Sujet Précédent Sujet Suivant

Infecté par BN2.tmp impossible à enlever

Fermé
dysphory Messages postés 37 Date d'inscription mardi 24 mars 2009 Statut Membre Dernière intervention 16 février 2010 - 24 mars 2009 à 11:52
 Utilisateur anonyme - 2 avril 2009 à 15:34
Bonjour,
Lors d'une mauvaise manip j'ai été infecté par un virus qui à mon avis en à télécharger pleins d'autres.
Ce qui est drôle c'est que l'infection s'est répandue sur un deuxième ordinateur connecté en réseaux à ce moment là.

Je vais essayer d'être le plus clair possible sur la chronologie et sur ce qui se passe sur mes PC:

*LES SYMPTOMES :

Les premiers symptômes étaient des messages d'erreur et quand j'allais voir dans la section démarrage de msconfig, j'ai pu voir que tout avait été décoché sauf des lignes faisant référence à des .exe présent à la racine de mon disque C.
Il s’agissait de service.exe, exeeaysi.exe, mtaueu.exe et quelques autres.
Une fois ces premiers virus enlevé il restait un virus qui bloque ou ralentit considérablement la connexion et désactive toute les protections du centre de sécurité ainsi que mon anti-virus.

Sur mon Pc j'ai pu tout enlever, même les plus récalcitrants, mais sur le deuxième PC impossible de faire partir les derniers virus.

Voila quel sont les symptômes présent sur le Pc encore infecté :
Au démarrage j'ai 2 alertes différentes, soit c'est restore.sys qui est détecté par mon antivirus, soit c'est BN2.tmp (situé dans windows/temp/) qui est détecté.

J'ai beau supprimer ou mettre en quarantaine ce BN2.tmp il revient a chaque démarrage.
J'ai pu constater plusieurs manifestations différentes :
Parfois il s'appel autrement, BN3.temp, BN5.tmp.....
Parfois, au démarrage, une fenêtre Windows installeur s'affiche et réinstalle msn et seulement après j'ai une alerte virus.
Dans tout les cas ca bloque/ralentit ma connexion et désactive le centre de sécurité Windows.

*CE QUE J'AI FAIT:

Je vais juste vous dire ce que j'ai déjà fait sur le PC encore infecté.
Premièrement un scan au démarrage avec Avast, ensuite scan avec Malwarebytes, ensuite un scan avec Spybot, ensuite nettoyage de la base de registre avec ccleaner et les outils de tune up utility 2009 ( oui chui prêt a tout essayer ).
Ensuite j'ai suivit toute les directives trouvées sur différents forums ou le même problème était recensé :
Scan avec AVG anti rootkit, Clean Virus msn , j'ai aussi effacé les fichier temporaire avec un programme dont j'ai oublié le nom, je me rappel juste qu'on pouvais choisir son navigateur et effacer les données associés...
Et en dernier lieu, le truc le plus efficace que j'ai fait jusqu'a présent, un scan en mode sans echec avec SDFix.

Apres le dernier scan tout marchait nikel, jusqu'a ce que je rallume le PC 2 fois le lendemain matin ou le bn2.tmp était régénéré.
Ensuite le Scan SDFix n'avait plus vraiment de succès sur les scan suivant.
J'ai ensuite lu qu'il fallait désactiver le mode restauration du système pour virer cette merde, ce que j'ai fait, mais ca n'a pas marché encore une fois.

Je pense que ce truc a peut être à voir avec msn, peut être faut-il que je le vire et que je le réinstalle.

En tout cas maintenant je ne sais plus quoi faire et je m’en remet à vous pour m’aider si vous le pouvez !

Merci d’avance !
( ha oui et j’ai win XP sp2 avec Avast si ca peu vous aider )
A voir également:

51 réponses

Précédent
Réponse 21 / 51
Utilisateur anonyme
26 mars 2009 à 20:33
tu as desinstallé Ad-Remover avec l'option 3 comme pré-cité ?

Télécharge Superantispyware (SAS)

Choisis "enregistrer" et enregistre-le sur ton bureau.

Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.

Créé une icône sur le bureau.

Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.

- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
- Sous Configuration and Preferences, clique sur le bouton "Preferences"
- Clique sur l'onglet "Scanning Control "
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :

Close browsers before scanning
Scan for tracking cookies
Terminate memory threats before quarantining
- Laisse les autres lignes décochées.

- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.

- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".

Dans la colonne de gauche, coche C:\Fixed Drive.

Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan"

Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.

A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.

Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".

Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.

Pour recopier les informations sur le forum, fais ceci :

- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
- Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ".
- Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log.

- Le rapport va s'ouvrir dans ton éditeur de texte par défaut.

- Copie son contenu dans ta réponse.


Regarde bien le tuto SUPERAntiSpyware il est très bien expliqué.
0
Réponse 22 / 51
dysphory Messages postés 37 Date d'inscription mardi 24 mars 2009 Statut Membre Dernière intervention 16 février 2010
31 mars 2009 à 09:09
Salut !

J'avais bien désinstallé Ad-Remover comme indiqué oui.

Alors en ce qui concerne le scan de SAS, je ne peu pas le faire jusqu'au bout car il me fait un écran bleu à chaque fois. ( des fois au début, des fois au milieu après un bon moment de scan )
Durant le test de la mémoire je pense.
Message typique d'erreur de vidage de la mémoire physique...

Que dois-je faire ?
Dans les options j'ai laissé les lignes qui étaient cochées à la base et j'ai juste ajouté les 3 coches que tu m'as dit de regarder.
Dois-je tout décocher sauf celles-là ?

merci.
0
Réponse 23 / 51
dysphory Messages postés 37 Date d'inscription mardi 24 mars 2009 Statut Membre Dernière intervention 16 février 2010
31 mars 2009 à 09:22
hummmm mince, Anti-vir me signal un BN3.tmp là....c'est revenu -_- .
0
Réponse 24 / 51
Utilisateur anonyme
31 mars 2009 à 11:32
bon jour , bien dormi ? :)


> Télécharge Dr Web CureIt sur ton Bureau :


- Double clique <drweb-cureit.exe> et ensuite clique sur <Analyse>;

- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".
- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
- De retour à la fenêtre principale : clique pour activer <Analyse complète>
- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
- Ferme Dr.Web Cureit
- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
- Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 51
dysphory Messages postés 37 Date d'inscription mardi 24 mars 2009 Statut Membre Dernière intervention 16 février 2010
31 mars 2009 à 23:06
Salut,
je te poste ici le contenu du premier scan lorsque j'ai ouvert Dr Web pour la première fois :

ndis.sys;c:\windows\system32\drivers;Trojan.NtRootKit.2670;Supprimé.;


Voici le rapport du deuxième scan ( scan complet avec les modif de config ) :

ndis.sys;c:\windows\system32\drivers;Trojan.NtRootKit.2670;Supprimé.;
Process.exe;C:\SDFix\apps;Tool.Prockill;Quarantaine.;


Voila !

OK maintenant voila ce qui se passe chez moi :

Outre les fichiers détectés ci-dessus, anti-vir a encore détecté un bn2.tmp, puis a identifié le restore.sys comme étant virus ( je l'ai mis en quarantaine au cas ou ).

Ensuite, c'est là ou c'est marrant, après le dernier scan de Dr web, je redémarre, et après ca, plus moyen de me connecter....je vais voir dans les connexion réseaux, et là, plus rien, page blanche.....??
Est-ce que le process.exe mis en quarantaine par Dr. Web a un rapport avec ca ? Que ce passe-t-il ?? comment faire pour retrouver les connexion réseaux ( la j'avoue que j'ai jamais touché à ca donc je ne saurais pas me démerder pour configurer une nouvelle connexion, à moins qu'il suffise de réinstaller tout ca avec le Cd du fournisseur d'acces ).
Une autre chose c'est lorsque j'éteind le Pc il reste plusieurs minutes sur " enregistrement de vos paramètres" et plusieurs minutes sur " fermeture " à chaque fois....

Ensuite le seul moyen que j'ai eu pour poster les rapports c'est de tout mettre sur une clef USB et de le faire depuis mon PC qui est sensé être clean....mais je pense qu'il va pas le rester longtemps. J'ai pourtant scanné la clef mais j'ai quand meme un gros doute la dessus....on verra ca plus tard.
Le plus important c'est de récupérer les connexions sur l'autre ordi et d'enlever cette merde ( d'ailleur comment ca se fait que je n'ai pas vu une trace de ce bn2.tmp depuis le 3eme post de ce thread et qu'il réaparaisse maintenant ? )

Merci encore pour ton aide et j'espère qu'on va pouvoir enlever ca une bonne fois pour toute.
0
Réponse 26 / 51
Utilisateur anonyme
31 mars 2009 à 23:59

/!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\

______________________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
===========================================================

Lors de son exécution,

ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur votre PC avant toute suppression de nuisibles.
Elle vous permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage.

Suivez les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows

et lorsque cela vous est demandé, acceptez le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.

Sous XP

Sous Vista

**Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.


A Lire , Impératif !!!!

Télécharges Combofix :


Et important, enregistre le sous <>souligne"moi.exe"</souligne> sur le bureau.

Avant d'utiliser ComboFix :
______________________________________________________________________
? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
la protection en temps réel de ton Antivirus et de tes Antispywares,
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

Une fois fait, sur ton bureau double-clic sur "moi.exe"

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc ni de tout autre periphérique ,et n'ouvre aucun programme.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

? Reviens sur le forum, et

copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

0
Réponse 27 / 51
dysphory Messages postés 37 Date d'inscription mardi 24 mars 2009 Statut Membre Dernière intervention 16 février 2010
1 avril 2009 à 11:08
Salut,

J'ai réinstaller la console de récupération via mon cd de windows et j'ai fait le scan Combofix.

Voila le rapport :

ComboFix 09-03-31.01 - lise 2009-04-01 8:50:03.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1022.662 [GMT 2:00]
Lancé depuis: c:\documents and settings\lise\Bureau\moi.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\t.txt

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_BOTDRV
-------\Service_botdrv


((((((((((((((((((((((((((((( Fichiers créés du 2009-03-01 au 2009-04-01 ))))))))))))))))))))))))))))))))))))
.

2009-04-01 08:34 . 2009-04-01 08:35 <REP> d-------- C:\ComboFix
2009-03-31 12:58 . 2009-03-31 12:58 <REP> d-------- c:\documents and settings\lise\Application Data\AdobeUM
2009-03-31 12:58 . 2009-03-31 12:58 <REP> d-------- c:\documents and settings\lise\Application Data\AdobeAUM
2009-03-31 11:38 . 2009-03-31 11:58 <REP> d-------- c:\documents and settings\lise\DoctorWeb
2009-03-31 08:41 . 2009-03-31 08:41 <REP> d-------- c:\program files\SUPERAntiSpyware
2009-03-31 08:41 . 2009-03-31 08:41 <REP> d-------- c:\program files\Fichiers communs\Wise Installation Wizard
2009-03-31 08:41 . 2009-03-31 08:41 <REP> d-------- c:\documents and settings\lise\Application Data\SUPERAntiSpyware.com
2009-03-31 08:41 . 2009-03-31 08:41 <REP> d-------- c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com
2009-03-26 16:49 . 2009-03-26 16:49 <REP> d-------- C:\_OTMoveIt
2009-03-25 18:07 . 2009-03-25 18:07 <REP> d-------- C:\rsit
2009-03-24 23:47 . 2009-03-24 23:47 <REP> d-------- c:\program files\Trend Micro
2009-03-24 13:31 . 2009-03-24 13:31 <REP> d-------- c:\program files\Avira
2009-03-24 13:31 . 2009-03-24 13:31 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira
2009-03-24 09:44 . 2009-03-24 09:44 603,904 --a------ c:\windows\system32\TUProgSt.exe
2009-03-23 23:47 . 2009-03-24 09:29 <REP> d-------- c:\program files\CCleaner
2009-03-23 23:06 . 2009-03-23 23:07 <REP> d-------- c:\windows\ERUNT
2009-03-23 22:04 . 2009-03-25 01:30 <REP> d-------- C:\SDFix
2009-03-23 22:00 . 2009-03-23 22:03 <REP> d-------- c:\program files\AVG Anti-Rootkit Free
2009-03-23 22:00 . 2007-01-18 14:00 3,968 --a------ c:\windows\system32\drivers\AvgArCln.sys
2009-03-23 00:58 . 2004-08-20 11:30 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau
2009-03-23 00:58 . 2004-08-20 11:30 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression
2009-03-23 00:58 . 2004-08-20 11:30 <REP> d--h----- c:\documents and settings\Administrateur\Modèles
2009-03-23 00:58 . 2004-08-20 11:42 <REP> dr------- c:\documents and settings\Administrateur\Mes documents
2009-03-23 00:58 . 2004-08-20 11:30 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer
2009-03-23 00:58 . 2005-10-25 22:13 <REP> dr------- c:\documents and settings\Administrateur\Favoris
2009-03-23 00:58 . 2005-10-25 22:13 <REP> d-------- c:\documents and settings\Administrateur\Bureau
2009-03-23 00:58 . 2005-10-25 22:13 <REP> d-------- c:\documents and settings\Administrateur\Application Data\You've Got Pictures Screensaver
2009-03-23 00:58 . 2005-10-25 22:15 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Symantec
2009-03-23 00:58 . 2005-10-25 22:19 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Jasc Software Inc
2009-03-23 00:58 . 2009-03-23 00:58 <REP> d-------- c:\documents and settings\Administrateur
2009-03-23 00:17 . 2009-03-23 00:17 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-03-23 00:17 . 2009-03-23 00:17 <REP> d-------- c:\documents and settings\lise\Application Data\Malwarebytes
2009-03-23 00:17 . 2009-03-23 00:17 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-03-23 00:17 . 2009-02-11 11:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-23 00:17 . 2009-02-11 11:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-22 23:08 . 2009-03-22 23:11 <REP> d-------- c:\program files\Spybot - Search & Destroy
2009-03-22 23:08 . 2009-03-24 09:28 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-03-22 23:04 . 2009-03-22 23:04 213,376 --a------ c:\windows\system32\dllcache\ndis.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-01 06:33 --------- d-----w c:\documents and settings\lise\Application Data\U3
2009-03-31 10:55 --------- d--h--w c:\program files\InstallShield Installation Information
2009-03-26 19:26 --------- d-----w c:\program files\eMule
2009-03-24 13:48 --------- d-----w c:\program files\Universalis 8
2009-03-24 07:43 --------- d-----w c:\documents and settings\All Users\Application Data\TuneUp Software
2009-02-15 20:43 --------- d-----w c:\program files\MSN Messenger
2009-02-15 20:43 --------- d-----w c:\program files\Messenger Plus! Live
2009-02-15 20:41 --------- d-----w c:\program files\Windows Live
2009-02-15 20:38 --------- d-----w c:\program files\Windows Live SkyDrive
2009-02-15 20:38 --------- d-----w c:\program files\Microsoft
2009-02-15 20:35 --------- d-----w c:\program files\Fichiers communs\Windows Live
2009-02-06 18:39 308,600 ----a-w c:\windows\WLXPGSS.SCR
2008-02-18 15:40 130,024 ----a-w c:\documents and settings\lise\Application Data\GDIPFONTCACHEV1.DAT
2004-08-05 11:00 73,728 --sha-w c:\windows\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
2006-12-06 09:56 900 --sha-w c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]
"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-03-23 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-11-01 110592]
Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-11-01 110592]
SrvMod.lnk - c:\windows\twain_32\A3PRO18U16K\SrvMod.exe [2007-12-20 40960]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 12:05 356352 c:\program files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"SENTINEL"= snti386.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma.lnk
backup=c:\windows\pss\Adobe Gamma.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Synchronizer.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Exif Launcher.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Exif Launcher.lnk
backup=c:\windows\pss\Exif Launcher.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Acrobat.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Acrobat.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Acrobat.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]
--a------ 2006-10-23 00:24 620152 c:\program files\Adobe\Acrobat 8.0\Acrobat\acrotray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Version Cue CS2]
--a------ 2005-04-06 17:53 856064 c:\program files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
--a------ 2007-08-04 01:44 1461184 c:\program files\SlySoft\AnyDVD\AnyDVD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent]
--a------ 2007-11-16 02:14 588080 c:\program files\BitTorrent\bittorrent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BuildBU]
--a------ 2005-10-25 21:55 61440 c:\dell\bldbubg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2005-12-10 16:57 133016 c:\program files\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DMXLauncher]
--a------ 2004-09-15 02:01 86016 c:\program files\Dell\Media Experience\DMXLauncher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DVDLauncher]
--------- 2005-02-23 17:19 53248 c:\program files\CyberLink\PowerDVD\DVDLauncher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
--a------ 2004-07-27 17:50 221184 c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
--a------ 2004-07-27 17:50 81920 c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2006-06-14 16:24 278528 c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OSCD_Creator]
--a------ 2005-03-18 16:02 107520 c:\dell\MEDIAEXE\PreODM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdReg]
--------- 2000-05-11 01:00 90112 c:\windows\Updreg.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOKIT]
--a------ 2004-08-23 15:50 122880 c:\progra~1\Wanadoo\Shell.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOTASKBARICON]
--------- 2004-10-14 17:55 32768 c:\progra~1\Wanadoo\GestMAJ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH]
--------- 2004-08-23 15:49 20480 c:\progra~1\Wanadoo\Watch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\P17Helper]
-ra------ 2005-05-03 13:38 64512 c:\windows\system32\P17.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Adobe\\Adobe Version Cue CS2\\bin\\VersionCueCS2.exe"=
"c:\\Program Files\\Autodesk\\3dsMax8\\3dsmax.exe"=
"c:\\Program Files\\Autodesk\\backburner\\monitor.exe"=
"c:\\Program Files\\Autodesk\\backburner\\manager.exe"=
"c:\\Program Files\\Autodesk\\backburner\\server.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\LeechFTP\\Leechftp.exe"=
"c:\\Jul_book\\JEUX\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"c:\\Jul_book\\#Autre\\Coc\\LackeyCCG\\LackeyCCG.exe"=
"c:\\Jul_book\\JEUX\\dow\\W40k.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\twain_32\\A3PRO18U16K\\SrvMod.exe"=
"c:\\WINDOWS\\twain_32\\A3PRO18U16K_Net\\ScanService.exe"=
"c:\\Program Files\\Alias\\Maya8.0\\bin\\maya.exe"=
"c:\\Program Files\\Adobe\\Photoshop 7.0\\Photoshop.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4661:TCP"= 4661:TCP:mumule
"4671:UDP"= 4671:UDP:mumule

R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [2009-03-23 9968]
R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2009-03-23 72944]
R3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [2009-03-23 7408]
S1 3cf7f73d;3cf7f73d;c:\windows\system32\drivers\3cf7f73d.sys --> c:\windows\system32\drivers\3cf7f73d.sys [?]
S3 WlanUIG;Sagem 802.11g Wireless LAN USB Adapter Driver;c:\windows\system32\drivers\WlanUIG.sys [2006-10-03 379456]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - mchInjDrv

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
uaniecyibha
.
Contenu du dossier 'Tâches planifiées'

2009-03-20 c:\windows\Tasks\Maintenance en 1 clic.job
- c:\program files\TuneUp Utilities 2006\SystemOptimizer.exe [2005-09-01 19:04]

2005-11-02 c:\windows\Tasks\Rappel d'abonnement 1 auprès de l'ISP.job
- c:\windows\system32\OOBE\oobebaln.exe [2004-08-05 13:00]
.
- - - - ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-4072 - c:\mtaueu.exe
MSConfigStartUp-ccApp - c:\program files\Fichiers communs\Symantec Shared\ccApp.exe
MSConfigStartUp-RealTray - c:\program files\Real\RealPlayer\RealPlay.exe


.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Ajouter au fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir la sélection en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la sélection en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convertir les liens sélectionnés en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
IE: { - c:\program files\Messenger\msmsgs.exe
TCP: {BE90E251-415F-4557-9A72-357E1D9CEB98} = 80.10.246.1,80.10.246.129
TCP: {DE35B630-0729-4478-91AE-785B9FA42E55} = 80.10.246.1,80.10.246.129
FF - ProfilePath - c:\documents and settings\lise\Application Data\Mozilla\Firefox\Profiles\kd2vab66.default\
FF - prefs.js: browser.startup.homepage - hxxp://google.fr/
FF - plugin: c:\program files\DivXWEB\DivX Content Uploader\npUpload.dll
FF - plugin: c:\program files\DivXWEB\DivX Web Player\npdivx32.dll
FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava11.dll
FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava12.dll
FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava13.dll
FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava14.dll
FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava32.dll
FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJPI142_03.dll
FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPOJI610.dll
FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-01 08:58:56
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\c:\windows\TEMP\mc21.tmp"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-539685073-482701427-3274780688-1006\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{9C6CE0E5-F6FB-7096-0E8E-807119F7C3F9}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"oaiomfhhcomflglfmhcbfajpddmagb"=hex:6b,61,6c,6e,69,67,62,69,6a,61,70,6b,69,70,
6f,62,62,61,6c,63,6e,65,00,00
"naobcgdidehocnggjalkcppmfeke"=hex:6a,61,6c,6e,67,67,68,68,61,67,6b,66,69,67,
6c,70,6f,6f,6c,6c,00,f5
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(284)
c:\program files\SUPERAntiSpyware\SASWINLO.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\program files\TuneUp Utilities 2006\WinStylerThemeSvc.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
c:\windows\system32\drivers\CDANTSRV.EXE
c:\windows\system32\FTRTSVC.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\MsPMSPSv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2009-04-01 9:03:55 - La machine a redémarré [lise]
ComboFix-quarantined-files.txt 2009-04-01 07:03:52

Avant-CF: 59,535,937,536 octets libres
Après-CF: 59,441,840,128 octets libres

267 --- E O F --- 2007-12-17 23:09:22


0
Réponse 28 / 51
Utilisateur anonyme
1 avril 2009 à 11:32

_______________________________________________________________________
=>/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement cet ordinateur,<====|
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=====|
-------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

• Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
• Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
File::
c:\windows\system32\drivers\3cf7f73d.sys
c:\windows\TEMP\mc21.tmp
Service::
botdrv
3cf7f73d
Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
------------------------------------------------------------------

• Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
• Quitte le Bloc Notes

• Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme sur ce lien : http://apu.mabul.org/up/apu/2008/09/06/img-2258535my8h.gif

• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt


0
Réponse 29 / 51
dysphory Messages postés 37 Date d'inscription mardi 24 mars 2009 Statut Membre Dernière intervention 16 février 2010
1 avril 2009 à 11:47
Voila le rapport du nouveau scan :

ComboFix 09-03-31.01 - lise 2009-04-01 11:39:32.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1022.612 [GMT 2:00]
Lancé depuis: c:\documents and settings\lise\Bureau\moi.exe
Commutateurs utilisés :: c:\documents and settings\lise\Bureau\CFScript.txt
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)
* Un nouveau point de restauration a été créé

FILE ::
c:\windows\system32\drivers\3cf7f73d.sys
c:\windows\TEMP\mc21.tmp
.

((((((((((((((((((((((((((((( Fichiers créés du 2009-03-01 au 2009-04-01 ))))))))))))))))))))))))))))))))))))
.

2009-04-01 08:34 . 2009-04-01 08:35 <REP> d-------- C:\ComboFix
2009-03-31 12:58 . 2009-03-31 12:58 <REP> d-------- c:\documents and settings\lise\Application Data\AdobeUM
2009-03-31 12:58 . 2009-03-31 12:58 <REP> d-------- c:\documents and settings\lise\Application Data\AdobeAUM
2009-03-31 11:38 . 2009-03-31 11:58 <REP> d-------- c:\documents and settings\lise\DoctorWeb
2009-03-31 08:41 . 2009-03-31 08:41 <REP> d-------- c:\program files\SUPERAntiSpyware
2009-03-31 08:41 . 2009-03-31 08:41 <REP> d-------- c:\program files\Fichiers communs\Wise Installation Wizard
2009-03-31 08:41 . 2009-03-31 08:41 <REP> d-------- c:\documents and settings\lise\Application Data\SUPERAntiSpyware.com
2009-03-31 08:41 . 2009-03-31 08:41 <REP> d-------- c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com
2009-03-26 16:49 . 2009-03-26 16:49 <REP> d-------- C:\_OTMoveIt
2009-03-25 18:07 . 2009-03-25 18:07 <REP> d-------- C:\rsit
2009-03-24 23:47 . 2009-03-24 23:47 <REP> d-------- c:\program files\Trend Micro
2009-03-24 13:31 . 2009-03-24 13:31 <REP> d-------- c:\program files\Avira
2009-03-24 13:31 . 2009-03-24 13:31 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira
2009-03-24 09:44 . 2009-03-24 09:44 603,904 --a------ c:\windows\system32\TUProgSt.exe
2009-03-23 23:47 . 2009-03-24 09:29 <REP> d-------- c:\program files\CCleaner
2009-03-23 23:06 . 2009-03-23 23:07 <REP> d-------- c:\windows\ERUNT
2009-03-23 22:04 . 2009-03-25 01:30 <REP> d-------- C:\SDFix
2009-03-23 22:00 . 2009-03-23 22:03 <REP> d-------- c:\program files\AVG Anti-Rootkit Free
2009-03-23 22:00 . 2007-01-18 14:00 3,968 --a------ c:\windows\system32\drivers\AvgArCln.sys
2009-03-23 00:58 . 2004-08-20 11:30 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau
2009-03-23 00:58 . 2004-08-20 11:30 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression
2009-03-23 00:58 . 2004-08-20 11:30 <REP> d--h----- c:\documents and settings\Administrateur\Modèles
2009-03-23 00:58 . 2004-08-20 11:42 <REP> dr------- c:\documents and settings\Administrateur\Mes documents
2009-03-23 00:58 . 2004-08-20 11:30 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer
2009-03-23 00:58 . 2005-10-25 22:13 <REP> dr------- c:\documents and settings\Administrateur\Favoris
2009-03-23 00:58 . 2005-10-25 22:13 <REP> d-------- c:\documents and settings\Administrateur\Bureau
2009-03-23 00:58 . 2005-10-25 22:13 <REP> d-------- c:\documents and settings\Administrateur\Application Data\You've Got Pictures Screensaver
2009-03-23 00:58 . 2005-10-25 22:15 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Symantec
2009-03-23 00:58 . 2005-10-25 22:19 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Jasc Software Inc
2009-03-23 00:58 . 2009-03-23 00:58 <REP> d-------- c:\documents and settings\Administrateur
2009-03-23 00:17 . 2009-03-23 00:17 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-03-23 00:17 . 2009-03-23 00:17 <REP> d-------- c:\documents and settings\lise\Application Data\Malwarebytes
2009-03-23 00:17 . 2009-03-23 00:17 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-03-23 00:17 . 2009-02-11 11:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-23 00:17 . 2009-02-11 11:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-22 23:08 . 2009-03-22 23:11 <REP> d-------- c:\program files\Spybot - Search & Destroy
2009-03-22 23:08 . 2009-03-24 09:28 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-03-22 23:04 . 2009-03-22 23:04 213,376 --a------ c:\windows\system32\dllcache\ndis.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-01 09:12 --------- d--h--w c:\program files\InstallShield Installation Information
2009-04-01 06:33 --------- d-----w c:\documents and settings\lise\Application Data\U3
2009-03-26 19:26 --------- d-----w c:\program files\eMule
2009-03-24 13:48 --------- d-----w c:\program files\Universalis 8
2009-03-24 07:43 --------- d-----w c:\documents and settings\All Users\Application Data\TuneUp Software
2009-03-22 21:04 14,336 ----a-w c:\windows\system32\svchost.exe
2009-03-22 21:04 14,336 ----a-w c:\windows\system32\dllcache\svchost.exe
2009-02-15 20:43 --------- d-----w c:\program files\MSN Messenger
2009-02-15 20:43 --------- d-----w c:\program files\Messenger Plus! Live
2009-02-15 20:41 --------- d-----w c:\program files\Windows Live
2009-02-15 20:38 --------- d-----w c:\program files\Windows Live SkyDrive
2009-02-15 20:38 --------- d-----w c:\program files\Microsoft
2009-02-15 20:35 --------- d-----w c:\program files\Fichiers communs\Windows Live
2009-02-06 18:39 308,600 ----a-w c:\windows\WLXPGSS.SCR
2009-02-06 17:52 49,504 ----a-w c:\windows\system32\sirenacm.dll
2008-02-18 15:40 130,024 ----a-w c:\documents and settings\lise\Application Data\GDIPFONTCACHEV1.DAT
2004-08-05 11:00 73,728 --sha-w c:\windows\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
2006-12-06 09:56 900 --sha-w c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]
"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-03-23 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-11-01 110592]
Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-11-01 110592]
SrvMod.lnk - c:\windows\twain_32\A3PRO18U16K\SrvMod.exe [2007-12-20 40960]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 12:05 356352 c:\program files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"SENTINEL"= snti386.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma.lnk
backup=c:\windows\pss\Adobe Gamma.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Synchronizer.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Exif Launcher.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Exif Launcher.lnk
backup=c:\windows\pss\Exif Launcher.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Acrobat.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Acrobat.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Acrobat.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]
--a------ 2006-10-23 00:24 620152 c:\program files\Adobe\Acrobat 8.0\Acrobat\acrotray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Version Cue CS2]
--a------ 2005-04-06 17:53 856064 c:\program files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
--a------ 2007-08-04 01:44 1461184 c:\program files\SlySoft\AnyDVD\AnyDVD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent]
--a------ 2007-11-16 02:14 588080 c:\program files\BitTorrent\bittorrent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BuildBU]
--a------ 2005-10-25 21:55 61440 c:\dell\bldbubg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2005-12-10 16:57 133016 c:\program files\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DMXLauncher]
--a------ 2004-09-15 02:01 86016 c:\program files\Dell\Media Experience\DMXLauncher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DVDLauncher]
--------- 2005-02-23 17:19 53248 c:\program files\CyberLink\PowerDVD\DVDLauncher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
--a------ 2004-07-27 17:50 221184 c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
--a------ 2004-07-27 17:50 81920 c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2006-06-14 16:24 278528 c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OSCD_Creator]
--a------ 2005-03-18 16:02 107520 c:\dell\MEDIAEXE\PreODM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdReg]
--------- 2000-05-11 01:00 90112 c:\windows\Updreg.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOKIT]
--a------ 2004-08-23 15:50 122880 c:\progra~1\Wanadoo\Shell.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOTASKBARICON]
--------- 2004-10-14 17:55 32768 c:\progra~1\Wanadoo\GestMAJ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH]
--------- 2004-08-23 15:49 20480 c:\progra~1\Wanadoo\Watch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\P17Helper]
-ra------ 2005-05-03 13:38 64512 c:\windows\system32\P17.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Adobe\\Adobe Version Cue CS2\\bin\\VersionCueCS2.exe"=
"c:\\Program Files\\Autodesk\\3dsMax8\\3dsmax.exe"=
"c:\\Program Files\\Autodesk\\backburner\\monitor.exe"=
"c:\\Program Files\\Autodesk\\backburner\\manager.exe"=
"c:\\Program Files\\Autodesk\\backburner\\server.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\LeechFTP\\Leechftp.exe"=
"c:\\Jul_book\\JEUX\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"c:\\Jul_book\\#Autre\\Coc\\LackeyCCG\\LackeyCCG.exe"=
"c:\\Jul_book\\JEUX\\dow\\W40k.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\twain_32\\A3PRO18U16K\\SrvMod.exe"=
"c:\\WINDOWS\\twain_32\\A3PRO18U16K_Net\\ScanService.exe"=
"c:\\Program Files\\Alias\\Maya8.0\\bin\\maya.exe"=
"c:\\Program Files\\Adobe\\Photoshop 7.0\\Photoshop.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4661:TCP"= 4661:TCP:mumule
"4671:UDP"= 4671:UDP:mumule

R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [2009-03-23 9968]
R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2009-03-23 72944]
R3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [2009-03-23 7408]
S1 3cf7f73d;3cf7f73d;c:\windows\system32\drivers\3cf7f73d.sys --> c:\windows\system32\drivers\3cf7f73d.sys [?]
S3 WlanUIG;Sagem 802.11g Wireless LAN USB Adapter Driver;c:\windows\system32\drivers\WlanUIG.sys [2006-10-03 379456]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - mchInjDrv

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
uaniecyibha
.
Contenu du dossier 'Tâches planifiées'

2009-03-20 c:\windows\Tasks\Maintenance en 1 clic.job
- c:\program files\TuneUp Utilities 2006\SystemOptimizer.exe [2005-09-01 19:04]

2005-11-02 c:\windows\Tasks\Rappel d'abonnement 1 auprès de l'ISP.job
- c:\windows\system32\OOBE\oobebaln.exe [2004-08-05 13:00]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Ajouter au fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir la sélection en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la sélection en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convertir les liens sélectionnés en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
IE: { - c:\program files\Messenger\msmsgs.exe
TCP: {BE90E251-415F-4557-9A72-357E1D9CEB98} = 80.10.246.1,80.10.246.129
TCP: {DE35B630-0729-4478-91AE-785B9FA42E55} = 80.10.246.1,80.10.246.129
FF - ProfilePath - c:\documents and settings\lise\Application Data\Mozilla\Firefox\Profiles\kd2vab66.default\
FF - prefs.js: browser.startup.homepage - hxxp://google.fr/
FF - plugin: c:\program files\DivXWEB\DivX Content Uploader\npUpload.dll
FF - plugin: c:\program files\DivXWEB\DivX Web Player\npdivx32.dll
FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava11.dll
FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava12.dll
FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava13.dll
FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava14.dll
FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava32.dll
FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJPI142_03.dll
FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPOJI610.dll
FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-01 11:42:30
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-539685073-482701427-3274780688-1006\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{9C6CE0E5-F6FB-7096-0E8E-807119F7C3F9}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"oaiomfhhcomflglfmhcbfajpddmagb"=hex:6b,61,6c,6e,69,67,62,69,6a,61,70,6b,69,70,
6f,62,62,61,6c,63,6e,65,00,00
"naobcgdidehocnggjalkcppmfeke"=hex:6a,61,6c,6e,67,67,68,68,61,67,6b,66,69,67,
6c,70,6f,6f,6c,6c,00,f5
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(284)
c:\program files\SUPERAntiSpyware\SASWINLO.dll
.
Heure de fin: 2009-04-01 11:44:59
ComboFix-quarantined-files.txt 2009-04-01 09:44:57
ComboFix2.txt 2009-04-01 07:03:57

Avant-CF: 59 367 473 152 octets libres
Après-CF: 59,355,357,184 octets libres

247 --- E O F --- 2007-12-17 23:09:22
0
Réponse 30 / 51
Utilisateur anonyme
1 avril 2009 à 11:54
ok mets superAntispyware a jour et retente un scan complet apres avoir redemarré stp
0
Réponse 31 / 51
dysphory Messages postés 37 Date d'inscription mardi 24 mars 2009 Statut Membre Dernière intervention 16 février 2010
1 avril 2009 à 13:01
Salut,

Alors premierement vu que je n'ai plus internet sur le poste vérolé je n'ai pas pu metre SAS à jour, mais je l'avais fait il y a moins de 3 jours, donc je pense que ca devrais aller.

Voici le rapport :

SUPERAntiSpyware journal de bord
https://www.superantispyware.com/

Généré 04/01/2009 at 12:49 PM

Version du Logiciel : 4.26.1000

Core Rules Database Version : 3821
Trace Rules Database Version: 1775

Genre de Scan : Scan Complète
Temps total du Scan : 00:36:40

Articles du Mémoire analysés : 334
Risques de dommage de Mémoire détectés : 0
Articles du Registre analysés : 7259
Risques de dommage de Registre détectés : 0
Articles de fichier scannés : 22348
Risques du Dommage de Fichier Détectés : 0
0
Réponse 32 / 51
Utilisateur anonyme
1 avril 2009 à 13:11
ok quels soucis persistent ?
0
Réponse 33 / 51
dysphory Messages postés 37 Date d'inscription mardi 24 mars 2009 Statut Membre Dernière intervention 16 février 2010
1 avril 2009 à 15:00
A part mes connexions qui ont disparues je pense que c'est bon...

Y'a t-il un moyen de copier des configurations réseaux d'un Pc à un autre ( les icones que l'on trouve dans Connexion réseaux, sous accès à distance et réseaux local/internet grande vitesse ) ?
0
Réponse 34 / 51
Utilisateur anonyme
1 avril 2009 à 15:20
part mes connexions qui ont disparues je pense que c'est bon...

regarde si tu n as pas un "?" dans le gesionnaire de peripheriques
0
Réponse 35 / 51
dysphory Messages postés 37 Date d'inscription mardi 24 mars 2009 Statut Membre Dernière intervention 16 février 2010
1 avril 2009 à 15:27
En effet, j'ai pleins de " ! " dans les peripheriques cartes réseaux.
0
Réponse 36 / 51
Utilisateur anonyme
1 avril 2009 à 15:42
ca veut dire que tes pilotes sont mal installés
0
Réponse 37 / 51
dysphory Messages postés 37 Date d'inscription mardi 24 mars 2009 Statut Membre Dernière intervention 16 février 2010
1 avril 2009 à 15:47
hummm oui
Mais ils étaient bien installés ya 2 jours....
Bon je vais essayé de les remetres avec le cd d'install vu que j'ai pas internet sur ce post du coup.
0
Réponse 38 / 51
Utilisateur anonyme
1 avril 2009 à 15:54
non mais on peut les prendre sur le net par contre (et peut etre plus a jour que ceux que tu as)
0
Réponse 39 / 51
dysphory Messages postés 37 Date d'inscription mardi 24 mars 2009 Statut Membre Dernière intervention 16 février 2010
1 avril 2009 à 16:10
Ce pc est un dell et j'ai trouvé un Dell Reset Driver Tool qui à semblé tout remetre a zero....mais au redémarrage les " ! " étaient encore là.

Je ne peu malheureusement pas désinstaller le préripherique pour le réinstaller car il me dit que ce peripherique est essentiel lors du redémarrage de l'ordinateur...

Je vai essayer de prendre les version plus récente et faire la mise a jour, ca enlevera peut etre les " ! ".
0
Réponse 40 / 51
Utilisateur anonyme
1 avril 2009 à 16:15
si tu connnais les references exactes...
0

Discussions similaires

Retirer le mode sécurisé sur l'écran de la TV connectée Free
beatrice -
baladur13 -

1 réponse
Comment supprimer l'option "Navigation privée"
Error_ -
zemamangeek -

3 réponses