Besoin d'aide. Beaucoup de problèmes. Résolu/Fermé

Question

Bonjour, Alors voila mes problèmes:

-Impossible de me connecter a msn ,le support me dit que le mot de passe n'est pas le bon alors qu'il était enregistré depuis la création de l'addresse et que jusqu'a la il marchait très bien.
-Mon compte facebook a été piraté depuis le meme moment ou j'ai eu se problème avec msn. 
-Quelqu'un arrive a se connecté a tous mes comptes crées sur n'importe qu'elle site comme skyrock,facebook,et des forums...
-Malgrés que je cré des nouvelles addresse msn il continu a me dire que le mdp n'est pas le bon.
-Mon ordinateur a beaucoup ralenti depuis 2-3 jours.
-Pensant que ce problème venai d'un keylogger j'ai installé un anti-keylogger,celui ci n'a rien trouvé mais maintenant je n'arrive plus a le désinstallé.


Que faire ? Merci d'avance pour l'aide qui sera apporté :)

InfernO.vir · Accepted Answer

Slt,

On va verifier la presence d'infection(s) sur ton PC avec l'aide d' HiJackThis. Celui-ci ne resout aucun probleme, cet utilitaire a pour but de nous aider a trouver la cause de certains problemes (notamment  reperer des processus comme etant infectieux) mais aussi pour lister les elements importants de ton pc et si infection(s) il y a, nous les "devoiler", entre guillemets puisqu'il arrive que certaines infections passent a travers les mailles d'HiJackThis. Il est donc important de le renommer avant de le lancer.

Voici la procédure:


- Télécharge HiJackThis de Merijn sur ton bureau.

- Renomme-le en mars

- Double-clique sur mars.exe (HijackThis)


** Génère un rapport en suivant ces indications : **

- Clique sur "Do a system scan and save log file"

- Le Bloc-Note va s'ouvrir ave comme contenu, le rapport HiJackThis.

- Sélectionne la totalité du rapport : Menu Edition / Selectionner Tout (Ctrl + A)

- Fait un "copier" : Menu Edition / copier (Ctrl + C)

- Et colle-le dans ton prochain message : Clic droit / coller (Ctrl + V)

oo-k3viin-oo · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:16:54, on 19/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Anti-keylogger\akl_svc.exe
C:\Program Files\Anti-keylogger\Anti-keylogger.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Acronis Popup Blocker - {E24AD748-155E-4254-B674-4EDF86E7E1DF} - (no file)
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe" -H
O4 - HKLM\..\Run: [Anti-keylogger] C:\Program Files\Anti-keylogger\Anti-keylogger.exe /autorun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] C:\Program Files\Uniblue\RegistryBooster\RegistryBooster.exe /S
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Anti-Autorun-inf.lnk = C:\Program Files\Prg Chris\Anti-Autorun.inf\Anti-Autorun.inf.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe (file missing)
O23 - Service: Anti-keylogger Service (akl_svc) - Unknown owner - C:\Program Files\Anti-keylogger\akl_svc.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Acronis Malware Shield Service (psh_svc) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\Malware Shield\psh_svc.exe (file missing)
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe

oo-k3viin-oo · Answer

Petit UP ! Désolé mais j'aimerais beaucoup réglé ça le plus vite possible de peur que les infections n'empirent encore.

InfernO.vir · Answer

Slt,


1/ Telechargement :

# Télécharge Malwarebytes' Anti-Malware

NOTE : S'il te manque COMCTL32.OCX alors télécharge le --> comctl32.ocx 


2/ Installation et mise a jour :

# Installe MBAM en double-cliquant sur Mbam-setup.exe ,il se mettra a jour automatiquement.  

# Une fois a jour, le programme va se lancer. Clique sur l'onglet Paramètre, et coche la case : "Arrêter internet explorer pendant la suppression". 


3/ Recherche :

# Clique a présent sur l'onglet Recherche et coche la case : "exécuter un examen complet". 

# Clique ensuite sur "rechercher". 

Laisse-le scanner ton PC ... 


4/ Suppression :

# Si des éléments on été trouvés ~> Clique sur "Supprimer la selection".

# Si le programme te demande de redemarrer ~> Clique sur "yes". 

# A la fin, un rapport va s'ouvrir dans le Bloc-notes ~> Sauvegarde le de manière a le retrouver pour le poster sur le forum. 

# Copie (Ctrl + C) et colle (Ctrl + V) le rapport dans ton prochain message stp. 


PS : Les rapports sont aussi classés par date et heure du scan dans l'onglet Rapport/Log 


Données : Un tutoriel de chez Malekal est disponible ~> 

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/


;-).

oo-k3viin-oo · Answer

Salut,


Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1654
Windows 5.1.2600 Service Pack 3

20/04/2009 16:23:56
mbam-log-2009-04-20 (16-23-56).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 94428
Temps écoulé: 1 hour(s), 30 minute(s), 49 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


Voila.



PS: Je viens de remarqué autre chose:

-C'est par rapport a mon ani-virus regarde par toi même:

http://img164.imageshack.us/img164/1382/sanstitrexyq.png

-Et aussi les raccourcis avec CTRL ne marche plus.

oo-k3viin-oo · Answer

Pour le problème des raccourcis avec CTRl,c'est bon: j'ai redémarré et maintenant ça marche. Par contre Avira est toujours écris en je ne sais quel langague chinois lol.

oo-k3viin-oo · Answer

Up.

jacques.gache · Answer

bonjour, si on me permet cette intrusion consernant antivir tu devrais le désinstaller sois tu le fais en passant par le mode sans echec comme cela pas de résistance à cause des processus actif , ou sinon tu le fais avec REVO-UNINSTALLER et puis tu passes ccleaner avec les réglages que je te donnes et tu le réinstalles

 
 passes Ccleaner avec ces réglages LA



télécharge Ccleaner à partir de cette adresses


.enregistres le sur le bureau
.double-cliques sur le fichier pour lancer l'installation
.sur la fenêtre de l'installation langage bien choisir français et OK
.cliques sur suivant
.lis la licence et j'accepte
.cliques sur suivant
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner
.cliques sur intaller
.cliques sur fermer
.double-cliques sur l'icône de Ccleaner pour l'ouvrir
.une fois ouvert tu cliques sur option et puis avancé
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures
.cliques sur nettoyeur
.cliques sur windows et dans la colonne avancé
.cochesla première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la
.cliques sur analyse une fois l'analyse terminé
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien
.cliques maintenant sur registre et puis sur rechercher les erreurs
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées
.il te demande de sauvegarder OUI
.tu lui donnes un nom pour pouvoir la retrouver et enregistre
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
.il supprime et fermer tu vériffis en relancant  rechercher les erreurs
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé  tu décoches la première case vieilles données du perfetch
.tu peux fermer Ccleaner



et pour mieux le connaire :  https://jesses.pagesperso-orange.fr/Docs/Logiciels/CCleaner.htm

oo-k3viin-oo · Answer

Et après avoir fais tout ça,je peux le réinstallé ?


EDIT : Ah oui,désolé j'avais pas lu la phrase en entier. Merci ;)

oo-k3viin-oo · Answer

Voila j'ai fais tous se que tu ma dit et je l'ai rénstallé. Je fais quoi maintenant ?

EDIT : C'est encore un écrit en chinois.

jacques.gache · Answer

c'est bizare ton truc , il n'y a que antivir qui de fait cela ???

tu vas passer cet outil attention il est relativement puissant donc tu suis bien les expliquations et tu ne touche pas à ton pc pendant qu'il bosse sauf pour répondre au question je parle d'utiliser combofix mais j'ai pris le sois de le renommer en jacombo afin de contrer certaine infection tu le mets sur ton bureau et tu le lance comme expliqué

Télécharge jacombo (combofix renomé) :http://sd-1.archive-host.com/membres/up/89820622056365782/jaCombo.exe


-> Double clique sur jacombo 
-> Tape sur la touche 1 (Yes) pour démarrer le scan. 
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt 

Avant d'utiliser ComboFix (jacombo): 

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil). 


- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. 

- suis les instructions et accepte ce qu'il te demande sois patient cela peut prendre près de 20 minutes

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 


-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

oo-k3viin-oo · Answer

ComboFix 09-04-14.09 - Kevin 20/04/2009 22:08.3 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1535.1101 [GMT 2:00]
Lancé depuis: c:\documents and settings\Kevin\Bureau\jaCombo.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)
FW: Sunbelt Personal Firewall *disabled*
 * Un nouveau point de restauration a été créé
.
[i] ADS - WINDOWS: deleted 24 bytes in 1 streams. /i

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32	mp43.tmp

.
(((((((((((((((((((((((((((((   Fichiers créés du 2009-03-20 au 2009-04-20  ))))))))))))))))))))))))))))))))))))
.

2009-04-20 19:47 . 2009-04-20 19:47	--------	d-----w	c:\documents and settings\All Users\Application Data\Avira
2009-04-20 12:11 . 2009-04-20 12:11	--------	d-----w	c:\windows\Icons
2009-04-19 16:58 . 2009-04-19 18:00	--------	d-----w	c:\documents and settings\Kevin\Application Data\Desktopicon
2009-04-19 16:43 . 2009-04-20 19:39	--------	d-----w	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-04-19 16:38 . 2009-04-19 16:38	2080	----a-w	c:\windows\system32\drivers\dHook.sys
2009-04-19 15:51 . 2008-06-21 02:54	65576	----a-w	c:\windows\system32\drivers\SbFwIm.sys
2009-04-19 15:51 . 2008-10-31 05:09	270888	----a-r	c:\windows\system32\drivers\SbFw.sys
2009-04-19 15:18 . 2009-04-19 15:18	--------	d-----w	c:\documents and settings\All Users\Application Data\MailFrontier
2009-04-19 15:17 . 2009-04-19 15:21	4212	---h--w	c:\windows\system32\zllictbl.dat
2009-04-19 15:17 . 2004-04-27 02:40	11264	----a-w	c:\windows\system32\SpOrder.dll
2009-04-19 15:15 . 2009-04-19 15:58	--------	d-----w	c:\windows\Internet Logs
2009-04-19 12:25 . 2009-04-19 12:28	--------	d-----w	c:\documents and settings\Kevin\Local Settings\Application Data\ArmA
2009-04-18 17:19 . 2005-05-08 15:55	139264	----a-w	c:\windows\system\eax.dll
2009-04-17 20:42 . 2009-04-17 20:42	--------	d-----w	c:\documents and settings\Kevin\Application Data\Zylom
2009-04-17 20:41 . 2009-04-17 20:41	--------	d-----w	c:\documents and settings\All Users\Application Data\Zylom
2009-04-17 20:02 . 2009-04-19 15:56	--------	d-----w	c:\documents and settings\Kevin\Application Data\DMCache
2009-04-15 11:49 . 2009-04-15 11:49	--------	d-----w	c:\documents and settings\All Users\Application Data\Torrent2Exe
2009-04-15 10:24 . 2009-02-06 10:10	227840	-c----w	c:\windows\system32\dllcache\wmiprvse.exe
2009-04-15 10:24 . 2009-03-06 14:20	286720	-c----w	c:\windows\system32\dllcache\pdh.dll
2009-04-15 10:24 . 2009-02-09 11:23	111104	-c----w	c:\windows\system32\dllcache\services.exe
2009-04-15 10:24 . 2009-02-09 10:53	473600	-c----w	c:\windows\system32\dllcache\fastprox.dll
2009-04-15 10:24 . 2009-02-09 10:53	401408	-c----w	c:\windows\system32\dllcachepcss.dll
2009-04-15 10:24 . 2009-02-09 10:53	735744	-c----w	c:\windows\system32\dllcache\lsasrv.dll
2009-04-15 10:24 . 2009-02-09 10:53	685568	-c----w	c:\windows\system32\dllcache\advapi32.dll
2009-04-15 10:24 . 2009-02-09 10:53	453120	-c----w	c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-15 10:24 . 2009-02-09 10:53	739840	-c----w	c:\windows\system32\dllcache
tdll.dll
2009-04-15 10:23 . 2008-12-16 12:31	354304	-c----w	c:\windows\system32\dllcache\winhttp.dll
2009-04-15 10:23 . 2009-03-27 06:54	1203922	-c----w	c:\windows\system32\dllcache\sysmain.sdb
2009-04-15 10:23 . 2008-04-21 21:15	219136	-c----w	c:\windows\system32\dllcache\wordpad.exe
2009-04-04 16:33 . 2009-04-05 18:16	--------	d-----w	c:\documents and settings\Kevin\Application Data\Samsung
2009-04-04 16:12 . 2006-05-03 20:53	174592	----a-w	c:\windows\system32\framedyn.dll
2009-04-04 16:12 . 2009-04-04 16:12	--------	d-----w	c:\windows\system32\Samsung_USB_Drivers
2009-04-04 16:11 . 2005-08-28 18:51	766	----a-w	c:\windows\system32\Uninstall.ico
2009-04-04 16:11 . 2009-04-04 16:20	5632	----a-w	c:\windows\system32\drivers\StarOpen.sys
2009-03-31 19:20 . 2009-02-13 09:31	55640	----a-w	c:\windows\system32\drivers\avgntflt.sys
2009-03-27 18:37 . 2009-04-19 17:12	--------	d-----w	c:\documents and settings\All Users\Application Data\Skype

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-20 19:47 . 2009-02-17 16:30	--------	d-----w	c:\program files\Avira
2009-04-20 19:24 . 2009-04-20 19:24	--------	d-----w	c:\program files\VS Revo Group
2009-04-20 09:36 . 2009-04-20 09:36	--------	d-----w	c:\program files\Windows Installer Clean Up
2009-04-20 09:36 . 2009-04-20 09:36	--------	d-----w	c:\program files\MSECACHE
2009-04-19 21:06 . 2009-04-19 21:06	--------	d-----w	c:\program files\Trend Micro
2009-04-19 18:38 . 2009-04-19 16:32	--------	d-----w	c:\program files\Navilog1
2009-04-19 18:34 . 2009-04-19 16:43	--------	d-----w	c:\program files\Spybot - Search & Destroy
2009-04-19 17:35 . 2009-04-19 16:58	--------	d-----w	c:\program files\Unlocker
2009-04-18 19:19 . 2009-01-01 18:40	53448	----a-w	c:\documents and settings\Kevin\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-04-17 20:42 . 2009-04-17 20:41	--------	d-----w	c:\program files\Zylom Games
2009-04-15 14:17 . 2004-08-05 12:00	80508	----a-w	c:\windows\system32\perfc00C.dat
2009-04-15 14:17 . 2004-08-05 12:00	500482	----a-w	c:\windows\system32\perfh00C.dat
2009-04-11 17:08 . 2009-02-20 23:48	410984	----a-w	c:\windows\system32\deploytk.dll
2009-04-06 09:16 . 2009-01-01 19:12	--------	d--h--w	c:\program files\InstallShield Installation Information
2009-04-05 19:21 . 2009-02-01 18:01	--------	d-----w	c:\program files\Messenger Plus! Live
2009-03-18 14:17 . 2009-01-16 16:52	--------	d-----w	c:\documents and settings\Kevin\Application Data\www.pro-evo.xooit.fr
2009-03-16 14:10 . 2009-03-16 14:10	360960	----a-w	c:\windows\system32\drivers\krnl_akl.sys
2009-03-14 23:29 . 2009-03-14 23:29	130048	----a-w	c:\windows\system32\SpoonUninstall.exe
2009-03-14 15:17 . 2009-03-14 15:16	--------	d-----w	c:\program files\iTunes
2009-03-14 15:17 . 2009-03-14 15:16	--------	d-----w	c:\documents and settings\All Users\Application Data\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}
2009-03-14 15:16 . 2009-03-14 15:16	--------	d-----w	c:\program files\iPod
2009-03-14 15:16 . 2009-01-02 21:36	--------	d-----w	c:\program files\Fichiers communs\Apple
2009-03-14 15:13 . 2009-03-14 15:12	--------	d-----w	c:\program files\QuickTime
2009-03-10 19:47 . 2009-03-10 19:47	--------	d-----w	c:\program files\ConvertHelper
2009-03-06 17:46 . 2009-03-06 17:46	--------	d-----w	c:\documents and settings\All Users\Application Data\Age of Empires 3
2009-03-06 14:20 . 2004-08-05 12:00	286720	----a-w	c:\windows\system32\pdh.dll
2009-03-05 22:59 . 2009-03-14 15:10	1900544	----a-w	c:\windows\system32\usbaaplrc.dll
2009-03-05 22:59 . 2009-01-02 21:37	36864	----a-w	c:\windows\system32\drivers\usbaapl.sys
2009-03-05 00:54 . 2009-03-05 00:54	--------	d-----w	c:\program files\driver
2009-03-05 00:38 . 2009-03-05 00:38	--------	d-----w	c:\documents and settings\Kevin\Application Data\Uniblue
2009-03-03 00:13 . 2004-08-05 12:00	826368	----a-w	c:\windows\system32\wininet.dll
2009-02-20 23:48 . 2009-02-20 23:48	--------	d-----w	c:\program files\Java
2009-02-20 17:10 . 2004-08-05 12:00	78336	----a-w	c:\windows\system32\ieencode.dll
2009-02-20 17:10 . 2009-02-20 17:10	--------	d-----w	c:\documents and settings\Kevin\Application Data\Acronis
2009-02-20 17:06 . 2009-02-20 17:06	96320	----a-w	c:\windows\system32\drivers\snapman.sys
2009-02-20 17:05 . 2009-02-20 17:05	81984	----a-w	c:\windows\system32\drivers\psh_drv.sys
2009-02-20 17:05 . 2009-02-20 17:05	--------	d-----w	c:\documents and settings\All Users\Application Data\Acronis
2009-02-10 17:06 . 2004-08-04 00:48	2068096	----a-w	c:\windows\system32
tkrnlpa.exe
2009-02-09 14:05 . 2004-08-05 12:00	1846912	----a-w	c:\windows\system32\win32k.sys
2009-02-09 11:24 . 2004-08-05 12:00	2191104	----a-w	c:\windows\system32
toskrnl.exe
2009-02-09 11:23 . 2004-08-05 12:00	111104	----a-w	c:\windows\system32\services.exe
2009-02-09 10:53 . 2004-08-05 12:00	735744	----a-w	c:\windows\system32\lsasrv.dll
2009-02-09 10:53 . 2004-08-05 12:00	739840	----a-w	c:\windows\system32
tdll.dll
2009-02-09 10:53 . 2004-08-05 12:00	685568	----a-w	c:\windows\system32\advapi32.dll
2009-02-09 10:53 . 2004-08-05 12:00	401408	----a-w	c:\windows\system32pcss.dll
2009-02-06 17:52 . 2009-02-06 17:52	49504	----a-w	c:\windows\system32\sirenacm.dll
2009-02-06 10:39 . 2004-08-05 12:00	35328	----a-w	c:\windows\system32\sc.exe
2009-02-03 19:58 . 2004-08-05 12:00	56832	----a-w	c:\windows\system32\secur32.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-04-11 148888]
"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2008-05-02 15872]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2002-08-15 46592]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-03-12 19:56	342312	----a-w	c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-01-05 15:18	413696	----a-w	c:\program files\QuickTime\QTTask.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"d:\Jeux\KONAMI\Pro Evolution Soccer 2009\pes2009.exe"=
"d:\Jeux\Microsoft Games\Age of Empires III\age3x.exe"=
"d:\Jeux\Microsoft Games\Age of Empires III\age3y.exe"=
"c:\Program Files\iTunes\iTunes.exe"=

R2 akl_svc;Anti-keylogger Service; [x]
R2 psh_svc;Acronis Malware Shield Service; [x]
R3 EnumHook2;Enumerate Global Windows Service 2;c:\windows\system32\drivers\dHook.sys [2009-04-19 2080]
R3 QCEmerald;QuickCam Web Logitech;c:\windows\system32\DRIVERS\OVCE.sys [2001-08-17 31872]
R3 V90drv;V90drv;c:\windows\system32\DRIVERS\v90drv.sys [2001-11-29 1432836]
S1 krnl_akl;Anti-keylogger Kernel Service;c:\windows\system32\drivers\krnl_akl.sys [2009-03-16 360960]
S1 SbFw;SbFw;c:\windows\system32\drivers\SbFw.sys [2008-10-31 270888]
S1 sbhips;Sunbelt HIPS Driver;c:\windows\system32\drivers\sbhips.sys [2008-06-21 66600]
S2 psh_drv;Process Activity Acronis Monitor;c:\windows\system32\DRIVERS\psh_drv.sys [2009-02-20 81984]
S2 SbPF.Launcher;SbPF.Launcher;c:\program files\Sunbelt Software\Personal Firewall\SbPFLnch.exe [2008-10-31 95528]
S2 SPF4;Sunbelt Personal Firewall 4;c:\program files\Sunbelt Software\Personal Firewall\SbPFSvc.exe [2008-10-31 1365288]
S3 SBFWIMCL;Sunbelt Software Firewall NDIS IM Filter Miniport;c:\windows\system32\DRIVERS\sbfwim.sys [2008-06-21 65576]


--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - SSMDRV

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{130c5952-db48-11dd-bcf1-0010dc7d9ed8}]
\Shell\Auto\command - cmd /C launch.bat
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL cmd /C launch.bat
.
Contenu du dossier 'Tâches planifiées'

2009-04-18 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
- - - - ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-Torrent2Exe[6709fd5540df50331718a6075b4686d580f72edc] - c:\documents and settings\Kevin\Mes documents\Call.exe


.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Kevin\Application Data\Mozilla\Firefox\Profiles\yel7w4qf.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - 
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - plugin: c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer
pzylomgamesplayer.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins
ppl3260.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins
prpjplug.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
p-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
pzylomgamesplayer.dll
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-20 22:17
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]
"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(664)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(6088)
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\LightScribe\LSSrvc.exe
c:\program files\Sunbelt Software\Personal Firewall\SbPFCl.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: ~,10time:~,-3machine was rebootedCombobatch-by
ComboFix-quarantined-files.txt  2009-04-20 20:23

Avant-CF: 35 667 312 640 octets libres
Après-CF: 35 720 744 960 octets libres

Current=2 Default=2 Failed=3 LastKnownGood=4 Sets=1,2,3,4
214	--- E O F ---	2009-04-15 10:33









Et maintenant que dois-je faire ?

PS: Merci a toi de prendre la relève. :)

jacques.gache · Answer

bonn tu as des traces de mountpoints2  tu vas passer USbfix option 1 et 2  et tu le désinstallera, tu postes les rapports au fure et à mesure pense à brancher toutes tes clé et dd externe sans les ouvrir pour faire la procédure de usbfix 

##################### Instal & recherche | ########################

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


Telecharge et install UsbFix de C_XX & Chiquitine29

tutoriel de Malekal_Morte si besoin, merci à lui :  https://www.malekal.com/usbfix-supprimer-virus-usb/

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau .

# Choisi l option 1 ( Recherche )

# Laisse travailler l outil.

# Ensuite post le rapport UsbFix.txt qui apparaitra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 



#####################  Suppression | ########################


Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau

# choisi l option 2 ( Suppression )

# Ton bureau disparaitra et le pc redémarrera .

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

# Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 


##################### Désinstallation | ########################


# Double clic sur le raccourci UsbFix présent sur ton bureau

# Choisi l option 3 ( Désinstaller ) ....

oo-k3viin-oo · Answer

############################## [ UsbFix V3.010 ] 

# User : Kevin (Administrateurs) # KEVIN-8498A78A4
# Update on 19/04/09 by C_XX & Chiquitine29
# Start at: 22:50:09 | 20/04/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

#               Intel(R) Pentium(R) 4 CPU 2.00GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Disabled
# AV : Avira AntiVir PersonalEdition Classic 8.0.1.30 [ Enabled | Updated ]
# FW : Sunbelt Personal Firewall[ Enabled ]4.6.1861 T

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 55,89 Go (33,28 Go free) # NTFS
# D:\ # Disque fixe local # 149,05 Go (106,35 Go free) [Disque local] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque CD-ROM
# G:\ # Disque amovible # 3,76 Go (3,67 Go free) # FAT32
# H:\ # Disque amovible # 3,62 Go (2,75 Go free) [OO-K3VIIN-O] # FAT32
 
############################## [ Processus actifs ] 
 
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [  Registre # Startup ] 

HKCU_Main:  "Local Page"="C:\windows\system32\blank.htm" 
HKCU_Main:  "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" 
HKCU_Main:  "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome" 
HKLM_logon: "Userinit"="C:\WINDOWS\system32\userinit.exe," 
HKLM_logon: "DefaultUserName"="Kevin" 
HKLM_logon: "AltDefaultUserName"="Kevin" 
HKLM_logon: "LegalNoticeCaption"="" 
HKLM_logon: "LegalNoticeText"="" 
HKLM_Run:    SoundMan=SOUNDMAN.EXE 
HKLM_Run:    StartCCC="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" 
HKLM_Run:    SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe" 
HKLM_Run:    UnlockerAssistant="C:\Program Files\Unlocker\UnlockerAssistant.exe" -H 
HKLM_Run:    avgnt="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min 
HKLM_Run:    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents= 
HKCU_Run:    ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe  
HKCU_Run:    SpybotSD TeaTimer=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe  

################## [ Informations ] 
 
# C:\autorun.inf ( # Not infected ) -> Folder created by Flash_Disinfector.  
# D:\autorun.inf ( # Not infected ) -> Folder created by Flash_Disinfector.  
# G:\autorun.inf ( # Not infected ) -> Folder created by Flash_Disinfector.  

# -> ( Value | Good = 0x0 Bad = 0x1 )

# HKCU\SOFTWARE\...\Policies\System "DisableRegedit" = (0x0) 
# HKCU\SOFTWARE\...\Policies\System "DisableRegistryTools" = (0x0) 
# HKCU\SOFTWARE\...\Policies\System "DisableTaskMgr" = (0x0) 
# HKLM\SOFTWARE\...\Policies\System "DisableRegedit" = (0x0) 
# HKLM\SOFTWARE\...\Policies\System "DisableRegistryTools" = (0x0) 
# HKLM\SOFTWARE\...\Policies\System "DisableTaskMgr" = (0x0) 

################## [ Fichiers # Dossiers infectieux ] 

Found ! C:\WINDOWS\system32	mp.txt  
 
################## [ Registre # Clés Run infectieuses ] 
 
# -> Not Found !  
 
################## [ Registre # Mountpoints2 ] 
 
HKCU\Software\Microsoft\....\MountPoints2\{130c5952-db48-11dd-bcf1-0010dc7d9ed8}\Shell\Auto\command  
HKCU\Software\Microsoft\....\MountPoints2\{130c5952-db48-11dd-bcf1-0010dc7d9ed8}\Shell\AutoRun\command  

################## [ ! Fin du rapport # UsbFix V3.010 ! ]

oo-k3viin-oo · Answer

Après j'ai mis la suppression,il ma bien écrit que les dossiers infectieux ont été supprimé mais sans faire éxpret j'ai supprimer le rapport. Et j'ai aussi fait l'option 3. Que dois-je faire maitenant ?

oo-k3viin-oo · Answer

UP !!

jacques.gache · Answer

bon tu laisses tombé du monent ou tu es sur de l'avoir fais de plus je vois que tu avais déjà dans le passer utiliser un outil similaire flash désinfectore

la tu vas faire otmoviet pour voir

Télécharge OTMoveIt3 de OldTimer sur ton Bureau en cliquant sur ce lien :

http://oldtimer.geekstogo.com/OTMoveIt3.exe

Double-clique sur OTMoveIt3.exe pour le lancer.

Vérifie que la case devant "Unregister Dll's and Ocx's est bien cochée.

Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".

 :processes 
explorer.exe

:files

C:\WINDOWS\system32	mp.txt 
c:\windows\system32	mp43.tmp 

:Commands
[purity] 
[emptytemp] 
[start explorer] 
[reboot] 



Clique sur "MoveIt!" pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur "Exit" pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

oo-k3viin-oo · Answer

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
File/Folder C:\WINDOWS\system32	mp.txt not found.
File/Folder c:\windows\system32	mp43.tmp not found.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\Kevin\LOCALS~1\Temp\etilqs_cuXx2qmY78mjKuZnIV4k scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\Kevin\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS	emp\Perflib_Perfdata_7dc.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. C:\Documents and Settings\Kevin\Local Settings\Application Data\Mozilla\Firefox\Profiles\yel7w4qf.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Kevin\Local Settings\Application Data\Mozilla\Firefox\Profiles\yel7w4qf.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Kevin\Local Settings\Application Data\Mozilla\Firefox\Profiles\yel7w4qf.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Kevin\Local Settings\Application Data\Mozilla\Firefox\Profiles\yel7w4qf.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Kevin\Local Settings\Application Data\Mozilla\Firefox\Profiles\yel7w4qf.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Kevin\Local Settings\Application Data\Mozilla\Firefox\Profiles\yel7w4qf.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 04202009_234629

Files moved on Reboot...
File C:\DOCUME~1\Kevin\LOCALS~1\Temp\etilqs_cuXx2qmY78mjKuZnIV4k not found!
File C:\WINDOWS	emp\Perflib_Perfdata_7dc.dat not found!
C:\Documents and Settings\Kevin\Local Settings\Application Data\Mozilla\Firefox\Profiles\yel7w4qf.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\Kevin\Local Settings\Application Data\Mozilla\Firefox\Profiles\yel7w4qf.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\Kevin\Local Settings\Application Data\Mozilla\Firefox\Profiles\yel7w4qf.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\Kevin\Local Settings\Application Data\Mozilla\Firefox\Profiles\yel7w4qf.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\Kevin\Local Settings\Application Data\Mozilla\Firefox\Profiles\yel7w4qf.default\urlclassifier3.sqlite moved successfully.
C:\Documents and Settings\Kevin\Local Settings\Application Data\Mozilla\Firefox\Profiles\yel7w4qf.default\XUL.mfl moved successfully.



Merci encore de m'aidé :) Que dois-je faire pour poursuivre la désinfection ?

jacques.gache · Answer

c'est bon tu me mettras un dernier hijackthis , je regarderais demain soir pour les lignes à fixer et finir le nettoyage , comment vont tes problème de départ , bonne nuit

oo-k3viin-oo · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:08:34, on 21/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Acronis Popup Blocker - {E24AD748-155E-4254-B674-4EDF86E7E1DF} - (no file)
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe" -H
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Anti-Autorun-inf.lnk = C:\Program Files\Prg Chris\Anti-Autorun.inf\Anti-Autorun.inf.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe (file missing)
O23 - Service: Anti-keylogger Service (akl_svc) - Unknown owner - C:\Program Files\Anti-keylogger\akl_svc.exe (file missing)
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Acronis Malware Shield Service (psh_svc) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\Malware Shield\psh_svc.exe (file missing)
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe

jacques.gache · Answer

O23 - Service: Anti-keylogger Service (akl_svc) - Unknown owner - C:\Program Files\Anti-keylogger\akl_svc.exe (file missing)   pour arrêter le service de façon à ce qu'il de vienne plus te faire chier tu fais ce qui suis je reviens pour le reste demain la dodo car boulot dans 7h sinon pour les autre problème je t'avous  que je séche pour antir maintenant que le pc est désinfecter et que tu auras bloquer ton trucs dans les services essayes de lev désinstaller de passer ccleaner sur le registre et de le réinstaller

Pour arrêter un  services 

.Cliques sur Démarrer 
.Cliques sur Executer 
.Tapes dans la fenêttre services.msc 
.vérifis dans la partie inférieure que l'onglet "Etendu" est bien sélectionné, sinon fais le.
.Dans la liste déroulante trouves :  akl_svc
.Cliques droit sur Propriétés 
.Cliques sur Arrêter
.Cliques sur désactiver si proposé
.cliques sur OKFerme la fenêttre des services

 et puis vériffis dans program files si tu na pas un dossier Anti-keylogger

oo-k3viin-oo · Answer

Je ne peux pas cliqué sur arreter et désactivé. Mais il n'est pas activé,si je clique sur activé il me dit que je sais pas quoi est manquant. Donc je pense que c'est bon,voila. Merci en attendant demain pour que tu continue a m'aidé par rapport au ralentissement de mon PC.

jacques.gache · Answer

bonjour, je viens de reprendre depuis le début tout les rapports et j'aimerais bien que tu me refasses otmoviet avec ce qui est donné et puis tu me remets un hijackthis merci

mais  j'aimerais bien que tu le fasses en mode sans echec de façon à ne pas être bloqué par des chose qui serais actif comme spybot entre autre donc tu fais un copier coller de cela dans le boc note sur ton bureau car par de connection internet en mode sans echec

sinon as tu réussis pour antivir j'espère que suite à ce nouveau otmoviet cela débloquera la situation !!


pour redémarrer en mode sans échec : /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ 
 
qu'est ce que le mode sans echec

(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...)

.Cliques sur Démarrer
.Cliques sur Arrêter
.Sélectionnes Redémarrer et au redémarrage
.Appuis sur la touche F8 ou F5 celon les marques de pc sans discontinuer "1 appuis seconde" dès qu'un écran de texte apparaît puis disparaît
.Utilises les touches de direction pour sélectionner mode sans échec
.puis appuis sur ENTRÉE
.Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre
une fois démarré ne t'inquiette pas si les couleurs et les icônes ne sont pas comme d'abitude 

Tutoriel




Double-clique sur OTMoveIt3.exe pour le lancer.

Vérifie que la case devant "Unregister Dll's and Ocx's est bien cochée.

Copie la liste qui se trouve en gras ci-dessous,  entre les deux trait 

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".

_________________________________________________________________________________


 :processes 
explorer.exe

:services 
akl_svc

:files
c:\windows\system32\drivers\krnl_akl.sys
c:\windows\system32\drivers\services.exe 
C:\WINDOWS\system32	mp.txt 
c:\windows\system32	mp43.tmp 


:Commands
[purity] 
[emptytemp] 
[start explorer] 
[reboot] 


________________________________________________________________________________________


Clique sur "MoveIt!" pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur "Exit" pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

et si il ne redémarre pas tu le fais pour revenir en mode normal et tu postes le rapport suivi d'un nouveau hijackthis , Merci

oo-k3viin-oo · Answer

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========

Service\Driver akl_svc deleted successfully.
========== FILES ==========
c:\windows\system32\drivers\krnl_akl.sys moved successfully.
File/Folder c:\windows\system32\drivers\services.exe not found.
File/Folder C:\WINDOWS\system32	mp.txt not found.
File/Folder c:\windows\system32	mp43.tmp not found.
========== COMMANDS ==========
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\Kevin\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 04212009_192603

Files moved on Reboot...

oo-k3viin-oo · Answer

Et l'hijacktis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:33:34, on 21/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe" -H
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\RunOnce: [OTMoveIt] C:\Documents and Settings\Kevin\Bureau\OTMoveIt3.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Anti-Autorun-inf.lnk = C:\Program Files\Prg Chris\Anti-Autorun.inf\Anti-Autorun.inf.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe (file missing)
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Acronis Malware Shield Service (psh_svc) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\Malware Shield\psh_svc.exe (file missing)
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe

oo-k3viin-oo · Answer

UP !

jacques.gache · Answer

bon pour moi plus d'infection sur ton pc on na bloquer le service de ton Anti-keylogger avec otmoviet en virant 
akl_svc  donc de ce coté la plus de problème au démarrage pour antivir tu réessairas de le désinstaller et de le réinstaller maintenant que le pc est propre, la tu fais ce qui suis , Merci


1)Tu relances hijackthis comme expliqué pour Fixer les lignes

.Tu fermes tout les programmes ouverts y compris le navigateur. sauf ton anti-virus et pare-feux 
.Lances HijackThis 
.Cliques sur "Do a system scan only" 
.Tu coches les lignes suivantes : 
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\RunOnce: [OTMoveIt] C:\Documents and Settings\Kevin\Bureau\OTMoveIt3.exe
O4 - Startup: Anti-Autorun-inf.lnk = C:\Program Files\Prg Chris\Anti-Autorun.inf\Anti-Autorun.inf.exe


.Tu cliques sur "Fix Checked" 
.Tu fermes HijackThis 

des expliquations en images : http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm




2) fais les mises à jour

désinstalles adobe reader car pas à jour et telecharges et installes cette version :
http://www.commentcamarche.net/telecharger/telechargement 27 acrobat reader
ou 
installes foxit reader qui est plus légé et plus rapide d'ouverture que adobe : http://www.commentcamarche.net/telecharger/telecharger 205 foxit reader 


fais une analyse de vulnérabilité pour voir si tu n'aurais pas d'autre mises à jour à faire  que nous n'avons pas vu sur hijackthis: https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/




3)  Tu désinstalles les outils utilisés avec Toolscleaner2 lui tu le supprimeras de sur le bureau manuellement ainsi que le rapport généré qui est dans ton disque dur système sous le nom de " TCleaner "

Télécharge toolscleaner sur ton Bureau :   http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner

. Double-cliques sur ToolsCleaner2 "l'as de carreau" et laisse le travailler 
. Cliques sur Recherche et laisse le scan se terminer. attention ça peut parraitre long
. Cliques sur Suppression pour finaliser. 
. Tu peux, si tu le souhaites, te servir des Options facultatives. 
. Clique sur Quitter, pour que le rapport puisse se créer. 
. Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse



4) tu redémarres ton pc et tu passes ccleaner sur le registre , Merci




5) fais une purge de la restauration système 


Supprimer les anciens points de restauration pour supprimer ce qui peut être dedans C:\System Volume Information\_restore

(a) Désactiver la Restauration du système

cliques sur Démarrer
Cliques droit sur Poste de travail 
cliques sur Propriétés
Cliques sur l'onglet Restauration du système
Coches Désactiver la Restauration du système sur tous les lecteurs
Cliques sur Appliquer, Lorsque le message de confirmation apparaît, 
cliques sur Oui.
Cliques sur OK.


(b) Activer la Restauration du système


cliques sur Démarrer
Cliques droit sur Poste de travail 
cliques sur Propriétés
Cliques sur l'onglet Restauration du système
Décoches Désactiver la Restauration du système sur tous les lecteurs
Cliques sur Appliquer, Lorsque le message de confirmation apparaît,
cliques sur Oui.
Cliques sur OK.




  perso si tu me permets une recommandation conserves malwarebytes que tu pourras utiliser régulièrement mais fais toujours la mise à jour avant, et puis utilises Ccleaner en fonction nettoyeur à chaque arrêt du pc 
ou plus simplement comme moi sur les 6 pc de la maison ou je l'ai mis en automatique, et je l'utilise sur le registre après chaque désinstallation de programmes.

oo-k3viin-oo · Answer

Voila j'ai tout fait. Merci beaucoup a toi.

Et pour te prévenir depuis que j'ai utilisé Tcleaner2 ,Avira est de nouveau en Français.


Voila voila,merci beaucoup pour tout l'aide que tu ma apporté. Je suis content de savoir que si j'ai un problème je peux venir te demandé de l'aide a toi et aux autres forumeurs. :)

Bonne nuit et bonne semaine ;)

oo-k3viin-oo · Answer

Une dernière chose avant que tu parte. Que me conseille tu comme anti-firewall ?

Car j'ai Sunbelt Personnal Firewall mais j'ai l'impression qu'il ralenti beaucoup mon PC.

jacques.gache · Answer

bon si tu as retrouvé ton antivir en français site au passage de toolcleaner2 c'est parce qu'il y avais un conflit avec un des outils dommage que l'on ne chache pas lequel !!! sinon tu n'a pas posté le rapport de toolcleaner ???
 commme pare feu perso j'avais zone alarme et j'en était contant tu le trouvera ici http://209.85.229.132/translate_c?hl=fr&u=http://www.zonealarm.com/security/en-us/free-upgrade-security-suite-zonealarm-firewall.htm&usg=ALkJrhhhyqfM9xHc_TfdVZHk1Rr9gjS5cw
et puis un tutoriel pour d'aider https://www.malekal.com/tutoriel-zonealarm-firewall/

oo-k3viin-oo · Answer

Ah désolé après avoir utilisé tools cleaner je l'ai supprimé et vidé la corbeille. Mais ne tinkiet pas : j'ai bien vérifier qu'il est tout supprimé. Le logiciel a bien fait son travail ;)

oo-k3viin-oo · Answer

Et merci pour zone alarm je vais l'éssayé ;)


Et sinon j'utilise "AVG Anti-spyware" est-ce que je doit gardé " Spybot Search and Destroy" sur mon PC ?

jacques.gache · Answer

non un seul anti-spyware en mode résident  sur le pc tout comme un seul anti-virus et un seul pare-feu

oo-k3viin-oo · Answer

Ok,bon je crois que c'est là qu'on se quitte ;)

Merci beaucoup pour tout. Bonne soirée. =)

jacques.gache · Answer

pense à mettre ton premier message en résolu si c'est le cas , merci

Besoin d'aide. Beaucoup de problèmes.

35 réponses

Newsletters