A1agmur.cmd

meetsmile -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,voila quand je fais un scan avec avast il me sort ce message a1agmur.cmd type rootkit quand je supprime rien ne ce passe toujours il detecte le rootkit et en plus je ne peux pas acceder a mes fichiers caches de l' aide svp
Configuration: Windows XP
Opera 9.63

40 réponses

  • 1
  • 2
Résumé de la discussion

Un utilisateur rencontre une alerte rootkit d Avast lors d’un scan sur Windows XP, le fichier a1agmur.cmd est signalé et la suppression ne rétablit pas l’accès aux fichiers cachés. Plusieurs méthodes et outils ont été proposés pour supprimer l’infection et diagnostiquer le système, notamment OTMoveIt, RSIT et ComboFix, ainsi que des scripts de registre pour afficher les fichiers cachés. D’autres instructions incluent l’extraction et l’envoi de fichiers suspects via 7-Zip ou CFScript sur ComboFix, puis l’exécution d’outils conçus pour la désinfection et la production de rapports, avec redémarrage éventuel. En cas d échec des outils locaux, des scans en ligne et l’analyse des rapports générés permettent d’évaluer l’infection avant de poursuivre les nettoyages ultérieurs et d’éviter les erreurs.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt effectivement
    fais ceci svp puis on nettoie ton ordi!

    Pour faire évoluer des logiciels et permettre de virer les infections que tu as fais ceci:

    Affiche tous les fichiers et dossiers :
    Pour cela :
    Clique sur démarrer/panneau de configuration/option des dossiers/affichage

    Cocher afficher les dossiers cacher

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décocher masquer les extensions dont le type est connu

    Puis fais «appliquer» pour valider les changements.

    ________

    Telecharge 7 zip
    http://ovh.dl.sourceforge.net/sourceforge/sevenzip/7z465.exe­

    et enregistre le sur le bureau , ensuite double clic sur 7z465.exe et instal 7 zip.

    une fois installé

    démarre en mode sans échec:

    http://forum.telecharger.01net.com/forum/

    fais un clic droit sur ces fichiers : "le fichier voulu"

    un a un :

    C:\WINDOWS\system32\olhrwef.exe

    choisi 7 z (mettre au format ZIP et non 7z car non supporté) et add to archive et renomme l archive exemple : pour chiki

    ensuite fais moi parvenir cette archive par ce biais : http://www.cijoint.fr/

    Ceci permettra aux créateurs d outils de faire leurs mises a jours

    rq : si tu n'arrive pas utiliser 7 zip envoi les fichiers tout de meme sur
    http://www.cijoint.fr/

    sans les compresser
    et donne moi le lien

    ____________________

    ensuite pour desinsfecter ton ordi:

    Télécharge ici :

    http://images.malwareremoval.com/random/RSIT.exe

    random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

    Double-clique sur RSIT.exe afin de lancer RSIT.

    Clique Continue à l'écran Disclaimer.

    Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

    Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

    Poste le contenu de log.txt (<<qui sera affiché)
    ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

    NB : Les rapports sont sauvegardés dans le dossier C:\rsit
    1
    1. meetsmile
       
      slt j'ai fait exactemant comme tu m'a dit mais les fichiers cachés n'apparait toujours pas et le plus surprenant toujours je coche afficher les dossiers cachés et toujours aprés en reouvrant je trouve la case decocher et aussi je ne trouve pas olhrwef.exe dans system 32 en effect j'ai trouvé avec avast en mode sans echec en testant la memoire et le demarrage win 32 : kavos trj
      0
  2. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    essaye svp après sinon pas grave ceci

    telecharge ce fichier : http://sd-1.archive-host.com/membres/up/116615172019703188/Fdc.zip

    sur le bureau , dezippe le et double clic sur FDC.reg , et enfin accepte la fusion avec le registre

    puis affiche les fichiers caché et cherche le fichier demandé pour l'envoyer
    en mode normal et en mode sans echec

    merci

    si impossible tu diras on passera a la suite
    1
  3. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    mais cela marche pas c'est peut etre que avast l'a viré et c'est dommage :( si tu l'as en quarantaine envoie le svp)

    sinon tu idras
    1
    1. meetsmile
       
      merci a vous grace a ca j'ai pu retrouver mes fichiers cachés et j'ai pu analyser le probleme mais helas le fichier je ne l'ai pas trouver dans syst 32 ni en mode normal ni en mode sans echec meme dans la zone de quarantaine d'avast
      0
  4. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    c'est bien dommage il aurait fallu le faire avant d'utiliser avast ...

    mais il en reste!

    branche tous tes disques externes puis

    Pour fusionner:

    http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

    _______________

    telecharge combofix:

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    Sauvegarde le sur ton bureau et pas ailleurs !

    _________________

    Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)

    Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

    Registry::
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c89b6acc-eba0-11dd-beb5-806d6172696f}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c89b6acd-eba0-11dd-beb5-806d6172696f}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c89b6ace-eba0-11dd-beb5-806d6172696f}]

    Enregistre ce fichier sous le nom CFscript

    Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

    Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

    Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
    1
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    Télécharge RavAntivirus d'Evosla :
    http://ww25.evosla.com/compteur.php?soft=rav_antivirus

    # Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX
    # Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau
    # Doucle-clique sur >> RAV.exe << afin de lancer l'outil.
    # Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles)
    # Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain .
    # Retire tes disques amovibles et redémarrez votre ordinateur.
    # Poste le rapport, si infection!

    2/ Télécharge sur le bureau Flash Disinfector (de SUBS) à cette adresse : http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

    Double-clique sur l’icône.
    Les icônes vont disparaître. C’est normal.
    Si un rapport est généré en cas d'infection, sauvegarde-le sur le bureau, et poste le ensuite
    Redémarre ensuite le PC.

    _________________

    colle le rapport d'un scan en ligne
    avec un des suivants:

    bitdefender en ligne :
    http://www.bitdefender.fr/scan_fr/scan8/ie.html

    Panda en ligne :
    http://pandasoftware.fr

    _________________

    Télécharge ici :

    http://images.malwareremoval.com/random/RSIT.exe

    random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

    Double-clique sur RSIT.exe afin de lancer RSIT.

    Clique Continue à l'écran Disclaimer.

    Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

    Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

    Poste le contenu de log.txt (<<qui sera affiché)
    ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

    NB : Les rapports sont sauvegardés dans le dossier C:\rsit
    1
  7. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    arretes RAV puis passe a ceci

    colle le rapport d'un scan en ligne
    avec un des suivants:

    bitdefender en ligne :
    http://www.bitdefender.fr/scan_fr/scan8/ie.html

    Panda en ligne :
    http://pandasoftware.fr

    _________________

    Télécharge ici :

    http://images.malwareremoval.com/random/RSIT.exe

    random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

    Double-clique sur RSIT.exe afin de lancer RSIT.

    Clique Continue à l'écran Disclaimer.

    Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

    Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

    Poste le contenu de log.txt (<<qui sera affiché)
    ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

    NB : Les rapports sont sauvegardés dans le dossier C:\rsit
    1
  8. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    télécharge OTMoveIt
    http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau. Ou sur https://www.luanagames.com/index.fr.html
    double-clique sur OTMoveIt.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

    Citation :

    hkey_classes_root\toolband.toolbandobj.1
    hkey_classes_root\toolband.toolbandobj
    hkey_local_machine\software\classes\toolband.toolbandobj
    hkey_local_machine\software\classes\toolband.toolbandobj.1
    C:\WINDOWS\system32\cmdow.exe
    E:\video\wolfbox.v2.10.zip
    E:\GboxWell\GboxWell.exe
    E:\GboxWell.rar

    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaitra dans le cadre "Results".
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

    il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
    _______________

    _________________

    Télécharge ici :

    http://images.malwareremoval.com/random/RSIT.exe

    random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

    Double-clique sur RSIT.exe afin de lancer RSIT.

    Clique Continue à l'écran Disclaimer.

    Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

    Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

    Poste le contenu de log.txt (<<qui sera affiché)
    ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

    NB : Les rapports sont sauvegardés dans le dossier C:\rsit
    1
  9. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    l'infection est revenue! tu dois avoir une clé usb infectée! branche les toutes

    Pour fusionner:

    http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

    _______________

    telecharge combofix:

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    Sauvegarde le sur ton bureau et pas ailleurs !

    _________________

    Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)

    Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

    File::
    C:\RECYCLER
    C:\RECYCLER(2)
    C:\WINDOWS\system32\cmdow.exe
    E:\video\wolfbox.v2.10.zip
    E:\GboxWell\GboxWell.exe
    E:\GboxWell.rar
    H:\a1agmur.cmd
    I:\a1agmur.cmd
    Registry::
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a5b1ea97-12f3-11de-8c55-00080209b3c2}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fbb47634-0ef7-11de-8c45-000e50a68f5b}]

    Enregistre ce fichier sous le nom CFscript

    Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

    Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

    ___________________

    si tout est ok :

    Désactive ta restauration systeme puis redemarre ton ordi puis réactive là comme ceci:
    https://www.informatruc.com
    Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
    1
  10. meetsmile
     
    voila quand j'utilise hijakthis et j'espere correctement
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 16:46:22, on 12/03/2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16791)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Documents and Settings\Administrateur.MEDTR-5CAD7E1FF\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
    C:\Documents and Settings\Administrateur.MEDTR-5CAD7E1FF\Application Data\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Google\Update\GoogleUpdate.exe
    C:\Program Files\Hotspot Shield\bin\openvpnas.exe
    C:\Program Files\Hotspot Shield\HssWPR\hsssrv.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Opera\opera.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Trend Micro\HijackThis\monjack.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/search?q=%s
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
    O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Program Files\Hotspot Shield\hssie\HssIE.dll
    O3 - Toolbar: Webshots Toolbar - {C17590D2-ECB4-4b15-8820-F58798DCC118} - C:\Program Files\Webshots\WSToolbar4IE.dll
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [DriverCure] C:\Program Files\ParetoLogic\DriverCure\DriverCure.exe -scan
    O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
    O4 - Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\Administrateur.MEDTR-5CAD7E1FF\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
    O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
    O8 - Extra context menu item: &Webshots Photo Search - res://C:\Program Files\Webshots\WSToolbar4IE.dll/MENUSEARCH.HTM
    O17 - HKLM\System\CCS\Services\Tcpip\..\{F4B01E2F-B5DA-4099-9C0E-A0E3CD925B97}: NameServer = 41.228.1.34 213.150.161.35
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: Service Google Update (gupdate1c9a0066c333318) (gupdate1c9a0066c333318) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
    O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Program Files\Hotspot Shield\bin\openvpnas.exe
    O23 - Service: Hotspot Shield Helper Service (HssSrv) - AnchorFree Inc. - C:\Program Files\Hotspot Shield\HssWPR\hsssrv.exe
    0
  11. meetsmile
     
    a cet instant meme un avertissement d'avast nom du fichier c:\WINDOWS\SYS32\nmdfgdso.dll
    type:rootkit processus cache
    nom du malware:wic:idap
    0
  12. meetsmile
     
    info.txt logfile of random's system information tool 1.05 2009-03-12 18:58:48

    ======Uninstall list======

    -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
    7-Zip 4.65-->"C:\Program Files\7-Zip\Uninstall.exe"
    Adobe Reader 9 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A90000000001}
    Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
    avast! Antivirus-->C:\Program Files\Alwil Software\Avast4\aswRunDll.exe "C:\Program Files\Alwil Software\Avast4\Setup\setiface.dll",RunSetup
    Correctif pour Lecteur Windows Media 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
    Correctif pour Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
    Correctif Windows XP - KB886185-->C:\WINDOWS\$NtUninstallKB886185$\spuninst\spuninst.exe
    Démineur v1.5.1-->C:\ZMSoft\Démineur\Uninstal.exe
    eMule-->"C:\Program Files\eMule\Uninstall.exe"
    GboxWell v 2.00-->C:\Program Files\cardshare\GboxWell\Uninstall.exe
    Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
    Google Earth-->MsiExec.exe /X{548EAC70-EE00-11DD-908C-005056806466}
    HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
    Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
    Hotspot Shield 1.12-->C:\Program Files\Hotspot Shield\Uninstall.exe
    Intel(R) PRO Network Connections Drivers-->Prounstl.exe
    K-Lite Codec Pack 4.5.3 (Full)-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"
    Lecteur Windows Media 11-->"C:\Program Files\Windows Media Player\Setup_wm.exe" /Uninstall
    MediaInfo 0.7.10-->C:\Program Files\MediaInfo\uninst.exe
    Mise à jour critique pour Lecteur Windows Media 11 (KB959772)-->"C:\WINDOWS\$NtUninstallKB959772_WM11$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Lecteur Windows Media (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Lecteur Windows Media 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Lecteur Windows Media 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398)-->"C:\WINDOWS\$NtUninstallKB925398_WMP64$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127)-->"C:\WINDOWS\ie7updates\KB938127-IE7\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127-v2)-->"C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB911562)-->"C:\WINDOWS\$NtUninstallKB911562$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
    Mise à jour de sécurité pour Windows XP (KB924191)-->"C:\WINDOWS\$NtUninstallKB924191$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB932168)-->"C:\WINDOWS\$NtUninstallKB932168$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
    Mise à jour pour Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
    Mise à jour pour Windows XP (KB900485)-->"C:\WINDOWS\$NtUninstallKB900485$\spuninst\spuninst.exe"
    Mise à jour pour Windows XP (KB910437)-->"C:\WINDOWS\$NtUninstallKB910437$\spuninst\spuninst.exe"
    Mise à jour pour Windows XP (KB916595)-->"C:\WINDOWS\$NtUninstallKB916595$\spuninst\spuninst.exe"
    Mise à jour pour Windows XP (KB920872)-->"C:\WINDOWS\$NtUninstallKB920872$\spuninst\spuninst.exe"
    Mise à jour pour Windows XP (KB922582)-->"C:\WINDOWS\$NtUninstallKB922582$\spuninst\spuninst.exe"
    Mise à jour pour Windows XP (KB930916)-->"C:\WINDOWS\$NtUninstallKB930916$\spuninst\spuninst.exe"
    Mise à jour pour Windows XP (KB931836)-->"C:\WINDOWS\$NtUninstallKB931836$\spuninst\spuninst.exe"
    Mise à jour pour Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
    Mise à jour pour Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
    Mozilla Firefox (3.0.1)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
    MSN-->C:\Program Files\MSN\MsnInstaller\msninst.exe /Action:ARP
    Nero 6 Ultra Edition-->C:\Program Files\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
    No-IP.com DUC (remove only)-->"C:\Program Files\No-IP\DUC20.exe" -uninstall
    Opera 9.63-->MsiExec.exe /X{1BC4026B-1957-4514-9058-2B542557F143}
    Outil de mise à jour Google-->"C:\Program Files\Google\Google Updater\GoogleUpdater.exe" -uninstall
    Real Alternative 1.9.0-->"C:\Program Files\Real Alternative\unins000.exe"
    SanityCheck 1.02-->"C:\Program Files\SanityCheck\unins000.exe"
    Skype™ 3.8-->MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
    SpeedTouch USB Software-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{D41FAAA9-8048-4906-86B2-9AADEA1FA0B7}\Setup.exe" /l040c -Control_Panel
    Super Demineur-->C:\Program Files\Psykos 7\Super Demineur\Uninstal.exe
    VLC media player 0.9.8a-->C:\Program Files\VideoLAN\VLC\uninstall.exe
    Webshots Desktop-->"C:\Program Files\Webshots\unins000.exe"
    Webshots Toolbar-->C:\Program Files\Webshots\ToolbarUninstall.exe
    Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
    Windows Media Format 11 runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
    XnView 1.91-->"C:\Program Files\XnView\unins000.exe"

    ======Hosts File======

    127.0.0.1 localhost
    127.0.0.1 mpa.one.microsoft.com
    127.0.0.1 rad.msn.com
    127.0.0.1 rad.live.com

    ======Security center information======

    AV: avast! antivirus 4.8.1296 [VPS 090311-1] (disabled)

    System event log

    Computer Name: MEDTR-5CAD7E1FF
    Event Code: 7036
    Message: Le service Service COM de gravage de CD IMAPI est entré dans l'état : arrêté.

    Record Number: 1580
    Source Name: Service Control Manager
    Time Written: 20090214114841.000000+060
    Event Type: Informations
    User:

    Computer Name: MEDTR-5CAD7E1FF
    Event Code: 7036
    Message: Le service Service COM de gravage de CD IMAPI est entré dans l'état : en cours d'exécution.

    Record Number: 1579
    Source Name: Service Control Manager
    Time Written: 20090214114835.000000+060
    Event Type: Informations
    User:

    Computer Name: MEDTR-5CAD7E1FF
    Event Code: 7035
    Message: Un contrôle Démarrer a correctement été envoyé au service Service COM de gravage de CD IMAPI.

    Record Number: 1578
    Source Name: Service Control Manager
    Time Written: 20090214114835.000000+060
    Event Type: Informations
    User: AUTORITE NT\SYSTEM

    Computer Name: MEDTR-5CAD7E1FF
    Event Code: 7036
    Message: Le service Service COM de gravage de CD IMAPI est entré dans l'état : arrêté.

    Record Number: 1577
    Source Name: Service Control Manager
    Time Written: 20090214114826.000000+060
    Event Type: Informations
    User:

    Computer Name: MEDTR-5CAD7E1FF
    Event Code: 7036
    Message: Le service Service COM de gravage de CD IMAPI est entré dans l'état : en cours d'exécution.

    Record Number: 1576
    Source Name: Service Control Manager
    Time Written: 20090214114820.000000+060
    Event Type: Informations
    User:

    Application event log

    Computer Name: MEDTR-5CAD7E1FF
    Event Code: 1000
    Message: Les compteurs de performances pour le service MSDTC (MSDTC) ont été chargés.
    Les données d'enregistrement contiennent les nouvelles valeurs d'index
    assignées à ce service.

    Record Number: 5
    Source Name: LoadPerf
    Time Written: 20090126122343.000000+060
    Event Type: Informations
    User:

    Computer Name: MEDTR-5CAD7E1FF
    Event Code: 1000
    Message: Les compteurs de performances pour le service TermService (Services Terminal Server) ont été chargés.
    Les données d'enregistrement contiennent les nouvelles valeurs d'index
    assignées à ce service.

    Record Number: 4
    Source Name: LoadPerf
    Time Written: 20090126122338.000000+060
    Event Type: Informations
    User:

    Computer Name: MEDTR-5CAD7E1FF
    Event Code: 1000
    Message: Les compteurs de performances pour le service RemoteAccess (Routage et accès distant) ont été chargés.
    Les données d'enregistrement contiennent les nouvelles valeurs d'index
    assignées à ce service.

    Record Number: 3
    Source Name: LoadPerf
    Time Written: 20090126122251.000000+060
    Event Type: Informations
    User:

    Computer Name: MEDTR-5CAD7E1FF
    Event Code: 1000
    Message: Les compteurs de performances pour le service PSched (PSched) ont été chargés.
    Les données d'enregistrement contiennent les nouvelles valeurs d'index
    assignées à ce service.

    Record Number: 2
    Source Name: LoadPerf
    Time Written: 20090126122227.000000+060
    Event Type: Informations
    User:

    Computer Name: MEDTR-5CAD7E1FF
    Event Code: 1000
    Message: Les compteurs de performances pour le service RSVP (QoS RSVP) ont été chargés.
    Les données d'enregistrement contiennent les nouvelles valeurs d'index
    assignées à ce service.

    Record Number: 1
    Source Name: LoadPerf
    Time Written: 20090126122210.000000+060
    Event Type: Informations
    User:

    ======Environment variables======

    "ComSpec"=%SystemRoot%\system32\cmd.exe
    "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
    "windir"=%SystemRoot%
    "FP_NO_HOST_CHECK"=NO
    "OS"=Windows_NT
    "PROCESSOR_ARCHITECTURE"=x86
    "PROCESSOR_LEVEL"=15
    "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 1 Stepping 2, GenuineIntel
    "PROCESSOR_REVISION"=0102
    "NUMBER_OF_PROCESSORS"=1
    "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
    "TEMP"=%SystemRoot%\TEMP
    "TMP"=%SystemRoot%\TEMP
    "KTD"=C:\WINDOWS\DriverPacks

    Logfile of random's system information tool 1.05 (written by random/random)
    Run by Administrateur at 2009-03-12 18:58:39
    Microsoft Windows XP Professionnel Service Pack 2
    System drive C: has 7 GB (35%) free of 20 GB
    Total RAM: 255 MB (35% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 18:58:45, on 12/03/2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16791)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Google\Update\GoogleUpdate.exe
    C:\Program Files\Hotspot Shield\bin\openvpnas.exe
    C:\Program Files\Hotspot Shield\HssWPR\hsssrv.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Documents and Settings\Administrateur.MEDTR-5CAD7E1FF\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
    C:\Documents and Settings\Administrateur.MEDTR-5CAD7E1FF\Application Data\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Opera\opera.exe
    E:\RSIT.exe
    C:\Program Files\Trend Micro\HijackThis\Administrateur.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/search?q=%s
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
    O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Program Files\Hotspot Shield\hssie\HssIE.dll
    O3 - Toolbar: Webshots Toolbar - {C17590D2-ECB4-4b15-8820-F58798DCC118} - C:\Program Files\Webshots\WSToolbar4IE.dll
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [DriverCure] C:\Program Files\ParetoLogic\DriverCure\DriverCure.exe -scan
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
    O4 - Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\Administrateur.MEDTR-5CAD7E1FF\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
    O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
    O8 - Extra context menu item: &Webshots Photo Search - res://C:\Program Files\Webshots\WSToolbar4IE.dll/MENUSEARCH.HTM
    O17 - HKLM\System\CCS\Services\Tcpip\..\{F4B01E2F-B5DA-4099-9C0E-A0E3CD925B97}: NameServer = 41.228.1.34 213.150.161.35
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: Service Google Update (gupdate1c9a0066c333318) (gupdate1c9a0066c333318) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
    O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Program Files\Hotspot Shield\bin\openvpnas.exe
    O23 - Service: Hotspot Shield Helper Service (HssSrv) - AnchorFree Inc. - C:\Program Files\Hotspot Shield\HssWPR\hsssrv.exe
    0
  13. meetsmile
     
    merci encore une fois voila le contenu de combofix.txt
    ComboFix 09-03-10.03 - Administrateur 2009-03-12 21:49:29.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.255.87 [GMT 1:00]
    Lancé depuis: c:\documents and settings\Administrateur.MEDTR-5CAD7E1FF\Bureau\ComboFix.exe
    Commutateurs utilisés :: c:\documents and settings\Administrateur.MEDTR-5CAD7E1FF\Bureau\cfscript
    AV: avast! antivirus 4.8.1296 [VPS 090311-1] *On-access scanning disabled* (Updated)
    * Un nouveau point de restauration a été créé
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\autorun.inf
    D:\Autorun.inf
    E:\Autorun.inf

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2009-02-12 au 2009-03-12 ))))))))))))))))))))))))))))))))))))
    .

    2009-03-12 21:36 . 2009-03-12 21:41 <REP> d-------- C:\RECYCLER(2)
    2009-03-12 21:36 . 2009-03-12 21:41 <REP> d-------- C:\ComboFix(2)
    2009-03-12 18:58 . 2009-03-12 18:58 <REP> d-------- C:\rsit
    2009-03-12 18:24 . 2009-03-12 18:24 <REP> d-------- c:\program files\7-Zip
    2009-03-12 17:05 . 2009-03-02 11:24 30,136 --a------ c:\windows\system32\drivers\rspSanity32.sys
    2009-03-12 16:25 . 2009-03-12 16:25 <REP> d-------- c:\program files\Trend Micro
    2009-03-12 12:21 . 2004-08-03 23:08 26,496 --a--c--- c:\windows\system32\dllcache\usbstor.sys
    2009-03-11 13:29 . 2009-03-11 13:29 <REP> d-------- c:\documents and settings\Administrateur.MEDTR-5CAD7E1FF\Application Data\DriverCure
    2009-03-11 13:27 . 2009-03-11 13:27 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\ParetoLogic
    2009-03-11 13:27 . 2009-03-11 13:31 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\DriverCure
    2009-03-08 16:51 . 2009-03-08 16:57 <REP> d-------- c:\program files\Google
    2009-03-08 16:51 . 2009-03-12 14:46 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\Google Updater
    2009-02-25 18:40 . 2009-03-11 13:28 <REP> d-------- c:\documents and settings\Administrateur.MEDTR-5CAD7E1FF\Application Data\XnView
    2009-02-21 12:18 . 2009-02-21 12:18 <REP> d-------- c:\program files\Thomson
    2009-02-15 00:27 . 2009-03-12 12:59 69 --a------ c:\windows\NeroDigital.ini
    2009-02-14 19:11 . 2009-02-14 20:21 <REP> d-------- c:\program files\Hotspot Shield
    2009-02-14 19:11 . 2009-02-05 22:55 31,704 --a------ c:\windows\system32\drivers\hssdrv.sys
    2009-02-14 13:58 . 2005-09-01 11:03 127,488 --------- c:\windows\system32\drivers\imagesrv.sys
    2009-02-14 13:58 . 2005-09-01 11:03 5,888 --------- c:\windows\system32\drivers\imagedrv.sys
    2009-02-14 13:57 . 2009-02-14 13:57 <REP> d-------- c:\program files\Ahead
    2009-02-14 13:57 . 2004-07-26 16:16 1,568,768 --------- c:\windows\system32\ImagX7.dll
    2009-02-14 13:57 . 2004-07-26 16:16 476,320 --------- c:\windows\system32\ImagXpr7.dll
    2009-02-14 13:57 . 2004-07-26 16:16 471,040 --------- c:\windows\system32\ImagXRA7.dll
    2009-02-14 13:57 . 2004-07-09 08:43 364,544 --------- c:\windows\system32\TwnLib4.dll
    2009-02-14 13:57 . 2004-07-26 16:16 262,144 --------- c:\windows\system32\ImagXR7.dll
    2009-02-14 13:57 . 2006-01-12 15:40 155,648 --a------ c:\windows\system32\NeroCheck.exe
    2009-02-14 13:57 . 2000-06-26 10:45 106,496 --a------ c:\windows\system32\TwnLib20.dll
    2009-02-14 11:20 . 2009-02-14 11:55 <REP> d-------- c:\program files\SlySoft

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-03-12 19:40 --------- d-----w c:\program files\eMule
    2009-03-08 23:41 --------- d-----w c:\documents and settings\Administrateur.MEDTR-5CAD7E1FF\Application Data\Skype
    2009-03-08 23:38 --------- d-----w c:\documents and settings\Administrateur.MEDTR-5CAD7E1FF\Application Data\skypePM
    2009-02-09 13:54 1,847,552 ----a-w c:\windows\system32\win32k.sys
    2009-02-08 18:02 --------- d-----w c:\program files\cardshare
    2009-02-08 17:56 --------- d-----w c:\program files\No-IP
    2009-02-05 18:35 --------- d-----w c:\program files\Real Alternative
    2009-02-05 18:09 --------- d-----w c:\program files\MediaInfo
    2009-02-03 18:09 --------- d-----w c:\program files\Fichiers communs\InstallShield
    2009-02-01 16:56 --------- d-----w c:\program files\Psykos 7
    2009-01-29 11:11 --------- d-----w c:\documents and settings\Administrateur.MEDTR-5CAD7E1FF\Application Data\dvdcss
    2009-01-29 09:06 --------- d-----w c:\documents and settings\Administrateur.MEDTR-5CAD7E1FF\Application Data\Media Player Classic
    2009-01-26 14:21 --------- d-----w c:\program files\Alwil Software
    2009-01-26 13:48 --------- d-----w c:\program files\Fichiers communs\Adobe
    2009-01-26 13:38 --------- d-----w c:\documents and settings\Administrateur.MEDTR-5CAD7E1FF\Application Data\MSNInstaller
    2009-01-26 13:23 --------- d-----w c:\program files\K-Lite Codec Pack
    2009-01-26 13:12 --------- d-----w c:\program files\Webshots
    2009-01-26 13:12 --------- d-----w c:\documents and settings\Administrateur.MEDTR-5CAD7E1FF\Application Data\Webshots
    2009-01-26 13:10 --------- d-----w c:\program files\Skype
    2009-01-26 13:10 --------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\Skype
    2009-01-26 13:09 --------- d-----w c:\documents and settings\Administrateur.MEDTR-5CAD7E1FF\Application Data\vlc
    2009-01-26 13:07 --------- d-----w c:\program files\VideoLAN
    2009-01-26 12:47 --------- d-----w c:\program files\Opera
    2009-01-26 11:42 --------- d-----w c:\program files\XnView
    2009-01-26 11:29 --------- d-----w c:\program files\Windows Media Connect 2
    2008-12-28 22:48 2,330,643 ----a-w c:\windows\system32\x264vfw.dll
    2008-12-20 22:47 826,368 ----a-w c:\windows\system32\wininet.dll
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}]
    2009-02-14 19:14 204248 --a------ c:\program files\Hotspot Shield\hssie\HssIE.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]
    "DriverCure"="c:\program files\ParetoLogic\DriverCure\DriverCure.exe" [BU]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
    "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
    "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2006-01-12 155648]
    "SpeedTouch USB Diagnostics"="c:\program files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 866816]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "nltide_2"="shell32" [X]

    c:\documents and settings\Administrateur.MEDTR-5CAD7E1FF\Menu D‚marrer\Programmes\D‚marrage\
    Outil de notification Live Search.lnk - c:\documents and settings\Administrateur.MEDTR-5CAD7E1FF\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe [2009-01-26 143360]
    Webshots.lnk - c:\program files\Webshots\Launcher.exe [2009-01-26 157000]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "SynchronousMachineGroupPolicy"= 0 (0x0)
    "SynchronousUserGroupPolicy"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
    "ForceClassicControlPanel"= 1 (0x1)

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "MemCheckBoxInRunDlg"= 1 (0x1)
    "NoSMBalloonTip"= 0 (0x0)
    "DisallowCpl"= 1 (0x1)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "msacm.l3fhg"= mp3fhg.acm
    "msacm.divxa32"= divxa32.acm
    "VIDC.X264"= x264vfw.dll

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\eMule\\emule.exe"=
    "c:\\Program Files\\cardshare\\GboxWell\\GboxWell v 2.00 .exe"=
    "c:\\Program Files\\Hotspot Shield\\bin\\openvpntray.exe"=
    "c:\\Program Files\\Skype\\Phone\\Skype.exe"=

    R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-01-26 111184]
    R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-01-26 20560]
    R2 HssSrv;Hotspot Shield Helper Service;c:\program files\Hotspot Shield\HssWPR\hsssrv.exe [2009-02-05 117208]
    R3 HssDrv;Hotspot Shield Helper Miniport;c:\windows\system32\drivers\hssdrv.sys [2009-02-14 31704]
    S2 gupdate1c9a0066c333318;Service Google Update (gupdate1c9a0066c333318);c:\program files\Google\Update\GoogleUpdate.exe [2009-03-08 133104]
    S3 rspSanity;rspSanity;c:\windows\system32\drivers\rspSanity32.sys [2009-03-12 30136]
    .
    Contenu du dossier 'Tâches planifiées'

    2009-03-12 c:\windows\Tasks\Google Software Updater.job
    - c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-08 16:51]

    2009-03-12 c:\windows\Tasks\GoogleUpdateTaskMachine.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-03-08 16:55]
    .
    .
    ------- Examen supplémentaire -------
    .
    uSearchURL,(Default) = hxxp://www.google.fr/search?q=%s
    IE: &Webshots Photo Search - c:\program files\Webshots\WSToolbar4IE.dll/MENUSEARCH.HTM
    TCP: {F4B01E2F-B5DA-4099-9C0E-A0E3CD925B97} = 41.228.1.34 213.150.161.35
    FF - ProfilePath - c:\documents and settings\Administrateur.MEDTR-5CAD7E1FF\Application Data\Mozilla\Firefox\Profiles\ldwvvf0p.default\
    FF - prefs.js: browser.search.selectedEngine - Live Search
    FF - prefs.js: browser.startup.homepage - hxxp://fr.msn.com/
    FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMWA5&q=
    FF - plugin: c:\program files\Google\Google Updater\2.4.1508.6312\npCIDetect13.dll
    FF - plugin: c:\program files\Google\Update\1.2.141.5\npGoogleOneClick7.dll
    FF - plugin: c:\program files\Opera\program\plugins\nppl3260.dll
    FF - plugin: c:\program files\Opera\program\plugins\nprpjplug.dll
    .

    **************************************************************************

    catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-03-12 21:51:06
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    Heure de fin: 2009-03-12 21:53:14
    ComboFix-quarantined-files.txt 2009-03-12 20:53:01
    ComboFix2.txt 2009-03-12 20:33:06
    ComboFix3.txt 2008-09-08 11:29:32
    ComboFix4.txt 2008-09-08 05:42:10

    Avant-CF: 9 329 946 624 octets libres
    Après-CF: 9,318,711,296 octets libres

    WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

    168 --- E O F --- 2009-03-11 20:40:13
    0
  14. meetsmile
     
    merci encore et encore mais seulement j'ai un nouveau probleme j'ai copier des fichiers de musique et de video d'une partition a une autre vers un dossier caché apres je lance les fichiers recement deplaceé ils ne marchent pas malgre que les autres anciens fichiers qui se trouvaient dans ce dossier caché avant l'infection marchent parfaitement je renomme les fichiers deplacés recement sujet du probleme il ne veut pas la meme chose quand je veux redeplacer ou copier ces fichiers il m'affiche tout simplement impossible de renommer disque protege ou en lecture seule ou fichiers utilises par des programme etc...
    0
  15. meetsmile
     
    a propos de flash desinfector .exe ce lien http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe ne marche pas il m'affiche page not found et aussi comment savoir quand rav .exe a termine le scan ce n'est pas clair il a trouve la premiere fois que je lance beaucoup de virus surtout celui d'agmur.cmd apres il m'indique ordinateur sain je ferme le programme malgre que je ne suis pas sur qu'il a termine le scan je le reouvre et jusqu'a maintenant ordinateur sain
    0
  16. meetsmile
     
    a propos de flash desinfector .exe ce lien http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe ne marche pas il m'affiche page not found et aussi comment savoir quand rav .exe a termine le scan ce n'est pas clair il a trouve la premiere fois que je lance beaucoup de virus surtout celui d'agmur.cmd apres il m'indique ordinateur sain je ferme le programme malgre que je ne suis pas sur qu'il a termine le scan je le reouvre et jusqu'a maintenant ordinateur sain
    0
  17. meetsmile
     
    voici ce qui il parait sur le site pandasecurity apres l'analyse
    Generic Trojan Virus Latent(e) Masquer +Infos Désinfecté
    1. E:\video\wolfbox.v2.10.zip[WolFBox.v2.10.exe]

    Trj/Spambot.C Virus Latent(e) Masquer +Infos Non désinfectable
    1. E:\GboxWell\GboxWell.exe
    2. E:\GboxWell.rar[GboxWell.exe]

    W32/Lineage.KP... Virus Latent(e) Masquer +Infos Désinfecté
    1. E:\System Volume Information\_restore{D9DDE32...A448-8D0B548DA9A4}\RP2\A0000014.inf
    2. D:\System Volume Information\_restore{D9DDE32...A448-8D0B548DA9A4}\RP2\A0000013.inf
    3. C:\System Volume Information\_restore{D9DDE32...A448-8D0B548DA9A4}\RP2\A0000012.inf
    4. C:\System Volume Information\_restore{D9DDE32...A448-8D0B548DA9A4}\RP5\A0001509.inf
    5. E:\System Volume Information\_restore{D9DDE32...A448-8D0B548DA9A4}\RP5\A0001511.inf
    6. D:\System Volume Information\_restore{D9DDE32...A448-8D0B548DA9A4}\RP5\A0001510.inf

    Menaces désinfectées avec la version payante (4)
    Niveau de risque faible (4) adware/sbsoft Adware (logiciel publicitaire) Latent(e) Masquer +Infos
    1. hkey_classes_root\toolband.toolbandobj.1
    2. hkey_local_machine\software\classes\toolband.toolbandobj
    3. hkey_classes_root\toolband.toolbandobj

    Application/Ps... Application de surveillance Latent(e) Masquer +Infos
    1. C:\System Volume Information\_restore{D9DDE32...A448-8D0B548DA9A4}\RP4\A0001166.EXE

    adware/fastloo... Adware (logiciel publicitaire) Latent(e) Masquer +Infos
    1. hkey_local_machine\software\classes\toolband.toolbandobj.1

    Application/Hi... Application de surveillance Latent(e) Masquer +Infos
    1. C:\WINDOWS\system32\cmdow.exe

    Uniquement disponible en version payante.
    Acheter - Je suis un client
    Fichiers suspects (1)
    C:\Documents and Settings\Administrateur.MEDTR-5CAD7E1FF\Bureau\ComboFix.exe Envoyé

    Vulnérabilités (20)
    MS07-061 Elevée +Infos
    MS08-002 Moyenne +Infos
    MS07-035 Elevée +Infos
    MS08-001 Moyenne +Infos
    MS07-033 Elevée +Infos
    MS07-069 Elevée +Infos
    MS07-022 Elevée +Infos
    MS07-031 Elevée +Infos
    MS07-021 Elevée +Infos
    MS07-067 Elevée +Infos
    MS07-019 Elevée +Infos
    MS07-017 Elevée +Infos
    MS07-058 Elevée +Infos
    MS07-064 Elevée +Infos
    MS07-057 Elevée +Infos
    MS07-027 Elevée +Infos
    MS07-016 Elevée +Infos
    MS07-046 Elevée +Infos
    MS07-045 Elevée +Infos
    MS07-043 Elevée +Infos

    et mainetnant voici ce qu'il ya dans le document active scan.txt
    ;***********************************************************************************************************************************************************************************
    ANALYSIS: 2009-03-17 20:13:19
    PROTECTIONS: 1
    MALWARE: 7
    SUSPECTS: 1
    ;***********************************************************************************************************************************************************************************
    PROTECTIONS
    Description Version Active Updated
    ;===================================================================================================================================================================================
    avast! antivirus 4.8.1296 [VPS 090317-0] 4.8.1296 No Yes
    ;===================================================================================================================================================================================
    MALWARE
    Id Description Type Active Severity Disinfectable Disinfected Location
    ;===================================================================================================================================================================================
    00029426 adware/sbsoft Adware No 0 Yes No hkey_classes_root\toolband.toolbandobj.1
    00029426 adware/sbsoft Adware No 0 Yes No hkey_classes_root\toolband.toolbandobj
    00029426 adware/sbsoft Adware No 0 Yes No hkey_local_machine\software\classes\toolband.toolbandobj
    00155988 adware/fastlook Adware No 0 Yes No hkey_local_machine\software\classes\toolband.toolbandobj.1
    00288208 Application/HideWindow.S HackTools No 0 Yes No C:\WINDOWS\system32\cmdow.exe
    00612666 W32/Lineage.KPE.worm Virus/Worm No 0 Yes No C:\System Volume Information\_restore{D9DDE324-ED18-44A9-A448-8D0B548DA9A4}\RP5\A0001509.inf
    00612666 W32/Lineage.KPE.worm Virus/Worm No 0 Yes No C:\System Volume Information\_restore{D9DDE324-ED18-44A9-A448-8D0B548DA9A4}\RP2\A0000012.inf
    00612666 W32/Lineage.KPE.worm Virus/Worm No 0 Yes No D:\System Volume Information\_restore{D9DDE324-ED18-44A9-A448-8D0B548DA9A4}\RP2\A0000013.inf
    00612666 W32/Lineage.KPE.worm Virus/Worm No 0 Yes No D:\System Volume Information\_restore{D9DDE324-ED18-44A9-A448-8D0B548DA9A4}\RP5\A0001510.inf
    00612666 W32/Lineage.KPE.worm Virus/Worm No 0 Yes No E:\System Volume Information\_restore{D9DDE324-ED18-44A9-A448-8D0B548DA9A4}\RP2\A0000014.inf
    00612666 W32/Lineage.KPE.worm Virus/Worm No 0 Yes No E:\System Volume Information\_restore{D9DDE324-ED18-44A9-A448-8D0B548DA9A4}\RP5\A0001511.inf
    01185375 Application/Psexec.A HackTools No 0 Yes No C:\System Volume Information\_restore{D9DDE324-ED18-44A9-A448-8D0B548DA9A4}\RP4\A0001166.EXE
    03938996 Generic Trojan Virus/Trojan No 0 Yes No E:\video\wolfbox.v2.10.zip[WolFBox.v2.10.exe]
    05211020 Trj/Spambot.C Virus/Trojan No 0 Yes No E:\GboxWell\GboxWell.exe
    05211020 Trj/Spambot.C Virus/Trojan No 0 No No E:\GboxWell.rar[GboxWell.exe]
    ;===================================================================================================================================================================================
    SUSPECTS
    Sent Location I6
    ;===================================================================================================================================================================================
    No C:\Documents and Settings\Administrateur.MEDTR-5CAD7E1FF\Bureau\ComboFix.exe I6
    ;===================================================================================================================================================================================
    VULNERABILITIES
    Id Severity Description I6
    ;===================================================================================================================================================================================
    184380 MEDIUM MS08-002 I6
    184379 MEDIUM MS08-001 I6
    182048 HIGH MS07-069 I6
    182046 HIGH MS07-067 I6
    182043 HIGH MS07-064 I6
    179553 HIGH MS07-061 I6
    176382 HIGH MS07-057 I6
    176383 HIGH MS07-058 I6
    170907 HIGH MS07-046 I6
    170906 HIGH MS07-045 I6
    170904 HIGH MS07-043 I6
    164915 HIGH MS07-035 I6
    164913 HIGH MS07-033 I6
    164911 HIGH MS07-031 I6
    160623 HIGH MS07-027 I6
    157262 HIGH MS07-022 I6
    157261 HIGH MS07-021 I6
    157259 HIGH MS07-019 I6
    156477 HIGH MS07-017 I6
    150253 HIGH MS07-016 I6
    ;===================================================================================================================================================================================
    0
  18. meetsmile
     
    voici ce qui il parait sur le site pandasecurity apres l'analyse
    Generic Trojan Virus Latent(e) Masquer +Infos Désinfecté
    1. E:\video\wolfbox.v2.10.zip[WolFBox.v2.10.exe]

    Trj/Spambot.C Virus Latent(e) Masquer +Infos Non désinfectable
    1. E:\GboxWell\GboxWell.exe
    2. E:\GboxWell.rar[GboxWell.exe]

    W32/Lineage.KP... Virus Latent(e) Masquer +Infos Désinfecté
    1. E:\System Volume Information\_restore{D9DDE32...A448-8D0B548DA9A4}\RP2\A0000014.inf
    2. D:\System Volume Information\_restore{D9DDE32...A448-8D0B548DA9A4}\RP2\A0000013.inf
    3. C:\System Volume Information\_restore{D9DDE32...A448-8D0B548DA9A4}\RP2\A0000012.inf
    4. C:\System Volume Information\_restore{D9DDE32...A448-8D0B548DA9A4}\RP5\A0001509.inf
    5. E:\System Volume Information\_restore{D9DDE32...A448-8D0B548DA9A4}\RP5\A0001511.inf
    6. D:\System Volume Information\_restore{D9DDE32...A448-8D0B548DA9A4}\RP5\A0001510.inf

    Menaces désinfectées avec la version payante (4)
    Niveau de risque faible (4) adware/sbsoft Adware (logiciel publicitaire) Latent(e) Masquer +Infos
    1. hkey_classes_root\toolband.toolbandobj.1
    2. hkey_local_machine\software\classes\toolband.toolbandobj
    3. hkey_classes_root\toolband.toolbandobj

    Application/Ps... Application de surveillance Latent(e) Masquer +Infos
    1. C:\System Volume Information\_restore{D9DDE32...A448-8D0B548DA9A4}\RP4\A0001166.EXE

    adware/fastloo... Adware (logiciel publicitaire) Latent(e) Masquer +Infos
    1. hkey_local_machine\software\classes\toolband.toolbandobj.1

    Application/Hi... Application de surveillance Latent(e) Masquer +Infos
    1. C:\WINDOWS\system32\cmdow.exe

    Uniquement disponible en version payante.
    Acheter - Je suis un client
    Fichiers suspects (1)
    C:\Documents and Settings\Administrateur.MEDTR-5CAD7E1FF\Bureau\ComboFix.exe Envoyé

    Vulnérabilités (20)
    MS07-061 Elevée +Infos
    MS08-002 Moyenne +Infos
    MS07-035 Elevée +Infos
    MS08-001 Moyenne +Infos
    MS07-033 Elevée +Infos
    MS07-069 Elevée +Infos
    MS07-022 Elevée +Infos
    MS07-031 Elevée +Infos
    MS07-021 Elevée +Infos
    MS07-067 Elevée +Infos
    MS07-019 Elevée +Infos
    MS07-017 Elevée +Infos
    MS07-058 Elevée +Infos
    MS07-064 Elevée +Infos
    MS07-057 Elevée +Infos
    MS07-027 Elevée +Infos
    MS07-016 Elevée +Infos
    MS07-046 Elevée +Infos
    MS07-045 Elevée +Infos
    MS07-043 Elevée +Infos

    et mainetnant voici ce qu'il ya dans le document active scan.txt
    ;***********************************************************************************************************************************************************************************
    ANALYSIS: 2009-03-17 20:13:19
    PROTECTIONS: 1
    MALWARE: 7
    SUSPECTS: 1
    ;***********************************************************************************************************************************************************************************
    PROTECTIONS
    Description Version Active Updated
    ;===================================================================================================================================================================================
    avast! antivirus 4.8.1296 [VPS 090317-0] 4.8.1296 No Yes
    ;===================================================================================================================================================================================
    MALWARE
    Id Description Type Active Severity Disinfectable Disinfected Location
    ;===================================================================================================================================================================================
    00029426 adware/sbsoft Adware No 0 Yes No hkey_classes_root\toolband.toolbandobj.1
    00029426 adware/sbsoft Adware No 0 Yes No hkey_classes_root\toolband.toolbandobj
    00029426 adware/sbsoft Adware No 0 Yes No hkey_local_machine\software\classes\toolband.toolbandobj
    00155988 adware/fastlook Adware No 0 Yes No hkey_local_machine\software\classes\toolband.toolbandobj.1
    00288208 Application/HideWindow.S HackTools No 0 Yes No C:\WINDOWS\system32\cmdow.exe
    00612666 W32/Lineage.KPE.worm Virus/Worm No 0 Yes No C:\System Volume Information\_restore{D9DDE324-ED18-44A9-A448-8D0B548DA9A4}\RP5\A0001509.inf
    00612666 W32/Lineage.KPE.worm Virus/Worm No 0 Yes No C:\System Volume Information\_restore{D9DDE324-ED18-44A9-A448-8D0B548DA9A4}\RP2\A0000012.inf
    00612666 W32/Lineage.KPE.worm Virus/Worm No 0 Yes No D:\System Volume Information\_restore{D9DDE324-ED18-44A9-A448-8D0B548DA9A4}\RP2\A0000013.inf
    00612666 W32/Lineage.KPE.worm Virus/Worm No 0 Yes No D:\System Volume Information\_restore{D9DDE324-ED18-44A9-A448-8D0B548DA9A4}\RP5\A0001510.inf
    00612666 W32/Lineage.KPE.worm Virus/Worm No 0 Yes No E:\System Volume Information\_restore{D9DDE324-ED18-44A9-A448-8D0B548DA9A4}\RP2\A0000014.inf
    00612666 W32/Lineage.KPE.worm Virus/Worm No 0 Yes No E:\System Volume Information\_restore{D9DDE324-ED18-44A9-A448-8D0B548DA9A4}\RP5\A0001511.inf
    01185375 Application/Psexec.A HackTools No 0 Yes No C:\System Volume Information\_restore{D9DDE324-ED18-44A9-A448-8D0B548DA9A4}\RP4\A0001166.EXE
    03938996 Generic Trojan Virus/Trojan No 0 Yes No E:\video\wolfbox.v2.10.zip[WolFBox.v2.10.exe]
    05211020 Trj/Spambot.C Virus/Trojan No 0 Yes No E:\GboxWell\GboxWell.exe
    05211020 Trj/Spambot.C Virus/Trojan No 0 No No E:\GboxWell.rar[GboxWell.exe]
    ;===================================================================================================================================================================================
    SUSPECTS
    Sent Location I6
    ;===================================================================================================================================================================================
    No C:\Documents and Settings\Administrateur.MEDTR-5CAD7E1FF\Bureau\ComboFix.exe I6
    ;===================================================================================================================================================================================
    VULNERABILITIES
    Id Severity Description I6
    ;===================================================================================================================================================================================
    184380 MEDIUM MS08-002 I6
    184379 MEDIUM MS08-001 I6
    182048 HIGH MS07-069 I6
    182046 HIGH MS07-067 I6
    182043 HIGH MS07-064 I6
    179553 HIGH MS07-061 I6
    176382 HIGH MS07-057 I6
    176383 HIGH MS07-058 I6
    170907 HIGH MS07-046 I6
    170906 HIGH MS07-045 I6
    170904 HIGH MS07-043 I6
    164915 HIGH MS07-035 I6
    164913 HIGH MS07-033 I6
    164911 HIGH MS07-031 I6
    160623 HIGH MS07-027 I6
    157262 HIGH MS07-022 I6
    157261 HIGH MS07-021 I6
    157259 HIGH MS07-019 I6
    156477 HIGH MS07-017 I6
    150253 HIGH MS07-016 I6
    ;===================================================================================================================================================================================
    0
  19. meetsmile
     
    voici maintenant le fichiers log.txt avec rsit
    Logfile of random's system information tool 1.05 (written by random/random)
    Run by Administrateur at 2009-03-17 20:26:27
    Microsoft Windows XP Professionnel Service Pack 2
    System drive C: has 11 GB (55%) free of 20 GB
    Total RAM: 255 MB (44% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 20:26:48, on 17/03/2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16791)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Google\Update\GoogleUpdate.exe
    C:\Program Files\Hotspot Shield\bin\openvpnas.exe
    C:\Program Files\Hotspot Shield\HssWPR\hsssrv.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Documents and Settings\Administrateur.MEDTR-5CAD7E1FF\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
    C:\Documents and Settings\Administrateur.MEDTR-5CAD7E1FF\Application Data\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Opera\opera.exe
    E:\RSIT.exe
    C:\Program Files\trend micro\Administrateur.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/search?q=%s
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
    O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Program Files\Hotspot Shield\hssie\HssIE.dll
    O3 - Toolbar: Webshots Toolbar - {C17590D2-ECB4-4b15-8820-F58798DCC118} - C:\Program Files\Webshots\WSToolbar4IE.dll
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [DriverCure] C:\Program Files\ParetoLogic\DriverCure\DriverCure.exe -scan
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
    O4 - Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\Administrateur.MEDTR-5CAD7E1FF\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
    O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
    O8 - Extra context menu item: &Webshots Photo Search - res://C:\Program Files\Webshots\WSToolbar4IE.dll/MENUSEARCH.HTM
    O17 - HKLM\System\CCS\Services\Tcpip\..\{F4B01E2F-B5DA-4099-9C0E-A0E3CD925B97}: NameServer = 41.228.1.34 213.150.161.35
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: Service Google Update (gupdate1c9a0066c333318) (gupdate1c9a0066c333318) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
    O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Program Files\Hotspot Shield\bin\openvpnas.exe
    O23 - Service: Hotspot Shield Helper Service (HssSrv) - AnchorFree Inc. - C:\Program Files\Hotspot Shield\HssWPR\hsssrv.exe
    0
  20. meetsmile
     
    j'ai desactiver la restauration systeme et suivi la demarche que tu m'a donné et puis j'ai redemarrer l'ordinateur j'ai scanner la cle usb source du probleme avec avast aucun soucis il n'ya aucun virus pas comme l'autre fois mais malheureusement toujours les fichiers de musique ou de video deplace recement dans le dossier caché ne s'ouvrent et aucune edition est possible comme couper copier renommer malgre que le fichier a la taille exact pas vide au contraire les autres fichiers anciennement deplacés qui se trouvent dans ce meme dossier s'ouvrent sans probleme.est ce que le registre a ete modifie par le virus ?
    0
  • 1
  • 2