troyens, ver WORM, RKIT...au sceours!!!!

Question

Bonjour, voila, j'ai choppé plein de m........, au départ, je pensais juste avoir un troyen mais apres un scan avec avec antivir, voila le resultat: Avira AntiVir Personal Date de création du fichier de rapport : mercredi 8 avril 2009 22:28 La recherche porte sur 1344408 souches de virus. Détenteur de la licence :Avira AntiVir PersonalEdition Classic Numéro de série : 0000149996-ADJIE-0001 Plateforme : Windows XP Version de Windows :(Service Pack 2) [5.1.2600] Mode Boot : Démarré normalement Identifiant : SYSTEM Nom de l'ordinateur :DOCTEUR-GILLES Informations de version : BUILD.DAT : 8.2.0.52 16931 Bytes 02/12/2008 14:55:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 28/03/2009 11:14:28 AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27 LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16 LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:14:28 ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11/02/2009 11:14:29 ANTIVIR2.VDF : 7.1.3.0 1330176 Bytes 01/04/2009 17:50:58 ANTIVIR3.VDF : 7.1.3.34 132608 Bytes 08/04/2009 17:55:37 Version du moteur: 8.2.0.138 AEVDF.DLL : 8.1.1.0 106868 Bytes 28/03/2009 11:14:29 AESCRIPT.DLL : 8.1.1.73 373114 Bytes 05/04/2009 09:15:21 AESCN.DLL : 8.1.1.10 127348 Bytes 05/04/2009 09:15:20 AERDL.DLL : 8.1.1.3 438645 Bytes 28/03/2009 11:14:29 AEPACK.DLL : 8.1.3.12 397687 Bytes 05/04/2009 09:15:20 AEOFFICE.DLL : 8.1.0.36 196987 Bytes 28/03/2009 11:14:29 AEHEUR.DLL : 8.1.0.114 1700214 Bytes 05/04/2009 09:15:17 AEHELP.DLL : 8.1.2.2 119158 Bytes 28/03/2009 11:14:29 AEGEN.DLL : 8.1.1.33 340340 Bytes 05/04/2009 09:15:13 AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:56 AECORE.DLL : 8.1.6.7 176502 Bytes 05/04/2009 09:15:11 AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56 AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02 AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58 AVREP.DLL : 8.0.0.2 98344 Bytes 28/03/2009 11:14:29 AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37 AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36 NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16 RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43 Configuration pour la recherche actuelle : Nom de la tâche..................: Contrôle intégral du système Fichier de configuration.........: D:\Program Files\Avira\AntiVir PersonalEdition Classic\sysscan.avp Documentation....................: bas Action principale................: interactif Action secondaire................: ignorer Recherche sur les secteurs d'amorçage maître: marche Recherche sur les secteurs d'amorçage: marche Secteurs d'amorçage..............: C:, D:, Recherche dans les programmes actifs: marche Recherche en cours sur l'enregistrement: marche Recherche de Rootkits............: arrêt Fichier mode de recherche........: Tous les fichiers Recherche sur les archives.......: marche Limiter la profondeur de récursivité: 20 Archive Smart Extensions.........: marche Heuristique de macrovirus........: marche Heuristique fichier..............: moyen Début de la recherche : mercredi 8 avril 2009 22:28 La recherche sur les processus démarrés commence : Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'SvcGuiHlpr.exe' - '1' module(s) sont contrôlés Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés Processus de recherche 'wscntfy.exe' - '1' module(s) sont contrôlés Processus de recherche 'AcSvc.exe' - '1' module(s) sont contrôlés Processus de recherche 'SUService.exe' - '1' module(s) sont contrôlés Processus de recherche 'wdfmgr.exe' - '1' module(s) sont contrôlés Processus de recherche 'tvtsched.exe' - '1' module(s) sont contrôlés Processus de recherche 'TpKmpSvc.exe' - '1' module(s) sont contrôlés Processus de recherche 'tvt_reg_monitor_svc.exe' - '1' module(s) sont contrôlés Processus de recherche 'HPZipm12.exe' - '1' module(s) sont contrôlés Processus de recherche 'msrsys32.exe' - '1' module(s) sont contrôlés Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés Processus de recherche 'AcPrfMgrSvc.exe' - '1' module(s) sont contrôlés Processus de recherche 'Magickey.exe' - '1' module(s) sont contrôlés Processus de recherche 'TPONSCR.exe' - '1' module(s) sont contrôlés Processus de recherche 'ltmsg.exe' - '1' module(s) sont contrôlés Processus de recherche 'EZEJMNAP.EXE' - '1' module(s) sont contrôlés Processus de recherche 'ACWLIcon.exe' - '1' module(s) sont contrôlés Processus de recherche 'ACTray.exe' - '1' module(s) sont contrôlés Processus de recherche 'TPHKMGR.exe' - '1' module(s) sont contrôlés Processus de recherche 's3hotkey.exe' - '1' module(s) sont contrôlés Processus de recherche 'ipoint.exe' - '1' module(s) sont contrôlés Processus de recherche 'scheduler_proxy.exe' - '1' module(s) sont contrôlés Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'ibmpmsvc.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés Processus de recherche 'services.exe' - '1' module(s) sont contrôlés Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés '42' processus ont été contrôlés avec '42' modules La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [INFO] Aucun virus trouvé ! La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'D:\' [INFO] Aucun virus trouvé ! La recherche sur les renvois aux fichiers exécutables (registre) commence. Le registre a été contrôlé ( '55' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' Recherche débutant dans 'D:\' D:\pagefile.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\3CQESYY8\bo[1].exe [RESULTAT] Contient le cheval de Troie TR/Dropper.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a380a22.qua' ! D:\Program Files\Adobe\Reader 9.0\Setup Files\{AC76BA86-7AD7-1036-7B44-A91000000001}\Data1.cab [0] Type d'archive: CAB (Microsoft) --> Hls.fra [AVERTISSEMENT] Impossible d'écrire le fichier ! --> MinionPro_Bold.otf [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée. D:\Program Files\eMule\Incoming\MB Free Feng Shui Bagua 1.20.zip [0] Type d'archive: ZIP --> setup.exe [RESULTAT] Contient le modèle de détection du ver WORM/Bagle.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49fd0a35.qua' ! D:\Program Files\eMule\Incoming\MB Free Feng Shui Kua Number 1.65.zip [0] Type d'archive: ZIP --> crac.exe [RESULTAT] Contient le modèle de détection du ver WORM/Bagle.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '489ab81e.qua' ! D:\Program Files\eMule\Incoming\MB Free Feng Shui Suite 1.60.zip [0] Type d'archive: ZIP --> serial.exe [RESULTAT] Contient le modèle de détection du ver WORM/Bagle.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49fd0a36.qua' ! D:\System Volume Information\_restore{5A9F1F3F-BA6C-496C-8B1B-4D46EA5E4BFD}\RP33\A0006389.sys [RESULTAT] Contient le modèle de détection du rootkit RKIT/IrcBot.581632 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a0d0c8c.qua' ! D:\System Volume Information\_restore{5A9F1F3F-BA6C-496C-8B1B-4D46EA5E4BFD}\RP33\A0008389.sys [RESULTAT] Contient le modèle de détection du rootkit RKIT/IrcBot.581632 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b6abea5.qua' ! D:\System Volume Information\_restore{5A9F1F3F-BA6C-496C-8B1B-4D46EA5E4BFD}\RP33\A0009454.sys [RESULTAT] Contient le modèle de détection du rootkit RKIT/IrcBot.581632 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a0d0c8f.qua' ! D:\WINDOWS\system32\drivers\sysdrv32.sys [RESULTAT] Contient le modèle de détection du rootkit RKIT/IrcBot.581632 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a500e94.qua' ! Fin de la recherche : mercredi 8 avril 2009 22:51 Temps nécessaire: 23:02 Minute(s) La recherche a été effectuée intégralement 3278 Les répertoires ont été contrôlés 222338 Des fichiers ont été contrôlés 8 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 8 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 1 Impossible de contrôler des fichiers 222329 Fichiers non infectés 1781 Les archives ont été contrôlées 3 Avertissements 8 Consignes

Ced_King · Answer

Salut, 

Telecharges RSIT " Random's System Information Tool " sur ton bureau : http://images.malwareremoval.com/random/RSIT.exe 

- Fermes toutes les applications en cours et double clic sur RSIT.exe 
- Selectionnes " Continue " à l'ecran >> RSIT va analyser le pc et verifier si l'outil hijackthis ( version à jour) est present sur le pc, si ce n'est pas le cas, RSIT le telechargera >> acceptes la license 
- Une fois l'analyse terminée, 2 rapports.txt s'ouvrent, log.txt à l'écran et info.txt dans la barre des taches 
- Postes le contenu des 2 rapports 
.

etoilee · Answer

ok, merci pour ta rapidité!!!

voici le rapport log.txt:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-04-09 08:56:40
Microsoft Windows XP Professionnel Service Pack 2
System drive D: has 6 GB (54%) free of 11 GB
Total RAM: 767 MB (60% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:57:02, on 09/04/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\ibmpmsvc.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Program Files\Java\jre6\bin\jusched.exe
D:\Program Files\Fichiers communs\Lenovo\Scheduler\scheduler_proxy.exe
D:\Program Files\Microsoft IntelliPoint\ipoint.exe
D:\WINDOWS\system32\s3hotkey.exe
D:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
D:\Program Files\ThinkPad\ConnectUtilities\ACTray.exe
D:\Program Files\ThinkPad\ConnectUtilities\ACWLIcon.exe
D:\PROGRA~1\ThinkPad\Utilities\EzEjMnAp.Exe
D:\WINDOWS\system32\ltmsg.exe
D:\Program Files\Labtec NumPad\Magickey.exe
D:\Program Files\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
D:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Program Files\Java\jre6\bin\jqs.exe
D:\WINDOWS\system32\HPZipm12.exe
D:\Program Files\Fichiers communs\Lenovo	vt_reg_monitor_svc.exe
D:\WINDOWS\system32\TpKmpSVC.exe
D:\Program Files\Fichiers communs\Lenovo\Scheduler	vtsched.exe
D:\Program Files\ThinkPad\ConnectUtilities\AcSvc.exe
D:\Program Files\Lenovo\System Update\SUService.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Program Files\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\WINDOWS\System32\svchost.exe
d:\program files\avira\antivir personaledition classic\avcenter.exe
D:\WINDOWS\system32\NOTEPAD.EXE
D:\Documents and Settings\Administrateur\Bureau\RSIT.exe
D:\Program Files	rend micro\Administrateur.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Program Files\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [TVT Scheduler Proxy] D:\Program Files\Fichiers communs\Lenovo\Scheduler\scheduler_proxy.exe
O4 - HKLM\..\Run: [HPHUPD08] D:\Program Files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
O4 - HKLM\..\Run: [IntelliPoint] "d:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [S3Hotkey] s3hotkey.exe
O4 - HKLM\..\Run: [TPHOTKEY] D:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [ACTray] D:\Program Files\ThinkPad\ConnectUtilities\ACTray.exe
O4 - HKLM\..\Run: [ACWLIcon] D:\Program Files\ThinkPad\ConnectUtilities\ACWLIcon.exe
O4 - HKLM\..\Run: [EZEJMNAP] D:\PROGRA~1\ThinkPad\Utilities\EzEjMnAp.Exe
O4 - HKLM\..\Run: [TPKMAPHELPER] D:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9
O4 - Global Startup: Enable Labtec NumPad.lnk = D:\Program Files\Labtec NumPad\Magickey.exe
O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)
O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Lenovo  - D:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
O23 - Service: Access Connections Main Service (AcSvc) - Lenovo  - D:\Program Files\ThinkPad\ConnectUtilities\AcSvc.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - D:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - D:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: microsoft install le (msile) - Unknown owner - D:\WINDOWS\system\msile.exe (file missing)
O23 - Service: MSR System Service (msrsys) - Unknown owner - D:\WINDOWS\system\msrsys32.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe
O23 - Service: System Update (SUService) - Lenovo Group Limited - D:\Program Files\Lenovo\System Update\SUService.exe
O23 - Service: ThinkVantage Registry Monitor Service - Lenovo Group Limited - D:\Program Files\Fichiers communs\Lenovo	vt_reg_monitor_svc.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - D:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - D:\Program Files\Fichiers communs\Lenovo\Scheduler	vtsched.exe

Ced_King · Answer

On va verifier si il ne reste pas des traces de Bagle avant

- Bagle s'attrappe en telechargeant des cracks et Keygens sur la Mule et autres fournisseurs P2P, si tu en as sur ton pc, je te conseille de les supprimer, sinon l'infection reviendra...

- Supprimes la quarantaine de ton antivirus

Télécharges Findykill
Findykill

->Enregistres le sur ton bureau et pas ailleurs ! 

!! Déconnectes toi et fermes toute applications en cours !! 

->double Cliques sur "FindyKill.exe" pour lancer l'installe de l'outil . Ne touche surtout pas aux paramètres d'installation. 

--> Double cliques sur le raccourci " FindyKill " qui est sur ton bureau . 
-->choisis l'option 1 ( recherche ) . Puis laisses travailler l'outil sans rien toucher ... 

Une fois terminé, postes le rapport FindyKill.txt qui est généré ... 

( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )

Ced_King · Answer

Re,

- Le lien fonctionne, je l'ai corrigé, je te le remets ici :

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

etoilee · Answer

voici le rapport. Antivir continue de me signaler des virus ou programmes malveillants, je refuse l accès ou je les mets en quarantaine?


############################## [ FindyKill V4.722 ] 

# User : Administrateur (Administrateurs) # DOCTEUR-GILLES
# Update on 04/04/09 by Chiquitine29
# Start at: 11:56:22 | 09/04/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

# Mobile Intel(R) Pentium(R) III CPU - M  1133MHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Disabled
# AV : Avira AntiVir PersonalEdition Classic 8.0.1.30 [ Enabled | Updated ]

# C:\ # Disque fixe local # 17,2 Go (3,32 Go free) [Données] # NTFS
# D:\ # Disque fixe local # 10,74 Go (5,77 Go free) [Programmes] # NTFS
# E:\ # Disque CD-ROM
 
############################## [ Processus actifs ] 
 
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\ibmpmsvc.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Program Files\Java\jre6\bin\jqs.exe
D:\WINDOWS\system32\HPZipm12.exe
D:\Program Files\Fichiers communs\Lenovo	vt_reg_monitor_svc.exe
D:\WINDOWS\system32\TpKmpSVC.exe
D:\Program Files\Fichiers communs\Lenovo\Scheduler	vtsched.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Program Files\Java\jre6\bin\jusched.exe
D:\Program Files\Fichiers communs\Lenovo\Scheduler\scheduler_proxy.exe
D:\Program Files\Microsoft IntelliPoint\ipoint.exe
D:\WINDOWS\system32\s3hotkey.exe
D:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
D:\Program Files\ThinkPad\ConnectUtilities\ACTray.exe
D:\Program Files\ThinkPad\ConnectUtilities\ACWLIcon.exe
D:\Program Files\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
D:\PROGRA~1\ThinkPad\Utilities\EzEjMnAp.Exe
D:\WINDOWS\system32\ltmsg.exe
D:\Program Files\Labtec NumPad\Magickey.exe
D:\WINDOWS\system32\wdfmgr.exe
D:\Program Files\ThinkPad\ConnectUtilities\AcSvc.exe
D:\Program Files\Lenovo\System Update\SUService.exe
D:\WINDOWS\system32\wscntfy.exe
D:\WINDOWS\System32\alg.exe
D:\Program Files\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
D:\WINDOWS\system\msrsys32.exe
D:\WINDOWS\system32
otepad.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\WINDOWS\system32\wbem\wmiprvse.exe
 
################## [ D:\WINDOWS # D:\WINDOWS\Prefetch ] 
 
 
################## [ D:\WINDOWS\System32... ] 

 
################## [ D:\Documents and Settings\Administrateur\Application Data ] 
 
 
################## [ D:\Documents and Settings\Administrateur...\Temp Files... ] 
 
 
################## [ Registre / Clés infectieuses ] 
 
 
 
################## [ Recherche dans supports amovibles] 
 
# Recherche fichiers connus : 

 
################## [ Registre / Mountpoint2 ] 
 
# -> Not found !  
 
################## [ ! Fin du rapport # FindyKill V4.722 ! ]

Ced_King · Answer

Telecharge et installe ccleaner : https://filehippo.com/download_ccleaner/ 
- Durant l'installation, n'installe pas la barre d'outils yahoo et decoche la case " ajouter l'option des mises à jour" 

- Une fois installé, fermes toutes les applications en cours et lance ccleaner 
- clic >> option >> avancé et decoches " effacer les fichiers etc... plus vieux que 48h 
- Selectionne " nettoyeur " >> clic sur Analyse puis nettoyage, puis referme le programme... 

- telecharges SmitfraudFix et enregistre le sur ton bureau 

http://siri.urz.free.fr/Fix/SmitfraudFix.exe 

- Desactive la garde de ton antivirus 
-double-cliques sur smitfraudfix >> un fichier est créé 
- Ferme toutes les applications et double-cliques sur Smitfraudfix.exe 
- Laisse toi guider et au menu, selectionne l'option1 puis patiente le temps de la recherche 
- Un rapport s'etablira en fin de scan, poste son contenu

etoilee · Answer

le rapport

SmitFraudFix v2.408

Rapport fait à 19:40:46,30, 09/04/2009
Executé à partir de D:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\ibmpmsvc.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Program Files\Java\jre6\bin\jusched.exe
D:\Program Files\Fichiers communs\Lenovo\Scheduler\scheduler_proxy.exe
D:\Program Files\Microsoft IntelliPoint\ipoint.exe
D:\WINDOWS\system32\s3hotkey.exe
D:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
D:\Program Files\ThinkPad\ConnectUtilities\ACTray.exe
D:\Program Files\ThinkPad\ConnectUtilities\ACWLIcon.exe
D:\PROGRA~1\ThinkPad\Utilities\EzEjMnAp.Exe
D:\WINDOWS\system32\ltmsg.exe
D:\Program Files\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
D:\Program Files\Labtec NumPad\Magickey.exe
D:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Program Files\Java\jre6\bin\jqs.exe
D:\WINDOWS\system\msrsys32.exe
D:\WINDOWS\system32\HPZipm12.exe
D:\Program Files\Fichiers communs\Lenovo	vt_reg_monitor_svc.exe
D:\WINDOWS\system32\TpKmpSVC.exe
D:\Program Files\Fichiers communs\Lenovo\Scheduler	vtsched.exe
D:\Program Files\Lenovo\System Update\SUService.exe
D:\Program Files\ThinkPad\ConnectUtilities\AcSvc.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Program Files\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
D:\WINDOWS\system32\wbem\wmiapsrv.exe
D:\WINDOWS\System32\svchost.exe
D:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\Policies.exe
D:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» D:\


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\Administrateur


»»»»»»»»»»»»»»»»»»»»»»»» D:\DOCUME~1\ADMINI~1\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\Administrateur\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» D:\DOCUME~1\ADMINI~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» D:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="D:\WINDOWS\system32\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Connexion réseau Intel(R) PRO/100 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.40.240
DNS Server Search Order: 212.27.40.241

HKLM\SYSTEM\CCS\Services\Tcpip\..\{1190EC7B-FAB2-45DB-8C01-84755BB6DE4E}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\..\{1190EC7B-FAB2-45DB-8C01-84755BB6DE4E}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS2\Services\Tcpip\..\{1190EC7B-FAB2-45DB-8C01-84755BB6DE4E}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

etoilee · Answer

je viens de supprimer un programme "analyse et diagnostic" que j'ai telechargé il y aune semaine sur emule

Ced_King · Answer

J'espère que tu as supprimé la totalité de tes cracks et keygens, les infections viennent de là !

- Telecharges Malwarebytes' Anti-Malware : 
http://www.malwarebytes.org/mbam/program/mbam-setup.exe 

- Installe le > double-clic sur Mbam-setup.exe, à la fin de l'installation, il se mettra automatiquement à jour 
- Une fois installé, fermes toutes les applications en cours et lances Malwarebytes 
- Executes un examen rapide du pc ( tu n'auras pas accés à internet pendant l'analyse) 
- A la fin du scan clic sur " Afficher les resultats ", si Malwarebytes a trouvé des infections >> clic sur " Supprimer la selection " 
- Si il a besoin de redemarrer le pc pour finir la desinfection, acceptes 
- Un rapport s'etablira, postes son contenu. 
----------------------------------

etoilee · Answer

c'était le seul programme que j avais téléchargé!!! donc tout est bien supprimé.

Voici le rapport malwares, il a trouvé 14 infections, je les ai supprimées et redémarré mon ordi.

Petite question, un firewall aurait-il évité tout cela?

Malwarebytes' Anti-Malware 1.36
Version de la base de données: 1961
Windows 5.1.2600 Service Pack 2

10/04/2009 09:52:50
mbam-log-2009-04-10 (09-52-50).txt

Type de recherche: Examen rapide
Eléments examinés: 63440
Temps écoulé: 3 minute(s), 43 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 11
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
D:\WINDOWS\system\msrsys32.exe (Backdoor.IRCBot) -> Failed to unload process.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysdrv32 (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sysdrv32 (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysdrv32 (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msrsys (Backdoor.IRCBot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\msrsys (Backdoor.IRCBot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msrsys (Backdoor.IRCBot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msile (Backdoor.IRCBot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\msile (Backdoor.IRCBot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\msile (Backdoor.IRCBot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\msrsys (Backdoor.IRCBot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\msrsys (Backdoor.IRCBot) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
D:\WINDOWS\system32\Drivers\sysdrv32.sys (Backdoor.Bot) -> Quarantined and deleted successfully.
D:\WINDOWS\system\msrsys32.exe (Backdoor.IRCBot) -> Delete on reboot.

Ced_King · Answer

Bonjour,

- Petite question, un firewall aurait-il évité tout cela? 


---> oui et non, le firewall est là pour te prevenir, mais c'est toi qui décides de laissé passer ou pas...

- De plus, tu navigues avec un systeme non à jour ( I-E 6, SP2 ) alors qu'on est à SP3 et la version IE 8 est officiellement sortie...

au sujet des failles de sécurité, regardes Ici

--> tu vas me repondre que tu ne te sers pas d'IE et que tu navigues avec Firefox, oui mais tu as besoin d'internet explorer pour justement mettre à jour ton système et les vers, trojans etc... sont les premiers a profiter de ces failles de sécurité...

---> Un peu d'infos sur les Cracks et Keygens et les méfaits du P2P ici : Ici et Là

                                                             --------------------

- Pour Malwarebytes : tu vas vider la quarantaine --> cliques sur l'onglet " Quarantaine et supprimes ce qui s'y trouve.

                                                             ------------------

- Met un coup de ccleaner : analyse + nettoyage, puis cliques sur " Registre " --> checher des erreurs --> puis supprimer les erreurs ( plusieurs fois si il le faut)

                                                          -----------------------
- Ensuite, Postes un nouveau rapport RSIT stp.

..

etoilee · Answer

merci beaucoup pour tes réponses, avant j'utilisais kerio mais je trouve qu'il ralentit énormément ma connexion..
pour la mise à jour en sp3, j'utilise une version crackée de windows, il me semble donc que e ne peux pas mettre à jour windows en sp3, je crois même que je ne peux mettre à jour non plus internet explorer...je me trompe?

le rapport:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-04-10 10:54:22
Microsoft Windows XP Professionnel Service Pack 2
System drive D: has 6 GB (54%) free of 11 GB
Total RAM: 767 MB (68% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:54:38, on 10/04/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\ibmpmsvc.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Program Files\Java\jre6\bin\jqs.exe
D:\WINDOWS\system32\HPZipm12.exe
D:\Program Files\Fichiers communs\Lenovo	vt_reg_monitor_svc.exe
D:\WINDOWS\system32\TpKmpSVC.exe
D:\Program Files\Fichiers communs\Lenovo\Scheduler	vtsched.exe
D:\Program Files\ThinkPad\ConnectUtilities\AcSvc.exe
D:\Program Files\Lenovo\System Update\SUService.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Program Files\Java\jre6\bin\jusched.exe
D:\Program Files\Fichiers communs\Lenovo\Scheduler\scheduler_proxy.exe
D:\Program Files\Microsoft IntelliPoint\ipoint.exe
D:\WINDOWS\system32\s3hotkey.exe
D:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
D:\Program Files\ThinkPad\ConnectUtilities\ACTray.exe
D:\Program Files\ThinkPad\ConnectUtilities\ACWLIcon.exe
D:\PROGRA~1\ThinkPad\Utilities\EzEjMnAp.Exe
D:\Program Files\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
D:\WINDOWS\system32\ltmsg.exe
D:\Program Files\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
D:\Program Files\Labtec NumPad\Magickey.exe
D:\WINDOWS\system32\wbem\wmiapsrv.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe
D:\Documents and Settings\Administrateur\Bureau\RSIT.exe
D:\Program Files	rend micro\Administrateur.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Program Files\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [TVT Scheduler Proxy] D:\Program Files\Fichiers communs\Lenovo\Scheduler\scheduler_proxy.exe
O4 - HKLM\..\Run: [HPHUPD08] D:\Program Files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
O4 - HKLM\..\Run: [IntelliPoint] "d:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [S3Hotkey] s3hotkey.exe
O4 - HKLM\..\Run: [TPHOTKEY] D:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [ACTray] D:\Program Files\ThinkPad\ConnectUtilities\ACTray.exe
O4 - HKLM\..\Run: [ACWLIcon] D:\Program Files\ThinkPad\ConnectUtilities\ACWLIcon.exe
O4 - HKLM\..\Run: [EZEJMNAP] D:\PROGRA~1\ThinkPad\Utilities\EzEjMnAp.Exe
O4 - HKLM\..\Run: [TPKMAPHELPER] D:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9
O4 - Global Startup: Enable Labtec NumPad.lnk = D:\Program Files\Labtec NumPad\Magickey.exe
O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)
O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Lenovo  - D:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
O23 - Service: Access Connections Main Service (AcSvc) - Lenovo  - D:\Program Files\ThinkPad\ConnectUtilities\AcSvc.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - D:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - D:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe
O23 - Service: System Update (SUService) - Lenovo Group Limited - D:\Program Files\Lenovo\System Update\SUService.exe
O23 - Service: ThinkVantage Registry Monitor Service - Lenovo Group Limited - D:\Program Files\Fichiers communs\Lenovo	vt_reg_monitor_svc.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - D:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - D:\Program Files\Fichiers communs\Lenovo\Scheduler	vtsched.exe

Ced_King · Answer

je crois même que je ne peux mettre à jour non plus internet explorer...je me trompe?


- La charte de CCM ne me permet pas de te répondre, mais...

-----

- Bon il en reste encore, si il te reste des cracks et keygens, je te prie de les supprimer avant, sinon on risque de tourner en rond :

Telecharges Combofix et enregistres le sur ton bureau 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe - 

/!\ Desactives ton antivirus et la garde de ton antispyware ( si tu en as un) /!\ 

- Deconnectes toi et fermes toutes les applications en cours 
- Double clic sur Combofix.exe >> un message apparait > réponds " oui " 
- ( Il est conseillé d'installer la console de recuperations) 
- Selectionnes la langue et presse la touche 1 ( yes) pour lancer le scan 

/!\ Ne touche ni à la souris, ni au clavier durant le scan, cela pourrait figer l'ordi /!\ 

- A la fin du scan, Combofix aura besoin de redemarrer pour finir la desinfection, laisses le faire 
- Une fois terminé, un rapport s'affiche, poste son contenu que tu peux aussi trouver à c:\combofix.txt 
---------------------------

etoilee · Answer

il ne reste aucun crack, le seul que j avais installer, je l'ai viré. voici le rapport ComboFix 09-04-04.01 - Administrateur 2009-04-10 12:23:37.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.767.475 [GMT 2:00] Lancé depuis: d:\documents and settings\Administrateur\Bureau\ComboFix.exe AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) * Un nouveau point de restauration a été créé . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . d:\install\install.exe d:\windows\system32\404Fix.exe d:\windows\system32\Agent.OMZ.Fix.exe d:\windows\system32\dumphive.exe d:\windows\system32\IEDFix.C.exe d:\windows\system32\IEDFix.exe d:\windows\system32\o4Patch.exe d:\windows\system32\Process.exe d:\windows\system32\SrchSTS.exe d:\windows\system32\tmp.reg d:\windows\system32\VACFix.exe d:\windows\system32\VCCLSID.exe d:\windows\system32\WS2Fix.exe d:\windows\Tasks\JkDefragCmd.exe . ((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_SYSDRV32 ((((((((((((((((((((((((((((( Fichiers créés du 2009-03-10 au 2009-04-10 )))))))))))))))))))))))))))))))))))) . 2009-04-09 20:44 . 2009-04-09 20:44 d-------- d:\documents and settings\Administrateur\Application Data\dvdcss 2009-04-09 09:47 . 2009-04-09 11:56 d-------- D:\FindyKill 2009-04-09 08:56 . 2009-04-09 08:57 d-------- D:\rsit 2009-04-09 08:56 . 2009-04-10 10:54 d-------- d:\program files\trend micro 2009-04-09 08:21 . 2009-04-09 08:21 d-------- d:\documents and settings\Administrateur\(null) 2009-04-08 20:42 . 2009-04-09 19:12 d-------- d:\program files\BankPerfect 2009-04-05 15:22 . 1998-10-01 15:22 304,128 --a------ d:\windows\unin040c.exe 2009-04-05 15:11 . 2009-04-05 15:11 d-------- d:\windows\Sun 2009-04-05 14:04 . 2009-04-05 14:04 253,952 --------- d:\windows\Setup1.exe 2009-04-05 14:04 . 2009-04-05 14:04 74,752 --a------ d:\windows\ST6UNST.EXE 2009-04-03 12:28 . 2005-05-05 08:51 37,376 --a------ d:\windows\system32\hpz3l3xu.dll 2009-04-03 12:28 . 2004-08-03 23:08 31,616 --a------ d:\windows\system32\drivers\usbccgp.sys 2009-04-03 12:28 . 2004-08-03 23:08 31,616 --a--c--- d:\windows\system32\dllcache\usbccgp.sys 2009-04-03 11:08 . 2009-04-03 11:13 d-------- d:\program files\Winamp 2009-04-03 11:08 . 2009-04-03 11:20 d-------- d:\documents and settings\Administrateur\Application Data\Winamp 2009-04-03 11:08 . 2008-08-20 19:58 129,520 --------- d:\windows\system32\pxafs.dll 2009-04-03 11:08 . 2008-08-20 19:58 44,944 --------- d:\windows\system32\drivers\PxHelp20.sys 2009-04-03 11:08 . 2008-08-20 19:58 9,200 --------- d:\windows\system32\drivers\cdralw2k.sys 2009-04-03 11:08 . 2008-08-20 19:58 9,072 --------- d:\windows\system32\drivers\cdr4_xp.sys 2009-04-01 20:52 . 2009-04-01 21:41 d-------- d:\documents and settings\Administrateur\Application Data\Grisbi 2009-03-30 21:51 . 2009-03-31 00:16 25,992 --a------ d:\windows\system32\pgdfgsvc.exe 2009-03-30 21:45 . 2009-03-30 21:45 d-------- d:\program files\Bit Che 2009-03-30 21:45 . 2009-03-30 21:45 d-------- d:\documents and settings\Administrateur\Application Data\Convivea 2009-03-30 21:45 . 2004-03-09 00:00 1,081,616 --a------ d:\windows\system32\mscomctl.OCX 2009-03-30 21:41 . 2009-03-30 21:42 d-------- d:\program files\uTorrent 2009-03-30 21:27 . 2009-03-30 21:31 d-------- d:\program files\Spybot - Search & Destroy 2009-03-30 21:27 . 2009-04-07 20:29 d-------- d:\documents and settings\All Users\Application Data\Spybot - Search & Destroy 2009-03-30 21:20 . 2009-04-10 09:45 d-------- d:\program files\Malwarebytes' Anti-Malware 2009-03-30 21:20 . 2009-03-30 21:20 d-------- d:\documents and settings\All Users\Application Data\Malwarebytes 2009-03-30 21:20 . 2009-03-30 21:20 d-------- d:\documents and settings\Administrateur\Application Data\Malwarebytes 2009-03-30 21:20 . 2009-04-06 15:32 38,496 --a------ d:\windows\system32\drivers\mbamswissarmy.sys 2009-03-30 21:20 . 2009-04-06 15:32 15,504 --a------ d:\windows\system32\drivers\mbam.sys 2009-03-30 20:13 . 2009-03-30 20:13 d-------- d:\documents and settings\Administrateur\WINDOWS 2009-03-30 19:43 . 2009-03-30 19:43 d-------- d:\program files\S3Inc 2009-03-28 18:26 . 2009-04-05 14:14 d-------- d:\program files\eMule 2009-03-28 18:26 . 2009-03-30 21:44 d-------- d:\documents and settings\Administrateur\Application Data\uTorrent 2009-03-28 17:39 . 2002-04-10 03:10 625,105 -ra------ d:\windows\system32\drivers\ltmdmxp.sys 2009-03-28 17:39 . 2001-04-03 03:38 38,912 -ra------ d:\windows\system32\ltmsg.exe 2009-03-28 17:39 . 2009-03-28 17:39 0 -rah----- d:\windows\system32\drivers\IBM_2647_NG1_TP.MRK 2009-03-28 17:37 . 2006-06-29 22:57 32,768 --a------ d:\windows\system32\TpKmpSvc.exe 2009-03-28 17:37 . 2007-03-09 03:57 7,168 --a------ d:\windows\system32\drivers\TSMAPIP.SYS 2009-03-28 17:35 . 2008-11-13 19:02 1,056,768 --a------ d:\windows\system32\MFC71.dll 2009-03-28 17:35 . 2008-05-15 16:46 582,968 --a------ d:\windows\system32\tvt_gina.dll 2009-03-28 17:35 . 2008-05-15 16:46 292,152 --a------ d:\windows\system32\tvt_gina_api.dll 2009-03-28 17:35 . 2005-09-28 18:07 11,520 --a------ d:\windows\system32\drivers\ANC.sys 2009-03-28 17:35 . 2008-05-12 21:22 4,224 --a------ d:\windows\system32\drivers\IBMBLDID.sys 2009-03-28 17:35 . 2009-03-28 17:35 188 --a------ d:\windows\x 2009-03-28 17:35 . 2009-03-28 17:35 0 --a------ d:\windows\system32\AccConnAdvanced.html 2009-03-28 17:05 . 2008-11-13 08:41 252,544 --a------ d:\windows\system32\PROUnstl.exe 2009-03-28 17:05 . 2006-01-12 15:52 1,904 --------- d:\windows\system32\SetupBD.din 2009-03-28 17:01 . 2009-03-28 17:06 d-------- d:\program files\Intel 2009-03-28 16:59 . 2009-03-28 16:59 d----c--- d:\windows\system32\DRVSTORE 2009-03-28 16:59 . 2009-03-28 16:59 d-------- d:\program files\Microsoft IntelliPoint 2009-03-28 16:59 . 2008-12-04 12:34 27,784 --a------ d:\windows\system32\drivers\point32.sys 2009-03-28 16:57 . 2009-03-28 16:57 d-------- d:\windows\Options 2009-03-28 16:57 . 2003-06-25 14:28 65,024 --------- d:\windows\ltremove.exe 2009-03-28 16:57 . 2003-07-14 10:52 40,960 --------- d:\windows\ltmsg.exe 2009-03-28 16:45 . 2009-03-28 16:45 d-------- d:\documents and settings\All Users\Application Data\HP 2009-03-28 16:39 . 1998-10-29 17:45 306,688 --a------ d:\windows\IsUninst.exe 2009-03-28 16:39 . 2004-09-29 13:12 278,584 --a------ d:\windows\system32\HPZidr12.dll 2009-03-28 16:39 . 2004-09-29 13:15 204,800 --a------ d:\windows\system32\HPZipr12.dll 2009-03-28 16:39 . 2004-09-29 13:09 94,208 --a------ d:\windows\system32\HPZipt12.dll 2009-03-28 16:39 . 2004-09-29 13:14 69,632 --a------ d:\windows\system32\HPZipm12.exe 2009-03-28 16:39 . 2004-09-29 13:08 61,440 --a------ d:\windows\system32\HPZinw12.exe 2009-03-28 16:39 . 2004-09-29 13:09 57,344 --a------ d:\windows\system32\HPZisn12.dll 2009-03-28 16:38 . 2009-03-28 16:38 d-------- d:\program files\Fichiers communs\Lenovo 2009-03-28 16:36 . 2009-03-28 18:14 d-------- d:\program files\HP 2009-03-28 16:36 . 2004-08-04 00:08 26,496 --a--c--- d:\windows\system32\dllcache\usbstor.sys 2009-03-28 16:36 . 2004-08-04 00:01 25,856 --a------ d:\windows\system32\drivers\usbprint.sys 2009-03-28 16:36 . 2004-08-04 00:01 25,856 --a--c--- d:\windows\system32\dllcache\usbprint.sys 2009-03-28 16:33 . 2009-03-28 16:45 81,733 --a------ d:\windows\HPHins08.dat 2009-03-28 16:33 . 2005-06-01 18:23 4,011 --------- d:\windows\hphmdl08.dat 2009-03-28 16:29 . 2009-03-28 16:46 d-------- d:\documents and settings\Administrateur\Application Data\HP 2009-03-28 16:28 . 2009-03-28 16:28 d-------- d:\program files\Labtec NumPad 2009-03-28 16:28 . 1998-11-13 14:16 308,224 --a------ d:\windows\IsUn040c.exe 2009-03-28 16:28 . 2005-02-21 16:29 8,960 --a------ d:\windows\system32\drivers\UsbFltr.sys 2009-03-28 16:23 . 2001-09-27 12:00 57,216 --a------ d:\windows\system32\drivers\cwawdm.sys 2009-03-28 16:22 . 2009-03-28 18:15 d-------- d:\program files\ThinkPad 2009-03-28 16:22 . 2006-10-02 02:55 55,296 --------- d:\windows\system32\TP98.CPL 2009-03-28 16:22 . 2006-10-02 02:55 14,848 --------- d:\windows\system32\drivers\SMAPINT.SYS 2009-03-28 16:22 . 2006-10-02 02:55 9,343 --------- d:\windows\system32\drivers\TDSMAPI.SYS 2009-03-28 16:21 . 2005-10-17 02:11 65,536 --a------ d:\windows\system32\TP4EX.exe 2009-03-28 16:21 . 2005-10-17 02:11 61,440 --a------ d:\windows\system32\tp4ex.cpl 2009-03-28 16:21 . 2005-10-17 02:11 40,960 --a------ d:\windows\system32\tp4cross.exe 2009-03-28 16:21 . 2005-10-17 02:11 8,345 --a------ d:\windows\system32\TP4EX.HLP 2009-03-28 16:21 . 2005-10-17 02:11 5,928 --a------ d:\windows\system32\TP4LATCH.WAV 2009-03-28 16:21 . 2005-10-17 02:11 4,458 --a------ d:\windows\system32\TP4CLICK.WAV 2009-03-28 16:20 . 2009-03-28 17:37 d--h----- d:\program files\InstallShield Installation Information 2009-03-28 16:20 . 2005-10-17 02:11 45,056 --a------ d:\windows\system32\FPCALL.dll 2009-03-28 16:20 . 2005-10-17 02:11 40,960 --a------ d:\windows\system32\TP4HOOK.dll 2009-03-28 16:15 . 2008-01-22 12:09 16,384 --a------ d:\windows\system32\WorkAfterReboot.exe 2009-03-28 16:07 . 2009-03-28 16:07 d-------- d:\program files\Real Alternative 2009-03-28 16:06 . 2009-03-28 16:06 d-------- d:\program files\QuickTime Alternative 2009-03-28 16:06 . 2009-03-28 16:06 d-------- d:\documents and settings\All Users\Application Data\Apple Computer 2009-03-28 16:06 . 2009-01-05 17:18 90,112 --a------ d:\windows\system32\QuickTimeVR.qtx 2009-03-28 16:06 . 2009-01-05 17:18 57,344 --a------ d:\windows\system32\QuickTime.qts 2009-03-28 16:03 . 2009-04-09 19:55 d-------- d:\program files\adslTV 2009-03-28 16:03 . 2009-03-28 16:15 d-------- d:\documents and settings\Administrateur\Application Data\vlc 2009-03-28 15:48 . 2009-03-28 15:48 d-------- d:\windows\system32\(null) 2009-03-28 15:47 . 2009-03-28 17:34 d-------- d:\program files\Lenovo 2009-03-28 15:47 . 2007-02-19 07:56 21,376 --a------ d:\windows\system32\drivers\psadd.sys 2009-03-28 15:35 . 2009-03-28 15:35 d-------- d:\program files\ma-config.com 2009-03-28 15:35 . 2009-03-28 15:35 d-------- d:\documents and settings\All Users\Application Data\ma-config.com 2009-03-28 15:12 . 2009-03-31 00:00 d-------- d:\program files\JKdefrag 2009-03-28 15:07 . 2009-03-28 15:08 d-------- d:\program files\7-Zip 2009-03-28 15:01 . 2009-03-28 15:02 d-------- d:\program files\CCleaner 2009-03-28 14:52 . 2009-03-28 14:53 d-------- d:\program files\VistaCodecPack 2009-03-28 14:51 . 2009-03-28 14:51 d-------- d:\documents and settings\All Users\Application Data\VistaCodecs 2009-03-28 14:49 . 2006-06-29 14:07 14,048 --------- d:\windows\system32\spmsg2.dll 2009-03-28 14:48 . 2009-03-28 14:48 d-------- d:\windows\system32\fr-FR 2009-03-28 14:44 . 2009-03-28 14:48 d-------- d:\windows\system32\XPSViewer 2009-03-28 14:44 . 2009-03-28 14:44 d-------- d:\program files\Reference Assemblies 2009-03-28 14:44 . 2009-03-28 14:44 d-------- d:\program files\MSBuild 2009-03-28 14:43 . 2009-03-28 14:44 d-------- D:\3504aa2e694944159305cc56898c 2009-03-28 14:43 . 2008-07-06 14:06 1,676,288 --------- d:\windows\system32\xpssvcs.dll 2009-03-28 14:43 . 2008-07-06 14:06 1,676,288 -----c--- d:\windows\system32\dllcache\xpssvcs.dll 2009-03-28 14:43 . 2008-07-06 12:50 597,504 -----c--- d:\windows\system32\dllcache\printfilterpipelinesvc.exe 2009-03-28 14:43 . 2008-07-06 14:06 575,488 --------- d:\windows\system32\xpsshhdr.dll 2009-03-28 14:43 . 2008-07-06 14:06 575,488 -----c--- d:\windows\system32\dllcache\xpsshhdr.dll 2009-03-28 14:43 . 2008-07-06 14:06 117,760 --------- d:\windows\system32\prntvpt.dll 2009-03-28 14:43 . 2008-07-06 14:06 89,088 -----c--- d:\windows\system32\dllcache\filterpipelineprintproc.dll 2009-03-28 14:39 . 2009-03-28 14:39 d-------- d:\program files\MSXML 6.0 2009-03-28 14:39 . 2007-11-30 13:18 26,488 --a------ d:\windows\system32\spupdsvc.exe 2009-03-28 14:25 . 2009-03-28 14:25 d-------- d:\documents and settings\Administrateur\Application Data\OpenOffice.org 2009-03-28 14:05 . 2009-03-28 15:18 d-------- d:\program files\OpenOffice.org 3 . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-03-28 10:44 --------- d-----w d:\program files\Avira 2009-03-28 10:44 --------- d-----w d:\documents and settings\All Users\Application Data\Avira 2009-03-28 10:18 --------- d-----w d:\program files\Fichiers communs\Ahead 2009-03-28 10:09 --------- d-----w d:\program files\microsoft frontpage 2009-03-28 10:06 --------- d-----w d:\program files\Services en ligne 2009-03-22 00:59 67,584 ----a-w d:\windows\system32\ff_vfw.dll 2009-03-02 11:29 505,128 ----a-w d:\windows\system32\msvcp71.dll 2009-03-02 11:29 353,576 ----a-w d:\windows\system32\msvcr71.dll 2009-02-22 15:32 1,003,520 ----a-w d:\windows\system32\VSFilter.dll . ------- Sigcheck ------- 2004-08-18 13:22 359040 27a5959c94ee173a063ca06bd14f021a d:\windows\system32\drivers\tcpip.sys 2004-08-23 02:35 1036288 998f3f568f6074a35ab08cd3395a9dc2 d:\windows\explorer.exe . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NeroFilterCheck"="d:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "avgnt"="d:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "Adobe Reader Speed Launcher"="d:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696] "SunJavaUpdateSched"="d:\program files\Java\jre6\bin\jusched.exe" [2009-03-28 148888] "TVT Scheduler Proxy"="d:\program files\Fichiers communs\Lenovo\Scheduler\scheduler_proxy.exe" [2008-03-04 487424] "HPHUPD08"="d:\program files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe" [2005-06-01 49152] "IntelliPoint"="d:\program files\Microsoft IntelliPoint\ipoint.exe" [2008-06-10 1406024] "TPHOTKEY"="d:\progra~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe" [2006-10-02 94208] "ACTray"="d:\program files\ThinkPad\ConnectUtilities\ACTray.exe" [2009-01-20 425984] "ACWLIcon"="d:\program files\ThinkPad\ConnectUtilities\ACWLIcon.exe" [2009-01-20 159744] "EZEJMNAP"="d:\progra~1\ThinkPad\Utilities\EzEjMnAp.Exe" [2008-10-08 256576] "TPKMAPHELPER"="d:\program files\ThinkPad\Utilities\TpKmapAp.exe" [2007-01-09 868352] "TP4EX"="tp4ex.exe" [2005-10-17 d:\windows\system32\TP4EX.exe] "S3Hotkey"="s3hotkey.exe" [2002-09-19 d:\windows\system32\s3hotkey.exe] "LTWinModem1"="ltmsg.exe" [2001-04-03 d:\windows\system32\ltmsg.exe] d:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Enable Labtec NumPad.lnk - d:\program files\Labtec NumPad\Magickey.exe [2009-03-28 110592] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ACNotify] 2009-01-20 19:31 32768 d:\program files\ThinkPad\ConnectUtilities\ACNotify.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2] 2005-07-06 00:45 28672 d:\windows\system32\notifyf2.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey] 2005-11-30 21:16 24576 d:\windows\system32\tphklock.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.divxa32"= divxa32.acm [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Notification Packages REG_MULTI_SZ scecli ACGina [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "d:\Program Files\uTorrent\uTorrent.exe"= "d:\Program Files\eMule\emule.exe"= R1 ANC;ANC;d:\windows\system32\drivers\ANC.sys [2009-03-28 11520] R1 IBMTPCHK;IBMTPCHK;d:\windows\system32\drivers\IBMBLDID.sys [2009-03-28 4224] R1 UsbFltr;WayTechMUSBFilterDriver;d:\windows\system32\drivers\UsbFltr.sys [2009-03-28 8960] S3 maconfservice;Ma-Config Service;d:\program files\ma-config.com\maconfservice.exe [2009-03-15 216232] . Contenu du dossier 'Tâches planifiées' 2009-03-30 d:\windows\Tasks\JkDefrag.job - d:\windows\tasks\JkDefragTask.cmd [2009-03-30 21:50] . . ------- Examen supplémentaire ------- . FF - ProfilePath - d:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\s6y1vnji.default\ FF - prefs.js: browser.startup.homepage - www.google.fr FF - prefs.js: keyword.URL - hxxp://xeoo.com/?p=url&a=firefox&k= FF - prefs.js: network.proxy.type - 4 FF - component: d:\program files\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll FF - plugin: d:\program files\ma-config.com\nphardwaredetection.dll FF - plugin: d:\program files\Mozilla Firefox\plugins\np-mswmp.dll ---- PARAMETRES FIREFOX ---- d:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("pref.browser.homepage.disable_button.bookmark_page", false); d:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("pref.browser.homepage.disable_button.current_page", false); d:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("pref.browser.homepage.disable_button.restore_default", false); d:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.places.importBookmarksHTML", true); d:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.places.importDefaults", false); d:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.search.selectedEngine", "xeoo.com"); d:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("keyword.URL", "http://xeoo.com/?p=url&a=firefox&k="); d:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.startup.homepage", "http://www.xeoo.com/?p=h&a=firefox"); . ************************************************************************** catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-04-10 12:28:35 Windows 5.1.2600 Service Pack 2 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'winlogon.exe'(696) d:\program files\ThinkPad\ConnectUtilities\ACNotify.dll d:\program files\ThinkPad\ConnectUtilities\AcSvcStub.dll d:\program files\ThinkPad\ConnectUtilities\AcLocSettings.dll d:\program files\ThinkPad\ConnectUtilities\ACHelper.dll d:\windows\system32\tphklock.dll - - - - - - - > 'lsass.exe'(752) d:\program files\ThinkPad\ConnectUtilities\ACGina.dll d:\program files\ThinkPad\ConnectUtilities\ACHelper.dll d:\program files\ThinkPad\ConnectUtilities\AcSvcStub.dll d:\program files\ThinkPad\ConnectUtilities\AcLocSettings.dll d:\program files\ThinkPad\ConnectUtilities\ACON.dll d:\program files\ThinkPad\ConnectUtilities\AcPrfMgr.dll d:\program files\ThinkPad\ConnectUtilities\AcCryptHlpr.dll d:\program files\ThinkPad\ConnectUtilities\ACTurinSupport.dll d:\program files\ThinkPad\ConnectUtilities\AcSmBiosHelper.dll d:\program files\ThinkPad\ConnectUtilities\AcAdaptersInfo.dll . ------------------------ Autres processus actifs ------------------------ . d:\windows\system32\ibmpmsvc.exe d:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe d:\program files\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe d:\program files\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe d:\program files\ThinkPad\Utilities\EZEJMNAP.EXE d:\program files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe d:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe d:\program files\Java\jre6\bin\jqs.exe d:\windows\system32\HPZipm12.exe d:\program files\Fichiers communs\Lenovo\tvt_reg_monitor_svc.exe d:\windows\system32\TpKmpSvc.exe d:\program files\Fichiers communs\Lenovo\Scheduler\tvtsched.exe d:\windows\system32\wdfmgr.exe d:\program files\ThinkPad\ConnectUtilities\AcSvc.exe d:\program files\Lenovo\System Update\SUService.exe d:\windows\system32\wscntfy.exe d:\program files\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe d:\windows\system32\wbem\wmiapsrv.exe . ************************************************************************** . Heure de fin: 2009-04-10 12:32:24 - La machine a redémarré ComboFix-quarantined-files.txt 2009-04-10 10:32:21 Avant-CF: 6 128 050 176 octets libres Après-CF: 6,090,506,240 octets libres WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect 302

etoilee · Answer

petite info, lorsque j'allume mon ordi, internet fonctionne correctement, mais au bout d'un certain temps, il n'arrive plus à ouvrir les pages, si je tente de réparer la connexion, il me dit qu il ne peut pas car il n a pas pu changer l'adresse ip. Je ne sais pas si c'est en lien avec les virus mais ca vient de me le refaire. Lorsque je redémarre mon ordi, ça refonctionne...

Ced_King · Answer

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ces fichiers : 

d:\windows\unin040c.exe 

d:\windows\x 

 d:\windows\Setup1.exe  

Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta réponse.

etoilee · Answer

je n'y arrive pas, lors de l'envoi, il s'arrête et me dit qu'il y a une erreur:

"Exception

Please report failure as: ErrorTime= "Apr 10 14:40:40"

Ced_King · Answer

Problème sur le site...

Fais un scan en ligne ici https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr (Avec Internet Explorer) 

- En bas à droite, clique sur Démarrer Online-scanner 

- Dans la nouvelle fenêtre qui s'affiche, clique sur J'accepte 

- Accepte les Contrôles ActiveX 

- Choisis Poste de travail pour le scan. 

- Celui-ci terminé, sauvegarde (Choisis fichier texte) et poste le rapport 

- Pour t'aider à utiliser le scan en ligne : 
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566 

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte-toi sur le site de Kaspersky pour retenter le scan en ligne. 
---------------------

etoilee · Answer

le rapport kasper

-------------------------------------------------------------------------------
 KASPERSKY ON-LINE SCANNER REPORT
 Friday, April 10, 2009 5:14:16 PM
 Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
 Kaspersky On-line Scanner version : 5.0.84.2
 Dernière mise à jour de la base antivirus Kaspersky : 10/04/2009
 Enregistrements dans la base antivirus Kaspersky : 1836465
-------------------------------------------------------------------------------

Paramètres d'analyse:
	Analyser avec la base antivirus suivante: standard
	Analyser les archives: vrai
	Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
	C:\
	D:\
	E:\

Statistiques de l'analyse:
	Total d'objets analysés: 28275
	Nombre de virus trouvés: 1
	Nombre d'objets infectés: 1 / 0
	Nombre d'objets suspects: 0
	Durée de l'analyse: 01:11:34

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Photos\2006\Camp Corse\Corse (41).jpg	Infecté : Trojan-Downloader.BAT.Small.e	ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase	L'objet est verrouillé	ignoré
D:\Documents and Settings\Administrateur\Cookies\index.dat	L'objet est verrouillé	ignoré
D:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
D:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
D:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5\index.dat	L'objet est verrouillé	ignoré
D:\Documents and Settings\Administrateur\Local Settings	emp\Free Download Manager	icB.tmp	L'objet est verrouillé	ignoré
D:\Documents and Settings\Administrateur\Local Settings	emp\Free Download Manager	icC.tmp	L'objet est verrouillé	ignoré
D:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat	L'objet est verrouillé	ignoré
D:\Documents and Settings\Administrateur
tuser.dat	L'objet est verrouillé	ignoré
D:\Documents and Settings\Administrateur
tuser.dat.LOG	L'objet est verrouillé	ignoré
D:\Documents and Settings\LocalService\Cookies\index.dat	L'objet est verrouillé	ignoré
D:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
D:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
D:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat	L'objet est verrouillé	ignoré
D:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat	L'objet est verrouillé	ignoré
D:\Documents and Settings\LocalService\NTUSER.DAT	L'objet est verrouillé	ignoré
D:\Documents and Settings\LocalService
tuser.dat.LOG	L'objet est verrouillé	ignoré
D:\Documents and Settings\NetworkService\Cookies\index.dat	L'objet est verrouillé	ignoré
D:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
D:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
D:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat	L'objet est verrouillé	ignoré
D:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat	L'objet est verrouillé	ignoré
D:\Documents and Settings\NetworkService\NTUSER.DAT	L'objet est verrouillé	ignoré
D:\Documents and Settings\NetworkService
tuser.dat.LOG	L'objet est verrouillé	ignoré
D:\System Volume Information\MountPointManagerRemoteDatabase	L'objet est verrouillé	ignoré
D:\System Volume Information\_restore{5A9F1F3F-BA6C-496C-8B1B-4D46EA5E4BFD}\RP34\change.log	L'objet est verrouillé	ignoré
D:\WINDOWS\Debug\PASSWD.LOG	L'objet est verrouillé	ignoré
D:\WINDOWS\SchedLgU.Txt	L'objet est verrouillé	ignoré
D:\WINDOWS\system32\CatRoot2\edb.log	L'objet est verrouillé	ignoré
D:\WINDOWS\system32\CatRoot2	mp.edb	L'objet est verrouillé	ignoré
D:\WINDOWS\system32\config\AppEvent.Evt	L'objet est verrouillé	ignoré
D:\WINDOWS\system32\config\default	L'objet est verrouillé	ignoré
D:\WINDOWS\system32\config\default.LOG	L'objet est verrouillé	ignoré
D:\WINDOWS\system32\config\SAM	L'objet est verrouillé	ignoré
D:\WINDOWS\system32\config\SAM.LOG	L'objet est verrouillé	ignoré
D:\WINDOWS\system32\config\SecEvent.Evt	L'objet est verrouillé	ignoré
D:\WINDOWS\system32\config\SECURITY	L'objet est verrouillé	ignoré
D:\WINDOWS\system32\config\SECURITY.LOG	L'objet est verrouillé	ignoré
D:\WINDOWS\system32\config\software	L'objet est verrouillé	ignoré
D:\WINDOWS\system32\config\software.LOG	L'objet est verrouillé	ignoré
D:\WINDOWS\system32\config\SysEvent.Evt	L'objet est verrouillé	ignoré
D:\WINDOWS\system32\config\system	L'objet est verrouillé	ignoré
D:\WINDOWS\system32\config\system.LOG	L'objet est verrouillé	ignoré
D:\WINDOWS\system32\h323log.txt	L'objet est verrouillé	ignoré
D:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	L'objet est verrouillé	ignoré
D:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	L'objet est verrouillé	ignoré
D:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	L'objet est verrouillé	ignoré
D:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	L'objet est verrouillé	ignoré
D:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	L'objet est verrouillé	ignoré
D:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	L'objet est verrouillé	ignoré
D:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	L'objet est verrouillé	ignoré
D:\WINDOWS\Temp\Perflib_Perfdata_7c8.dat	L'objet est verrouillé	ignoré

Analyse terminée.

etoilee · Answer

je relance car je n'ai plus de nouvelles depuis vendredi...

merci

loloetseb · Answer

En attendant le retour de Ced king ,

Télécharge Superantispyware (SAS) 

Choisis "enregistrer" et enregistre-le sur ton bureau. 

Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions. 

Créé une icône sur le bureau. 

Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer. 

- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes. 
- Sous Configuration and Preferences, clique sur le bouton "Preferences" 
- Clique sur l'onglet "Scanning Control " 
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée : 

Close browsers before scanning 
Scan for tracking cookies 
Terminate memory threats before quarantining 
- Laisse les autres lignes décochées. 

- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle. 

- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer". 

Dans la colonne de gauche, coche C:\Fixed Drive. 

Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan" 

Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan. 

A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK. 

Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next". 

Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes. 

Pour recopier les informations sur le forum, fais ceci : 

- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS. 
- Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ". 
- Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log. 

- Le rapport va s'ouvrir dans ton éditeur de texte par défaut. 

- Copie son contenu dans ta réponse. 


Regarde bien le tuto SUPERAntiSpyware il est très bien expliqué.

etoilee · Answer

ok, merci de prendre la relève.

voici le rapport

SUPERAntiSpyware Scan Log
https://www.superantispyware.com/

Generated 04/14/2009 at 08:18 PM

Application Version : 4.26.1000

Core Rules Database Version : 3842
Trace Rules Database Version: 1797

Scan type       : Complete Scan
Total Scan Time : 00:59:42

Memory items scanned      : 429
Memory threats detected   : 0
Registry items scanned    : 4108
Registry threats detected : 0
File items scanned        : 28402
File threats detected     : 3

Adware.Tracking Cookie
	D:\Documents and Settings\Administrateur\Cookies\administrateur@msnportal.112.2o7[1].txt
	D:\Documents and Settings\Administrateur\Cookies\administrateur@xiti[1].txt
	D:\Documents and Settings\Administrateur\Cookies\administrateur@smartadserver[2].txt

loloetseb · Answer

Repostes un rsit supprimes les anciens rapports avant de relancer le scan

Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau. 

! Déconnecte toi et ferme toutes tes applications en cours ! 

Double-clique sur " RSIT.exe " pour le lancer . 

-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " . 

* Devant l'option "List files/folders created ..." , tu choisis : 2 months 

* clique ensuite sur " Continue " pour lancer l'analyse ... 


-> laisse faire le scan et ne touche pas au PC ... 


Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note). 

Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ... 

Important : poste un rapport, puis l'autre dans la réponse suivante
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum 


( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )

loloetseb · Answer

Afin de ne vexer personne et pensant rendre service à la personne helpé,je laisse la place à ced king qui porte bien son nom,le retour,bonne fin de topic

Ced_King · Answer

Afin de ne vexer personne 

- Vexer, surement pas, ça me gonfle un point c'est tout !

 ced king qui porte bien son nom

- Que veux tu dire par là ?

pensant rendre service à la personne helpé

- T'es comme la cavalerie, tu te ramènes à la fin avec ton SuperantiChépakoi et ses 3 cookies !

- M'as tu vu m'incruster dans un de tes topics et venir proposer quoique ce soit ?

- Ca fait déjà 2 fois, la dernière fois t'es venu t'incruster alors que je disais à la personne que si elle ne virait pas ses cracks et keygens infectés ( c'est pas moi qui le disait, mais Kaspersky...), ce n'était pas la peine de continuer... Toi le super Héros avec tes superchépakois, tu t'es permis de venir relancer ce topic : ICI

-----

gen-hackman · Answer

bonsoir a tous 

t'enerves pas ced.....c est pour faire avancer c est tout !!

maintenant c'est bon tu peux t'exprimer autrement sans blesser les gens et aussi sans faire peur à l'internaute lui faisant vivre une guerre sainte ...!!

je te rappele que c est son topic et que lui , n'y est pour rien

loloetseb · Answer

;)

Ced_King · Answer

c est pour faire avancer c est tout !! 

- C'est dingue comme ça avance --> 1 heure de scan pour 3 cookies, mdr !

je te rappele que c est son topic et que lui , n'y est pour rien 

--> je confirmes, qu'il aille alors dans ce que tu prends en charge, tu n'es pas à un prés !

maintenant c'est bon tu peux t'exprimer autrement sans blesser les gens

- il y a les MP pour ça et c'est ce que j'ai fais, ok !

- et aussi sans faire peur à l'internaute lui faisant vivre une guerre sainte ...!! 

- Tu crois pas que tu vas un peu loin et de toute façon de quoi je me mèle, tu parles au berger, c'est le mouton qui te réponds ici...


- Maintenant, je répètes que veux tu dire par là --> ced king qui porte bien son nom

- - - -

gen-hackman · Answer

C'est dingue comme ça avance --> 1 heure de scan pour 3 cookies, mdr ! 

mouais toujours mieux que de repondre 4 j apres laissant l internaute dans le doute et le non-savoir....

Ced_King · Answer

Je répètes et avant que ça partes en c*****s, de quoi je me mèle ?

---

Ced_King · Answer

mouais toujours mieux que de repondre 4 j apres laissant l internaute dans le doute et le non-savoir.... 

- Chez toi, ils ont plutot tendance a se barrer au bout d'une heure !

- Et ce n'est qu'un exemple :

http://www.commentcamarche.net/forum/affich 11978153 message intempestif sur mozilla firefox?dernier#dernier

gen-hackman · Answer

de rien c'est clair mais je trouve que c'est dommage que ca prenne cette direction voila tout

bonne continuation au plaisir ...

==========>[]

loloetseb · Answer

;)

Ced_King · Answer

Allez, perso je ferme !

- Etoilée, je suis désolé de la tournure que prends ce topic et suis aux regrets de te dire que je ne continuerais pas la desinfection, meme si celle-ci a l'air terminé...

- Si ce n'est tes photos de camps en Corse a supprimer --> Rapport Kaspersky !

- PS : Voilà pourquoi je ne veux pas que n'importe qui interviennes et désolé encore si je ne suis pas 24h/24 devant le pc...

- Si tu n'es pas sure, je te conseillerais de poster un nouveau message sur le forum en mettant celui-ci en " Resolu '"

- Ce qui est sur, c'est que ton pc est beaucoup mieux qu'il ne l'était au départ...

- Salut et bonne chance pour la suite...
.

gen-hackman · Answer

???????????????????

loloetseb · Answer

Bon j'ai supprimé mes posts concernant cette discussion ,je pense que pour le helpé ,il serait bien que tu en fasse de meme ced king

etoilee · Answer

ok, il s'en passe des choses en une soirée... 

merci Ced-King pour ta précieuse aide et aucun soucis sur le fait que ne sois pas toujours devant ton ordi...

je vais supprimer mes photos de corse, refaire un scan kaspersky, et si j'ai à nouveau des m... je réouvrirai un message. Juste une dernière petite question, que dois je faire des programmes de désinfection  ce que j'ai télécharger, les garder ou les supprimer?

merci

Ced_King · Answer

Salut Etoilée,

- Peux tu envoyer un nouveau rapport RSIT stp ? et ne tiens pas compte du reste, je ne vois pas pourquoi tu paierais les "pots cassés "

------

etoilee · Answer

ok, merci Ced-King,

par contre, je n'ai pas encore supprimer mes photos de corse


rapport log;

Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-04-15 12:10:55
Microsoft Windows XP Professionnel Service Pack 2
System drive D: has 6 GB (52%) free of 11 GB
Total RAM: 767 MB (61% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:11:06, on 15/04/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\ibmpmsvc.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Program Files\Java\jre6\bin\jqs.exe
D:\WINDOWS\system32\HPZipm12.exe
D:\Program Files\Fichiers communs\Lenovo	vt_reg_monitor_svc.exe
D:\WINDOWS\system32\TpKmpSVC.exe
D:\Program Files\Fichiers communs\Lenovo\Scheduler	vtsched.exe
D:\Program Files\Lenovo\System Update\SUService.exe
D:\Program Files\ThinkPad\ConnectUtilities\AcSvc.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Program Files\Java\jre6\bin\jusched.exe
D:\Program Files\Fichiers communs\Lenovo\Scheduler\scheduler_proxy.exe
D:\Program Files\Microsoft IntelliPoint\ipoint.exe
D:\WINDOWS\system32\s3hotkey.exe
D:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
D:\Program Files\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
D:\Program Files\ThinkPad\ConnectUtilities\ACTray.exe
D:\Program Files\ThinkPad\ConnectUtilities\ACWLIcon.exe
D:\PROGRA~1\ThinkPad\Utilities\EzEjMnAp.Exe
D:\WINDOWS\system32\ltmsg.exe
D:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
D:\Program Files\Labtec NumPad\Magickey.exe
D:\Program Files\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\WINDOWS\System32\svchost.exe
D:\Documents and Settings\Administrateur\Bureau\RSIT.exe
D:\Program Files	rend micro\Administrateur.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Program Files\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [TVT Scheduler Proxy] D:\Program Files\Fichiers communs\Lenovo\Scheduler\scheduler_proxy.exe
O4 - HKLM\..\Run: [HPHUPD08] D:\Program Files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
O4 - HKLM\..\Run: [IntelliPoint] "d:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [S3Hotkey] s3hotkey.exe
O4 - HKLM\..\Run: [TPHOTKEY] D:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [ACTray] D:\Program Files\ThinkPad\ConnectUtilities\ACTray.exe
O4 - HKLM\..\Run: [ACWLIcon] D:\Program Files\ThinkPad\ConnectUtilities\ACWLIcon.exe
O4 - HKLM\..\Run: [EZEJMNAP] D:\PROGRA~1\ThinkPad\Utilities\EzEjMnAp.Exe
O4 - HKLM\..\Run: [TPKMAPHELPER] D:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Enable Labtec NumPad.lnk = D:\Program Files\Labtec NumPad\Magickey.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O20 - Winlogon Notify: !SASWinLogon - D:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)
O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Lenovo  - D:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
O23 - Service: Access Connections Main Service (AcSvc) - Lenovo  - D:\Program Files\ThinkPad\ConnectUtilities\AcSvc.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - D:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - D:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe
O23 - Service: System Update (SUService) - Lenovo Group Limited - D:\Program Files\Lenovo\System Update\SUService.exe
O23 - Service: ThinkVantage Registry Monitor Service - Lenovo Group Limited - D:\Program Files\Fichiers communs\Lenovo	vt_reg_monitor_svc.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - D:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - D:\Program Files\Fichiers communs\Lenovo\Scheduler	vtsched.exe

Ced_King · Answer

Bonjour et désolé pour le retard...

-1°) Vas tout d'abord à la racine du disque dur et supprimes C:\qobox

-2°) Clique sur Démarrer puis Exécuter. Tapes combofix /u dans la zone de saisie puis OK. 
- ( il y a un espace entre combofix et /u) 

                                                              --------------------------
Puis,

* telecharge  SDFix sur ton bureau : 

- Fermes toutes les applications en cours, puis double clic sur le raccourci de ton bureau 

- Clic sur " Install " pour l'extraire dans un dossier dedié 

- Redemarres ton pc en mode sans echec : 
- Au demarrage du pc, tapotes sur la touche F8 ou F5 du clavier juste aprés le bip du bios et avant le logo " windows " 
- Un ecran avec plusieurs choix apparaitra > selectionnes " mode sans echec " et valides par la touche " Entrée " de ton clavier 

- Une fois en " mode sans echec " , ouvres le fichier créé, puis double clic sur " Runthis.bat " 
- Une fenetre noir apparait, appuies sur la touche " Y " pour lancer le nettoyage 
- Le bureau va disparaitre, c'est normal 
- L'outil va travailler, patientes jusqu'à la fin du scan 
- Une fois terminé, Sdfix te signalera que l'ordi doit redemarrer, acceptes en pressant une touche.. 
- Le pc va redemarrer en mode normal, une fois ton bureau en place, il va générer un rapport 
- Sauvegardes le et poste son contenu ( tu le trouveras aussi à c:\report.txt) 

Note : 

-Si SDfix ne se lance pas --> ça peut arriver 
- clic sur Démarrer->Exécuter 
- Copie/colle ceci dans la fenêtre : 

%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe 


- Clique sur ok, et valide. 
- Redémarre et essaye de nouveau de lancer SDfix. 

....

etoilee · Answer

salut Ced-King,

je te postes le rapport mais je n'ai pas désinstaller jkdefrag , pourquoi, faut il le faire, il n'est pas bien? Il me sert a défragmenter. 

c'est bien toi qui m'a écrit sur ma "boite aux lettres"?


[b]SDFix: Version 1.240 [/b]
Run by Administrateur on 16/04/2009 at 12:55

Microsoft Windows XP [version 5.1.2600]
Running From: D:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]: 

No Trojan Files Found






Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-16 13:03:54
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\Program Files\ma-config.com\maconfservice.exe"="D:\Program Files\ma-config.com\maconfservice.exe:LocalSubNet:Enabled:maconfservice"
"D:\Program Files\uTorrent\uTorrent.exe"="D:\Program Files\uTorrent\uTorrent.exe:*:Enabled:µTorrent"
"D:\Program Files\eMule\emule.exe"="D:\Program Files\eMule\emule.exe:*:Enabled:eMule"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\Program Files\ThinkVantage\SystemUpdate\jre\bin\javaw.exe"="D:\Program Files\ThinkVantage\SystemUpdate\jre\bin\javaw.exe:*:Enabled:ThinkVantage System Update"

[b]Remaining Files [/b]:



[b]Files with Hidden Attributes [/b]:

Mon 26 Jan 2009     1,740,632 A.SHR --- "D:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon 26 Jan 2009     5,365,592 A.SHR --- "D:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Thu  5 Mar 2009     2,260,480 A.SHR --- "D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"

[b]Finished![/b]

etoilee · Answer

16/04/2009,08:47 Le service Avira AntiVir Personal - Free Antivirus a été arrêté !
16/04/2009,09:01 ---------------------------------------------------------
16/04/2009,09:01 Le fichier de licence contient une licence valable. Le service Avira AntiVir Personal - Free Antivirus fonctionne en tant que version intégrale non restreinte !
16/04/2009,09:01 AntiVir Guard version : 8.00.01.30,  version du moteur 8.2.0.143,  version VDF : 7.1.3.57
16/04/2009,09:01 AntiVir Guard a été activé
16/04/2009,09:01 Le service Avira AntiVir Personal - Free Antivirus a bien été démarré !
16/04/2009,09:01 [CONFIG]  Configuration utilisée pour la recherche en temps réel :
      - Fichiers contrôlés :  Contrôler les fichiers des lecteurs locaux
      - Mode appareil :  Contrôler le fichier à l'ouverture, Contrôler le fichier après sa fermeture
      - Contrôler uniquement les fichiers avec l'extension de fichier suivante :  . .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CPX .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FAS .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .LSP .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDF .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SIS .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMF .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .XXX .ZIP
      - Décompresser les fichiers compressés dans le temps d'exécution
      - Action : Interroger l'utilisateur
      - Heuristique macrovirus : MACRO , WIN32 MOYENNE
      - Etape de documentation : 1
16/04/2009,09:19 [AVERTISSEMENT] Contient le cheval de Troie TR/Dropper.Gen!
  D:\WINDOWS\system32\06.scr
      [INFO]  Le fichier va être copié dans le répertoire de quarantaine !
      [INFO]  Le fichier va être supprimé !
16/04/2009,09:19 [AVERTISSEMENT] Contient le cheval de Troie TR/Dropper.Gen!
  D:\WINDOWS\system32\72.scr
      [INFO]  Le fichier va être copié dans le répertoire de quarantaine !
      [INFO]  Le fichier va être supprimé !
16/04/2009,09:15 [AVERTISSEMENT] Contient le cheval de Troie TR/Dropper.Gen!
  D:\WINDOWS\system32\72.scr
      [INFO]  Le fichier va être copié dans le répertoire de quarantaine !
      [INFO]  Le fichier va être supprimé !
16/04/2009,09:10 [AVERTISSEMENT] Contient le cheval de Troie TR/Dropper.Gen!
  D:\WINDOWS\system32\06.scr
      [INFO]  Le fichier va être copié dans le répertoire de quarantaine !
      [INFO]  Le fichier va être supprimé !
16/04/2009,09:25 [CONFIG]  Configuration utilisée pour la recherche en temps réel :
      - Fichiers contrôlés :  Contrôler les fichiers des lecteurs locaux
      - Mode appareil :  Contrôler le fichier à l'ouverture, Contrôler le fichier après sa fermeture
      - Contrôler tous les fichiers
      - Décompresser les fichiers compressés dans le temps d'exécution
      - Action : Interroger l'utilisateur
      - Heuristique macrovirus : MACRO , WIN32 MOYENNE
      - Etape de documentation : 1
16/04/2009,09:25 [CONFIG]  Configuration utilisée pour la recherche en temps réel :
      - Fichiers contrôlés :  Contrôler les fichiers des lecteurs locaux
      - Mode appareil :  Contrôler le fichier à l'ouverture, Contrôler le fichier après sa fermeture
      - Contrôler tous les fichiers
      - Décompresser les fichiers compressés dans le temps d'exécution
      - Action : Interroger l'utilisateur
      - Heuristique macrovirus : MACRO , WIN32 MOYENNE
      - Etape de documentation : 1
16/04/2009,09:29 [AVERTISSEMENT] Contient le cheval de Troie TR/Crypt.XPACK.Gen!
  D:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\89SK3MEO\l[1]
      [INFO]  Le fichier va être copié dans le répertoire de quarantaine !
      [INFO]  Le fichier va être supprimé !
16/04/2009,09:30 [AVERTISSEMENT] Contient le cheval de Troie TR/Dropper.Gen!
  D:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\IDELSZ0V\x[1].x
      [INFO]  Le fichier va être copié dans le répertoire de quarantaine !
      [INFO]  Le fichier va être supprimé !
16/04/2009,09:30 [AVERTISSEMENT] Contient le cheval de Troie TR/Dropper.Gen!
  D:\WINDOWS\system32\27.scr
      [INFO]  Le fichier va être copié dans le répertoire de quarantaine !
      [INFO]  Le fichier va être supprimé !
16/04/2009,09:30 [AVERTISSEMENT] Contient le cheval de Troie TR/Dropper.Gen!
  D:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\OXA1CEP0\x[1].x
      [INFO]  Le fichier va être copié dans le répertoire de quarantaine !
      [INFO]  Le fichier va être supprimé !
16/04/2009,09:31 [AVERTISSEMENT] Contient le cheval de Troie TR/Dropper.Gen!
  D:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\IDELSZ0V\x[1].x
      [INFO]  Le fichier va être copié dans le répertoire de quarantaine !
      [INFO]  Le fichier va être supprimé !
16/04/2009,09:31 [AVERTISSEMENT] Contient le cheval de Troie TR/Dropper.Gen!
  D:\WINDOWS\system32\58.scr
      [INFO]  Le fichier va être copié dans le répertoire de quarantaine !
      [INFO]  Le fichier va être supprimé !
16/04/2009,12:49 Le service Avira AntiVir Personal - Free Antivirus a été arrêté !
16/04/2009,13:03 ---------------------------------------------------------
16/04/2009,13:03 Le fichier de licence contient une licence valable. Le service Avira AntiVir Personal - Free Antivirus fonctionne en tant que version intégrale non restreinte !
16/04/2009,13:03 AntiVir Guard version : 8.00.01.30,  version du moteur 8.2.0.143,  version VDF : 7.1.3.57
16/04/2009,13:03 AntiVir Guard a été activé
j ai reussi a trouve un rapport, tout ce qui a été trouvé aujourd hui, je l ai mis en quarantaine. C'est étrange, antivir ne faisait plus ca depuis que nous avons commence a desinfecter l'ordi...et la il recommence, il me fait toujours le même probleme avec le son, "audio windows" ne démarre automatiquement alors qu il est configure comme cela ou bien il s'arrete en cours de route...

je te postes aussi la réponse dans l'autre poste

16/04/2009,13:03 Le service Avira AntiVir Personal - Free Antivirus a bien été démarré !
16/04/2009,13:03 [CONFIG]  Configuration utilisée pour la recherche en temps réel :
      - Fichiers contrôlés :  Contrôler les fichiers des lecteurs locaux
      - Mode appareil :  Contrôler le fichier à l'ouverture, Contrôler le fichier après sa fermeture
      - Contrôler tous les fichiers
      - Décompresser les fichiers compressés dans le temps d'exécution
      - Action : Interroger l'utilisateur
      - Heuristique macrovirus : MACRO , WIN32 MOYENNE
      - Etape de documentation : 1
16/04/2009,13:09 [AVERTISSEMENT] Contient le cheval de Troie TR/Dropper.Gen!
  D:\WINDOWS\system32\34.scr
      [INFO]  Le fichier va être copié dans le répertoire de quarantaine !
      [INFO]  Le fichier va être supprimé !
16/04/2009,13:09 [AVERTISSEMENT] Contient le cheval de Troie TR/Dropper.Gen!
  D:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\OXA1CEP0\cuntf[1].exe
      [INFO]  Le fichier va être copié dans le répertoire de quarantaine !
      [INFO]  Le fichier va être supprimé !

Ced_King · Answer

Ok, si c'est pourTR/Dropper.Gen , regardes ICI et  Là

---> Rien de bien méchant et en lisant tu comprendras...
-----------------------

Telecharges Toolscleaner2 sur ton bureau : 
http://pc-system.fr/ 

- Cliques sur " Recherche " et patientes 
- Ciques ensuite sur" supprimer " pour finaliser 
- Clic sur exit >> un rapport sera généré, postes son contenu 

                                            -----------------------

- Telecharges et installes Filehippo-updatechecker afin de verifier les mises a jours des applications et programmes de ton pc

                                          -----------------------------
Une fois ceci fait, lances Ccleaner et cliques sur " Nettoyeur " puis lances une analyse et le nettoyage
                      
- Cliques ensuite sur " Registre " -->" chercher des erreurs " puis " réparer les erreurs " jusqu'à ce qu'il n'y ai plus d'erreurs ( sauvegardes le registre, tu le supprimeras d'ici 2 à 3 jours)

                                        -----------------------------

- Lances un scan en ligne avec  Bitdefender en te servant du Tutoriel si il le faut.

- Puis postes le rapport généré..

----------

etoilee · Answer

j'ai lance une recherche toolscleaner2, supprimer et quittern mais il n'a pas édité de rapport...si j ai bien lu, il a desinstaller tous ce que nous avions installer sauf findykill

je fais le reste, par contre je m'absente jusqu à lundi soir...

bon week end, à lundi

Ced_King · Answer

Ok, pour le rapport il se trouve à C:\TC.txt

--> pour Findykill, executes l'option3 ( desinstallation)

- Bon W-E à toi de meme !

.....

etoilee · Answer

ok, en fait findkilly a été désinstaller mais il apparait toujours sur mon bureau

[ Rapport ToolsCleaner version 2.3.5 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

D:\SDFIX: trouvé !
D:\Combofix: trouvé !
D:\FindyKill: trouvé !
D:\Rsit: trouvé !
D:\Documents and Settings\Administrateur\Bureau\SdFix.exe: trouvé !
D:\Documents and Settings\Administrateur\Bureau\SmitFraudFix.exe: trouvé !
D:\Documents and Settings\Administrateur\Bureau\Rsit.exe: trouvé !
D:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\FindyKill: trouvé !
D:\Program Files	rend micro\HijackThis.exe: trouvé !
D:\Program Files	rend micro\hijackthis.log: trouvé !

---------------------------------
--> Suppression: 

D:\Documents and Settings\Administrateur\Bureau\SdFix.exe: supprimé !
D:\Documents and Settings\Administrateur\Bureau\SmitFraudFix.exe: supprimé !
D:\Program Files	rend micro\HijackThis.exe: supprimé !
D:\Documents and Settings\Administrateur\Bureau\Rsit.exe: supprimé !
D:\Program Files	rend micro\hijackthis.log: supprimé !
D:\SDFIX: supprimé !
D:\Combofix: supprimé !
D:\FindyKill: supprimé !
D:\Rsit: supprimé !
D:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\FindyKill: supprimé !

Ced_King · Answer

Supprimes le raccourci !!!

gen-hackman · Answer

oui c est l icone de couleur non ?

tu peux le supprimer a la main

gen-hackman · Answer

oups....desole trompé

etoilee · Answer

Salut Ced-King,

me voilà de retour, je poste le rapport bit defender, il n'y a aucun fichier infecté!!

BitDefender Online Scanner - Rapport virus en temps réel
	

 
	

 

Généré à: Mon, Apr 20, 2009 - 20:19:23

 
	

 
	

 

Info d'analyse
	

 
	

 

Fichiers scannés
	

30721

Infectés Fichiers
	

0
	

 
	

 

 
	

 
	

 

Virus Détectés
	

 
	

 

Aucun virus trouvé.
	

	

 
	

 

 
	

 
	

 

 
	

 
	

 

Ce sommaire du processus d'analyse sera utilisé par les laboratoires Antivirus BitDefender pour créer des statistiques agréguées sur l'activité des virus dans le monde.

etoilee · Answer

par contre, j ai toujours mon probleme de son...

Ced_King · Answer

Avant d'essayer de regler ton problème de son, Tu vas purger la restauration systeme en desactivant et reactivant celle-ci :

* Touche Windows+Pause (ça ouvre les propriétés systèmes)
* onglet Restauration du système
* coches désactiver la restauration du système
* cliques Appliquer
* Redémarres puis reviens au même endroit et décoches ce que tu avais coché

Regardes là : http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924

                                                             ---------------------

- Pour ton problème de son, on va verifier :

cliques sur --> Démarrer/Exécuter, tapes services.msc puis OK. 
La liste des services installés va apparaitre. 

*Recherche dans la liste le service ayant pour nom: Audio Windows et double-cliques dessus pour faire apparaitre les détails.

*Regarde ce qu'il y a dans les champs Type de démarrage et statut du service.

*Si le statut du service n'est pas sur Démarré, cliques sur le bouton Démarrer dans la fenêtre.

*Si le service démarre normalement, teste le son (système et musique)

*Si le service ne démarre pas et te donne un message d'erreur, note le et poste le dans ta prochaine réponse

etoilee · Answer

c'est ce que je fait, quand mon son se coupe, je vais sur services.msc et je constate que windows audio est arreté. Ce qui est étrange, c'est que ce n'est pas toujours parail, hier soir en allumant mon ordi, le son était coupé dès le démarrage, parfois, le son fonctionne et s'arrete tout a coup. Ce matin par exemple, je viens de vérifier, il est démarré et le son marche

freelog · Answer

juste une question 
pourquoi son système est sur D: ?
on m'a toujours appris que il doit être sur la racine à savoir c:

etoilee · Answer

je me suis posee la meme...je ne sais pas. J ai fomater mon ordi il y a quelques mois. Avant ce formatage, windows etait sur C, lorsque j'ai lance le formatage a partir du disque d'installation windows, il m'a dit que windows était sur D et c'etait celui la qu'il fallait que je formate, j ai verifie en regardant le nombre de giga alloue a chaque disque, et effectivement, il avait bien juste echangé les lettres, 

bref, c'est paséevident a expliquer, mais en fait i est sur C qui s'appelle pour je ne sais quelle raison D!

freelog · Answer

cela m'avait interpellé
à savoir quand même que 
quand on est pas sur C: 
ça pose toujours problème un jour où l'autre

etoilee · Answer

ok, et donc , c'est bon pour mon ordi...il n'y a plus de m...?

etoilee · Answer

bonjour,

je ne sais pas pourquoi mais je n'ai plus de nouvelles...

voici un rapport de virus total, concernant des fichiers infectes

Antivirus 	Version 	Dernière mise à jour 	Résultat
AhnLab-V3 	2008.12.5.0 	2008.12.05 	-
AntiVir 	7.9.0.41 	2008.12.05 	-
Authentium 	5.1.0.4 	2008.12.05 	-
Avast 	4.8.1281.0 	2008.12.04 	-
AVG 	8.0.0.199 	2008.12.05 	-
BitDefender 	7.2 	2008.12.05 	-
CAT-QuickHeal 	10.00 	2008.12.05 	-
ClamAV 	0.94.1 	2008.12.05 	-
Comodo 	682 	2008.12.04 	-
DrWeb 	4.44.0.09170 	2008.12.05 	-
eSafe 	7.0.17.0 	2008.12.04 	-
eTrust-Vet 	31.6.6243 	2008.12.04 	-
Ewido 	4.0 	2008.12.04 	-
F-Prot 	4.4.4.56 	2008.12.04 	-
F-Secure 	8.0.14332.0 	2008.12.05 	Suspicious:W32/RATPack.10!Gemini
Fortinet 	3.117.0.0 	2008.12.05 	-
GData 	19 	2008.12.05 	-
Ikarus 	T3.1.1.45.0 	2008.12.05 	-
K7AntiVirus 	7.10.543 	2008.12.04 	-
Kaspersky 	7.0.0.125 	2008.12.05 	-
McAfee 	5454 	2008.12.04 	-
McAfee+Artemis 	5454 	2008.12.04 	-
Microsoft 	1.4205 	2008.12.05 	-
NOD32 	3665 	2008.12.04 	-
Norman 	5.80.02 	2008.12.04 	-
Panda 	9.0.0.4 	2008.12.04 	-
PCTools 	4.4.2.0 	2008.12.04 	-
Prevx1 	V2 	2008.12.05 	-
Rising 	21.06.42.00 	2008.12.05 	-
SecureWeb-Gateway 	6.7.6 	2008.12.05 	-
Sophos 	4.36.0 	2008.12.05 	-
Sunbelt 	3.1.1832.2 	2008.12.01 	Trojan-Dropper.Win32.VB!cobra (v)
Symantec 	10 	2008.12.05 	-
TheHacker 	6.3.1.2.176 	2008.12.05 	-
TrendMicro 	8.700.0.1004 	2008.12.05 	-
VBA32 	3.12.8.10 	2008.12.05 	-
ViRobot 	2008.12.5.1501 	2008.12.05 	-
VirusBuster 	4.5.11.0 	2008.12.04 	-
Information additionnelle
File size: 253952 bytes
MD5...: 7be764954d442b80202c8342d0306a89
SHA1..: c08e17187e82193d833853b25228f7fed815957a
SHA256: b31784ef68775022113635e8329c3a4b4f2f1f67ee24b6949f511687f28de8ac
SHA512: ad2e9d37785b3858e54f141540490079f7e114f137f0ca58764378bbcfe18e01
0671d9886f07f8c5a500c0d159b86b7b3804bfc1d64287b8cbb62aa3f4bc6afb
ssdeep: 6144:DnIKvBmT0LNn3moSAj0UTp1bDQwZefWnwJaW:Dnxdj0UTp1XtdW
PEiD..: -
TrID..: File type identification
Win32 Executable Microsoft Visual Basic 6 (71.5%)
Win32 Executable MS Visual C++ (generic) (21.3%)
Win32 Executable Generic (4.8%)
Generic Win/DOS Executable (1.1%)
DOS Executable Generic (1.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4037e0
timedatestamp.....: 0x38ce7cd9 (Tue Mar 14 17:54:33 2000)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x350ec 0x36000 6.00 c6b739180d98b5c789159285a5256a8c
.data 0x37000 0x5390 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x3d000 0x6000 0x6000 3.63 9f699906cc6a7feb7d17be719f601bb4

( 1 imports )
> MSVBVM60.DLL: __vbaVarTstGt, __vbaVarSub, __vbaStrI2, _CIcos, _adj_fptan, __vbaVarMove, __vbaStrI4, __vbaVarVargNofree, __vbaFreeVar, __vbaLineInputStr, __vbaLenBstr, -, __vbaStrVarMove, -, -, __vbaFreeVarList, _adj_fdiv_m64, __vbaFreeObjList, -, -, _adj_fprem1, __vbaRecAnsiToUni, -, __vbaCopyBytes, __vbaResume, __vbaStrCat, __vbaRecDestruct, __vbaSetSystemError, __vbaNameFile, __vbaHresultCheckObj, _adj_fdiv_m32, __vbaAryDestruct, __vbaLateMemSt, -, __vbaForEachCollObj, __vbaBoolStr, __vbaExitProc, __vbaFileCloseAll, -, __vbaCyAdd, __vbaOnError, __vbaObjSet, _adj_fdiv_m16i, __vbaObjSetAddref, _adj_fdivr_m16i, -, __vbaBoolVar, __vbaForEachCollVar, -, __vbaBoolVarNull, _CIsin, -, -, __vbaErase, __vbaLateMemStAd, __vbaNextEachCollObj, -, __vbaVarZero, __vbaChkstk, __vbaFileClose, EVENT_SINK_AddRef, -, __vbaGenerateBoundsError, -, __vbaCyI2, __vbaStrCmp, __vbaVarTstEq, __vbaCyI4, __vbaNextEachCollVar, __vbaPrintObj, __vbaI2I4, DllFunctionCall, __vbaVarOr, __vbaVarLateMemSt, __vbaLbound, __vbaRedimPreserve, _adj_fpatan, __vbaR4Var, __vbaLateIdCallLd, __vbaRedim, __vbaRecUniToAnsi, EVENT_SINK_Release, __vbaNew, -, _CIsqrt, __vbaVarAnd, EVENT_SINK_QueryInterface, __vbaUI1I4, __vbaFpCmpCy, __vbaVarMul, __vbaExceptHandler, -, __vbaPrintFile, __vbaStrToUnicode, -, _adj_fprem, _adj_fdivr_m64, __vbaI2Str, __vbaVarDiv, -, __vbaFPException, __vbaInStrVar, -, -, __vbaUbound, __vbaStrVarVal, __vbaVarCat, -, __vbaDateVar, -, __vbaI2Var, -, -, -, _CIlog, -, __vbaErrorOverflow, __vbaFileOpen, -, __vbaInStr, __vbaNew2, -, __vbaCyMulI2, _adj_fdiv_m32i, -, _adj_fdivr_m32i, __vbaStrCopy, __vbaFreeStrList, -, __vbaDerefAry1, _adj_fdivr_m32, __vbaPowerR8, -, _adj_fdiv_r, -, -, -, -, __vbaI4Var, __vbaAryLock, __vbaVarAdd, __vbaVarDup, __vbaStrToAnsi, __vbaFpI2, __vbaFpI4, __vbaVarCopy, -, __vbaVarLateMemCallLd, __vbaR8IntI2, __vbaLateMemCallLd, _CIatan, -, __vbaStrMove, __vbaCastObj, __vbaStrVarCopy, -, _allmul, __vbaLenVarB, __vbaLateIdSt, _CItan, -, __vbaAryUnlock, _CIexp, __vbaMidStmtBstr, -, __vbaFreeStr, __vbaFreeObj, -

( 0 exports )

un autre

Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared 	4.0.0.101 	2009.04.17 	-
AhnLab-V3 	5.0.0.2 	2009.04.17 	-
AntiVir 	7.9.0.143 	2009.04.17 	TR/Dropper.Gen
Antiy-AVL 	2.0.3.1 	2009.04.17 	-
Authentium 	5.1.2.4 	2009.04.17 	-
Avast 	4.8.1335.0 	2009.04.17 	Win32:Trojan-gen {Other}
AVG 	8.5.0.287 	2009.04.17 	Dropper.Generic.AKWU
BitDefender 	7.2 	2009.04.17 	-
CAT-QuickHeal 	10.00 	2009.04.17 	-
ClamAV 	0.94.1 	2009.04.17 	-
Comodo 	1117 	2009.04.17 	-
DrWeb 	4.44.0.09170 	2009.04.17 	BackDoor.BotSiggen.37
eSafe 	7.0.17.0 	2009.04.13 	-
eTrust-Vet 	31.6.6455 	2009.04.14 	-
F-Prot 	4.4.4.56 	2009.04.17 	-
F-Secure 	8.0.14470.0 	2009.04.17 	-
Fortinet 	3.117.0.0 	2009.04.17 	-
GData 	19 	2009.04.17 	Win32:Trojan-gen {Other}
Ikarus 	T3.1.1.49.0 	2009.04.17 	-
K7AntiVirus 	7.10.707 	2009.04.17 	-
Kaspersky 	7.0.0.125 	2009.04.17 	-
McAfee 	5587 	2009.04.17 	-
McAfee+Artemis 	5587 	2009.04.17 	-
McAfee-GW-Edition 	6.7.6 	2009.04.17 	Trojan.Dropper.Gen
Microsoft 	1.4502 	2009.04.17 	VirTool:Win32/CeeInject.gen!A
NOD32 	4017 	2009.04.17 	a variant of Win32/Injector.KT
Norman 	6.00.06 	2009.04.17 	-
nProtect 	2009.1.8.0 	2009.04.17 	Trojan/W32.Buzus.36850
Panda 	10.0.0.14 	2009.04.17 	-
PCTools 	4.4.2.0 	2009.04.17 	-
Prevx1 	V2 	2009.04.17 	Medium Risk Malware
Rising 	21.25.44.00 	2009.04.17 	Trojan.Win32.Nodef.iex
Sophos 	4.40.0 	2009.04.17 	-
Sunbelt 	3.2.1858.2 	2009.04.17 	Trojan.Win32.Buzus
Symantec 	1.4.4.12 	2009.04.17 	Backdoor.Trojan
TheHacker 	6.3.4.0.309 	2009.04.16 	Trojan/Buzus.aufz
TrendMicro 	8.700.0.1004 	2009.04.17 	-
VBA32 	3.12.10.2 	2009.04.12 	Trojan.Win32.Buzus.auer
ViRobot 	2009.4.17.1698 	2009.04.17 	Trojan.Win32.Buzus.36850
VirusBuster 	4.6.5.0 	2009.04.17 	-

encore un autre et je vais tous les mettre ca serait trop...

Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared 	4.0.0.101 	2009.04.27 	Trojan.Win32.Buzus!IK
AhnLab-V3 	5.0.0.2 	2009.04.27 	Win-Trojan/Agent.47746
AntiVir 	7.9.0.156 	2009.04.27 	TR/Dropper.Gen
Antiy-AVL 	2.0.3.1 	2009.04.27 	Trojan/Win32.Buzus
Authentium 	5.1.2.4 	2009.04.26 	W32/Trojan3.ANC
Avast 	4.8.1335.0 	2009.04.26 	Win32:Trojan-gen {Other}
AVG 	8.5.0.287 	2009.04.26 	Dropper.Generic.AKWU
BitDefender 	7.2 	2009.04.27 	Trojan.Agent.AMQF
CAT-QuickHeal 	10.00 	2009.04.27 	Trojan.Buzus.auya
ClamAV 	0.94.1 	2009.04.27 	-
Comodo 	1137 	2009.04.27 	-
DrWeb 	4.44.0.09170 	2009.04.27 	BackDoor.BotSiggen.37
eSafe 	7.0.17.0 	2009.04.23 	Win32.TRDropper
eTrust-Vet 	31.6.6475 	2009.04.24 	Win32/IRCBot.KX
F-Prot 	4.4.4.56 	2009.04.26 	W32/Trojan3.ANC
F-Secure 	8.0.14470.0 	2009.04.27 	Trojan.Win32.Buzus.auya
Fortinet 	3.117.0.0 	2009.04.27 	W32/Buzus.AUYA!tr
GData 	19 	2009.04.27 	Trojan.Agent.AMQF
Ikarus 	T3.1.1.49.0 	2009.04.27 	Trojan.Win32.Buzus
K7AntiVirus 	7.10.716 	2009.04.25 	Trojan.Win32.Buzus.auya
Kaspersky 	7.0.0.125 	2009.04.27 	Trojan.Win32.Buzus.auya
McAfee 	5597 	2009.04.26 	Generic.dx!a
McAfee+Artemis 	5597 	2009.04.26 	Generic.dx!a
McAfee-GW-Edition 	6.7.6 	2009.04.27 	Trojan.Dropper.Gen
Microsoft 	1.4602 	2009.04.27 	VirTool:Win32/DelfInject.gen!J
NOD32 	4035 	2009.04.25 	Win32/Injector.KT
Norman 	6.00.06 	2009.04.24 	W32/Buzus.MHA
nProtect 	2009.1.8.0 	2009.04.27 	Trojan/W32.Buzus.36850
Panda 	10.0.0.14 	2009.04.26 	W32/Ircbot.CMQ.worm
PCTools 	4.4.2.0 	2009.04.26 	Trojan.Buzus!sd6
Prevx1 	3.0 	2009.04.27 	High Risk Worm
Rising 	21.27.01.00 	2009.04.27 	Trojan.Win32.Nodef.iex
Sophos 	4.41.0 	2009.04.27 	Troj/Buzus-AL
Sunbelt 	3.2.1858.2 	2009.04.24 	Trojan.Win32.Buzus
Symantec 	1.4.4.12 	2009.04.27 	W32.Spybot.Worm
TheHacker 	6.3.4.1.315 	2009.04.27 	Trojan/Buzus.aufz
TrendMicro 	8.700.0.1004 	2009.04.27 	WORM_NEERIS.A
VBA32 	3.12.10.3 	2009.04.27 	Trojan.Win32.Buzus.auer
ViRobot 	2009.4.27.1709 	2009.04.27 	Trojan.Win32.Buzus.36850
VirusBuster 	4.6.5.0 	2009.04.26 	-

Ced_King · Answer

Bonjour Etoilée,

voici un rapport de virus total, concernant des fichiers infectes 

De quels fichiers s'agit-il ?

Si c'est ceux que je t'avais demandé il y a quelques temps d'analyser, il faudrait mettre le chemin...

Troyens, ver WORM, RKIT...au sceours!!!!

59 réponses

Votre réponse

Discussions similaires

Newsletters