log hijackthis ; trojan trouvéRésolu/Fermé

Question

Bonjour,
Bonjour,
AVG m'a trouvé 2 files de trojan sur ma sauvegarde; en ZIP donc.
J'ai peur de tout effacer le fichier ZIP, puisqu'il contient bp d'autres choses que les 2 files en question
Donc j'ai fait un log avec HJTHIS et j'aimerais le soumettre a vous ...
PS; j'ai pas mal de problèmes avec le pc : j'ai enlevé un bsod, dû probablement a Quicqtime, ; j'ai aussi un gros problème avec le lecteur WMedia, qui éteint tout bonnement l'ordi. au bout de quelque minutes... j'ai l'impression que ça vient d'une surchauffe..( acer5720 vista familial premium),; bon c'est désespéré ou pas ?????
MERCI
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:05:28, on 05/04/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\BR040286.exe
C:\Users\benjamin\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Acer\Empowering Technology\eAudio\eAudio.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\AVG\AVG8\avgtray.exe
C:\Windows\System32undll32.exe
C:\Program Files\java\jre6\bin\jusched.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\System32undll32.exe
C:\Windows\ehome\ehmsas.exe
C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Windows\system32\wuauclt.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\benjamin\Downloads\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [BisonInst0402] C:\Windows\BR040286.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [eAudio] "C:\Acer\Empowering Technology\eAudio\eAudio.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [apigenact] C:\ProgramData\apigenactapkdyzg.exe
O4 - HKCU\..\Run: [lphc9rjj0etfv] C:\Windows\system32\lphc9rjj0etfv.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/VistaMSNPUpldfr-fr.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-83b891882deedbc4.spaces.live.com/PhotoUpload/VistaMsnPUpldfr-fr.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: ALaunch Service (ALaunchService) - Unknown owner - C:\Acer\ALaunch\ALaunchSvc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

anthony5151 · Answer

Bonjour,


Effectivement ton ordinateur est infecté, comme le montrent ces deux lignes (n'essaye pas de les supprimer manuellement ou avec hijackthis) :

O4 - HKCU\..\Run: [apigenact] C:\ProgramData\apigenact\rapkdyzg.exe     
O4 - HKCU\..\Run: [lphc9rjj0etfv] C:\Windows\system32\lphc9rjj0etfv.exe 



• Télécharge et installe Malwarebytes' Anti-Malware
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
• Sélectionne tes disques durs" puis clique sur "Lancer l’examen" 
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments  détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer, clique sur Yes

• Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp

anthony5151 · Answer

Ok, on continue


/!\ A l'attention de ceux qui passent sur ce sujet /!\
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.


/!\ Désactive tous tes logiciels de protection /!\

• Télécharge ComboFix (de sUBs) sur ton Bureau.
• Fais un clic-droit ComboFix.exe et choisis "Exécuter en temps qu'administrateur".
• Il va te demander d'installer la console de récupération : accepte.
• Ne touche à rien pendant le scan.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Tutoriel officiel de Combofix : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

anthony5151 · Answer

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour kijol, il n'est pas transposable sur un autre ordinateur ! 

• Télécharge ce dossier kijol.zip 
• Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination 
• Un autre dossier va apparaitre, prends le fichier CFScript.txt qui se trouve à l'intérieur et place le sur le Bureau. 

• Désactive tes logiciels de protection 
• Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe 

• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. 
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
• Si le fichier ne s'ouvre pas, il se trouve ici &#8594; C:\ComboFix.txt 



Réinstaller AVG ? Tu veux dire réactiver je suppose ?  (il n'y avait pas besoin de désinstaller AVG ^^)

Tu peux le réactiver dès que Combofix a terminé son travail (lorsque le rapport s'affiche).

kijol · Answer

je fais tout ça ....
 ben oui mais g pas trouver comment désactiver AVG, donc je l'ai supprimé
 autre chose, m en désactivant ZAlarm, il se réactive automatiquement au redémarrage nin??

kijol · Answer

ComboFix 09-04-25.A1 - benjamin 25/04/2009 20:04.3 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium   6.0.6001.1.1252.33.1036.18.2045.1262 [GMT 2:00]
Lancé depuis: c:\users\benjamin\Desktop\ComboFix.exe
Commutateurs utilisés :: c:\users\benjamin\Desktop\CFScript.txt
FW: ZoneAlarm Firewall *disabled*
 * Un nouveau point de restauration a été créé

FILE ::
c:\windows\system32\lphc9rjj0etfv.exe
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programdata\apigenact

.
(((((((((((((((((((((((((((((   Fichiers créés du 2009-05-25 au 2009-4-25  ))))))))))))))))))))))))))))))))))))
.

2009-04-25 10:58 . 2009-04-25 10:58	--------	d-----w	c:\users\benjamin\AppData\Roaming\Malwarebytes
2009-04-25 10:58 . 2009-04-25 10:58	--------	d-----w	c:\users\All Users\Malwarebytes
2009-04-25 10:58 . 2009-04-25 10:58	--------	d-----w	c:\programdata\Malwarebytes
2009-04-16 12:22 . 2008-12-06 04:42	376832	----a-w	c:\windows\system32\winhttp.dll
2009-04-16 12:22 . 2008-06-06 03:27	38912	----a-w	c:\windows\system32\xolehlp.dll
2009-04-16 12:22 . 2008-06-06 03:27	562176	----a-w	c:\windows\system32\msdtcprx.dll
2009-04-07 19:38 . 2009-04-15 17:21	4836	-c--a-w	C:\WirelessDiagLog.csv
2009-03-29 10:12 . 2009-03-29 11:45	--------	d-----w	c:\users\benjamin\AppData\Roaming\vlc

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-25 17:49 . 2006-11-02 15:48	678956	----a-w	c:\windows\System32\perfh00C.dat
2009-04-25 17:49 . 2006-11-02 15:48	128004	----a-w	c:\windows\System32\perfc00C.dat
2009-04-25 17:43 . 2008-02-11 21:13	352615	---ha-w	c:\windows\system32\drivers\vsconfig.xml
2009-04-25 11:27 . 2008-06-26 20:23	--------	d-----w	c:\programdata\avg8
2009-04-24 18:06 . 2008-03-08 21:08	--------	d-----w	c:\users\benjamin\AppData\Roaming\dvdcss
2009-04-24 17:16 . 2007-12-30 14:34	--------	d-----w	c:\programdata\Google Updater
2009-04-16 17:39 . 2006-11-02 11:18	--------	d-----w	c:\program files\Windows Mail
2009-04-16 12:54 . 2007-08-10 07:53	--------	d-----w	c:\programdata\Microsoft Help
2009-04-10 17:39 . 2007-11-17 17:07	87128	----a-w	c:\users\benjamin\AppData\Roaming\nvModes.dat
2009-03-31 20:02 . 2008-06-28 10:40	8948583	----a-w	c:\windows\Internet Logs\tvDebug.zip
2009-03-30 20:28 . 2009-03-31 05:12	2841600	----a-w	c:\windows\Internet Logs\xDBB115.tmp
2009-03-29 10:11 . 2007-12-27 09:46	--------	d-----w	c:\program files\VideoLAN
2009-03-25 21:57 . 2008-01-30 08:41	--------	d-----w	c:\program files\java
2009-03-23 18:58 . 2009-03-23 18:58	0	---ha-w	c:\windows\system32\drivers\Msft_User_WpdFs_01_00_00.Wdf
2009-03-21 17:57 . 2007-11-17 17:12	758	----a-w	c:\users\benjamin\AppData\Roaming\wklnhst.dat
2009-03-19 18:09 . 2009-03-19 18:09	--------	d-----w	c:\users\benjamin\AppData\Roaming\Intel
2009-03-19 18:09 . 2009-03-19 18:09	--------	d-----w	c:\programdata\Roaming
2009-03-19 18:08 . 2006-11-02 10:25	86016	----a-w	c:\windows\Inf\infpub.dat
2009-03-19 18:08 . 2006-11-02 10:25	143360	----a-w	c:\windows\Inf\infstrng.dat
2009-03-19 18:08 . 2006-11-02 10:25	143360	----a-w	c:\windows\Inf\infstor.dat
2009-03-19 18:08 . 2009-03-19 18:08	--------	d-----w	c:\program files\Cisco
2009-03-19 18:08 . 2009-03-19 18:08	--------	d-----w	c:\programdata\Intel
2009-03-19 18:08 . 2009-03-19 18:08	--------	d-----w	c:\program files\Common Files\Intel
2009-03-19 18:08 . 2007-08-10 06:25	--------	d-----w	c:\program files\Intel
2009-03-17 03:38 . 2009-04-16 12:16	40960	----a-w	c:\windows\AppPatch\apihex86.dll
2009-03-17 03:38 . 2009-04-16 12:16	13824	----a-w	c:\windows\System32\apilogen.dll
2009-03-17 03:38 . 2009-04-16 12:16	24064	----a-w	c:\windows\System32\amxread.dll
2009-03-16 20:51 . 2006-11-02 12:50	174	--sha-w	c:\program files\desktop.ini
2009-03-16 20:00 . 2006-11-02 12:37	--------	d-----w	c:\program files\Windows Calendar
2009-03-16 20:00 . 2006-11-02 12:37	--------	d-----w	c:\program files\Windows Sidebar
2009-03-16 19:59 . 2006-11-02 12:37	--------	d-----w	c:\program files\Windows Collaboration
2009-03-16 19:59 . 2006-11-02 12:37	--------	d-----w	c:\program files\Windows Journal
2009-03-16 19:59 . 2006-11-02 12:37	--------	d-----w	c:\program files\Windows Photo Gallery
2009-03-16 19:59 . 2006-11-02 12:37	--------	d-----w	c:\program files\Windows Defender
2009-03-16 19:52 . 2006-11-02 10:25	665600	----a-w	c:\windows\Inf\drvindex.dat
2009-03-16 19:24 . 2006-11-02 10:32	101888	----a-w	c:\windows\System32\ifxcardm.dll
2009-03-16 19:24 . 2006-11-02 10:32	82432	----a-w	c:\windows\System32\axaltocm.dll
2009-03-14 20:25 . 2009-03-14 20:25	72928	----a-w	c:\users\benjamin\AppData\Roaming\GDIPFONTCACHEV1.DAT
2009-03-09 04:19 . 2009-03-08 16:02	410984	----a-w	c:\windows\System32\deploytk.dll
2009-03-03 04:46 . 2009-04-16 12:16	3599328	----a-w	c:\windows\System32\ntkrnlpa.exe
2009-03-03 04:46 . 2009-04-16 12:16	3547632	----a-w	c:\windows\System32\ntoskrnl.exe
2009-03-03 04:40 . 2009-04-16 12:14	827392	----a-w	c:\windows\System32\wininet.dll
2009-03-03 04:39 . 2009-04-16 12:16	183296	----a-w	c:\windows\System32\sdohlp.dll
2009-03-03 04:39 . 2009-04-16 12:16	551424	----a-w	c:\windows\System32\rpcss.dll
2009-03-03 04:39 . 2009-04-16 12:16	26112	----a-w	c:\windows\System32\printfilterpipelineprxy.dll
2009-03-03 04:37 . 2009-04-16 12:14	78336	----a-w	c:\windows\System32\ieencode.dll
2009-03-03 04:37 . 2009-04-16 12:16	98304	----a-w	c:\windows\System32\iasrecst.dll
2009-03-03 04:37 . 2009-04-16 12:16	54784	----a-w	c:\windows\System32\iasads.dll
2009-03-03 04:37 . 2009-04-16 12:16	44032	----a-w	c:\windows\System32\iasdatastore.dll
2009-03-03 03:04 . 2009-04-16 12:16	666624	----a-w	c:\windows\System32\printfilterpipelinesvc.exe
2009-03-03 02:38 . 2009-04-16 12:16	17408	----a-w	c:\windows\System32\iashost.exe
2009-03-03 02:28 . 2009-04-16 12:14	26624	----a-w	c:\windows\System32\ieUnatt.exe
2009-02-27 06:06 . 2008-03-24 19:45	--------	d-----w	c:\program files\Microsoft Silverlight
2009-02-21 08:36 . 2007-11-27 20:09	1356	----a-w	c:\users\benjamin\AppData\Local\d3d9caps.dat
2009-02-13 08:49 . 2009-04-16 12:16	72704	----a-w	c:\windows\System32\secur32.dll
2009-02-13 08:49 . 2009-04-16 12:16	1255936	----a-w	c:\windows\System32\lsasrv.dll
2009-02-09 03:10 . 2009-03-10 20:01	2033152	----a-w	c:\windows\System32\win32k.sys
2008-07-29 17:13 . 2007-11-17 12:35	72928	----a-w	c:\users\benjamin\AppData\Local\GDIPFONTCACHEV1.DAT
2008-04-25 18:08 . 2008-04-25 18:08	96	----a-w	c:\users\benjamin\AppData\Local\fusioncache.dat
2008-03-19 14:03 . 2008-03-19 14:03	32	----a-w	c:\users\All Users\ezsid.dat
2008-03-19 14:03 . 2008-03-19 14:03	32	----a-w	c:\programdata\ezsid.dat
2007-12-14 19:18 . 2007-11-17 19:31	0	----a-w	c:\users\benjamin\SCHDLR.DAT
2007-11-13 20:01 . 2007-11-13 20:01	3395343	----a-w	c:\program files\openofficeorg4.cab
2007-11-13 20:00 . 2007-11-13 20:00	67695863	----a-w	c:\program files\openofficeorg3.cab
2007-11-13 19:49 . 2007-11-13 19:49	17646967	----a-w	c:\program files\openofficeorg2.cab
2007-11-13 19:48 . 2007-11-13 19:48	18827152	----a-w	c:\program files\openofficeorg1.cab
2007-11-13 19:47 . 2007-11-13 19:47	4364800	----a-w	c:\program files\openofficeorg23.msi
2007-11-13 19:47 . 2007-11-13 19:47	217	----a-w	c:\program files\setup.ini
2002-03-11 09:06 . 2002-03-11 09:06	1822520	----a-w	c:\program files\instmsiw.exe
2002-03-11 08:45 . 2002-03-11 08:45	1708856	----a-w	c:\program files\instmsia.exe
.

(((((((((((((((((((((((((((((   SnapShot@2009-04-25_13.04.54   )))))))))))))))))))))))))))))))))))))))))
.
- 2007-08-10 06:31 . 2009-04-25 12:48	85064              c:\windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2007-08-10 06:31 . 2009-04-25 17:45	85064              c:\windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2006-11-02 13:05 . 2009-04-25 17:45	92190              c:\windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
+ 2007-11-17 17:08 . 2009-04-25 17:45	18200              c:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-2176028416-2988229186-1250765964-1000_UserData.bin
- 2007-09-18 10:26 . 2009-04-25 13:04	16384              c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2007-09-18 10:26 . 2009-04-25 17:48	16384              c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2007-09-18 10:26 . 2009-04-25 17:48	32768              c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2007-09-18 10:26 . 2009-04-25 13:04	32768              c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2007-09-18 10:26 . 2009-04-25 13:04	16384              c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2007-09-18 10:26 . 2009-04-25 17:48	16384              c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-04-25 17:43 . 2009-04-25 17:43	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2009-04-25 17:43 . 2009-04-25 17:43	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2006-11-02 10:33 . 2009-04-25 17:49	595506              c:\windows\System32\perfh009.dat
- 2006-11-02 10:33 . 2009-04-25 12:52	595506              c:\windows\System32\perfh009.dat
+ 2006-11-02 10:33 . 2009-04-25 17:49	104940              c:\windows\System32\perfc009.dat
- 2006-11-02 10:33 . 2009-04-25 12:52	104940              c:\windows\System32\perfc009.dat
- 2006-11-02 12:47 . 2009-04-25 13:04	262144              c:\windows\ServiceProfiles\NetworkService\ntuser.dat
+ 2006-11-02 12:47 . 2009-04-25 17:44	262144              c:\windows\ServiceProfiles\NetworkService\ntuser.dat
- 2006-11-02 12:47 . 2009-04-25 13:04	262144              c:\windows\ServiceProfiles\LocalService\ntuser.dat
+ 2006-11-02 12:47 . 2009-04-25 17:44	262144              c:\windows\ServiceProfiles\LocalService\ntuser.dat
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-12-30 68856]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BisonInst0402"="c:\windows\BR040286.exe" [2007-05-08 53248]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2007-06-27 752136]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-03-21 174872]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2007-06-06 159744]
"WarReg_PopUp"="c:\acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 57344]
"eAudio"="c:\acer\Empowering Technology\eAudio\eAudio.exe" [2007-06-11 1286144]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-03-03 959976]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-07-25 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-07-25 8470528]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-07-25 81920]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2007-07-06 4669440]
"Skytel"="Skytel.exe" - c:\windows\SkyTel.exe [2007-06-15 1826816]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Empowering Technology Launcher.lnk - c:\acer\Empowering Technology\eAPLauncher.exe [2007-8-10 535336]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UacDisableNotify"=dword:00000001
"InternetSettingsDisableNotify"=dword:00000001
"AutoUpdateDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{1ACDC690-E812-4BF4-8277-CADB310BB196}"= c:\program files\Acer Arcade Deluxe\Acer Arcade Deluxe\Acer Arcade Deluxe.exe:Acer Arcade Deluxe
"{975C10A6-89E7-450F-8386-9F6BEC5992B5}"= c:\program files\Acer Arcade Deluxe\VideoMagician\VideoMagician.exe:VideoMagician
"{4B2A96AC-90BB-469D-96F2-1E462E2F2103}"= c:\program files\Acer Arcade Deluxe\HomeMedia\HomeMedia.exe:HomeMedia
"{CB0A5015-2744-4511-8C92-B47FF3948EAF}"= c:\program files\Acer Arcade Deluxe\DV Wizard\DV Wizard.exe:DV Wizard
"{849D0299-7E5F-4D16-821F-6475DF1EFD43}"= UDP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{25219AE5-C395-490A-927D-5917C456B162}"= TCP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{C2657F90-90D1-4ACD-8B48-3EFA1543EB76}"= c:\program files\Acer Arcade Deluxe\DVDivine\DVDivine.exe:DVDivine
"{A9132E2F-8608-4165-BE71-662121E7ECC1}"= c:\program files\Acer Arcade Deluxe\Play Movie\PlayMovie.exe:Play Movie
"{2474EB4F-8132-49BF-8896-C0F71CA669AD}"= c:\program files\Acer Arcade Deluxe\Play Movie\PMVService.exe:Play Movie Resident Program
"{281E5EB4-214B-41DA-9D3F-74A83C265A7F}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"TCP Query User{95693544-4F3C-49F8-8B06-C6734ABED4E5}c:\program files\skype\phone\skype.exe"= UDP:c:\program files\skype\phone\skype.exe:Skype. Take a deep breath 
"UDP Query User{83760FAD-3A50-4ECA-8821-14CD691E7FEB}c:\program files\skype\phone\skype.exe"= TCP:c:\program files\skype\phone\skype.exe:Skype. Take a deep breath 
"TCP Query User{EA099D91-1CB0-4436-80F6-3BCCF9456E43}c:\program files\emule\emule.exe"= UDP:c:\program files\emule\emule.exe:eMule Plus
"UDP Query User{6A4F70A6-EAE2-4893-A586-EBBC0B11381B}c:\program files\emule\emule.exe"= TCP:c:\program files\emule\emule.exe:eMule Plus
"{34BD8474-AEC2-4B50-B89E-514FF265E055}"= UDP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{A29D1C79-5543-4B27-A871-95DA1E4A88B1}"= TCP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"TCP Query User{AAD06564-E7B1-4D30-BEE7-C16C6B5FDBBC}c:\program files\mozilla firefox\firefox.exe"= UDP:c:\program files\mozilla firefox\firefox.exe:Firefox
"UDP Query User{DC43A96E-0F2B-4C8A-82E2-068DEC5389C6}c:\program files\mozilla firefox\firefox.exe"= TCP:c:\program files\mozilla firefox\firefox.exe:Firefox
"TCP Query User{C1DAE4FE-D41C-4AED-909B-4DBAC664764D}c:\program files\real\realplayer\realplay.exe"= UDP:c:\program files\real\realplayer\realplay.exe:RealPlayer
"UDP Query User{D47C6935-555E-4CCB-852B-35F7F8BD5EC5}c:\program files\real\realplayer\realplay.exe"= TCP:c:\program files\real\realplayer\realplay.exe:RealPlayer
"{9F9FB683-6DBF-4E32-86AD-EE097395046C}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"c:\Acer\Empowering Technology\eDataSecurity\eDSfsu.exe"= c:\acer\Empowering Technology\eDataSecurity\eDSfsu.exe:*:Enabled:eDSfsu
"c:\Acer\Empowering Technology\eDataSecurity\encryption.exe"= c:\acer\Empowering Technology\eDataSecurity\encryption.exe:*:Enabled:encryption
"c:\Acer\Empowering Technology\eDataSecurity\decryption.exe"= c:\acer\Empowering Technology\eDataSecurity\decryption.exe:*:Enabled:decryption

R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\b57nd60x.sys [2007-06-05 179712]
S2 {49DE1C67-83F8-4102-99E0-C16DCC7EEC796};{49DE1C67-83F8-4102-99E0-C16DCC7EEC796};c:\program files\Acer Arcade Deluxe\Play Movie\[u]0/u00.fcl [2006-11-02 14:51 13560]
S2 ALaunchService;ALaunch Service;c:\acer\ALaunch\ALaunchSvc.exe [2007-01-26 50688]
S3 enecir;ENE CIR Receiver;c:\windows\system32\DRIVERS\enecir.sys [2007-03-07 32256]
S3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\system32\DRIVERS\NETw5v32.sys [2008-11-17 3668480]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs	REG_MULTI_SZ   	BthServ

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{14221b1f-d2b6-11dd-ac32-001b77dd14de}]
\shell\AutoRun\command - F:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{306dbb15-49f4-11dd-a69f-001b77dd14de}]
\shell\AutoRun\command - F:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{76d54f9a-d366-11dd-a0ef-001b77dd14de}]
\shell\AutoRun\command - G:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{76d54faf-d366-11dd-a0ef-001b77dd14de}]
\shell\AutoRun\command - G:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{90b05e70-d2a8-11dd-854e-001b77dd14de}]
\shell\AutoRun\command - G:\StartVMCLite.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ea2d2919-ed0f-11dc-8028-8fcd53083f50}]
\shell\AutoRun\command - F:\LaunchU3.exe -a
.
Contenu du dossier 'Tâches planifiées'

2009-04-25 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-12-30 21:55]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\users\benjamin\AppData\Roaming\Mozilla\Firefox\Profiles\y9f3rin0.default\
FF - prefs.js: browser.startup.homepage - hxxp://fr-fr.facebook.com/people/Benjamin-Couder/772513109
FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-25 20:08
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{49DE1C67-83F8-4102-99E0-C16DCC7EEC796}]
"ImagePath"="\??\c:\program files\Acer Arcade Deluxe\Play Movie\[u]0/u00.fcl"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\[u]0/u000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\[u]0/u001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2009-04-25 20:12
ComboFix-quarantined-files.txt  2009-04-25 18:12
ComboFix2.txt  2009-04-25 13:10
ComboFix3.txt  2008-02-14 19:48

Avant-CF: 52 388 577 280 octets libres
Après-CF: 52 194 336 768 octets libres

259	--- E O F ---	2009-04-23 18:25

anthony5151 · Answer

Je ne sais pas pour ZoneAlarm, je ne connais pas bien ce pare-feu.

Il y a une infection de disque amovible, il faut les désinfecter tous et les vacciner :

Télécharge UsbFix (de Chiquitine29 et C_XX) sur ton Bureau
• Lance l'installation avec les paramètres par défaut
• Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir
• Double clique sur le raccourci UsbFix sur ton Bureau
• Au menu principal, choisis l'option 1 (recherche)
• Un rapport USBFix.txt apparaitra à la fin, poste le dans ta prochaine réponse stp

kijol · Answer

je n'ai pas de disque externe, plus de clé, pas de mp3 ..., juste la carte de mon APN
j'ai fait usbfix, mais il ne m'a pas édité de log;; ou alorsoù est-il ??

kijol · Answer

Salut;
a tu reçu mon dernier mail?  dois-je considéré l'ordi comme propre?
je refait un scan avec quoi? hijack ou AVg?
mercui

anthony5151 · Answer

"dois-je considéré l'ordi comme propre"

==> Pas encore, je te le dirai quand ce sera terminé (il y aura de toute façon une dernière étape importante pour finir le nettoyage et sécuriser ton ordinateur)



Peux-tu recommencer le scan avec USBFix stp ?
J'ai oublié de te préciser que pour l'utiliser, il faut faire un clic droit sur le raccourci et choisir 'Exécuter en tant qu'administrateur' (désolé)

Tu peux aussi poster un nouveau rapport hijackthis

kijol · Answer

############################## [ UsbFix V3.014 ]

# User : benjamin (Administrateurs) # PC-DE-BENJAMIN
# Update on 27/04/09 by C_XX & Chiquitine29
# Start at: 18:57:57 | 28/04/2009

# Intel(R) Core(TM)2 Duo CPU     T5250  @ 1.50GHz
# Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Disabled
# FW : ZoneAlarm Firewall[ Enabled ]7.1.254.000

# C:\ # Disque fixe local # 111,69 Go (49,38 Go free) [ACER] # NTFS
# D:\ # Disque fixe local # 111,43 Go (9,27 Go free) [DATA] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque amovible

############################## [ Processus actifs ]

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\ZoneLabs\vsmon.exe
C:\Windows\system32\WLANExt.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Acer\ALaunch\ALaunchSvc.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Windows\system32\svchost.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
C:\Acer\Empowering Technology\eNet\eNet Service.exe
C:\Program Files\Intel\WiFi\bin\EvtEng.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Acer\Mobility Center\MobilityService.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Windows\System32\alg.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\BR040286.exe
C:\Program Files\Launch Manager\LManager.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Acer\Empowering Technology\eAudio\eAudio.exe
C:\Users\benjamin\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Windows\System32undll32.exe
C:\Program Files\java\jre6\bin\jusched.exe
C:\Program Files\AVG\AVG8\avgtray.exe
C:\Windows\System32undll32.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Windows\ehome\ehmsas.exe
C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
C:\Windows\system32\wbem\unsecapp.exe
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32	askeng.exe
C:\Windows\ehome\mcupdate.EXE
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\conime.exe

################## [  Registre # Startup ]

HKCU_Main:  "Local Page"="C:\Windows\system32\blank.htm" 
HKCU_Main:  "SEARCH PAGE"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" 
HKCU_Main:  "Start Page"="https://www.msn.com/fr-fr/?ocid=iehp" 
HKLM_logon: "Userinit"="C:\Windows\system32\userinit.exe," 
HKLM_logon: "LegalNoticeCaption"="" 
HKLM_logon: "LegalNoticeText"="" 
HKLM_Run:    RtHDVCpl=RtHDVCpl.exe 
HKLM_Run:    BisonInst0402=C:\Windows\BR040286.exe 
HKLM_Run:    LManager=C:\PROGRA~1\LAUNCH~1\LManager.exe 
HKLM_Run:    IAAnotif="C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" 
HKLM_Run:    Apoint=C:\Program Files\Apoint2K\Apoint.exe 
HKLM_Run:    WarReg_PopUp=C:\Acer\WR_PopUp\WarReg_PopUp.exe 
HKLM_Run:    eAudio="C:\Acer\Empowering Technology\eAudio\eAudio.exe" 
HKLM_Run:    ZoneAlarm Client="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" 
HKLM_Run:    Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" 
HKLM_Run:    Skytel=Skytel.exe 
HKLM_Run:    NvSvc=RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart 
HKLM_Run:    NvCplDaemon=RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup 
HKLM_Run:    NvMediaCenter=RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit 
HKLM_Run:    SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe" 
HKLM_Run:    AVG8_TRAY=C:\PROGRA~1\AVG\AVG8\avgtray.exe 
HKLM_Run:    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents= 
HKCU_Run:    ehTray.exe=C:\Windows\ehome\ehTray.exe  
HKCU_Run:    swg=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe  

################## [ Informations ]


################## [ Fichiers # Dossiers infectieux ]

Found ! C:\Windows\system32	mp.txt  

################## [ Registre # Clés Run infectieuses ]

Found ! HKLM\software\microsoft\security center\ "UacDisableNotify"  
# -> ( Value = 0x1 | Good = 0x0 Bad = 0x1 )  

################## [ Registre # Mountpoints2 ]

HKCU\Software\Microsoft\....\MountPoints2\{14221b1f-d2b6-11dd-ac32-001b77dd14de}\Shell\AutoRun\command  
HKCU\Software\Microsoft\....\MountPoints2\{306dbb15-49f4-11dd-a69f-001b77dd14de}\Shell\AutoRun\command  
HKCU\Software\Microsoft\....\MountPoints2\{76d54f9a-d366-11dd-a0ef-001b77dd14de}\Shell\AutoRun\command  
HKCU\Software\Microsoft\....\MountPoints2\{76d54faf-d366-11dd-a0ef-001b77dd14de}\Shell\AutoRun\command  
HKCU\Software\Microsoft\....\MountPoints2\{90b05e70-d2a8-11dd-854e-001b77dd14de}\Shell\AutoRun\command  
HKCU\Software\Microsoft\....\MountPoints2\{ea2d2919-ed0f-11dc-8028-8fcd53083f50}\Shell\AutoRun\command  

################## [ ! Fin du rapport # UsbFix V3.014 ! ] 
voilà voilà

kijol · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:16:38, on 28/04/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18226)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Windows\BR040286.exe
C:\Program Files\Launch Manager\LManager.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Acer\Empowering Technology\eAudio\eAudio.exe
C:\Users\benjamin\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Windows\System32undll32.exe
C:\Program Files\java\jre6\bin\jusched.exe
C:\Program Files\AVG\AVG8\avgtray.exe
C:\Windows\System32undll32.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Windows\ehome\ehmsas.exe
C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
C:\Windows\system32\wbem\unsecapp.exe
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [BisonInst0402] C:\Windows\BR040286.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [eAudio] "C:\Acer\Empowering Technology\eAudio\eAudio.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/VistaMSNPUpldfr-fr.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-83b891882deedbc4.spaces.live.com/PhotoUpload/VistaMsnPUpldfr-fr.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: ALaunch Service (ALaunchService) - Unknown owner - C:\Acer\ALaunch\ALaunchSvc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

kijol · Answer

hola!
j'ai un gros problème!
g télécharger Auslogic Disk Defrag et Revo Uninstaller... pour faire un peu de nettoyage. hum
les opérations de défrag ou nettoyage RAJOUTENT de l'espace disque utilisé !! en tout cas c ce qui est marqué ...
??????

anthony5151 · Answer

• Branche tous tes disques amovibles (clés USB, lecteurs mp3, disques durs externes, iPod...) et clique sur OK.
• Fais un clic droit sur le raccourci d'UsbFix et choisis 'Exécuter en tant qu'administrateur'.
• Choisis cette fois l'option 2 (Suppression)
• Ton Bureau va disparaitre, puis l'ordinateur va redémarrer --> c'est normal
• Laisse travailler l'outil jusqu'au bout
• A la fin, le rapport USBFix.txt va s'afficher --> poste le dans ta prochaine réponse stp


On pourra ensuite passer à la finition : sécurisation et optimisation.

kijol · Answer

############################## [ UsbFix V3.014 ]

# User : benjamin (Administrateurs) # PC-DE-BENJAMIN
# Update on 27/04/09 by C_XX & Chiquitine29
# Start at: 07:39:53 | 29/04/2009

# Intel(R) Core(TM)2 Duo CPU     T5250  @ 1.50GHz
# Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Disabled
# FW : ZoneAlarm Firewall[ Enabled ]7.1.254.000

# C:\ # Disque fixe local # 111,69 Go (37,3 Go free) [ACER] # NTFS
# D:\ # Disque fixe local # 111,43 Go (26,43 Go free) [DATA] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque amovible

############################## [ Processus actifs ]

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\ZoneLabs\vsmon.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\system32\WLANExt.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Acer\ALaunch\ALaunchSvc.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Windows\system32\svchost.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
C:\Acer\Empowering Technology\eNet\eNet Service.exe
C:\Program Files\Intel\WiFi\bin\EvtEng.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Acer\Mobility Center\MobilityService.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
C:\Windows\system32\WUDFHost.exe
C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32	askeng.exe
C:\Windows\System32\alg.exe
C:\Windows\system32unonce.exe
C:\Windows\system32\conime.exe

################## [ Fichiers # Dossiers infectieux ]

Deleted ! C:\Windows\system32	mp.txt    

################## [ Registre # Clés Run infectieuses ]

# HKLM\software\microsoft\security center\ "UacDisableNotify"  
# -> ( Value = 0x1 | Good = 0x0 Bad = 0x1 ) # -> Reset sucessfully !  

################## [ Registre # Mountpoints2 ]

Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{14221b1f-d2b6-11dd-ac32-001b77dd14de}\Shell\AutoRun\command   
Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{306dbb15-49f4-11dd-a69f-001b77dd14de}\Shell\AutoRun\command   
Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{76d54f9a-d366-11dd-a0ef-001b77dd14de}\Shell\AutoRun\command   
Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{76d54faf-d366-11dd-a0ef-001b77dd14de}\Shell\AutoRun\command   
Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{90b05e70-d2a8-11dd-854e-001b77dd14de}\Shell\AutoRun\command   
Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{ea2d2919-ed0f-11dc-8028-8fcd53083f50}\Shell\AutoRun\command   

################## [ Listing des fichiers présent ]

[10/08/2007 09:34|--a--c---|3380] - C:\-20070810.log
[18/09/2006 23:43|--a--c---|24] - C:\autoexec.bat
[19/01/2008 09:45|-rahs----|333203] - C:\bootmgr
[10/08/2007 16:43|-ra-sc---|8192] - C:\BOOTSECT.BAK
[25/04/2009 20:12|--a--c---|20788] - C:\ComboFix.txt
[18/09/2006 23:43|--a--c---|10] - C:\config.sys
[18/02/2008 21:36|-rahsc---|0] - C:\IO.SYS
[16/08/2005 08:49|-----c---|40960] - C:\junction.exe
[14/02/2008 22:05|--a--c---|20841] - C:\log.txt  smit fraudfix.txt
[29/11/2006 17:35|--a--c---|512] - C:\MDR.iss
[18/02/2008 21:36|-rahsc---|0] - C:\MSDOS.SYS
[?|?|?] - C:\pagefile.sys
[14/02/2008 21:40|--a--c---|6277] - C:apport.txt
[18/02/2008 21:55|--a--c---|764] - C:apport_clean.txt
[18/02/2008 21:53|--a--c---|324] - C:esultat_clean.txt
[10/08/2007 08:32|--a--c---|420] - C:\RHDSetup.log
[10/08/2007 09:19|--a--c---|178] - C:\setup.log
[14/02/2008 21:43|--a--c---|6277] - C:\smit 20 39 le 14 FEV.txt
[13/02/2008 08:44|--a--c---|16384] - C:	mp.hiv
[13/02/2008 08:44|--a--c---|6575] - C:	mp.txt
[29/04/2009 07:41|--a--c---|5140] - C:\UsbFix.txt
[17/11/2007 14:35|--a--c---|1151532] - C:\vcredist_x86.log
[27/04/2009 21:06|--a--c---|5200] - C:\WirelessDiagLog.csv
[08/06/2008 23:34|--a--c---|279] - D:\ACER (C) - Raccourci.lnk
[04/12/2008 23:52|-ra--c---|528] - D:\MediaID.bin

################## [ Vaccination ]

# C:\autorun.inf -> Folder created by UsbFix.  
# D:\autorun.inf -> Folder created by UsbFix.  
# F:\autorun.inf -> Folder created by UsbFix.  

################## [ Cracks / Keygens / Serials ]

# -> Nothing found !  

################## [ ! Fin du rapport # UsbFix V3.014 ! ]

anthony5151 · Answer

Très bien, ton ordinateur n'est plus infecté !

Avant de retourner surfer sur internet, il y a certaines choses que tu dois faire pour finir le nettoyage et améliorer sensiblement la sécurité de ton ordinateur, ça t'évitera peut-être de devoir revenir ici avec une nouvelle infection dans le futur ;)  Mais sache qu'aucun logiciel de sécurité ne te protègera à 100%, ce qui fait la différence, c'est ta vigilance lorsque tu télécharges ou installes quelque chose : pour en savoir plus, je t'invite à bien lire la page indiquée tout en bas de ce message (7).



1) Les barres d'outils

Souvent installées avec d'autres logiciels sans que l'utilisateur y fasse attention, les barres d'outils se multiplient sur les ordinateurs et ont deux résultats : ralentir les ordinateurs et provoquer des bugs des navigateurs.
Je te conseille de désinstaller la tienne (barre d'outil Yahoo).
Pour ça, ferme ton navigateur, puis Menu démarrer --> Panneau de configuration --> ajout/suppression de programmes --> désinstalle la Yahoo Toolbar.



2) Sécurise ton ordinateur 

• Anti-virus : 
Il reste des traces de Norton, utilise ceci pour supprimer les traces : Outil de désinstallation Norton
 
• Anti-spyware :
* Installe Spyware Blaster : il ne prend pas de mémoire, c'est juste un logiciel qui vaccine ton pc contre certaines infections. Il faut le mettre à jour manuellement (« Updates »), tous les 15 jours environ, et activer toutes les protections (« Enable all protection ») 
* En complément, garde MalwareBytes pour son scan de nettoyage performant.

• Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille vivement d’installer et d'utiliser le navigateur Firefox. Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.

• Adobe Reader n’est pas à jour, c’est une faille de sécurité. Désinstalle le en allant dans menu démarrer --> panneau de configuration --> ajout/suppression de programmes. Puis télécharge et installe la nouvelle version.

• Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : Update Checker



3) Relance Hijackthis (pour la dernière fois), choisis "scan system only" et coche les lignes suivantes qui sont inutiles (j'ai intégré les barres d'outils dans cette liste) : 

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll    
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll    
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll    
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll    
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"    
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe    
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe (file missing)    
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)    
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE    
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)    
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe    
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe    

Si tu as bien mis à jour Adobe Reader comme je te l'ai recommandé, cette ligne devrait apparaitre, tu peux la cocher : O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" 

Coche également toutes les lignes commençant par 016

Ensuite, clique sur "Fix checked" 



4) Télécharge ToolsCleaner sur ton Bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé : ToolsCleaner
Fais un clic-droit dessus et choisis Exécuter en temps qu'administrateur. Clique sur Recherche et laisse le scan se finir, puis clique sur Suppression pour nettoyer. 
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
S'il ne supprime pas tout, supprime manuellement ce qui reste.



5) Télécharge et installe CCleaner  (si ce n’est déjà fait) : https://www.ccleaner.com/ccleaner/download

Lance CCleaner
Clique sur Option --> avancé --> décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis Nettoyeur --> Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, Registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

(Tu peux garder ce logiciel et l'utiliser régulièrement).



6) Pour finir le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés). 

• Menu démarrer --> clic droit sur ordinateur --> propriétés --> protection du système
• Désactive la restauration du système sur tous les lecteurs
• Clique sur OK. 

Puis refais la manipulation inverse pour réactiver la restauration système. 



7) Je t'invite enfin à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile):
Prévention et sécurité sur internet




Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)

kijol · Answer

je vais faire tt ça :  Merci merci merci
je désinstalle AVG et ZONE alarm donc ??

anthony5151 · Answer

De rien ;)

Par contre, garde AVG et ZoneAlarm, sinon tu n'auras plus ni antivirus ni pare-feu ^^

Log hijackthis ; trojan trouvé

17 réponses

Discussions similaires

Newsletters