HELP!! Malware ou virus PLAYME... Résolu

Question

Bonjour,

Je possede un samsung NC10 et j ai malheursement telecharger un fichier playme.exe comme une upgrade de WMP....
Depuis, quand je double clic sur une de mes deux partitions j ai une erreur du type "cannot retrieve RECYCLER....". Le seul moyen est explorer.....

Il m est aussi impossible de lancer Malwarebyte ou d instaler ad'aware ou spybot....
Lorsque j ouvre firefox et que je tape un texte contenant "virus" ou "...ware" il m ouvre des pubs....

J ai lance HIjackThis et supprimer quelques entrees
J ai aussi restorer le systeme mais rien y fait ca y est toujours....

La je fais un scan complet avec avast et vais installer et lancer Avira et Norton (la version trial).....

la je ne sais plus vraiment koi faire si ca ne marche pas sauf acheter un lecteur de cd externe et tout effacer-reinstaller...

Ah j oubliais j ai aussi un processus en marche assez suspect slutntrailer.exe et comme j ai pu le voir sur d autres sites dans mon dossier System32 j ai quelque fichers executables suspects aussii


Voila j espere que quelqu un pourra m aider a sauver des siouxes.....

rems

Ced_King · Accepted Answer

Ok, pas de soucis ! si tu as un problème, tu pourras m'en faire part si tu veux 

- Pour l'erreur, il n'y a vraiment pas de quoi s'affoler, il faut surtout etre prudent par rapport à ce que tu telecharges

-je te laisses lire ceci : https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/ 

et ceci : https://forum.malekal.com/viewtopic.php?f=33&t=893 

- Combofix n'a pas été supprimer par Toolscleaner, fais ceci :
Clique sur Démarrer puis Exécuter. Tapes combofix /u dans la zone de saisie puis OK. 

- Si tu penses que le problème est réglé, tu peux mettre le post en " résolu "

 http://www.commentcamarche.net/faq/sujet 11365 marquer un fil de discussion comme etant resolu

- Voilà, heureux d'avoir pu t'aider... @ +
.

Ced_King · Answer

Salut, 

-Telecharges RSIT " Random's System Information Tool " sur ton bureau : http://images.malwareremoval.com/random/RSIT.exe 

- Fermes toutes les applications en cours et double clic sur RSIT.exe 
- Selectionnes " Continue " à l'ecran >> RSIT va analyser le pc et verifier si l'outil hijackthis ( version à jour) est present sur le pc, si ce n'est pas le cas, RSIT le telechargera >> acceptes la license 
- Une fois l'analyse terminée, 2 rapports.txt s'ouvrent, log.txt à l'écran et info.txt dans la barre des taches 
- Postes le contenu des 2 rapports

rems23 · Answer

ok je fais ca de suite, merci!

rems23 · Answer

Voila la contenu du INFO

info.txt logfile of random's system information tool 1.05 2009-03-17 22:55:17

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 8.1.2-->MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A81200000003}
Atheros WLAN Client-->"C:\Program Files\InstallShield Installation Information\{F4F41D14-E0DD-4FB4-AA09-A14225C769BD}\setup.exe" -runfromtemp -l0x0009 -removeonly
AusLogics Disk Defrag-->"C:\Program Files\Auslogics\AusLogics Disk Defrag\unins000.exe"
avast! Antivirus-->C:\Program Files\Alwil Software\Avast4\aswRunDll.exe "C:\Program Files\Alwil Software\Avast4\Setup\setiface.dll",RunSetup
BSPlayer-->"C:\Program Files\Webteh\BSplayer\uninstall.exe"
Easy Display Manager-->"C:\Program Files\InstallShield Installation Information\{17283B95-21A8-4996-97DA-547A48DB266F}\setup.exe" -runfromtemp -l0x0009 -removeonly
eMule-->"C:\Program Files\eMule\Uninstall.exe"
FastStone Image Viewer 3.7-->C:\Program Files\FastStone Image Viewer\uninst.exe
ffdshow [rev 2715] [2009-02-22]-->"C:\Program Files\ffdshow\unins000.exe"
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
imagine digital freedom - Samsung-->MsiExec.exe /X{8E106A57-A17E-431D-B48F-175E42EB9F74}
Intel(R) Graphics Media Accelerator Driver-->C:\WINDOWS\system32\igxpun.exe -uninstall
J2SE Runtime Environment 5.0-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150000}
Kerio Personal Firewall-->MsiExec.exe /X{8DD86BF7-28B3-4CE9-88AE-E6EC790CAECA}
Magic Keyboard-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{BD723E53-A42C-4702-AA04-1D74A0311590}\Setup.exe" -l0x9 Remove
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Marvell Miniport Driver-->C:\Program Files\Marvell\Miniport Driver\Uninst.exe
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{90110409-6000-11D3-8CFE-0150048383C9}
Mozilla Firefox (3.0.6)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 Parser and SDK-->MsiExec.exe /I{716E0306-8318-4364-8B8F-0CC4E9376BAC}
Namuga 1.3M Webcam-->C:\Program Files\InstallShield Installation Information\{71A51B59-E7D3-11DB-A386-005056C00008}\setup.exe -runfromtemp -l0x0009 -removeonly
Panda ActiveScan 2.0-->C:\Program Files\Panda Security\ActiveScan 2.0\as2uninst.exe
PDFCreator-->C:\Program Files\PDFCreator\unins000.exe
Play Camera-->C:\Program Files\InstallShield Installation Information\{7B46F9CF-CF60-492E-816E-95EB1A9D1BB4}\setup.exe -runfromtemp -l0x0409
Post-it® Software Notes Lite-->"C:\Program Files\3M\PSNLite\Uninstall.exe" -Prog"C:\Program Files\3M\PSNLite\PsnLite.exe" -INI"C:\Program Files\3M\PSNLite\uninst.ini"
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\setup.exe" -l0x9  -removeonly
Samsung Battery Manager-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{6F730513-8688-4C3C-90A3-6B9792CE2EF3}\Setup.exe" -l0x9 Remove
Samsung EDS-->MsiExec.exe /X{ABB14904-A11B-4F42-996C-80FD608A0F17}
Samsung Magic Doctor-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{32D6A58F-9659-446C-BBFC-E6F2B41F24DC}\Setup.exe" -l0x9 Remove
Samsung Network Manager 2.0-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\10\INTEL3~1\IDriver.exe /M{DEA48EFD-22C1-4CD6-B887-EB2E6B2E4735} /l1033 
Samsung Recovery Solution III-->"C:\Program Files\InstallShield Installation Information\{145DE957-0679-4A2A-BB5C-1D3E9808FAB2}\setup.exe" -runfromtemp -l0x0009 -removeonly
Samsung Update Plus-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\10\INTEL3~1\IDriver.exe /M{685707A4-911C-468D-BFC4-64A50E5E3A0C} /l1033 
Security Update for Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Security Update for Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Security Update for Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Security Update for Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Security Update for Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Security Update for Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Security Update for Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Security Update for Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Security Update for Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Security Update for Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Security Update for Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Security Update for Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Security Update for Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Security Update for Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Security Update for Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Security Update for Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Security Update for Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Security Update for Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Security Update for Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Security Update for Windows XP (KB958215)-->"C:\WINDOWS\$NtUninstallKB958215$\spuninst\spuninst.exe"
Security Update for Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Security Update for Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Security Update for Windows XP (KB960714)-->"C:\WINDOWS\$NtUninstallKB960714$\spuninst\spuninst.exe"
Security Update for Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
Skype™ 4.0-->MsiExec.exe /X{24D753CA-6AE9-4E30-8F5F-EFC93E08BF3D}
Sophos Anti-Rootkit 1.3.1-->C:\Program Files\Sophos\Sophos Anti-Rootkit\helper.exe remove
Synaptics Pointing Device Driver-->rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
Update for Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Update for Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update for Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
User Guide-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{BAE68339-B0F6-4D33-9554-5A3DB2DFF5DA}\setup.exe" -l0x9 Remove
Visual C++ 2008 x86 Runtime - (v9.0.30729)-->MsiExec.exe /X{F333A33D-125C-32A2-8DCE-5C5D14231E27}
Visual C++ 2008 x86 Runtime - v9.0.30729.01-->C:\WINDOWS\system32\msiexec.exe /x {F333A33D-125C-32A2-8DCE-5C5D14231E27} /qb+ REBOOTPROMPT=""
Vuze Toolbar-->"C:\Program Files\AskBarDis\unins000.exe"
Vuze-->C:\Program Files\Vuze\uninstall.exe
WIDCOMM Bluetooth Software-->MsiExec.exe /X{84814E6B-2581-46EC-926A-823BD1C670F6}
WinRAR archiver-->C:\Program Files\WinRAR\uninstall.exe
xp-AntiSpy 3.93-->C:\Program Files\xp-AntiSpy\uninst.exe

=====HijackThis Backups=====

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O8 - Extra context menu item: Send to &Bluetooth Device... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: ASKService - Unknown owner - C:\Program Files\AskBarDis\bar\bin\AskService.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: ASKUpgrade - Unknown owner - C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

======Security center information======

AV: avast! antivirus 4.8.1335 [VPS 090317-0]
FW: Kerio Personal Firewall

System event log

Computer Name: REMS
Event Code: 6005
Message: The Event log service was started.

Record Number: 5
Source Name: EventLog
Time Written: 20090212070720.000000+000
Event Type: information
User: 

Computer Name: REMS
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 3 Multiprocessor Free.

Record Number: 4
Source Name: EventLog
Time Written: 20090212070720.000000+000
Event Type: information
User: 

Computer Name: REMS
Event Code: 6006
Message: The Event log service was stopped.

Record Number: 3
Source Name: EventLog
Time Written: 20090212065405.000000+000
Event Type: information
User: 

Computer Name: REMS
Event Code: 1074
Message: The process winlogon.exe has initiated the restart of REMS for the following reason: No title for this reason could be found

Minor Reason: 0xff

Shutdown Type: reboot

Comment: System rebooting.

Record Number: 2
Source Name: USER32
Time Written: 20090212065355.000000+000
Event Type: information
User: NT AUTHORITY\SYSTEM

Computer Name: REMS
Event Code: 115
Message: System Restore monitoring was enabled on all drives.

Record Number: 1
Source Name: SRService
Time Written: 20090212065014.000000+000
Event Type: information
User: 

Application event log

Computer Name: REMS
Event Code: 0
Message: 
Record Number: 5
Source Name: btwdins
Time Written: 20090212065308.000000+000
Event Type: information
User: 

Computer Name: REMS
Event Code: 0
Message: 
Record Number: 4
Source Name: btwdins
Time Written: 20090212065307.000000+000
Event Type: information
User: 

Computer Name: REMS
Event Code: 1000
Message: Performance counters for the WmiApRpl (WmiApRpl) service were loaded successfully.
The Record Data contains the new index values assigned
to this service.

Record Number: 3
Source Name: LoadPerf
Time Written: 20090212065305.000000+000
Event Type: information
User: 

Computer Name: REMS
Event Code: 1001
Message: Performance counters for the WmiApRpl (WmiApRpl) service were removed successfully.
The Record Data contains the new values of the system Last Counter and
Last Help registry entries.

Record Number: 2
Source Name: LoadPerf
Time Written: 20090212065305.000000+000
Event Type: information
User: 

Computer Name: REMS
Event Code: 11728
Message: Product: WebFldrs XP -- Configuration completed successfully.

Record Number: 1
Source Name: MsiInstaller
Time Written: 20090212065102.000000+000
Event Type: information
User: REMI\REMI

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 28 Stepping 2, GenuineIntel
"PROCESSOR_REVISION"=1c02
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------

rems23 · Answer

et le contenu du LOG
Logfile of random's system information tool 1.05 (written by random/random)
Run by REMI at 2009-03-17 22:55:02
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 29 GB (81%) free of 36 GB
Total RAM: 1014 MB (50% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:55:13, on 17/03/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\samsung\Samsung Network Manager\SNMWLANService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Samsung\Samsung EDS\EDSAgent.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Samsung\Samsung Update Plus\SLUTrayNotifier.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Documents and Settings\REMI\Desktop\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\REMI.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [EDS] C:\Program Files\Samsung\Samsung EDS\EDSAgent.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [DMHotKey] C:\Program Files\Samsung\Easy Display Manager\DMLoader.exe
O4 - HKLM\..\Run: [BatteryManager] C:\Program Files\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Program Files\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSNLite\PsnLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{37C47030-4DDD-4374-B1C8-3EFC5C1B506A}: NameServer = 85.255.112.64,85.255.112.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C273864-0D7F-4DAC-AA35-83756CEEB1AB}: NameServer = 85.255.112.64,85.255.112.225
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.64,85.255.112.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{37C47030-4DDD-4374-B1C8-3EFC5C1B506A}: NameServer = 85.255.112.64,85.255.112.225
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.64,85.255.112.225
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: SNM WLAN Service - Unknown owner - C:\Program Files\samsung\Samsung Network Manager\SNMWLANService.exe

rems23 · Answer

ce Slutraynotifier.exe c est sur qu il ne devrait pas etre la....
Par contre je n arrive pas a rechercher si le spoolsv.exe se trouve ailleurs que dans system32 car quand je lance une recherche sur ce fichier j ai l impression qu il ne recherche pas vu qu en 2 secondes il me dit qu il ne trouve rien ...(j ai kan meme 160go bien rempli...)

Ced_King · Answer

- Vas à la racine du disque dur et supprimes ceci : c\qobox

                                          -----------------------
-"Clique sur Démarrer puis Exécuter. Tapes combofix /u dans la zone de saisie puis OK. 
- ( il y a un espace entre combofix et /u) 

                                                 -----------------------
-Telecharge et installe ccleaner : https://filehippo.com/download_ccleaner/ 
- Durant l'installation, n'installe pas la barre d'outils yahoo et decoche la case " ajouter l'option des mises à jour" 

- Une fois installé, fermes toutes les applications en cours et lance ccleaner 
- clic >> option >> avancé et decoches " effacer les fichiers etc... plus vieux que 48h 
- Selectionne " nettoyeur " >> clic sur Analyse puis nettoyage, puis referme le programme... 

                                                         -------------------------------

Télécharges FindyKill de Chiquitine29 : 
http://sd-1.archive-host.com/membres/up/116615172019703188/F­indyKill.exe 

->Enregistres le sur ton bureau et pas ailleurs ! 

!! Déconnectes toi et fermes toute applications en cours !! 

->double Cliques sur "FindyKill.exe" pour lancer l'installe de l'outil . Ne touche surtout pas aux paramètres d'installation. 

--> Double cliques sur le raccourci " FindyKill " qui est sur ton bureau . 
-->choisis l'option 1 ( recherche ) . Puis laisses travailler l'outil sans rien toucher ... 

Une fois terminé, postes le rapport FindyKill.txt qui est généré ... 

( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )

rems23 · Answer

Ok je fais ca des que mon scan Avira est termine....

Merci encore!

rems23 · Answer

euh Findykill.exe contient un truc tres suspect selon Avira...

Un avis...?

Ced_King · Answer

Euh Findykill.exe contient un truc tres suspect selon Avira...  >> faux positif

- Combien a tu d'antivirus sur ton pc ? il n'en faut qu'un seul >> risque de conflit !!!

- Pour les lignes hijackthis que tu as coché, tu as un fichier Back-up sur ton bureau >> restaure le si tu l'as encore
--> il faut eviter de fixer des lignes hijackthis sans l'avis d'un connaisseur et ça ne supprimes pas les infections.

- Arretes le scan avec Avira et fais ce qui est demandé stp.

rems23 · Answer

ok desole....
Par contre je n ai pas le rapport Hijackthis, j ai du le supprimer......

Voila le RAPPORT Findykill

----------------- FindyKill V4.707 ------------------

* User : REMI - REMI
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 06/12/08 par Chiquitine29
* Recherche effectuée à 23:40:37 le 17/03/2009
* Windows XP - Internet Explorer 6.0.2900.5512

((((((((((((((((( *** Recherche *** ))))))))))))))))))

--------------- [ Processus actifs ] ----------------

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\samsung\Samsung Network Manager\SNMWLANService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Samsung\Samsung EDS\EDSAgent.exe
C:\WINDOWS\system32\igfxtray.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Program Files\Samsung\Samsung Update Plus\SLUTrayNotifier.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe

--------------- [ Fichiers/Dossiers infectieux ] ----------------

»»»» Presence des fichiers dans C:

»»»» Presence des fichiers dans C:\WINDOWS

»»»» Presence des fichiers dans C:\WINDOWS\Prefetch

Found ! - C:\WINDOWS\Prefetch\PATCHJRE.EXE-327D3789.pf

»»»» Presence des fichiers dans C:\WINDOWS\system32

»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers

»»»» Presence des fichiers dans C:\Documents and Settings\REMI\Application Data

»»»» Presence des fichiers dans C:\DOCUME~1\REMI\LOCALS~1\Temp

»»»» Presence des fichiers dans C:\Documents and Settings\REMI\Local Settings\Temporary Internet Files\Content.IE5

Found ! [27/02/2009 11:52] - C:\Documents and Settings\All Users\Application Data\Skype\Plugins\Local Cache\D3987B641C134048B815DB578D607F42_more.jpg
Found ! [20/02/2009 10:19] - C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\8DEBOP2J\tn_DTJ6YTW5HX443XNWA4NACMXDAPQNME2B[1].jpg

--------------- [ Registre / Startup ] ----------------

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
SunJavaUpdateSched=C:\Program Files\Java\jre1.5.0\bin\jusched.exe
RTHDCPL=RTHDCPL.EXE
Alcmtr=ALCMTR.EXE
<NO NAME>=
EDS=C:\Program Files\Samsung\Samsung EDS\EDSAgent.exe
IgfxTray=C:\WINDOWS\system32\igfxtray.exe
HotKeysCmds=C:\WINDOWS\system32\hkcmd.exe
Persistence=C:\WINDOWS\system32\igfxpers.exe
SynTPEnh=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
DMHotKey=C:\Program Files\Samsung\Easy Display Manager\DMLoader.exe
BatteryManager=C:\Program Files\Samsung\Samsung Battery Manager\BatteryManager.exe
MagicKeyboard=C:\Program Files\SAMSUNG\MagicKBD\PreMKBD.exe
avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
KernelFaultCheck=%systemroot%\system32\dumprep 0 -k
avgnt="C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
NoChange=1
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1
<NO NAME>=

[HKEY_CURRENT_USER\software\local appwizard-generated applications\SamsungSetup]

--------------- [ Registre / Clés infectieuses ] ----------------

--------------- [ Etat / Services ] ----------------

+- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

Ndisuio - Type de démarrage = 3

EapHost - Type de démarrage = 3

Ip6Fw - Type de démarrage = 3

SharedAccess - Type de démarrage = 2

/!\ wuauserv - Type de démarrage = 4

wscsvc - Type de démarrage = 2

--------------- [ Recherche dans supports amovibles] ----------------

+- Informations :

C: - Fixed Drive

D: - Fixed Drive

E: - Removable Drive

+- Contenu de l'autorun : C:\autorun.inf

+- Contenu de l'autorun : D:\autorun.inf

+- presence des fichiers :

Found ! [17/03/2009 22:20][dr-hs----] - C:\autorun.inf
C:\autorun.inf - This folder was created by flash disinfector !
Found ! [17/03/2009 22:20][dr-hs----] - D:\autorun.inf
D:\autorun.inf - This folder was created by flash disinfector !

--------------- [ Registre / Mountpoint2 ] ----------------

-> Not found !

------------------- ! Fin du rapport ! --------------------

Ced_King · Answer

Ok,

- Avant de commencer la manipulation, supprimes tout ce qui est  cracks ou keygens, sinon l'infection reviendra...

- Desactives la garde de ton antivirus 

- Deconnectes toi et fermes toutes les applications en cours 

- Branches tes disques amovibles ( clé usb, disque dur externe, ipod etc..) sans les ouvrir

- Lances Findykill et choisis l'option2 

- il y aura redemarrages, laisses l'outil travailler

- a la fin, un rapport c:\findykill.txt est généré, postes son contenu

/!\si ton bureau ne reapparait pas, presse Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches. 
Onglet "Processus" > Fichier (menu) > Nouvelle tâche (Exécuter...) > tape explorer et clique sur OK. 




                                                                   ----------------------------
 telecharges SmitfraudFix et enregistre le sur ton bureau 

http://siri.urz.free.fr/Fix/SmitfraudFix.exe 

- Desactive la garde de ton antivirus et de ton antispyware si tu en as un
- double-clic sur smitfraudfix >> un fichier est créé 
- Ferme toutes les applications en cours  et double-cliques sur Smitfraudfix.exe 
- Laisse toi guider et au menu, selectionne l'option1 puis patiente le temps de la recherche 
- Un rapport s'etablira en fin de scan, poste son contenu
.

rems23 · Answer

ok je fais ca maintenant....
Qu est ce que tu entends par keygen ou cracks?.... programmes installes?

Ced_King · Answer

programmes téléchargés en P2Peer par exemple...

- Pour verifier, branches tes disques amovibles et lances l'option4 avant de findykill

rems23 · Answer

Voila le rapport Findy kill



----------------- FindyKill V4.707 ------------------

* User : REMI - REMI
* executed from : C:\Program Files\FindyKill
* Update on 06/12/08 par Chiquitine29
* Start at  0:14:12 the 18/03/2009
* Windows XP - Internet Explorer 6.0.2900.5512
 
 
((((((((((((((( *** deleting *** ))))))))))))))))))  
 
 
--------------- [ Active Processes ] ----------------  
 

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\logonui.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\userinit.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
 
--------------- [ Infected files / folders ] ----------------  
 
 
»»»» Supression files in C: 
 
 
»»»» Supression files in C:\WINDOWS 
 
 
»»»» Supression files in C:\WINDOWS\Prefetch 
 
 
»»»» Supression files in C:\WINDOWS\system32 
 
 
»»»» Supression files in C:\WINDOWS\system32\drivers 
 
 
»»»» Supression files in C:\Documents and Settings\REMI\Application Data 
 
 
»»»» Supression files in C:\DOCUME~1\REMI\LOCALS~1\Temp 
 
 
»»»» Supression files in C:\Documents and Settings\REMI\Local Settings\Temporary Internet Files\Content.IE5 
 
Deleted ! - C:\Documents and Settings\All Users\Application Data\Skype\Plugins\Local Cache\D3987B641C134048B815DB578D607F42_more.jpg    
Deleted ! - C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\8DEBOP2J	n_DTJ6YTW5HX443XNWA4NACMXDAPQNME2B[1].jpg    
 
--------------- [  Registry / Infected keys ] ---------------- 
 
 
--------------- [ States / Restarting of services ] ---------------- 
 


+- Services : [ Auto=2 / Request=3 / Disable=4 ] 

 Ndisuio - Type of startup  = 3 
 
 EapHost - Type of startup  = 2 
 
 Ip6Fw - Type of startup  = 2 
 
 SharedAccess - Type of startup  = 2 
 
 wuauserv - Type of startup  = 2 
 
 wscsvc - Type of startup  = 2 
 
 
---------------   [ Cleaning removable drives ] ----------------  
 
+- Informations : 

C: - Fixed Drive

D: - Fixed Drive

E: - Removable Drive

F: - Fixed Drive

G: - Removable Drive

 
+- deleting files : 
 
Not deleted !! - C:\autorun.inf  
Not deleted !! - D:\autorun.inf  
Deleted ! - F:\autorun.inf  
Deleted ! - G:\autorun.inf  
 
--------------- [ Registry / Mountpoint2 ] ----------------  
 
 
 -> Not found ! 
 
 
--------------- [ Searching Cracks / Keygen ] ----------------  
 
 
 
---------------- ! End of report ! ------------------

rems23 · Answer

Et celui de Smitfraudfix

SmitFraudFix v2.398

Scan done at  0:17:33.29, 18/03/2009
Run from C:\Documents and Settings\REMI\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows XP
The filesystem type is 
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe
C:\Program Files\samsung\Samsung Network Manager\SNMWLANService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\REMI\Desktop\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\

C:\autorun.inf FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\REMI


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\REMI\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\REMI\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\REMI\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="My Current Home Page"
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, following keys are not inevitably infected!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Your computer may be victim of a DNS Hijack: 85.255.x.x detected !

Description: Generic Marvell Yukon 88E8040 PCI-E Fast Ethernet Controller - Packet Scheduler Miniport
DNS Server Search Order: 85.255.112.64
DNS Server Search Order: 85.255.112.225

HKLM\SYSTEM\CCS\Services\Tcpip\..\{37C47030-4DDD-4374-B1C8-3EFC5C1B506A}: NameServer=85.255.112.64,85.255.112.225
HKLM\SYSTEM\CCS\Services\Tcpip\..\{9C273864-0D7F-4DAC-AA35-83756CEEB1AB}: NameServer=85.255.112.64,85.255.112.225
HKLM\SYSTEM\CS1\Services\Tcpip\..\{37C47030-4DDD-4374-B1C8-3EFC5C1B506A}: NameServer=85.255.112.64,85.255.112.225
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9C273864-0D7F-4DAC-AA35-83756CEEB1AB}: NameServer=85.255.112.64,85.255.112.225
HKLM\SYSTEM\CS3\Services\Tcpip\..\{37C47030-4DDD-4374-B1C8-3EFC5C1B506A}: NameServer=85.255.112.64,85.255.112.225
HKLM\SYSTEM\CS3\Services\Tcpip\..\{9C273864-0D7F-4DAC-AA35-83756CEEB1AB}: NameServer=85.255.112.64,85.255.112.225
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.112.64,85.255.112.225
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.112.64,85.255.112.225
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=85.255.112.64,85.255.112.225


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Ced_King · Answer

- Avant de reprendre Smitfraudfix, fais ceci :

Telecharges OTMoveIt3 de Oldtimer et enregistre le sur le bureau 

http://oldtimer.geekstogo.com/OTMoveIt3.exe 

- Desactives la garde de ton antivirus 
- Fermes toutes les applications en cours etdouble clic  sur OTMoveIT 
- Assures toi que la case " Unregister Dll's and ocx's " soit bien cochée et copie ( ctrl+ C) ce qui est ci dessous " : 


:processes
explorer.exe

:service
ASKUpgrade 
ASKService 

:files
C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe 
C:\Program Files\AskBarDis\bar\bin\AskService.exe
C:\Program Files\AskBarDis\bar\bin\askBar.dll 
C:\Program Files\AskBarDis\unins000.exe

:reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2
\{ea107ea6-fa01-11dd-b1d9-001377d3f36b}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2
\{6c42a441-fce5-11dd-b1e1-001377d3f36b}] 
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C] 

:commands 
[purity] 
[emptytemp] 
[reboot] 
 





Colle (Ctrl+V) le texte précédemment copié dans le cadre " Paste Instructions for Items to be Moved " 
Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3. 

---> Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. 

Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\ 
---> Le nom du rapport correspond au moment de sa création : date_heure.log 

/!\si ton bureau ne reapparait pas, presse Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches. 
Onglet "Processus" > Fichier (menu) > Nouvelle tâche (Exécuter...) > tape explorer et clique sur OK. 

.
                                      -----------------------------------------
 Option5 smitfraudfix 

- Relances Smitfraudfix et choisis l'option5 puis " Entrée "
- Réponds oui et presses " entrée "
postes le rapport généré

Option2 SmitfraudFix

- l'option2 de smitfraudfix doit avoir lieu en mode sans echec :

--> Au demarrage du pc, tapotes la touche F8 ou F5 de ton clavier
---> un ecran noir apparaitra avec plusieurs options
--> Choisis Mode sans echec et valides par " Entrée "

- Une fois en mode sans echec, relances smitfraudfix et choisis l'option2
- Reponds oui aux questions et patientes le temps du nettoyage
- A la fin, un rapport sera généré, postes son contenu
.

rems23 · Answer

Est ce normla que OTMoveit mette du temps...la il est come geler avec sablier et (Not responding)?

rems23 · Answer

IJe pense qu il a bugue mais il a quand meme creer un dossier dans MovedFiles avec AskBarDis a l interieur...(desole pour les accents j ai pas un clavier francais...)

Ced_King · Answer

- Arretes Otmoveit si ça n'a pas fonctionné et fais l'option5 de smitfraudfix, ensuite reprends Otmoveit car corrigé et ensuite option2 de smitfraudfix.

- Suis bien les instructions pour OtmoveIt.

rems23 · Answer

En attendant voila le premier rapport de Smitfraudfix

SmitFraudFix v2.398

Scan done at  0:51:55.68, 18/03/2009
Run from C:\Documents and Settings\REMI\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is 
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» DNS Before Fix

Your computer may be victim of a DNS Hijack: 85.255.x.x detected !

Description: Generic Marvell Yukon 88E8040 PCI-E Fast Ethernet Controller - Packet Scheduler Miniport
DNS Server Search Order: 85.255.112.64
DNS Server Search Order: 85.255.112.225

HKLM\SYSTEM\CCS\Services\Tcpip\..\{37C47030-4DDD-4374-B1C8-3EFC5C1B506A}: NameServer=85.255.112.64,85.255.112.225
HKLM\SYSTEM\CCS\Services\Tcpip\..\{9C273864-0D7F-4DAC-AA35-83756CEEB1AB}: NameServer=85.255.112.64,85.255.112.225
HKLM\SYSTEM\CS1\Services\Tcpip\..\{37C47030-4DDD-4374-B1C8-3EFC5C1B506A}: NameServer=85.255.112.64,85.255.112.225
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9C273864-0D7F-4DAC-AA35-83756CEEB1AB}: NameServer=85.255.112.64,85.255.112.225
HKLM\SYSTEM\CS3\Services\Tcpip\..\{37C47030-4DDD-4374-B1C8-3EFC5C1B506A}: NameServer=85.255.112.64,85.255.112.225
HKLM\SYSTEM\CS3\Services\Tcpip\..\{9C273864-0D7F-4DAC-AA35-83756CEEB1AB}: NameServer=85.255.112.64,85.255.112.225
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.112.64,85.255.112.225
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.112.64,85.255.112.225
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=85.255.112.64,85.255.112.225

»»»»»»»»»»»»»»»»»»»»»»»» DNS After Fix

rems23 · Answer

Je viens de relancer OtMoveit mais il ne fonctionne toujours pas apparement, est ce que je fais l option 2 de SmitFraudfix en mode sans echec pour ensuite reessayer OTMoveit??

rems23 · Answer

Oups desole.....la je viens de lancer l option 2 en mode sans echec.....Ca pose un gros souci si je refais l option 5 apres et que je te poste le rapport?

Ced_King · Answer

essaies comme ça 


Desactives la garde de ton antivirus 
- Fermes toutes les applications en cours etdouble clic sur OTMoveIT 
- Assures toi que la case " Unregister Dll's and ocx's " soit bien cochée et copie ( ctrl+ C) ce qui est ci dessous " : 


:processes 
explorer.exe 

:service 
ASKUpgrade 
ASKService 


:reg 
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2
 \{ea107ea6-fa01-11dd-b1d9-001377d3f36b}] 
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] 
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2
\{6c42a441-fce5-11dd-b1e1-001377d3f36b}] 
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C] 

:commands 
[purity] 
[emptytemp]  






Colle (Ctrl+V) le texte précédemment copié dans le cadre " Paste Instructions for Items to be Moved " 
Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3. 

---> Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. 

Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\ 
---> Le nom du rapport correspond au moment de sa création : date_heure.log 

/!\si ton bureau ne reapparait pas, presse Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches. 
Onglet "Processus" > Fichier (menu) > Nouvelle tâche (Exécuter...) > tape explorer et clique sur OK.

rems23 · Answer

ok je redemarre en mode normal et te poste les rapports complets cette fois ci pour l option en Mode sans echec et l option 5

Ced_King · Answer

Non, fais otmoveit stp!

rems23 · Answer

ok voila le rapport de l option 2 en MsE
SmitFraudFix v2.398

Scan done at  1:00:37.75, 18/03/2009
Run from C:\Documents and Settings\REMI\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is 
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

Problem while deleting C:\autorun.inf

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

rems23 · Answer

Celui de l option 5, mais j ai bien verifier et il n y a rien apres DNS Fix...
SmitFraudFix v2.398

Scan done at  1:08:15.87, 18/03/2009
Run from C:\Documents and Settings\REMI\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is 
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» DNS Before Fix


»»»»»»»»»»»»»»»»»»»»»»»» DNS After Fix

rems23 · Answer

Et la je viens de relancer OTMoveit avec tes nouvelles instructions mais il bloque encore....

rems23 · Answer

Et juste une petite question...c est normal que mon fond  d ecran ai disparu??

Ced_King · Answer

Oui, tu as juste a en remettre un...

- Patientes 5 minutes, je verifies quelque choses...

rems23 · Answer

Meme chose OtMoveit ne reponds pas...

Ced_King · Answer

On va faire autrement.

- tu as bien fais la commande demander :Clique sur Démarrer puis Exécuter. Tapes combofix /u dans la zone de saisie puis OK. 
- ( il y a un espace entre combofix et /u) 

                                                     ------------------


- Ensuite,- Telecharges Combofix et enregistres le sur ton bureau 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe - 

/!\ Desactives ton antivirus et la garde de ton antispyware ( si tu en as un) /!\ 

- Deconnectes toi et fermes toutes les applications en cours 
- Double clic sur Combofix.exe >> un message apparait > réponds " oui " 
- ( Il est conseillé d'installer la console de recuperations) 
- Selectionnes la langue et presse la touche 1 ( yes) pour lancer le scan 

/!\ Ne touche ni à la souris, ni au clavier durant le scan, cela pourrait figer l'ordi /!\ 

- A la fin du scan, Combofix aura besoin de redemarrer pour finir la desinfection, laisses le faire 
- Une fois terminé, un rapport s'affiche, poste son contenu que tu peux aussi trouver à c:\combofix.txt
_

rems23 · Answer

ok je redemarre la et il m a dit de noter deux noms de fichiers, un .sys et un dll

Je te poste le rapport des que j ai redemarre

rems23 · Answer

Ok voila le rapport COMBO ComboFix 09-03-15.01 - REMI 2009-03-18 1:29:52.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1033.18.1014.650 [GMT 0:00] Running from: c:\documents and settings\REMI\Desktop\ComboFix.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) AV: avast! antivirus 4.8.1335 [VPS 090317-0] *On-access scanning disabled* (Updated) FW: Kerio Personal Firewall *enabled* WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\msetup c:\windows\msetup\MSetup.exe c:\windows\system32\drivers\gaopdxrixbufpwnpcpnwwbwvvkjwipmqaqxjua.sys c:\windows\system32\drivers\gaopdxwgdlysirookjsmfwktsaobifkxhqttif.sys c:\windows\system32\gaopdxcounter c:\windows\system32\gaopdxefpwjspgvrhkviaotmkfvyecpekycppf.dll c:\windows\system32\pthreadGC2.dll c:\windows\system32 mp.reg d: ecycler\S-3-4-54-100026191-100018289-100000623-2272.com d: ecycler\S-5-3-84-100032675-100032688-100006413-8937.com d: ecycler\S-9-9-59-100005604-100001042-100029473-1274.com f: ecycler\S-5-3-84-100032675-100032688-100006413-8937.com g: ecycler\S-3-4-54-100026191-100018289-100000623-2272.com . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_gaopdxserv.sys ((((((((((((((((((((((((( Files Created from 2009-02-18 to 2009-03-18 ))))))))))))))))))))))))))))))) . 2009-03-18 00:39 . 2009-03-18 00:39 d-------- C:\_OTMoveIt 2009-03-18 00:35 . 2009-03-18 00:35 d-------- c:\program files\Malwarebytes' Anti-Malware 2009-03-18 00:35 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-03-18 00:35 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-03-17 23:40 . 2009-03-18 00:15 d-------- c:\program files\FindyKill 2009-03-17 23:31 . 2009-03-17 23:31 d-------- c:\program files\CCleaner 2009-03-17 23:05 . 2009-03-17 23:05 d-------- c:\program files\Avira 2009-03-17 23:05 . 2009-03-17 23:05 d-------- c:\documents and settings\All Users\Application Data\Avira 2009-03-17 23:05 . 2009-02-13 11:31 55,640 --a------ c:\windows\system32\drivers\avgntflt.sys 2009-03-17 22:55 . 2009-03-17 22:55 d-------- C: sit 2009-03-17 22:21 . 2009-03-17 22:21 d-------- c:\program files\Sophos 2009-03-17 21:46 . 2009-03-17 23:56 d-------- c:\program files\Panda Security 2009-03-17 21:01 . 2009-03-17 21:01 d-------- c:\program files\Trend Micro 2009-03-17 19:59 . 2009-03-17 20:03 d-------- c:\documents and settings\All Users\Application Data\Lavasoft 2009-03-08 16:34 . 2009-03-08 16:34 d-------- c:\program files\Auslogics 2009-03-06 16:00 . 2009-03-06 16:00 d-------- c:\documents and settings\REMI\Application Data\CoSoSys 2009-03-01 00:23 . 2009-03-01 00:23 d-------- c:\documents and settings\REMI\Application Data\Malwarebytes 2009-03-01 00:23 . 2009-03-01 00:23 d-------- c:\documents and settings\All Users\Application Data\Malwarebytes 2009-02-27 20:17 . 2009-02-27 20:17 d-------- c:\documents and settings\REMI\Application Data\3M 2009-02-27 20:16 . 2009-02-27 20:16 d-------- c:\program files\3M 2009-02-23 12:42 . 2009-02-23 12:42 d-------- c:\program files\ffdshow 2009-02-23 12:42 . 2009-02-09 19:56 67,584 --a------ c:\windows\system32\ff_vfw.dll 2009-02-23 12:42 . 2007-07-10 17:10 547 --a------ c:\windows\system32\ff_vfw.dll.manifest 2009-02-23 12:33 . 2009-02-23 12:33 d-------- c:\documents and settings\REMI\Application Data\Media Player Classic 2009-02-19 15:13 . 2009-02-19 15:13 d-------- c:\program files\Kerio 2009-02-19 15:02 . 2009-02-19 15:02 d-------- c:\program files\Alwil Software 2009-02-19 15:02 . 2003-03-18 20:20 1,060,864 --a------ c:\windows\system32\MFC71.dll 2009-02-19 15:02 . 2003-03-18 19:14 499,712 --a------ c:\windows\system32\MSVCP71.dll 2009-02-19 15:02 . 2003-02-21 03:42 348,160 --a------ c:\windows\system32\MSVCR71.dll 2009-02-19 14:51 . 2009-03-01 20:15 d-------- c:\documents and settings\REMI\Application Data\skypePM 2009-02-19 14:51 . 2009-02-19 14:51 56 --ah----- c:\windows\system32\ezsidmv.dat 2009-02-19 14:46 . 2009-02-19 14:46 dr------- c:\program files\Skype 2009-02-19 14:46 . 2009-02-19 14:46 d-------- c:\program files\Common Files\Skype 2009-02-19 14:46 . 2009-03-01 21:15 d-------- c:\documents and settings\REMI\Application Data\Skype 2009-02-19 14:46 . 2009-02-19 14:46 d-------- c:\documents and settings\All Users\Application Data\Skype . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-03-18 00:39 --------- d-----w c:\program files\AskBarDis 2009-03-04 16:04 --------- d-----w c:\documents and settings\REMI\Application Data\Azureus 2009-03-02 00:15 --------- d-----w c:\program files\eMule 2009-02-19 15:01 --------- d-----w c:\documents and settings\All Users\Application Data\McAfee 2009-02-16 13:39 --------- d-----w c:\program files\xp-AntiSpy 2009-02-16 13:39 --------- d-----w c:\program files\Webteh 2009-02-16 13:37 --------- d-----w c:\program files\FastStone Image Viewer 2009-02-16 12:34 --------- d-----w c:\program files\PDFCreator 2009-02-13 18:29 --------- d-----w c:\program files\Microsoft ActiveSync 2009-02-12 07:36 --------- d-----w c:\documents and settings\All Users\Application Data\Azureus 2009-02-12 07:35 --------- d-----w c:\program files\Vuze 2009-02-12 06:53 --------- d-----w c:\program files\Samsung 2009-02-12 06:51 0 ----a-w c:\windows\system32\drivers\144D_SAMSUNG_N_NC10_04CA.mrk 2009-02-12 06:51 --------- d-----w c:\program files\WIDCOMM . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="c:\program files\Java\jre1.5.0\bin\jusched.exe" [2008-11-11 36972] "EDS"="c:\program files\Samsung\Samsung EDS\EDSAgent.exe" [2007-12-21 659456] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-28 141848] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-28 166424] "Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-28 137752] "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-08-28 1044480] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-12 39792] "DMHotKey"="c:\program files\Samsung\Easy Display Manager\DMLoader.exe" [2006-12-27 466944] "BatteryManager"="c:\program files\Samsung\Samsung Battery Manager\BatteryManager.exe" [2008-10-20 2768896] "MagicKeyboard"="c:\program files\SAMSUNG\MagicKBD\PreMKBD.exe" [2006-05-15 151552] "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000] "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "RTHDCPL"="RTHDCPL.EXE" [2008-08-26 c:\windows\RTHDCPL.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\documents and settings\All Users\Start Menu\Programs\Startup\ Post-it© Software Notes Lite.lnk - c:\program files\3M\PSNLite\PsnLite.exe [2004-10-15 2080768] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\Network Diagnostic\xpnetdiag.exe"= "%windir%\system32\sessmgr.exe"= "c:\WINDOWS\system32\dpvsetup.exe"= "c:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe"= "c:\Program Files\Skype\Phone\Skype.exe"= R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-02-19 114768] R1 fwdrv;Firewall Driver;c:\windows\system32\drivers\fwdrv.sys [2004-09-01 262144] R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-03-17 108289] R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-02-19 20560] R2 DOSMEMIO;MEMIO;c:\windows\system32\MEMIO.SYS [2008-11-11 4300] R2 SNM WLAN Service;SNM WLAN Service;c:\program files\Samsung\Samsung Network Manager\SNMWLANService.exe [2006-10-30 36864] R3 DNSeFilter;DNSeFilter;c:\windows\system32\drivers\SamsungEDS.SYS [2008-01-15 30208] R3 VMC326;Vimicro Camera Service VMC326;c:\windows\system32\drivers\VMC326.sys [2008-11-11 238464] S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2009-03-18 38496] S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\9E.tmp --> c:\windows\system32\9E.tmp [?] S4 ASKService;ASKService;c:\program files\AskBarDis\bar\bin\AskService.exe --> c:\program files\AskBarDis\bar\bin\AskService.exe [?] S4 ASKUpgrade;ASKUpgrade;c:\program files\AskBarDis\bar\bin\ASKUpgrade.exe --> c:\program files\AskBarDis\bar\bin\ASKUpgrade.exe [?] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C] \Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-5-7-22-100021119-100021215-100004872-9977.com c:\ \Shell\Open\command - RECYCLER\S-5-7-22-100021119-100021215-100004872-9977.com c:\ [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] \Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-5-7-22-100021119-100021215-100004872-9977.com d:\ \Shell\Open\command - RECYCLER\S-5-7-22-100021119-100021215-100004872-9977.com d:\ . Contents of the 'Scheduled Tasks' folder 2009-03-17 c:\windows\Tasks\Ad-Aware Update (Weekly).job - c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [] . - - - - ORPHANS REMOVED - - - - WebBrowser-{3041D03E-FD4B-44E0-B742-2D9B88305F98} - c:\program files\AskBarDis\bar\bin\askBar.dll . ------- Supplementary Scan ------- . FF - ProfilePath - c:\documents and settings\REMI\Application Data\Mozilla\Firefox\Profiles\ubgpzyrv.default\ FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJava11.dll FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJava12.dll FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJava13.dll FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJava14.dll FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJava32.dll FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJPI150.dll FF - plugin: c:\program files\Java\jre1.5.0\bin\NPOJI610.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-03-18 01:32:54 Windows 5.1.2600 Service Pack 3 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2] "ImagePath"="\??\c:\windows\system32\9E.tmp" . Completion time: 2009-03-18 1:35:03 ComboFix-quarantined-files.txt 2009-03-18 01:34:59 Pre-Run: 31,063,830,528 bytes free Post-Run: 31,056,244,736 bytes free 169 --- E O F --- 2009-02-14 10:29:04

rems23 · Answer

Une autre question, si je peux me permettre, c est combofix qui a remit le racourci IE sur le bureau?

Ced_King · Answer

- Branches tes disques amovibles ( clé usb, didsue dur, ipod etc...) sans les ouvrir

- Relances Findykill et choisis l'option4

- Patientes le temps du scan et postes le rapport généré
.

rems23 · Answer

alors le probleme c est que je n ai pas d option 4 dans Finykill...

rems23 · Answer

K ai jeter un coup d oeil et j ai un processus wuauclt.exe qui tourne, l executable est present ds le dossier system32 comme d autre exec qui sont peut etre suspect tels que
wowdeb.exe
winspool.exe
tskill.exe
usrshta.exe....etc et il y en a pleins d autres....

Ced_King · Answer

- Telecharges ToolbarSD et enregistres le sur ton bureau : 
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2 

- Desactives la garde residente de ton antivirus et la garde de ton antispyware 
pour Spybot, desactives le tea-timer >> ouvres spybot >> clic sur " Mode > avancé > outil > resident > tea-timer et decoches la case 
- Lances l'installation en executant le fichier téléchargé 
- Fermes toutes les apllications en cours et double clic sur Toolbarsd.exe 
- Selectionnes la langue et presse la touche ENTREE 
- Selectionnes l'option1 au menu et patientes le temps de la recherche 
- A la fin de la recherche, un rapport s'affichera, postes son contenu

rems23 · Answer

Voivi le rapport


   -----------\  ToolBar S&D 1.2.8   XP/Vista

   Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3
   X86-based PC ( Multiprocessor Free :          Intel(R) Atom(TM) CPU N270   @ 1.60GHz )
   BIOS : Phoenix SecureCore(tm) NB Version 04CA.MP00.20081211.KTW
   USER : REMI ( Administrator )
   BOOT : Normal boot
   Antivirus : avast! antivirus 4.8.1335 [VPS 090317-0] 4.8.1335 (Activated)
   Firewall  : Kerio Personal Firewall 4.1.0 T (Activated)
   C:\ (Local Disk) - NTFS - Total:35 Go (Free:28 Go)
   D:\ (Local Disk) - NTFS - Total:107 Go (Free:39 Go)
   E:\ (USB) - FAT32 - Total:3816 Mo (Free:3 Go)
   F:\ (Local Disk) - NTFS - Total:149 Go (Free:60 Go)
   G:\ (USB) - FAT - Total:488 Mo (Free:0 Go)

   "C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
   Option : [1] ( 18/03/2009| 1:56 )

   -----------\  Recherche de Fichiers / Dossiers ...

   [Service] ASKService
   [Service] ASKUpgrade
   C:\Program Files\AskBarDis
   C:\Program Files\AskBarDis\bar
   C:\Program Files\AskBarDis\unins000.dat
   C:\Program Files\AskBarDis\bar\bin
   C:\Program Files\AskBarDis\bar\Cache
   C:\Program Files\AskBarDis\bar\History
   C:\Program Files\AskBarDis\bar\Settings
   C:\Program Files\AskBarDis\bar\bin\askPopStp.dll
   C:\Program Files\AskBarDis\bar\bin\AskSplash.exe
   C:\Program Files\AskBarDis\bar\bin\AskTBApp.exe
   C:\Program Files\AskBarDis\bar\bin\psvince.dll
   C:\Program Files\AskBarDis\bar\Cache\001FABD9
   C:\Program Files\AskBarDis\bar\Cache\001FAF54
   C:\Program Files\AskBarDis\bar\Cache\001FB1A5.bin
   C:\Program Files\AskBarDis\bar\Cache\001FB31C.bin
   C:\Program Files\AskBarDis\bar\Cache\001FB4C2.bin
   C:\Program Files\AskBarDis\bar\Cache\001FB687.bin
   C:\Program Files\AskBarDis\bar\Cache\001FB86C.bin
   C:\Program Files\AskBarDis\bar\Cache\001FBA21.bin
   C:\Program Files\AskBarDis\bar\Cache\001FBBD7.bin
   C:\Program Files\AskBarDis\bar\Cache\files.ini
   C:\Program Files\AskBarDis\bar\History\search
   C:\Program Files\AskBarDis\bar\Settings\AskLogo.ico
   C:\Program Files\AskBarDis\bar\Settings\config.dat
   C:\Program Files\AskBarDis\bar\Settings\config.dat.bak
   C:\Program Files\AskBarDis\bar\Settings\prevcfg.htm

   -----------\  Extensions

   (REMI) - {E9A1DEE0-C623-4439-8932-001E7D17607D} => ajtoolbar


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\windows\system32\blank.htm"
   "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
   "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Local Page"="C:\windows\system32\blank.htm"
   "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"


   --------------------\  Recherche d'autres infections


   Aucune autre infection trouvée  !


   1 - "C:\ToolBar SD\TB_1.txt" - 18/03/2009| 1:57 - Option : [1]

   -----------\  Fin du rapport a  1:57:50.68

rems23 · Answer

Juste pour info, je parcours le exec du dossiers system32 et apparament j ai append.exe....

Ced_King · Answer

Relances Toolbar et choisis l'option2

- Patientes jusqu'à la fin de la suppression et postes le rapport généré

                                                --------------------------------
- Telecharges Malwarebytes' Anti-Malware : 

http://www.malwarebytes.org/mbam/program/mbam-setup.exe 

- Installe le > double-clic sur Mbam-setup.exe, à la fin de l'installation, il se mettra automatiquement à jour 
- Une fois installé, fermes toutes les applications en cours et lances Malwarebytes 
- Executes un examen rapide du pc ( tu n'auras pas accés à internet pendant l'analyse) 
- A la fin du scan clic sur " Afficher les resultats ", si Malwarebytes a trouvé des infections >> clic sur " Supprimer la selection " 
- Si il a besoin de redemarrer le pc pour finir la desinfection, acceptes 
- Un rapport s'etablira, postes son contenu.

PS: si tu l'as toujours sur ton pc, fais la mise a jour avant de lancer le scan

rems23 · Answer

Voila le rapport de l option 2

   -----------\  ToolBar S&D 1.2.8   XP/Vista

   Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3
   X86-based PC ( Multiprocessor Free :          Intel(R) Atom(TM) CPU N270   @ 1.60GHz )
   BIOS : Phoenix SecureCore(tm) NB Version 04CA.MP00.20081211.KTW
   USER : REMI ( Administrator )
   BOOT : Normal boot
   Antivirus : avast! antivirus 4.8.1335 [VPS 090317-0] 4.8.1335 (Activated)
   Firewall  : Kerio Personal Firewall 4.1.0 T (Activated)
   C:\ (Local Disk) - NTFS - Total:35 Go (Free:28 Go)
   D:\ (Local Disk) - NTFS - Total:107 Go (Free:39 Go)
   F:\ (Local Disk) - NTFS - Total:149 Go (Free:60 Go)
   G:\ (USB) - FAT - Total:488 Mo (Free:0 Go)

   "C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
   Option : [2] ( 18/03/2009| 2:02 )

   -----------\ SUPPRESSION

   Supprime! - [Service] ASKService
   Supprime! - [Service] ASKUpgrade
   Supprime! - C:\Program Files\AskBarDis\bar
   Supprime! - C:\Program Files\AskBarDis\unins000.dat
   Supprime! - C:\Program Files\AskBarDis

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  Extensions

   (REMI) - {E9A1DEE0-C623-4439-8932-001E7D17607D} => ajtoolbar


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\windows\system32\blank.htm"
   "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
   "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Local Page"="C:\windows\system32\blank.htm"
   "Start Page"="https://www.msn.com/fr-fr/"


   --------------------\  Recherche d'autres infections


   Aucune autre infection trouvée  !


   1 - "C:\ToolBar SD\TB_1.txt" - 18/03/2009| 1:57 - Option : [1]
   2 - "C:\ToolBar SD\TB_2.txt" - 18/03/2009| 2:04 - Option : [2]

   -----------\  Fin du rapport a  2:04:02.81

rems23 · Answer

l examen MawareBytes est en cours la...merci encore pour ton aide

rems23 · Answer

Voila le rapport de Malwarebytes

Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1861
Windows 5.1.2600 Service Pack 3

18/03/2009 02:11:19
mbam-log-2009-03-18 (02-11-19).txt

Type de recherche: Examen rapide
Eléments examinés: 58878
Temps écoulé: 4 minute(s), 12 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Ced_King · Answer

- Bon je vais rejoindre les bras de Morphée, donc suis bien les instructions, c'est trés important :

des applications telles que Java ou adobe non à jour >> failles de sécurité 

* Mets Adobe à jour : ( n'installes pas la barre d'outil google, décoches la) 
https://get2.adobe.com/reader/otherversions/ 

--------------------- 
* Installes la dernière version de Java : 
https://www.java.com/fr/download/manual.jsp 

------------------- 
* Une fois à jour, télécharges JavaRa.zip 
http://raproducts.org/click/click.php?id=1 
---> Autorise le processus a se connecter si il te le demande 
. Cliques sur Install et suis les instructions 

- Quand l'installation est finie, reviens à l'écran JavaRa 

-Clic sur " Remove Old Versions " ou " recherches d'anciennes versions " --> cliques sur " oui " 

-l'outil va travailler, cliques ensuite sur " Ok " et à nouveau sur Ok 

- Un rapport s'ouvrira, refermes l'application puis postes le 

- Met un coup de ccleaner >> nettoyage 

                                  ----------------------------

Fais un scan en ligne ici https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr (Avec Internet Explorer) 

- En bas à droite, clique sur Démarrer Online-scanner 

- Dans la nouvelle fenêtre qui s'affiche, clique sur J'accepte 

- Accepte les Contrôles ActiveX (clic sur la barre anti-pop )

- Choisis Poste de travail pour le scan. 

- Celui-ci terminé, sauvegarde (Choisis fichier texte) et poste le rapport 

- Pour t'aider à utiliser le scan en ligne : 
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566 

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte-toi sur le site de Kaspersky pour retenter le scan en ligne. 
                                           ------------------------------------

- Postes moi les rapports, nous finirons dans la journée ou la soirée comme tu veux
- il faut securiser ton ordi et faire attention a ce que tu telecharges
- Ton pc était redirigé vers l'Ukraine, tu n'es pas Ukrainien ou russe ? j'crois pas!
- Tiens moi au courant

rems23 · Answer

Non loin d etre russe....ok bah je fais tout ca demain matin et te posterais les rapports.

Et merci encore, je sais je l ai deja dit....

Bonne nuit donc!

Remi

rems23 · Answer

Bonjour ced!

Bon je ne sais pas si tu es online mais jvais faire tous les trucs que tu m a marque hier la donc des que j ai tout fait je te poste les rapports!

Ced_King · Answer

Bonjour,

- Ok !
.

rems23 · Answer

tiens d ailleurs je virens de reverifier et SlutrayNotifier.exe est reapparu ds les processus.....et concernant append.exe, c est un processus que win utilise?

Ced_King · Answer

- Il faudrait eviter de faire autres choses que ce qui est demandé, laisses tes processus tranquille... Si tu as du  Samsung sur ton pc, alors il est normal que tu aies SlutrayNotifier.exe 

- Fais simplement ce que je te demande de faire et rien de plus stp...

- Si tu n'as pas encore lancé le scan Kaspersky, fais ceci :  Afficher les dossiers et fichiers cachés du systeme 

-Démarrer 
-Poste de travail 
-Outils 
-Options des dossiers 
-Onglet "Affichage" 
-Sous "Fichiers et dossiers cachés", cocher "Afficher les fichiers et dossiers cachés" 
-Désélectionner "Masquer les fichiers protégés du système d'exploitation (recommandé)" 
-Désélectionner "Masquer les extensions des fichiers dont le type est connu" 
-Cliquez sur Oui dans la boîte de dialogue qui vous demande confirmation de votre choix. 
-Ok

- Si tu as déjà lancé le scan, laisses tomber...
.

rems23 · Answer

ok je fais ca de suite, kapersky est en train de se mettre a jour.....

Ici le rapport JAva

JavaRa 1.13 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Wed Mar 18 10:55:43 2009

Found and removed: C:\Program Files\Java\jre1.5.0

Found and removed: Software\JavaSoft\Java2D\1.5.0

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\Installer\Features\8A0F842331866D117AB7000B0D510000

Found and removed: SOFTWARE\Classes\Installer\Products\8A0F842331866D117AB7000B0D510000

Found and removed: SOFTWARE\Classes\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D510000

Found and removed: SOFTWARE\Classes\JavaPlugin.150

Found and removed: SOFTWARE\Classes\JavaWebStart.isInstalled.1.5.0.0

Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.5.0

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.5

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.5.0

Found and removed: SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ACBB9B2318A96D117A58000B0D510000

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\8A0F842331866D117AB7000B0D510000

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0150000}

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.5.0

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0005-ABCDEFFEDCBA}

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_02

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_03

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_04

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2.0_01

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0000-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Common Files\Java\Update\Base Images\jre1.5.0.b64\

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.5.0\

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls\C:\Program Files\Common Files\Java\Update\Base Images\jre1.5.0.b64\core1.zip

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls\C:\Program Files\Common Files\Java\Update\Base Images\jre1.5.0.b64\core2.zip

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls\C:\Program Files\Common Files\Java\Update\Base Images\jre1.5.0.b64\core3.zip

------------------------------------

Finished reporting.

rems23 · Answer

J ai un autre symptome bizarre, j ai simplement essayer de copier un fichier sur mon bureau et l explorer a gele...il me semble que j ai deja eu ce probleme et que ca venait de la base de registre...la je ne peux meme plus cliquer sur demarrer.....

Bon Kapersky en est a 2% la...

rems23 · Answer

Desole la ca remarche....bon ok je ne fais plus rien d autre que ce que tu me dis....

Juste une info, pour kapersky j ai laisse tous mes lecteurs amovibles pour qu il les scan aussi, fallait bien que je fasse ca?

rems23 · Answer

Question technique, je suis a 3% avec Kapersky apres 45 minutes, je le laisse tourner jusqu au bout en conservant les disques amovibles?

Ced_King · Answer

- Questions :

- Te sers tu de l'ordi infecté pour communiquer ?

- As tu fermé toutes les autres applications avant de lancer le scan ? ( il ne doit rien avoir d'autres que le scan Kaspersky)

- Tu as teléchargé du  Samsung récemment ( 1 mois environ) ?

- Si oui, de quoi s'agit-il ?
.

rems23 · Answer

-Non je me sers d un autre ordi pour communiquer

Oui j ai fermer toutes les appl et antivirus divers

-Non je n ai rien telecharge de samsung sauf que mon ordi est un Samsung nc10 et que je l ai acheter il a 1 mois et demi

rems23 · Answer

En fait j ai telecharger un trailer d un film et wmp me demandait de telecharger une mise a jour quand je lancais le trailer....

J ai telecharger un exe du nom de playme.exe, et comme un *** j ai executer ce fichier......alors que je fait toujours tres attention a ces trucs la....

rems23 · Answer

Voici le rapport KAPERSKY
-------------------------------------------------------------------------------
 KASPERSKY ON-LINE SCANNER REPORT
 Wednesday, March 18, 2009 12:39:28 PM
 Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)
 Kaspersky On-line Scanner version : 5.0.84.2
 Dernière mise à jour de la base antivirus Kaspersky : 18/03/2009
 Enregistrements dans la base antivirus Kaspersky : 1741266
-------------------------------------------------------------------------------

Paramètres d'analyse:
	Analyser avec la base antivirus suivante: standard
	Analyser les archives: vrai
	Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
	C:\
	D:\
	E:\
	F:\
	G:\

Statistiques de l'analyse:
	Total d'objets analysés: 57932
	Nombre de virus trouvés: 1
	Nombre d'objets infectés: 2 / 0
	Nombre d'objets suspects: 0
	Durée de l'analyse: 01:22:12

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\avguard.tmp	L'objet est verrouillé	ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Cookies\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Local Settings\History\History.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\REMI\Cookies\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\REMI\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\REMI\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\REMI\Local Settings\History\History.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\REMI\Local Settings\History\History.IE5\MSHist012009031820090319\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\REMI\Local Settings\Temporary Internet Files\Content.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\REMI\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\REMI
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat	L'objet est verrouillé	ignoré
C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db	L'objet est verrouillé	ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws	L'objet est verrouillé	ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log	L'objet est verrouillé	ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log
shield.log	L'objet est verrouillé	ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\selfdef.log	L'objet est verrouillé	ignoré
C:\Program Files\Alwil Software\Avast4\DATAeport\Resident protection.txt	L'objet est verrouillé	ignoré
C:\Program Files\Kerio\Personal Firewall 4\logs\debug.log	L'objet est verrouillé	ignoré
C:\Program Files\Kerio\Personal Firewall 4\logs\debug.log.idx	L'objet est verrouillé	ignoré
C:\Program Files\Kerio\Personal Firewall 4\logs\error.log	L'objet est verrouillé	ignoré
C:\Program Files\Kerio\Personal Firewall 4\logs\error.log.idx	L'objet est verrouillé	ignoré
C:\Program Files\Kerio\Personal Firewall 4\logs\ids.log	L'objet est verrouillé	ignoré
C:\Program Files\Kerio\Personal Firewall 4\logs\ids.log.idx	L'objet est verrouillé	ignoré
C:\Program Files\Kerio\Personal Firewall 4\logs
etwork.log	L'objet est verrouillé	ignoré
C:\Program Files\Kerio\Personal Firewall 4\logs
etwork.log.idx	L'objet est verrouillé	ignoré
C:\Program Files\Kerio\Personal Firewall 4\logs\system.log	L'objet est verrouillé	ignoré
C:\Program Files\Kerio\Personal Firewall 4\logs\system.log.idx	L'objet est verrouillé	ignoré
C:\Program Files\Kerio\Personal Firewall 4\logs\warning.log	L'objet est verrouillé	ignoré
C:\Program Files\Kerio\Personal Firewall 4\logs\warning.log.idx	L'objet est verrouillé	ignoré
C:\Program Files\Kerio\Personal Firewall 4\logs\web.log	L'objet est verrouillé	ignoré
C:\Program Files\Kerio\Personal Firewall 4\logs\web.log.idx	L'objet est verrouillé	ignoré
C:\Qoobox\Quarantine\C\WINDOWS\system32\gaopdxefpwjspgvrhkviaotmkfvyecpekycppf.dll.vir	Infecté : Packed.Win32.Tdss.f	ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{20409EED-2503-4FBB-BED3-5FFA5EA06261}\RP0\A0000002.dll	Infecté : Packed.Win32.Tdss.f	ignoré
C:\System Volume Information\_restore{20409EED-2503-4FBB-BED3-5FFA5EA06261}\RP3\change.log	L'objet est verrouillé	ignoré
C:\WINDOWS\Debug\PASSWD.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log	L'objet est verrouillé	ignoré
C:\WINDOWS\Sti_Trace.log	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\CatRoot2\edb.log	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\CatRoot2	mp.edb	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\Antivirus.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\AppEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\default	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\default.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SAM	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SAM.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SecEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SECURITY	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SECURITY.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\software	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\software.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SysEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\system	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\system.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_590.dat	L'objet est verrouillé	ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_700.dat	L'objet est verrouillé	ignoré
C:\WINDOWS\Temp\_avast4_\Webshlock.txt	L'objet est verrouillé	ignoré
C:\WINDOWS\wiadebug.log	L'objet est verrouillé	ignoré
C:\WINDOWS\wiaservc.log	L'objet est verrouillé	ignoré
C:\WINDOWS\WindowsUpdate.log	L'objet est verrouillé	ignoré
D:\System Volume Information\MountPointManagerRemoteDatabase	L'objet est verrouillé	ignoré
D:\System Volume Information\_restore{20409EED-2503-4FBB-BED3-5FFA5EA06261}\RP3\change.log	L'objet est verrouillé	ignoré
F:\System Volume Information\MountPointManagerRemoteDatabase	L'objet est verrouillé	ignoré
F:\System Volume Information\_restore{20409EED-2503-4FBB-BED3-5FFA5EA06261}\RP3\change.log	L'objet est verrouillé	ignoré

Analyse terminée.

Ced_King · Answer

Ok, 

- Juste la quarantaine de combofix et de la restauration systeme

- Vas à la racine de ton disque dur et supprimes  C:\qobox


                                                           ---------------------

-Pour supprimer les outils utilisés, telecharges toolscleaner2 
http://pc-system.fr/ 

- Double-clic sur l'icone de ton bureau 
- clic sur " Recherche " et patientes le temps du scan 
- clic sur '' Suppression " pour finaliser puis cliques sur " quitter " 
- Un rapport sera généré, postes le 
                                                        ---------------------

- Ouvres Ccleaner et clic sur " Nettoyeur " >> lances une analyse et le nettoyage 
- Clic ensuite sur " Registres " >> Chercher des erreurs >> reparer les erreurs >> recommences jusqu'à 0 erreurs ( sauvegarde le registre, tu le supprimeras d'ici 2 à 3 jours) 


                                                        ---------------------- 

-  Purges la restauration systeme : 

Désactive la restauration système sur tous les lecteurs : 

- Clique droit sur le Poste de travail sur le bureau, dans propriété tu cliques sur l'onglet Restauration système 

- Coche la case désactiver la restauration et applique 

Redémarre l’ordinateur puis réactive la restauration système. 

Tutoriel : http://www.libellules.ch/desactiver_restauration.php 

                                                          --------------------
- Dis moi ensuite si tu rencontres toujours des problèmes...

rems23 · Answer

Bon ca y est j ai fait la suppression de restoration aussi...

Deux "problemes" apparents subsistes 

- la je viens de redemarrer et j ai cliquer droit sur le poste de travail pour reactiver la restauration et le bureau est gele, a savoir sablier et je ne peut plus rien faire sauf killer explorer.exe

- impossible de supprimer l erreur que ccleaner trouve ds le registre, elle revient tout le temps
Extension de fichiers invalide	{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}	HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

Ced_King · Answer

- Tu as viré tes cracks comme demandé ?

- Telecharges Genproc sur ton bureau :

http://www.genproc.com/GenProc.exe

- Double clic sur l'icone de ton bureau et laisses genproc scanner le pc

- postes le rapport généré
.

rems23 · Answer

oui j ai vire tout ca.....
Je vais faire genproc de suite....

rems23 · Answer

voila le rapport genproc

Rapport GenProc 2.464 [1] - 18/03/2009 à 14:14:23 - Windows XP 
 
GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante : 

 
Poste un rapport Nod32 https://www.eset.com/ (il faut utiliser Internet Explorer)
- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :  
- C:\Program Files\EsetOnlineScanner\log.txt

---------------------------------------------------------------------- 
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com 
----------------------------------------------------------------------

rems23 · Answer

Bon bah en tout cas mon ordi marche nickel la (sauf que je ne peut pas supprimer la derniere erreur de regedit).

En tout cas je te remercie enormement pour ton aide parce que la j'avais vraiment l'impression que mon pc etait foutu.....

Meerci encore et bonne continuation

ps : si j ai d autres soucis je peux t'envoyer un message sur le forum au cas ou?

rems23 · Answer

ok je supprime ca et je vais apprendre a mieux securiser mon ordi maintenant hehe

Merci encore et a +!!!

remi

HELP!! Malware ou virus PLAYME...

67 réponses

Votre réponse

Discussions similaires

Newsletters