engine-->MsiExec.exe /X{67AEBC24-2D41-4E40-969C-0A6C6718856A}

======Security center information======

AV: Avira AntiVir PersonalEdition Classic

System event log

Computer Name: MICRO-167D5D62B
Event Code: 10005
Message: DCOM a reçu l'erreur "%1084" lors de la mise en route du service EventSystem avec les arguments ""
pour démarrer le serveur :
{1BE1F766-5536-11D1-B726-00C04FB926AF}

Record Number: 888
Source Name: DCOM
Time Written: 20090227161027.000000+060
Event Type: erreur
User: AUTORITE NT\SYSTEM

Computer Name: MICRO-167D5D62B
Event Code: 7026
Message: Le pilote de démarrage système ou d'amorçage suivant n'a pas pu se charger :
AFD
avgio
avipbb
Fips
intelppm
IPSec
MRxSmb
NetBIOS
NetBT
RasAcd
Rdbss
ssmdrv
Tcpip
WS2IFSL

Record Number: 887
Source Name: Service Control Manager
Time Written: 20090227160627.000000+060
Event Type: erreur
User:

Computer Name: MICRO-167D5D62B
Event Code: 7001
Message: Le service Services IPSEC dépend du service Pilote IPSEC qui n'a pas pu démarrer en raison de l'erreur :
Un périphérique attaché au système ne fonctionne pas correctement.

Record Number: 886
Source Name: Service Control Manager
Time Written: 20090227160627.000000+060
Event Type: erreur
User:

Computer Name: MICRO-167D5D62B
Event Code: 7001
Message: Le service Assistance TCP/IP NetBIOS dépend du service AFD qui n'a pas pu démarrer en raison de l'erreur :
Un périphérique attaché au système ne fonctionne pas correctement.

Record Number: 885
Source Name: Service Control Manager
Time Written: 20090227160627.000000+060
Event Type: erreur
User:

Computer Name: MICRO-167D5D62B
Event Code: 7001
Message: Le service Client DNS dépend du service Pilote du protocole TCP/IP qui n'a pas pu démarrer en raison de l'erreur :
Un périphérique attaché au système ne fonctionne pas correctement.

Record Number: 884
Source Name: Service Control Manager
Time Written: 20090227160627.000000+060
Event Type: erreur
User:

Application event log

Computer Name: MICRO-167D5D62B
Event Code: 1000
Message: Les compteurs de performances pour le service ContentIndex (ContentIndex) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 5
Source Name: LoadPerf
Time Written: 20090225162409.000000+060
Event Type: Informations
User:

Computer Name: MICRO-167D5D62B
Event Code: 1000
Message: Les compteurs de performances pour le service TermService (Services Terminal Server) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 4
Source Name: LoadPerf
Time Written: 20090225162408.000000+060
Event Type: Informations
User:

Computer Name: MICRO-167D5D62B
Event Code: 1000
Message: Les compteurs de performances pour le service RemoteAccess (Routage et accès distant) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 3
Source Name: LoadPerf
Time Written: 20090225162316.000000+060
Event Type: Informations
User:

Computer Name: MICRO-167D5D62B
Event Code: 1000
Message: Les compteurs de performances pour le service PSched (PSched) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 2
Source Name: LoadPerf
Time Written: 20090225162254.000000+060
Event Type: Informations
User:

Computer Name: MICRO-167D5D62B
Event Code: 1000
Message: Les compteurs de performances pour le service RSVP (QoS RSVP) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 1
Source Name: LoadPerf
Time Written: 20090225162253.000000+060
Event Type: Informations
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 11, GenuineIntel
"PROCESSOR_REVISION"=0f0b
"NUMBER_OF_PROCESSORS"=4
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------

slt effectivement tu es détourné en ukraine :(

_________________

scan avec malwarebyte après mise a jour , fais un scan minutieux et colle le rapport obtenu et vire ce qui est trouvé:

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/­

______________________

remets un rapport RSIt

a plus

Désolé d'etre aussi long mais aparemmentjenepeut pasaller sur le site de malware donc j'utilise un autre ordi... Et le .exe du logiciel ne se lance pas, je redemarre mon PC en mode sans echec!

Mon DD vien de me lacher ,j 'en est marre ,sa fait 5mois quil merde!

le disque dur est mort?

rectification apres analyse c'est mon port sata qui déconnait donc je l'est mit sur le sata 3!

Alors. Le Mbam setup.exe ne se lance pas ! :x meme en mode sans echec

et quand j'essaie de l'installer sur ma clef USB depuis cette ordinateur pour le lancer sur l'autre infecter, le logiciel ne marche pas meme si je ne suis pas connecté a internet.

Pour fusionner:

http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

_______________

telecharge combofix:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !

_________________

Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

File::
d:\shell\Open\command - RECYCLER\S-9-3-66-100012087-100017631-100005151-4151.com
c:\shell\Open\command - RECYCLER\S-9-3-66-100012087-100017631-100005151-4151.com
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]

Enregistre ce fichier sous le nom CFscript

Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

_________________________

smit fraud fix (colle le rapport)

1/ telecharger :

http://siri.urz.free.fr/Fix/SmitfraudFix.php

2/ double clique sur smitfraudfix. puis sélectionne 1 et appuyer sur entrée afin de créer le rapport des infection présentes.

Donc, comme un probleme ne jamais tout seul... Je ne peut pas telecharger a partir du lien que tu m'as mit car sur mon ordinateur infecté, il me met une page internet erreur de mozilla ! j'ai quand meme essayer de mettre combofix sur ma clef USB et de faire la manip sur mon PC mais aucun resultat combo fix ne se lance pas !

Désolé d'etre un peu lent dans mes réponses !

essaye avec ce combofix renommé en killfix

http://sd-1.archive-host.com/membres/up/193094576412487685/Killfix.exe

voila mon rapport combofix:
etrange maintenant je peut clicker sur les liens de google normalement :)

ComboFix 09-03-02.03 - Pichon 2009-03-03 18:42:25.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.2046.1722 [GMT 1:00]
Lancé depuis: d:\documents and settings\Pichon\Bureau\Killfix.exe
Commutateurs utilisés :: d:\documents and settings\Pichon\Bureau\CFScript.txt
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)
* Resident AV is active

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
c:\recycler\S-8-2-14-100027724-100021599-100024630-8052.com
D:\Autorun.inf
d:\windows\jestertb.dll
d:\windows\system32\drivers\UACwvqyqupl.sys
d:\windows\system32\gaopdxcounter
d:\windows\system32\UACoqytidkk.log
d:\windows\system32\UACpcnyojvt.dat
d:\windows\system32\UACtrfytmpj.dll
d:\windows\system32\UACuknltmry.dll
d:\windows\system32\UACvujglwsn.dll
d:\windows\system32\UACxxgkaath.dll
d:\windows\system32\UACyhoukcsf.log
d:\windows\system32\UACyrfidusw.log

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_UACd.sys

((((((((((((((((((((((((((((( Fichiers créés du 2009-02-03 au 2009-03-03 ))))))))))))))))))))))))))))))))))))
.

2009-03-01 21:35 . 2009-03-01 21:36 <REP> d-------- D:\rsit
2009-03-01 21:35 . 2009-03-01 21:58 <REP> d-------- d:\program files\trend micro
2009-03-01 17:41 . 2009-03-01 17:41 <REP> d-------- d:\documents and settings\All Users\Application Data\ma-config.com
2009-03-01 11:09 . 2009-03-01 11:09 <REP> d-------- d:\documents and settings\Pichon\Application Data\GlarySoft
2009-02-27 19:39 . 2009-02-27 19:39 <REP> d-------- d:\documents and settings\Pichon\Application Data\teamspeak2
2009-02-26 22:01 . 2009-02-26 22:01 5,157 --a------ d:\windows\system32\uacinit.dll
2009-02-26 20:39 . 2009-02-26 20:39 45 ---h----- d:\windows\dhp_5254.dat
2009-02-26 18:45 . 2009-02-26 18:45 <REP> d-------- d:\program files\IncrediMail
2009-02-26 18:45 . 2009-02-26 18:45 <REP> d-------- d:\documents and settings\All Users\Application Data\IncrediMail
2009-02-26 18:45 . 2009-02-26 18:45 <REP> d-------- d:\documents and settings\All Users\Application Data\IM
2009-02-25 18:39 . 2009-02-25 18:39 <REP> d-------- d:\documents and settings\All Users\Application Data\Avira
2009-02-25 18:38 . 2009-02-25 18:38 <REP> d-------- d:\documents and settings\Pichon\Application Data\Ideazon
2009-02-25 18:37 . 2009-02-25 18:37 <REP> d-------- d:\program files\Ideazon
2009-02-25 18:30 . 2009-02-25 18:46 <REP> d-------- d:\windows\system32\CatRoot_bak
2009-02-25 18:25 . 2008-06-14 18:59 272,768 --------- d:\windows\system32\drivers\bthport.sys
2009-02-25 18:25 . 2008-06-14 18:59 272,768 -----c--- d:\windows\system32\dllcache\bthport.sys
2009-02-25 18:20 . 2008-08-14 14:44 2,182,400 -----c--- d:\windows\system32\dllcache\ntoskrnl.exe
2009-02-25 18:20 . 2008-08-14 14:44 2,138,112 -----c--- d:\windows\system32\dllcache\ntkrnlmp.exe
2009-02-25 18:20 . 2008-08-14 14:44 2,059,776 -----c--- d:\windows\system32\dllcache\ntkrnlpa.exe
2009-02-25 18:20 . 2008-08-14 14:44 2,017,792 -----c--- d:\windows\system32\dllcache\ntkrpamp.exe
2009-02-25 18:19 . 2009-02-25 18:19 0 --a------ d:\windows\nsreg.dat
2009-02-25 18:14 . 2008-10-24 12:10 453,632 -----c--- d:\windows\system32\dllcache\mrxsmb.sys
2009-02-25 18:10 . 2009-02-25 18:10 <REP> d-------- d:\program files\Marvell
2009-02-25 18:03 . 2009-02-25 18:03 <REP> d-------- d:\program files\Analog Devices
2009-02-25 18:02 . 2005-02-25 04:35 22,752 --a------ d:\windows\system32\spupdsvc.exe
2009-02-25 17:54 . 2009-02-25 17:54 <REP> d-------- d:\windows\ASUSInstAll
2009-02-25 17:50 . 2009-02-25 17:50 <REP> d-------- d:\program files\NVIDIA Corporation
2009-02-25 17:50 . 2007-09-26 09:07 356,352 --a------ d:\windows\system32\nvunrm.exe
2009-02-25 17:50 . 2007-08-09 04:03 353,280 -ra------ d:\windows\system32\idecoiins.dll
2009-02-25 17:50 . 2007-08-09 04:03 353,280 -ra------ d:\windows\system32\idecoi.dll
2009-02-25 17:50 . 2007-10-12 09:14 194,048 -ra------ d:\windows\system32\fdco1ins.dll
2009-02-25 17:50 . 2007-10-12 09:14 194,048 -ra------ d:\windows\system32\fdco1.dll
2009-02-25 17:50 . 2007-08-09 04:11 102,400 -ra------ d:\windows\system32\drivers\nvgts.sys
2009-02-25 17:50 . 2007-10-12 09:15 54,144 -ra------ d:\windows\system32\drivers\NVENETFD.sys
2009-02-25 17:50 . 2007-09-26 09:05 5,847 -ra------ d:\windows\system32\nvnrm.nvu
2009-02-25 17:50 . 2007-10-12 09:01 3,276 -ra------ d:\windows\system32\drivers\nvphy.bin
2009-02-25 17:49 . 2009-02-25 17:49 <REP> d-------- d:\documents and settings\Pichon\Application Data\InstallShield
2009-02-25 17:49 . 2007-10-12 09:15 942,080 -ra------ d:\windows\system32\drivers\nvnrm.sys
2009-02-25 17:49 . 2007-09-28 11:32 356,352 --a------ d:\windows\system32\nvusmb.exe
2009-02-25 17:49 . 2007-09-26 09:07 37,376 -ra------ d:\windows\system32\nvconrm.dll
2009-02-25 17:49 . 2007-10-12 09:15 22,016 -ra------ d:\windows\system32\drivers\nvnetbus.sys
2009-02-25 17:49 . 2007-10-12 09:14 9,216 -ra------ d:\windows\system32\bdco1ins.dll
2009-02-25 17:49 . 2007-10-12 09:14 9,216 -ra------ d:\windows\system32\bdco1.dll
2009-02-25 17:49 . 2006-10-19 03:36 1,864 -ra------ d:\windows\system32\nvsmb.nvu
2009-02-25 17:48 . 2009-02-25 18:05 28,678 --a------ d:\windows\Ascd_log.ini
2009-02-25 17:47 . 2009-02-25 18:11 28,437 --a------ d:\windows\Ascd_tmp.ini
2009-02-25 17:47 . 2007-08-01 04:39 12,536 --a------ d:\windows\system32\drivers\ASUSHWIO.SYS
2009-02-25 17:47 . 2004-08-13 03:56 5,810 -ra------ d:\windows\system32\drivers\ASACPI.sys
2009-02-25 17:43 . 2009-02-25 22:13 1,316 --a------ d:\windows\system32\wpa.bak
2009-02-25 17:24 . 2009-02-25 18:03 <REP> d--h----- d:\program files\InstallShield Installation Information
2009-02-25 17:24 . 2009-02-25 17:24 21,035 --a------ d:\windows\system32\drivers\AegisP.sys
2009-02-25 17:23 . 2009-02-25 17:23 <REP> d-------- d:\windows\system32\Wireless
2009-02-25 17:23 . 2009-02-25 17:23 <REP> d-------- d:\windows\OPTIONS
2009-02-25 17:22 . 2004-08-03 23:08 26,496 --a--c--- d:\windows\system32\dllcache\usbstor.sys
2009-02-25 17:08 . 2009-02-25 17:08 <REP> d-------- d:\program files\TRENDnet
2009-02-25 17:06 . 2009-02-25 17:06 <REP> d-------- d:\windows\nview
2009-02-25 17:06 . 2007-12-04 18:41 356,352 --a------ d:\windows\system32\nvudisp.exe
2009-02-25 17:06 . 2009-02-25 18:20 163,353 --a------ d:\windows\system32\nvapps.xml
2009-02-25 17:06 . 2007-12-04 18:41 17,737 --a------ d:\windows\system32\nvdisp.nvu
2009-02-25 17:05 . 2009-02-25 17:05 <REP> d-------- d:\program files\Fichiers communs\InstallShield
2009-02-25 17:05 . 2007-12-05 02:53 356,352 --a------ d:\windows\system32\NVUNINST.EXE

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-25 15:27 --------- d-----w d:\program files\microsoft frontpage
2009-02-25 15:25 --------- d-----w d:\program files\Services en ligne
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Steam"="c:\program files\Steam\Steam.exe" [2009-02-25 1410296]
"IncrediMail"="d:\program files\IncrediMail\bin\IncMail.exe" [2008-12-23 251264]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="d:\windows\system32\NvCpl.dll" [2007-12-04 8523776]
"NvMediaCenter"="d:\windows\system32\NvMcTray.dll" [2007-12-04 81920]
"SoundMAXPnP"="d:\program files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 868352]
"Zboard"="d:\program files\Ideazon\ZEngine\Zboard.exe" [2008-11-12 57344]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2006-03-02 15360]

d:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Wireless Configuration Utility .lnk - d:\program files\TRENDnet\TRENDnet TEW-421PC_TEW-423PI\WlanCU.exe [2009-02-25 622592]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2007-12-04 18:41 1626112 d:\windows\system32\nwiz.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\srcds\\srcds.exe"=
"c:\\Program Files\\Steam\\steamapps\\link15\\counter-strike source\\hl2.exe"=
"d:\\Program Files\\IncrediMail\\bin\\ImApp.exe"=
"d:\\Program Files\\IncrediMail\\bin\\IncMail.exe"=
"d:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"27015:TCP"= 27015:TCP:serveur css
"27015:UDP"= 27015:UDP:serveur css

R0 mv61xx;mv61xx;d:\windows\system32\drivers\mv61xx.sys [2007-06-15 143256]
R3 Alpham1;Ideazon ZBoard USB Human Interface Device;d:\windows\system32\drivers\Alpham1.sys [2007-07-23 42624]
R3 Alpham2;Ideazon ZBoard MM USB Human Interface Device;d:\windows\system32\drivers\Alpham2.sys [2007-03-20 18432]
S0 juov;juov;d:\windows\system32\drivers\bpmcbxzz.sys --> d:\windows\system32\drivers\bpmcbxzz.sys [?]
S0 ynglhh;ynglhh;d:\windows\system32\drivers\kajtnod.sys --> d:\windows\system32\drivers\kajtnod.sys [?]
S0 zjupdjv;zjupdjv;d:\windows\system32\drivers\wuxpg.sys --> d:\windows\system32\drivers\wuxpg.sys [?]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2009-01-24 216232]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
\Shell\AutoRun\command - d:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-9-3-66-100012087-100017631-100005151-4151.com c:\
\Shell\Open\command - RECYCLER\S-9-3-66-100012087-100017631-100005151-4151.com c:\

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - d:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-9-3-66-100012087-100017631-100005151-4151.com d:\
\Shell\Open\command - RECYCLER\S-9-3-66-100012087-100017631-100005151-4151.com d:\
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://mystart.incredimail.com/
LSP: %SYSTEMROOT%\system32\nvappfilter.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-03 18:43:35
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

analyse ces fichiers sur virus total et colle les rapports: https://www.virustotal.com/gui/

d:\windows\system32\drivers\bpmcbxzz.sys
d:\windows\system32\drivers\kajtnod.sys
d:\windows\system32\drivers\wuxpg.sys

________________

je mets ceci de coté:

S0 juov;juov;d:\windows\system32\drivers\bpmcbxzz.sys --> d:\windows\system32\drivers\bpmcbxzz.sys [?]
S0 ynglhh;ynglhh;d:\windows\system32\drivers\kajtnod.sys --> d:\windows\system32\drivers\kajtnod.sys [?]
S0 zjupdjv;zjupdjv;d:\windows\system32\drivers\wuxpg.sys --> d:\windows\system32\drivers\wuxpg.sys [?]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]

d:\\Shell\Open\command - RECYCLER\S-9-3-66-100012087-100017631-100005151-4151.com d:\
c:\\Shell\Open\command - RECYCLER\S-9-3-66-100012087-100017631-100005151-4151.com c:\

Et la musique que j'ecoute déconne aussi oO, un probleme du pilote audio je pensait mais sur ma-config il dise que j'ai la derniere

fais le message 16 et colle les rapports

d:\windows\system32\drivers\bpmcbxzz.sys
d:\windows\system32\drivers\kajtnod.sys
d:\windows\system32\drivers\wuxpg.sys

Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

Driver ::
ynglhh
zjupdjv
juov
File::
d:\windows\system32\drivers\wuxpg.sys
d:\windows\system32\drivers\bpmcbxzz.sys
d:\windows\system32\drivers\kajtnod.sys
d:\\Shell\Open\command - RECYCLER\S-9-3-66-100012087-100017631-100005151-4151.com
c:\\Shell\Open\command - RECYCLER\S-9-3-66-100012087-100017631-100005151-4151.com
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]

Enregistre ce fichier sous le nom CFscript

Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

____________________

commentse comporte ton pc?