rundll symptomes étranges Résolu

Question

Bonjour,

Voila je viens vers vous car depuis quelques jours ma machine a un comportement étrange.

Tout à commencé lors du démarrage, trois fenêtres Rundll s'affichaient me disant que les modules bonafanu.dll, wirimiru.dll et piwinala.dll étaient intouvables. 
En recherchant un  peu dans ma machine ce que pouvaient être ces fichiers, j'ai cherché à accéder au registre, hors l'accès était verrouillé par l'administrateur (l'admin, c'est moi et il y a quelques jours j'y accédais sans problèmes...) 
En tapant services.msc dans exécutez... j'ai pu désactiver ces processus au démarrage ainsi qu'un 1248270862.exe que je trouve suspect par son nom et introuvable lors d'une recherche sur l'ensemble de mon PC.

Sentant un virus je suis allé sur le net et lors d'accès à des sites antivirus (secuser...) ou lors de téléchargement d'outils de réparation, il était impossible d'afficher les bonnes pages (vérifié en parallèle avec un autre PC connecté au réseau qui lui affichait correctement les pages demandées).

De plus Zone Alarm me demandait sans cesse d'autoriser Generic host process à accéder au net, chose qui ne se passait jamais avant.

J'ai fait des analyses avec Antivir, malwarebyte, plus des scan Hijackthis avec interprétation en ligne.
Beaucoup de fichiers ont été supprimés mais je soupçonne encore une infection. 
Lors d'analyse faite par Antivir il détecte le trojan dropper, je le supprime mais il revient sans cesse.

Enfin, lorsque je plug une clé USB, elle est détectée car l'icône de déconnexion apparait bien dans la barre des taches mais, elle n'est pas visible dans l'explorateur. En voulant vérifier dans le gestionnaire de disque , aucun de mes disques durs n'est présent, pas plus que la clé USB.

Merci de vos avis éclairés.

Sylvain

jacques.gache · Answer

bonjour ce trucs 1248270862.exe  n'est pas connu sur google donc surement pas très bon !!
 
si tu avais possiblité de poster un RSIT on y verrais peut être quelque chose , Merci

Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

NB : Les rapports sont sauvegardés dans le dossier C:\rsit


tuto: https://forum.pcastuces.com/randoms_system_information_tool_rsit-f31s31.htm

ramoucho · Answer

Bonsoir Jacques

ci dessous le log.txt

Logfile of random's system information tool 1.06 (written by random/random)
Run by Sylbane at 2009-05-04 23:02:39
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 4 GB (24%) free of 15 GB
Total RAM: 1023 MB (51% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:03:00, on 04/05/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\e-Carte Bleue\LCL\e-Carte Bleue VISA Cleo\ECB-CLEO.exe
C:\WINDOWS\vVX1000.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Sylbane\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Sylbane.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [eCarteBleue-CLEO] "C:\Program Files\e-Carte Bleue\LCL\e-Carte Bleue VISA Cleo\ECB-CLEO.exe"  /dontopenmycards
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: ChkDisk.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O24 - Desktop Component 0: (no name) - http://www.airliners.net/photos/big/0/2/5/593520.jpg

ramoucho · Answer

Et le info.txt

info.txt logfile of random's system information tool 1.06 2009-05-04 23:03:05

======Uninstall list======

-->C:\Program Files\Fichiers communs\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
Ad-Aware-->"C:\Documents and Settings\All Users\Application Data\{7972B2E5-3E09-4E5E-81B7-FE5819D6772F}\Ad-AwareAE.exe" REMOVE=TRUE MODIFY=FALSE
Ad-Aware-->C:\Documents and Settings\All Users\Application Data\{7972B2E5-3E09-4E5E-81B7-FE5819D6772F}\Ad-AwareAE.exe
Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 6.0.1 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A00000000001}
aerosoft's - AES-Base&&AirportPack - FS2004-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{20A96613-3802-436C-842E-653C62FABA0D}\Setup.exe"  -uninst 
aerosoft's - Madrid 2008-->C:\Program Files\InstallShield Installation Information\{0FC39141-1BB8-4C29-9D74-A6710131B74F}\setup.exe -runfromtemp -l0x0009 -uninst -removeonly
aerosoft's - Mega Airport Frankfurt - FS2004-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{D4E22434-1BCE-4C91-A1E4-FC352DFD4B3B}\Setup.exe"  -uninst 
ATI - Software Uninstall Utility-->C:\Program Files\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Catalyst Control Center-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{055EE59D-217B-43A7-ABFF-507B966405D8}\setup.exe" -l0x0 
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
Azureus Vuze-->C:\Program Files\Azureus\uninstall.exe
BattleCom Client-->C:\WINDOWS\uninst.exe -f"C:\Program Files\ShadowFactor\BattleCom Client\DeIsL1.isu"  -c"C:\Program Files\ShadowFactor\BattleCom Client\_ISREG32.DLL"
Battlefield 2 Server-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F3CA370F-0B4B-4239-BF5A-2CC751EB5D3C}\setup.exe" -l0x9  -removeonly
Battlefield 2(TM)-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{04858915-9F49-4B2A-AED4-DC49A7DE6A7B}\setup.exe" -l0x40c  -removeonly
Catalyst Control Center - Branding-->MsiExec.exe /I{D3B1C799-CB73-42DE-BA0F-2344793A095C}
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}
Correctif Windows XP - KB834707-->C:\WINDOWS\$NtUninstallKB834707$\spuninst\spuninst.exe
Correctif Windows XP - KB867282-->C:\WINDOWS\$NtUninstallKB867282$\spuninst\spuninst.exe
Correctif Windows XP - KB873333-->C:\WINDOWS\$NtUninstallKB873333$\spuninst\spuninst.exe
Correctif Windows XP - KB873339-->C:\WINDOWS\$NtUninstallKB873339$\spuninst\spuninst.exe
Correctif Windows XP - KB885250-->C:\WINDOWS\$NtUninstallKB885250$\spuninst\spuninst.exe
Correctif Windows XP - KB885835-->C:\WINDOWS\$NtUninstallKB885835$\spuninst\spuninst.exe
Correctif Windows XP - KB885836-->C:\WINDOWS\$NtUninstallKB885836$\spuninst\spuninst.exe
Correctif Windows XP - KB885884-->C:\WINDOWS\$NtUninstallKB885884$\spuninst\spuninst.exe
Correctif Windows XP - KB886185-->C:\WINDOWS\$NtUninstallKB886185$\spuninst\spuninst.exe
Correctif Windows XP - KB887472-->C:\WINDOWS\$NtUninstallKB887472$\spuninst\spuninst.exe
Correctif Windows XP - KB887742-->C:\WINDOWS\$NtUninstallKB887742$\spuninst\spuninst.exe
Correctif Windows XP - KB888113-->C:\WINDOWS\$NtUninstallKB888113$\spuninst\spuninst.exe
Correctif Windows XP - KB888302-->C:\WINDOWS\$NtUninstallKB888302$\spuninst\spuninst.exe
Correctif Windows XP - KB890047-->C:\WINDOWS\$NtUninstallKB890047$\spuninst\spuninst.exe
Correctif Windows XP - KB890175-->C:\WINDOWS\$NtUninstallKB890175$\spuninst\spuninst.exe
Correctif Windows XP - KB890859-->"C:\WINDOWS\$NtUninstallKB890859$\spuninst\spuninst.exe"
Correctif Windows XP - KB890923-->"C:\WINDOWS\$NtUninstallKB890923$\spuninst\spuninst.exe"
Correctif Windows XP - KB891781-->C:\WINDOWS\$NtUninstallKB891781$\spuninst\spuninst.exe
Correctif Windows XP - KB893066-->"C:\WINDOWS\$NtUninstallKB893066$\spuninst\spuninst.exe"
Correctif Windows XP - KB893086-->"C:\WINDOWS\$NtUninstallKB893086$\spuninst\spuninst.exe"
e-Carte Bleue VISA Cléo-->RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\ECBCLEO.INF, DefaultUninstall.ntx86
EditVoicepack-->MsiExec.exe /I{1EC65D1D-3911-4F7D-8B6A-63C69EDBFC6E}
eMule-->"E:\Emoule\eMule\Uninstall.exe"
Far Cry-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{D6DBDC2A-E72C-4284-B6AD-6B3B61B4DABC} /l1036 
Freeplayer-->C:\Program Files\Freeplayer\Uninstall.exe
FS Recorder 1.33 for FS2004-->MsiExec.exe /X{3EE09884-34CC-46EA-B316-5ECB0427E4C7}
FSBuild 2-->D:\Jeux\FS2004 install\fsbuild\UnInstall_19636.exe
FSDreamTeam Ohare9 1.1-->"D:\Jeux\FS2004\unins001.exe"
FSDreamTeam Zurich9 1.3-->"D:\Jeux\FS2004\unins000.exe"
Garmin Communicator Plugin-->MsiExec.exe /X{F6970FBD-809A-4C51-BAB3-D94A04C6C8E7}
Garmin POI Loader-->MsiExec.exe /X{D9DA2DF6-8CB6-4E3C-A29E-FAECFBA3E9A7}
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
HP Photo and Imaging 2.0 - All-in-One Drivers-->MsiExec.exe /X{6ECB39BD-73C2-44DD-B1A0-898207C58D8B}
HP Photo and Imaging 2.0 - All-in-One-->MsiExec.exe /X{9867A917-5D17-40DE-83BA-BEA5293194B1}
HP Photo and Imaging 2.0 - hp psc 1200 series-->C:\Program Files\Hewlett-Packard\Digital Imaging\{7C8BB31C-E09E-4c7d-BBF1-45E33B467FE1}\Setup\hpzscr01.exe -datfile hposcr02.dat -forcereboot
hp psc 1200 series-->MsiExec.exe /X{C900EF06-2E76-49C7-8DB0-41F629B21DC5}
Huffyuv AVI lossless video codec (Remove Only)-->rundll.exe setupx.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\HUFFYUV.INF
Image Resizer Powertoy for Windows XP-->MsiExec.exe /I{1CB92574-96F2-467B-B793-5CEB35C40C29}
Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{7370DF47-B4F9-4279-BFC3-3F09919F720D}
Java 2 Runtime Environment, SE v1.4.2_05-->MsiExec.exe /I{7148F0A8-6813-11D6-A77B-00B0D0142050}
JeppView/FliteDeck-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{EE0E5DBE-C5AF-4733-B9A0-3D1C43B7FCD6}\Setup.exe" 
Lecteur Windows Media 10-->"C:\Program Files\Windows Media Player\Setup_wm.exe" /Uninstall
Level-D Simulations 767-300 Update-->C:\WINDOWS\iun6002.exe "D:\Jeux\FS2004\763v21.ini"
Level-D Simulations 767-300-->C:\WINDOWS\iun6002.exe "D:\Jeux\FS2004\763v2.ini"
Logiciel iTouch de Logitech-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{036AA4D4-6D32-11D4-9875-00105ACE7734}\Setup.exe" -l0x40c  UNINSTALL
Logitech MouseWare 9.79.1 -->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{5809E7CF-4DCF-11D4-9875-00105ACE7734}\Setup.exe" -l0x40c -l040c UNINSTALL
Macromedia Shockwave Player-->C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - FRA-->MsiExec.exe /I{72AD53CC-CCC0-3757-8480-9EE176866A7C}
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - FRA-->MsiExec.exe /I{0BD83598-C2EF-3343-847B-7D2E84599128}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 Language Pack SP1 - fra-->MsiExec.exe /I{3E31821C-7917-367E-938E-E65FC413EA31}
Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Data Access Components KB870669-->C:\WINDOWS\muninst.exe C:\WINDOWS\INF\KB870669.inf
Microsoft Flight Simulator 2004 Un siècle d'aviation-->"D:\Jeux\FS2004\UNINSTAL.EXE" /runtemp /addremove
Microsoft LifeCam-->MsiExec.exe /X{968D41C3-25BB-4632-A6DF-2E1C8F0143A4}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022-->MsiExec.exe /X{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}
Mise à jour de sécurité pour Lecteur Windows Media (KB911564)-->"C:\WINDOWS\$NtUninstallKB911564$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 10 (KB911565)-->"C:\WINDOWS\$NtUninstallKB911565$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 10 (KB917734)-->"C:\WINDOWS\$NtUninstallKB917734_WMP10$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB883939)-->"C:\WINDOWS\$NtUninstallKB883939$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB890046)-->"C:\WINDOWS\$NtUninstallKB890046$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB893756)-->"C:\WINDOWS\$NtUninstallKB893756$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB896358)-->"C:\WINDOWS\$NtUninstallKB896358$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB896422)-->"C:\WINDOWS\$NtUninstallKB896422$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB896423)-->"C:\WINDOWS\$NtUninstallKB896423$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB896424)-->"C:\WINDOWS\$NtUninstallKB896424$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB896428)-->"C:\WINDOWS\$NtUninstallKB896428$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB896688)-->"C:\WINDOWS\$NtUninstallKB896688$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB899587)-->"C:\WINDOWS\$NtUninstallKB899587$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB899588)-->"C:\WINDOWS\$NtUninstallKB899588$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB899589)-->"C:\WINDOWS\$NtUninstallKB899589$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB899591)-->"C:\WINDOWS\$NtUninstallKB899591$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB900725)-->"C:\WINDOWS\$NtUninstallKB900725$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB901017)-->"C:\WINDOWS\$NtUninstallKB901017$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB901214)-->"C:\WINDOWS\$NtUninstallKB901214$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB902400)-->"C:\WINDOWS\$NtUninstallKB902400$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB903235)-->"C:\WINDOWS\$NtUninstallKB903235$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB904706)-->"C:\WINDOWS\$NtUninstallKB904706$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB905414)-->"C:\WINDOWS\$NtUninstallKB905414$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB905749)-->"C:\WINDOWS\$NtUninstallKB905749$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB905915)-->"C:\WINDOWS\$NtUninstallKB905915$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB908519)-->"C:\WINDOWS\$NtUninstallKB908519$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB908531)-->"C:\WINDOWS\$NtUninstallKB908531$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB911280)-->"C:\WINDOWS\$NtUninstallKB911280$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB911562)-->"C:\WINDOWS\$NtUninstallKB911562$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB911567)-->"C:\WINDOWS\$NtUninstallKB911567$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB911927)-->"C:\WINDOWS\$NtUninstallKB911927$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB912812)-->"C:\WINDOWS\$NtUninstallKB912812$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB912919)-->"C:\WINDOWS\$NtUninstallKB912919$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB913446)-->"C:\WINDOWS\$NtUninstallKB913446$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB913580)-->"C:\WINDOWS\$NtUninstallKB913580$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB914388)-->"C:\WINDOWS\$NtUninstallKB914388$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB914389)-->"C:\WINDOWS\$NtUninstallKB914389$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB916281)-->"C:\WINDOWS\$NtUninstallKB916281$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB917159)-->"C:\WINDOWS\$NtUninstallKB917159$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB917344)-->"C:\WINDOWS\$NtUninstallKB917344$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB917953)-->"C:\WINDOWS\$NtUninstallKB917953$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB918439)-->"C:\WINDOWS\$NtUninstallKB918439$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB894391)-->"C:\WINDOWS\$NtUninstallKB894391$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB896727)-->"C:\WINDOWS\$NtUninstallKB896727$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB900485)-->"C:\WINDOWS\$NtUninstallKB900485$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB910437)-->"C:\WINDOWS\$NtUninstallKB910437$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB916595)-->"C:\WINDOWS\$NtUninstallKB916595$\spuninst\spuninst.exe"
Module linguistique Microsoft .NET Framework 3.5 SP1- fra-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - fra\setup.exe
Mozilla Firefox (3.0.10)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MRAI Install Wizard v1.23-->C:\WINDOWS\ST5UNST.EXE -n "f:\PAI\mrai\ST5UNST.LOG"  
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 Parser and SDK-->MsiExec.exe /I{716E0306-8318-4364-8B8F-0CC4E9376BAC}
MSXML 6.0 Parser (KB933579)-->MsiExec.exe /I{0A869A65-8C94-4F7C-A5C7-972D3C8CED9E}
Musicmatch® Jukebox-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{8EF1122E-E90C-4EE9-AB0C-7FDE2BA42C26}\setup.exe" -l0x40c  -uninst 
Navigation Data 2002-->C:\WINDOWS\IsUninst.exe -f"C:\Program Files\PIANE Corp.\Navigation Data 2002\Uninst.isu"
Nero - Burning Rom-->MsiExec.exe /X{A4D7B764-4140-11D4-88EB-0050DA3579C0}
NHL 2004-->D:\Jeux\NHL\EAUninstall.exe
Pilotes NVIDIA nForce pour Windows 2000/XP-->rundll32.exe C:\WINDOWS\system32\NVNFINST.DLL,NvUninstallCrush
PMDG747_400 Queen of the Skies-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{97679567-0095-464E-B5F2-E218A1CF3421}\setup.exe" -l0x9  -removeonly
PMDG747_400_RR_Cathay_PCF_Silver-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2DDA2667-9057-493B-99EC-F2C72B14773A}\setup.exe" -l0x9  -removeonly
Quick Zip 4.60.016-->"C:\Program Files\QuickZip4\unins000.exe"
RealCDGv2-->D:\JEUX\FS2004\Uninstal.exe
RealPlayer-->C:\Program Files\Fichiers communs\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}
SimCity 2000®-->C:\WINDOWS\uninst.exe -fD:\JEUX\sc\DeIsL1.isu
skAI Traffic v2.3-->D:\Jeux\FS2004\Uninstal.exe
Skype 1.4-->"C:\Program Files\Skype\Phone\unins000.exe"
Smith Designs KATl 1.5-->D:\Jeux\Fs2004\Addon Scenery\KATL_1.5\Uninstal.exe
System Requirements Lab-->C:\Program Files\SystemRequirementsLab\Uninstall.exe
Tiger Woods PGA TOUR 2005-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2FDD9D12-46C9-4156-A4A0-55297B9498CA}\Setup.exe" -l0x9 uninstallme
Unreal Tournament 2003-->D:\Jeux\UT2003\System\Setup.exe uninstall "UT2003"
VideoLAN VLC media player 0.8.2-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Virtools 3D Life Player-->C:\Program Files\Virtools\3D Life Player\WebplayerConfig.exe -u
Visual C++ 2008 x86 Runtime - (v9.0.30729)-->MsiExec.exe /X{F333A33D-125C-32A2-8DCE-5C5D14231E27}
Visual C++ 2008 x86 Runtime - v9.0.30729.01-->C:\WINDOWS\system32\msiexec.exe /x {F333A33D-125C-32A2-8DCE-5C5D14231E27} /qb+ REBOOTPROMPT=""
Windows Defender Signatures-->MsiExec.exe /I{A5CC2A09-E9D3-49EC-923D-03874BBD4C2C}
Windows Imaging Component-->"C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803$\spuninst\spuninst.exe"
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Messenger-->MsiExec.exe /X{059C042E-796A-4ACC-A81A-ECC2010BB78C}
Windows Media Format 11 runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows XP Service Pack 2-->C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe
XML Paper Specification Shared Components Language Pack 1.0-->"C:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"
ZoneAlarm-->C:\Program Files\Zone Labs\ZoneAlarm\zauninst.exe

=====HijackThis Backups=====

O4 - HKUS\S-1-5-18\..\Run: [autochk] rundll32.exe C:\WINDOWS\system32\config\SYSTEM~1\protect.dll,_IWMPEvents@16 (User 'SYSTEM') [2009-04-30]
O4 - HKUS\S-1-5-18\..\Run: [Windows Resurections] C:\WINDOWS\TEMP\aj0ubcxn.exe (User 'SYSTEM') [2009-04-30]
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime [2009-04-30]
O2 - BHO: (no name) - {77bb9bee-73d2-46c5-a970-2407a1991a12} - C:\WINDOWS\system32\yofamoyu.dll (file missing) [2009-04-30]
O4 - HKLM\..\Run: [autochk] rundll32.exe C:\WINDOWS\system32\autochk.dll,_IWMPEvents@16 [2009-04-30]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://aidenavigation.club-internet.fr [2009-04-30]
O2 - BHO: C:\WINDOWS\system32\yhs783ijfo3fe.dll - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\yhs783ijfo3fe.dll (file missing) [2009-04-30]
O4 - HKCU\..\Run: [autochk] rundll32.exe C:\DOCUME~1\Sylbane\protect.dll,_IWMPEvents@16 [2009-04-30]
O4 - S-1-5-18 Startup: ChkDisk.dll (User 'SYSTEM') [2009-04-30]
O22 - SharedTaskScheduler: jso8joigm409gopgmrlgd - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\yhs783ijfo3fe.dll (file missing) [2009-04-30]
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\piwinala.dll (file missing) [2009-04-30]
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\piwinala.dll (file missing) [2009-04-30]
O20 - AppInit_DLLs: C:\WINDOWS\system32\daharubo.dll c:\windows\system32\piwinala.dll [2009-04-30]
O4 - .DEFAULT Startup: ChkDisk.dll (User 'Default user') [2009-04-30]
O20 - Winlogon Notify: __c0042707 - C:\WINDOWS\system32\__c0042707.dat (file missing) [2009-04-30]
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} - https://www.gamespyid.com/alaunch.cab [2009-04-30]

======Security center information======

AV: Avira AntiVir PersonalEdition Classic
FW: ZoneAlarm Firewall

======System event log======

Computer Name: S-IX7EG5AG337JJ
Event Code: 4201
Message: Le système a détecté que la carte réseau Wireless-G...- Miniport d'ordonnancement de paquets était connectée au réseau,
et a lancé une opération normale sur la carte réseau.

Record Number: 14504
Source Name: Tcpip
Time Written: 20090326213838.000000+060
Event Type: Informations
User: 

Computer Name: S-IX7EG5AG337JJ
Event Code: 1003
Message: Votre ordinateur n'a pas pu renouveler son adresse à partir du réseau (à partir
du serveur DHCP) pour la carte réseau dont l'adresse réseau est 000F666F0018. Il s'est
produit l'erreur suivante : 
L'opération a été annulée par l'utilisateur.
.
Votre ordinateur va continuer à essayer d'obtenir sa propre adresse auprès du
serveur d'adresse réseau (DHCP).

Record Number: 14503
Source Name: Dhcp
Time Written: 20090326213828.000000+060
Event Type: Avertissement
User: 

Computer Name: S-IX7EG5AG337JJ
Event Code: 4201
Message: Le système a détecté que la carte réseau Wireless-G...- Miniport d'ordonnancement de paquets était connectée au réseau,
et a lancé une opération normale sur la carte réseau.

Record Number: 14502
Source Name: Tcpip
Time Written: 20090326213828.000000+060
Event Type: Informations
User: 

Computer Name: S-IX7EG5AG337JJ
Event Code: 1003
Message: Votre ordinateur n'a pas pu renouveler son adresse à partir du réseau (à partir
du serveur DHCP) pour la carte réseau dont l'adresse réseau est 000F666F0018. Il s'est
produit l'erreur suivante : 
L'opération a été annulée par l'utilisateur.
.
Votre ordinateur va continuer à essayer d'obtenir sa propre adresse auprès du
serveur d'adresse réseau (DHCP).

Record Number: 14501
Source Name: Dhcp
Time Written: 20090326213813.000000+060
Event Type: Avertissement
User: 

Computer Name: S-IX7EG5AG337JJ
Event Code: 4201
Message: Le système a détecté que la carte réseau Wireless-G...- Miniport d'ordonnancement de paquets était connectée au réseau,
et a lancé une opération normale sur la carte réseau.

Record Number: 14500
Source Name: Tcpip
Time Written: 20090326213813.000000+060
Event Type: Informations
User: 

=====Application event log=====

Computer Name: S-IX7EG5AG337JJ
Event Code: 1517
Message: Windows a sauvegardé le Registre utilisateur S-IX7EG5AG337JJ\Sylbane alors qu'une application ou un service utilisait toujours le Registre pendant la fermeture de la session. La mémoire utilisée par le Registre de l'utilisateur n'a pas été libérée. le Registre sera déchargé lorsqu'il ne sera plus utilisé. 


Cela est souvent causé par des services s'exécutant en tant que compte d'utilisateur, essayez de configurer les services pour s'exécuter dans le compte service réseau ou service local.

Record Number: 9809
Source Name: Userenv
Time Written: 20060623001303.000000+120
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: S-IX7EG5AG337JJ
Event Code: 1000
Message: Application défaillante profiler.exe, version 4.3.3.2000, module défaillant profiler.exe, version 4.3.3.2000, adresse de défaillance 0x000063a4.

Record Number: 9808
Source Name: Application Error
Time Written: 20060622204510.000000+120
Event Type: erreur
User: 

Computer Name: S-IX7EG5AG337JJ
Event Code: 1800
Message: Le service Centre de sécurité Windows a démarré.

Record Number: 9807
Source Name: SecurityCenter
Time Written: 20060622204454.000000+120
Event Type: Informations
User: 

Computer Name: S-IX7EG5AG337JJ
Event Code: 1000
Message: Application défaillante profiler.exe, version 4.3.3.2000, module défaillant profiler.exe, version 4.3.3.2000, adresse de défaillance 0x000063a4.

Record Number: 9806
Source Name: Application Error
Time Written: 20060620221408.000000+120
Event Type: erreur
User: 

Computer Name: S-IX7EG5AG337JJ
Event Code: 1800
Message: Le service Centre de sécurité Windows a démarré.

Record Number: 9805
Source Name: SecurityCenter
Time Written: 20060620221351.000000+120
Event Type: Informations
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Program
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 10 Stepping 0, AuthenticAMD
"PROCESSOR_REVISION"=0a00
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"FP_NO_HOST_CHECK"=NO
"tvdumpflags"=8

-----------------EOF-----------------

jacques.gache · Answer

bon tu fais ce qui suis otmoviet tu postes le rapport , tu redémarres le pc et tu passeras ccleaner avec les réglages donnés, et puis tu passeras malwarebytes , merci

1) 


Télécharge OTMoveIt3 de OldTimer sur ton Bureau en cliquant sur ce lien :

http://oldtimer.geekstogo.com/OTMoveIt3.exe

Double-clique sur OTMoveIt3.exe pour le lancer.

Vérifie que la case devant "Unregister Dll's and Ocx's est bien cochée.

Copie la liste qui se trouve en GRAS>/gras> entre les deux traits ici-dessous,

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".

____________________________________________________________________

<gras>
:processes
aj0ubcxn.exe
1248270862.exe

:services


:files
c:\windows\system32\config\system~1\protect.dll
c:\windows	emp\aj0ubcxn.exe
c:\windows\system32\autochk.dll
c:\documents and settings\sylbane\protect.dll
C:\WINDOWS\system32\yofamoyu.dll
c:\windows\system32\bonafanu.dll
c:\documents and settings\sylbane\locals~1	emp\krdpdre.sys


:reg
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"autochk"=-
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Resurections"=-
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"autochk"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"autochk"=-

:Commands
[purity] 
[emptytemp] 
[start explorer] 
[reboot] 


__________________________________________________________________


Clique sur "MoveIt!" pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur "Exit" pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.





2)  Redémarres le PC et passes Ccleaner avec ces réglages LA



télécharge Ccleaner à partir de cette adresses


.enregistres le sur le bureau
.double-cliques sur le fichier pour lancer l'installation
.sur la fenêtre de l'installation langage bien choisir français et OK
.cliques sur suivant
.lis la licence et j'accepte
.cliques sur suivant
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner
.cliques sur intaller
.cliques sur fermer
.double-cliques sur l'icône de Ccleaner pour l'ouvrir
.une fois ouvert tu cliques sur option et puis avancé
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures
.cliques sur nettoyeur
.cliques sur windows et dans la colonne avancé
.cochesla première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la
.cliques sur analyse une fois l'analyse terminé
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien
.cliques maintenant sur registre et puis sur rechercher les erreurs
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées
.il te demande de sauvegarder OUI
.tu lui donnes un nom pour pouvoir la retrouver et enregistre
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
.il supprime et fermer tu vériffis en relancant  rechercher les erreurs
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé  tu décoches la première case vieilles données du perfetch
.tu peux fermer Ccleaner



et pour mieux le connaire :  https://jesses.pagesperso-orange.fr/Docs/Logiciels/CCleaner.htm




3 )passes malwarebytes merci

Télécharge Malwarebytes' Anti-Malware: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

. sur la page cliques sur Télécharger Malwarebyte's Anti-Malware
. enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. si le pare-feu demande l'autorisation  de se connecter pour malwarebytes, acceptes
. Il va se mettre à jour une fois faite
. rend-toi dans l'onglet, Recherche
. Sélectionnes  Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche :
 L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés)
  
. cliques sur Supprimer la sélection
 
. Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. redemarre le pc
. une fois redémarré double-cliques sur malwarebytes
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller

ramoucho · Answer

Ok merci pour l'aide.

ci dessous le log de OT moveit, analyse malware en cours.

========== PROCESSES ==========
Unable to kill process: aj0ubcxn.exe
Unable to kill process: 1248270862.exe
========== SERVICES/DRIVERS ==========
========== FILES ==========
File/Folder c:\windows\system32\config\system~1\protect.dll not found.
File/Folder c:\windows	emp\aj0ubcxn.exe not found.
File/Folder c:\windows\system32\autochk.dll not found.
File/Folder c:\documents and settings\sylbane\protect.dll not found.
File/Folder C:\WINDOWS\system32\yofamoyu.dll not found.
File/Folder c:\windows\system32\bonafanu.dll not found.
File/Folder c:\documents and settings\sylbane\locals~1	emp\krdpdre.sys not found.
========== REGISTRY ==========
Registry key HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\ deleted successfully.
Registry key HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run not found.
Registry key HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\ not found.
Registry key HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run not found.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ deleted successfully.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run not found.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\Sylbane\LOCALS~1\Temp\etilqs_qTWSXsYm3mWbyoogKH9e scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\Sylbane\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS	emp\oqb055p8t.exe scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS	emp\ZLT0017f.TMP scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS	emp\ZLT069e3.TMP scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. C:\Documents and Settings\Sylbane\Local Settings\Application Data\Mozilla\Firefox\Profiles\7x6olv2g.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Sylbane\Local Settings\Application Data\Mozilla\Firefox\Profiles\7x6olv2g.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Sylbane\Local Settings\Application Data\Mozilla\Firefox\Profiles\7x6olv2g.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Sylbane\Local Settings\Application Data\Mozilla\Firefox\Profiles\7x6olv2g.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Sylbane\Local Settings\Application Data\Mozilla\Firefox\Profiles\7x6olv2g.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Sylbane\Local Settings\Application Data\Mozilla\Firefox\Profiles\7x6olv2g.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 05042009_234330

Files moved on Reboot...
File C:\DOCUME~1\Sylbane\LOCALS~1\Temp\etilqs_qTWSXsYm3mWbyoogKH9e not found!
C:\WINDOWS	emp\oqb055p8t.exe moved successfully.
C:\WINDOWS	emp\ZLT0017f.TMP moved successfully.
C:\WINDOWS	emp\ZLT069e3.TMP moved successfully.
C:\Documents and Settings\Sylbane\Local Settings\Application Data\Mozilla\Firefox\Profiles\7x6olv2g.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\Sylbane\Local Settings\Application Data\Mozilla\Firefox\Profiles\7x6olv2g.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\Sylbane\Local Settings\Application Data\Mozilla\Firefox\Profiles\7x6olv2g.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\Sylbane\Local Settings\Application Data\Mozilla\Firefox\Profiles\7x6olv2g.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\Sylbane\Local Settings\Application Data\Mozilla\Firefox\Profiles\7x6olv2g.default\urlclassifier3.sqlite moved successfully.
C:\Documents and Settings\Sylbane\Local Settings\Application Data\Mozilla\Firefox\Profiles\7x6olv2g.default\XUL.mfl moved successfully.

ramoucho · Answer

Et le rapport malwarebytes

Malwarebytes' Anti-Malware 1.36
Version de la base de données: 2074
Windows 5.1.2600 Service Pack 2

05/05/2009 00:52:26
mbam-log-2009-05-05 (00-52-26).txt

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 224343
Temps écoulé: 37 minute(s), 34 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\afnoinkdsfe.dll (Trojan.Ertfor) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{c2ba40a1-74f3-42bd-f434-12345a2c8953} (Trojan.Zlob.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c2ba40a1-74f3-42bd-f434-12345a2c8953} (Trojan.Ertfor) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c2ba40a1-74f3-42bd-f434-12345a2c8953} (Trojan.Ertfor) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{c2ba40a1-74f3-42bd-f434-12345a2c8953} (Trojan.Zlob.H) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\afnoinkdsfe.dll (Trojan.Zlob.H) -> Delete on reboot.
C:\WINDOWS\system32\p2hhr.bat (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ak1.exe (Virus.Virut) -> Quarantined and deleted successfully.

ramoucho · Answer

Merci jacques pour l'aide.
Pour ma part je reprendrais demain, il est tard.

jacques.gache · Answer

bonjour, comment va ton pc ???

ramoucho · Answer

Bonjour,

bah les symptomes ont l'air d'etre mieux au niveau du surf, mais je crois que le dernier scan malwarebytes a encore découvert pas mal de fichiers infectés.

En revanche, je ne vois toujours pas mes clés USB et mes disques durs dans le gestionnaire de disque.
Est ce que cela peut etre lié au fait que les différents analyses ont supprimer les fichiers chdsk.dll ou autochk.dll par exemple?

Autrement, comment faire pour supprimer le 1248756.exe et tous les dll suspect dans l'onglet démarrage de msconfig?

Merci pour l'éclairage.
Sylvain

jacques.gache · Answer

bonjour,  pour supprimer des choses du démarrage automatique perso je passes pas par msconfig , j'utilises ccleaner sur outil , démarrage et la perso j'ai tout supprimer ou presque j'ai l'aisser une ligne ctfmon.exe un trucs système de toute façon si tu supprimes il reviens , une ligne ccleaner car en automatique chez moi,  swg la toolbar google, et deux lignes qui sont mon anti-virus et rien d'autre et cela sur les 6 pc de la maison et pas de problème regarde la capture d'écran de ce que j'ai au démarrage et tu verras http://img1.imagilive.com/0509/drrage.JPG



sinon je vais te faire passer un outil mais il est relativement puissant , donc tu suis les recommandations , tu ne touches pas au pc pendant qu'il travail sauf pour répondre quand il te le demande , je parlais de combofix que j'ai renommé en jacombo pour contrer certaine infection , tu le télécharges sur ton bureau et tu le lances comme expliqué en suivant les recommandations , merci

Télécharge jacombo (combofix renomé) :http://sd-1.archive-host.com/membres/up/89820622056365782/jaCombo.exe


-> Double clique sur jacombo 
-> Tape sur la touche 1 (Yes) pour démarrer le scan. 
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt 

Avant d'utiliser ComboFix (jacombo): 

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil). 


- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. 

- suis les instructions et accepte ce qu'il te demande sois patient cela peut prendre près de 20 minutes

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 


-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 


tutoriel officiel prend le temps de le lire : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

ramoucho · Answer

Hello, désolé pour le retard
le rapport de combofix (pour info le lien que tu m'as donné ne fonctionne pas). J'ai téléchargé depuis bleeping.com

En attente de tes lumières.
Merci.

ComboFix 09-05-02.4 - Sylbane 06/05/2009  0:05.2 - NTFSx86
Microsoft Windows XP Professionnel  5.1.2600.2.1252.33.1036.18.1023.672 [GMT 2:00]
Lancé depuis: c:\documents and settings\Sylbane\Bureau\ComboFix.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated)
FW: ZoneAlarm Firewall *disabled*
.

(((((((((((((((((((((((((((((   Fichiers créés du 2009-04-05 au 2009-05-05  ))))))))))))))))))))))))))))))))))))
.

2009-05-04 21:52 . 2009-05-04 22:47	--------	d-----w	c:\windows\system32\CatRoot_bak
2009-05-04 21:43 . 2009-05-04 21:43	--------	d-----w	C:\_OTMoveIt
2009-05-04 21:20 . 2008-10-03 10:17	247326	-c----w	c:\windows\system32\dllcache\strmdll.dll
2009-05-04 21:18 . 2008-06-14 17:59	272768	-c----w	c:\windows\system32\dllcache\bthport.sys
2009-05-04 21:13 . 2009-02-09 11:50	2059776	-c----w	c:\windows\system32\dllcache
tkrnlpa.exe
2009-05-04 21:13 . 2005-07-26 04:39	60416	-c----w	c:\windows\system32\dllcache\colbact.dll
2009-05-04 21:13 . 2009-02-09 11:50	2017792	-c----w	c:\windows\system32\dllcache
tkrpamp.exe
2009-05-04 21:13 . 2009-02-06 16:39	227840	-c----w	c:\windows\system32\dllcache\wmiprvse.exe
2009-05-04 21:13 . 2009-03-06 14:46	286208	-c----w	c:\windows\system32\dllcache\pdh.dll
2009-05-04 21:13 . 2009-02-09 11:50	2182528	-c----w	c:\windows\system32\dllcache
toskrnl.exe
2009-05-04 21:13 . 2009-02-09 10:20	473088	-c----w	c:\windows\system32\dllcache\fastprox.dll
2009-05-04 21:13 . 2009-02-09 10:20	730112	-c----w	c:\windows\system32\dllcache\lsasrv.dll
2009-05-04 21:13 . 2009-02-09 10:08	111104	-c----w	c:\windows\system32\dllcache\services.exe
2009-05-04 21:13 . 2009-02-09 10:20	453120	-c----w	c:\windows\system32\dllcache\wmiprvsd.dll
2009-05-04 21:13 . 2009-02-09 11:50	2138112	-c----w	c:\windows\system32\dllcache
tkrnlmp.exe
2009-05-04 21:08 . 2008-05-01 14:31	331776	-c----w	c:\windows\system32\dllcache\msadce.dll
2009-05-04 21:08 . 2008-04-11 18:51	683520	-c----w	c:\windows\system32\dllcache\inetcomm.dll
2009-05-04 21:07 . 2008-12-16 12:49	351232	-c----w	c:\windows\system32\dllcache\winhttp.dll
2009-05-04 21:03 . 2008-04-21 21:27	219136	-c----w	c:\windows\system32\dllcache\wordpad.exe
2009-05-04 21:02 . 2009-05-04 21:03	--------	d-----w	C:sit
2009-05-04 17:30 . 2009-05-04 17:30	--------	d-----w	c:\documents and settings\Sylbane\Application Data\Malwarebytes
2009-05-04 17:30 . 2009-04-06 13:32	15504	----a-w	c:\windows\system32\drivers\mbam.sys
2009-05-04 17:30 . 2009-04-06 13:32	38496	----a-w	c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-04 17:30 . 2009-05-04 17:30	--------	d-----w	c:\documents and settings\All Users\Application Data\Malwarebytes
2009-05-04 17:30 . 2009-05-04 17:30	--------	d-----w	c:\program files\Malwarebytes' Anti-Malware
2009-05-02 10:01 . 2008-10-16 12:06	268648	----a-w	c:\windows\system32\mucltui.dll
2009-04-29 22:35 . 2009-04-29 22:29	15688	----a-w	c:\windows\system32\lsdelete.exe
2009-04-29 22:29 . 2009-04-29 22:28	64160	----a-w	c:\windows\system32\drivers\Lbd.sys
2009-04-29 22:21 . 2009-04-29 22:21	--------	dc-h--w	c:\documents and settings\All Users\Application Data\{7972B2E5-3E09-4E5E-81B7-FE5819D6772F}
2009-04-29 22:21 . 2009-04-29 22:21	--------	d-----w	c:\program files\Lavasoft
2009-04-29 22:21 . 2009-04-29 22:21	--------	d-----w	c:\documents and settings\All Users\Application Data\Lavasoft
2009-04-29 22:03 . 2009-04-29 22:03	--------	d-----w	c:\program files\Trend Micro
2009-04-29 18:58 . 2009-04-29 18:58	--------	d-----w	c:\program files\Avira
2009-04-29 18:58 . 2009-04-29 18:58	--------	d-----w	c:\documents and settings\All Users\Application Data\Avira
2009-04-29 17:43 . 2009-04-29 17:43	--------	d--h--w	c:\windows\system32\GroupPolicy

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-05 22:05 . 2004-04-24 11:52	6	---ha-w	c:\windows\Tasks\SA.DAT
2009-05-05 22:05 . 2004-04-26 16:53	416	----a-w	c:\windows\Tasks\Symantec NetDetect.job
2009-05-05 21:56 . 2004-04-30 17:01	29256	----a-w	c:\documents and settings\Sylbane\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-05-05 21:53 . 2002-08-30 12:00	80078	----a-w	c:\windows\system32\perfc00C.dat
2009-05-05 21:53 . 2002-08-30 12:00	500934	----a-w	c:\windows\system32\perfh00C.dat
2009-05-04 18:59 . 2009-05-04 20:06	541696	----a-w	c:\windows\Internet Logs\xDB3.tmp
2009-04-29 22:29 . 2009-04-29 22:29	512	----a-w	c:\windows\Tasks\Ad-Aware Update (Weekly).job
2009-04-29 17:59 . 2009-04-29 17:59	146944	----a-w	c:\windows\Internet Logs\xDB2.tmp
2009-04-29 14:00 . 2004-09-08 17:31	412	---ha-w	c:\windows\Tasks\{DBE569A8-6ED2-4E09-8BA0-D298978538BB}_S-IX7EG5AG337JJ_Sylbane.job
2009-04-29 07:00 . 2004-09-08 17:31	412	---ha-w	c:\windows\Tasks\{2B0CE30E-5F27-445B-B4D5-3B687FC7C1B2}_S-IX7EG5AG337JJ_Sylbane.job
2009-04-28 22:44 . 2009-04-29 06:50	3251712	----a-w	c:\windows\Internet Logs\xDB1.tmp
2009-04-28 22:25 . 2005-10-25 16:50	--------	d-----w	c:\program files\Azureus
2009-04-26 07:45 . 2009-02-15 18:14	2684960	--sha-w	c:\windows\system32\drivers\fidbox.dat
2009-04-17 22:10 . 2009-02-15 18:14	34220	--sha-w	c:\windows\system32\drivers\fidbox.idx
2009-03-31 08:36 . 2009-03-31 08:36	--------	d-----w	c:\program files\Microsoft
2009-03-31 08:35 . 2008-05-24 18:50	--------	d-----w	c:\program files\Windows Live
2009-03-31 08:31 . 2009-03-31 08:31	--------	d-----w	c:\program files\Fichiers communs\Windows Live
2009-03-28 19:49 . 2009-03-28 19:47	--------	d-----w	c:\program files\ATI Technologies
2009-03-28 19:48 . 2004-04-24 12:43	--------	d--h--w	c:\program files\InstallShield Installation Information
2009-03-19 19:10 . 2009-03-19 19:10	0	----a-w	c:\windows\ativpsrm.bin
2009-03-14 09:43 . 2009-03-14 09:43	--------	d-----w	c:\program files\directx
2009-03-06 14:46 . 2002-08-30 12:00	286208	----a-w	c:\windows\system32\pdh.dll
2009-02-20 08:31 . 2004-07-07 16:59	663552	----a-w	c:\windows\system32\wininet.dll
2009-02-20 08:31 . 2004-08-19 23:09	81920	------w	c:\windows\system32\ieencode.dll
2009-02-15 12:05 . 2005-01-10 23:02	4212	---h--w	c:\windows\system32\zllictbl.dat
2009-02-09 14:17 . 2002-08-30 12:00	1846400	----a-w	c:\windows\system32\win32k.sys
2009-02-09 11:50 . 2002-08-29 11:42	2059776	----a-w	c:\windows\system32
tkrnlpa.exe
2009-02-09 11:50 . 2002-08-30 12:00	2182528	----a-w	c:\windows\system32
toskrnl.exe
2009-02-09 10:20 . 2002-08-30 12:00	730112	----a-w	c:\windows\system32\lsasrv.dll
2009-02-09 10:20 . 2004-04-24 15:34	399360	----a-w	c:\windows\system32pcss.dll
2009-02-09 10:20 . 2002-08-30 12:00	685056	----a-w	c:\windows\system32\advapi32.dll
2009-02-09 10:20 . 2002-08-30 12:00	739840	----a-w	c:\windows\system32
tdll.dll
2009-02-09 10:08 . 2002-08-30 12:00	111104	----a-w	c:\windows\system32\services.exe
2009-02-06 16:54 . 2002-08-30 12:00	35328	----a-w	c:\windows\system32\sc.exe
2009-02-06 16:52 . 2009-02-06 16:52	49504	----a-w	c:\windows\system32\sirenacm.dll
2004-04-30 16:58 . 2004-04-30 16:58	90	--sh--w	c:\windows\cnerolf.dat
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^DSLMON.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\DSLMON.lnk
backup=c:\windows\pss\DSLMON.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^hp psc 1000 series.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\hp psc 1000 series.lnk
backup=c:\windows\pss\hp psc 1000 series.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^hpoddt01.exe.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\hpoddt01.exe.lnk
backup=c:\windows\pss\hpoddt01.exe.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Sylbane^Menu Démarrer^Programmes^Démarrage^ChkDisk.lnk]
path=c:\documents and settings\Sylbane\Menu Démarrer\Programmes\Démarrage\ChkDisk.lnk
backup=c:\windows\pss\ChkDisk.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Pml Driver HPZ12"=3 (0x3)
"NVSvc"=2 (0x2)
"IDriverT"=3 (0x3)
"avast! Web Scanner"=3 (0x3)
"avast! Mail Scanner"=3 (0x3)
"aswUpdSv"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Microsoft ActiveSync\wcescomm.exe"=
"c:\WINDOWS\system32\dpnsvr.exe"=
"c:\Program Files\Microsoft ActiveSync\WcesMgr.exe"=
"c:\Program Files\Java\j2re1.4.2_05\bin\javaw.exe"=
"c:\Program Files\Real\RealOne Player\realplay.exe"=
"c:\Program Files\ShadowFactor\BattleCom Client\battleclient.exe"=
"c:\WINDOWS\system32\dplaysvr.exe"=
"c:\Program Files\Skype\Phone\Skype.exe"=
"d:\Jeux\bf2\BF2.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\Microsoft LifeCam\LifeCam.exe"=
"c:\Program Files\Microsoft LifeCam\LifeExp.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4662:TCP"= 4662:TCP:Emule: tcp entrant
"4672:UDP"= 4672:UDP:Emule: udp entrant

R1 ANVIOCTL;ANVIOCTL;c:\windows\system32\DRIVERS\anvioctl.sys [2004-02-11 231480]
R3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\System32\DRIVERS\ASPI32.sys [2002-07-17 16512]
R3 krdpdre;krdpdre; [x]
R3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2009-04-29 953168]
R3 SaiH0255;SaiH0255;c:\windows\system32\DRIVERS\SaiH0255.sys [2004-10-22 121984]
R3 SaiH0763;SaiH0763;c:\windows\system32\DRIVERS\SaiH0763.sys [2007-05-01 132232]
R3 SaiH0BAC;SaiH0BAC;c:\windows\system32\DRIVERS\SaiH0BAC.sys [2007-09-14 135168]
R3 SaiH0C2D;SaiH0C2D;c:\windows\system32\DRIVERS\SaiH0C2D.sys [2007-09-14 135168]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [2009-04-29 64160]
S0 xmasbus;xmasbus;c:\windows\System32\DRIVERS\xmasbus.sys [2003-12-21 140800]
S0 xmasscsi;xmasscsi;c:\windows\System32\Drivers\xmasscsi.sys [2003-12-20 5504]

.
Contenu du dossier 'Tâches planifiées'

2009-04-29 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-03-09 22:28]

2004-08-03 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 1200 series5E771253C1676EBED677BF361FDFC537825E15B8083263009.job
- c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 22:52]

2008-12-12 c:\windows\Tasks\{08299C98-52A6-44D2-8739-3D442E2C54B8}_S-IX7EG5AG337JJ_Sylbane.job
- c:\windows\system32\mobsync.exe [2002-08-30 23:09]

2009-04-29 c:\windows\Tasks\{2B0CE30E-5F27-445B-B4D5-3B687FC7C1B2}_S-IX7EG5AG337JJ_Sylbane.job
- c:\windows\system32\mobsync.exe [2002-08-30 23:09]

2009-04-29 c:\windows\Tasks\{DBE569A8-6ED2-4E09-8BA0-D298978538BB}_S-IX7EG5AG337JJ_Sylbane.job
- c:\windows\system32\mobsync.exe [2002-08-30 23:09]
.
.
------- Examen supplémentaire -------
.
mStart Page = hxxp://www.club-internet.fr
uInternet Connection Wizard,ShellNext = iexplore
IE: &Traduire à partir de l'anglais - c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Pages liées - c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
IE: Pages similaires - c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
IE: Recherche &Google - c:\program files\google\GoogleToolbar1.dll/cmsearch.html
IE: Version de la page actuelle disponible dans le cache Google - c:\program files\google\GoogleToolbar1.dll/cmcache.html
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Sylbane\Application Data\Mozilla\Firefox\Profiles\7x6olv2g.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - prefs.js: browser.search.selectedEngine - Live Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - plugin: c:\program files\Java\j2re1.4.2_05\bin\NPJava11.dll
FF - plugin: c:\program files\Java\j2re1.4.2_05\bin\NPJava12.dll
FF - plugin: c:\program files\Java\j2re1.4.2_05\bin\NPJava13.dll
FF - plugin: c:\program files\Java\j2re1.4.2_05\bin\NPJava14.dll
FF - plugin: c:\program files\Java\j2re1.4.2_05\bin\NPJava32.dll
FF - plugin: c:\program files\Java\j2re1.4.2_05\bin\NPJPI142_05.dll
FF - plugin: c:\program files\Java\j2re1.4.2_05\bin\NPOJI610.dll
FF - plugin: c:\program files\Real\RealOne Player\Netscape6
ppl3260.dll
FF - plugin: c:\program files\Real\RealOne Player\Netscape6
prjplug.dll
FF - plugin: c:\program files\Real\RealOne Player\Netscape6
prpjplug.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-06 00:07
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 


c:\windows\system32\drivers\ovfsthlovdksurnsrwkbrpjxeiujlymephlwas.sys 83968 bytes executable
c:\docume~1\Sylbane\LOCALS~1\Temp\ovfsthx000 0 bytes
c:\windows\system32\ovfsthiqudqsiiqtjkoscpgvrlufaquaypbqvt.dll 18432 bytes executable
c:\windows\system32\ovfsthireyuabwdmxbdxwkboyhsporodhpygwg.dat 275564 bytes
c:\windows\system32\ovfsthjysqkutfnmlayolexjfxidwqeovskftv.dll 60928 bytes executable
c:\windows\system32\ovfsthoedplxndifnshkcbfvrmoqghxrgladrh.dll 18944 bytes executable
c:\windows\system32\ovfsthtxigioujrqmrodmpshuvxmkjndvvabwj.dat 43 bytes

Scan terminé avec succès
Fichiers cachés: 7

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(912)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2009-05-05  0:08
ComboFix-quarantined-files.txt  2009-05-05 22:08

Avant-CF: 2 664 816 640 octets libres
Après-CF: 2 659 041 280 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptOut

220	--- E O F ---	2009-05-04 23:09

ramoucho · Answer

Pour info, mes clé USB sont à nouveau détéctées dans l'explorateur et le gestionnaire disque me présente tous mes disques logiques...
Crois tu que mon PC est guérit?
Un dernier truc qui me gène c'est que l'affichage passe du léger flou au net (se voit surtout avec l'es choses écrites), mais bon ca je crois que je regarderais pour des drivers à jour...
Merci de me confirmer que ma amchine part en convalescence au bord de la mer!!!
A plus.

jacques.gache · Answer

bonjour, pour le flou sur ton écran oui vériffis sur touslesdrivers.com sur mes drivers les mises à jour matériels dispo pour ton pc , ou déjà regarde dans les réglages de définition de ton écran , dans les propriétés d'affichage , dans paramètres , si tes réglage non pas bouger cela peux arrivé avec combofix .

consernant combo renommé merci de me le préciser je vais remettre cela en ordre !!

sinon si tu as retrouver ton pc et ses fonctionnabilités j'en suis heureux , mais j'aimerais bien que tu me passes usbfix pour voir si il ne trouves pas un reste, merci
et puis tu me postes un rapport hijackthis 

1) passes USBfix.

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


Télécharge et install UsbFix de C_XX & Chiquitine29

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau .

# Choisis l'option 1 ( Recherche )

# Laisse travailler l'outil.

# Ensuite post le rapport UsbFix.txt qui apparaitra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 





2) postes un rapport hijackthis 


HijackThis est un outil développé par merijn, capable de détecter les composants ajoutés à votre navigateur, les programmes lancés au démarrage du système, etc. Le programme vous permet de consulter tous les éléments et éventuellement de les retirer de l'ordinateur. HijackThis est, par exemple, en mesure de forcer le changement de la page d'accueil. Cette fonction est particulièrement utile lorsque votre navigateur ne vous permet plus de modifier la page d'accueil car un site se l'est appropriée ! Le logiciel peut également enregistrer des paramètres par défaut et ignorer certains éléments définis.

télécharge Hijackthis : http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis

.cliques sur download
.cliques sur download Hijackthis installer
.enregistres le sur le bureau
.Tu fermes tout les programmes ouverts y compris le navigateur. sauf ton anti-virus et pare-feux
.installes le , il va s'installer par défaut dans C:\Program Files\Trend Micro\HijackThis
.Cliques sur "Do a system scan and save the logfile"
.Cela va t'ouvrir un bloc note à la fin du scan.
.Copie son contenu et poste le dans ton prochain message. sinon le rapport est dans C:\Program Files\Trend Micro\HijackThis\ hijackthis "document texte"


si besion d'aide pour l'installation  : https://www.malekal.com/tutoriel-hijackthis/

et si problème pour VISTA :https://blog.sosordi.net/category/articles


des expliquations en images pour l'utiliser : http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm

Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

ramoucho · Answer

Bonjour Jacques,

ci dessous le rapport usb fix. Visiblement il y a un antivirus override... on corrige cela comment?
merci.


############################## [ UsbFix V3.017 # Scan ]

# User : Sylbane (Administrateurs) # S-IX7EG5AG337JJ
# Update on 06/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 18:10:34 | 07/05/2009

# AMD Athlon(tm) XP 2600+
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Disabled
# AV : Avira AntiVir PersonalEdition Classic 8.0.1.30 [ Enabled | Updated ]
# FW : ZoneAlarm Firewall[ Enabled ]7.0.483.000

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 15 Go (2,47 Go free) [Disque local] # NTFS
# D:\ # Disque fixe local # 61,33 Go (12,15 Go free) [Nouveau nom] # NTFS
# E:\ # Disque fixe local # 76,32 Go (21,83 Go free) [Nouveau nom] # NTFS
# F:\ # Disque CD-ROM
# H:\ # Disque CD-ROM
# I:\ # Disque amovible # 1008,25 Mo (694,84 Mo free) [MINILOGUE_P] # FAT32
# T:\ # Disque amovible # 497,59 Mo (497,58 Mo free) [STORE'N'GO] # FAT

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [  Registre # Startup ]

HKCU_Main:  "Local Page"="C:\WINDOWS\system32\blank.htm" 
HKCU_Main:  "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" 
HKCU_Main:  "Start Page"="https://www.msn.com/fr-fr/?ocid=iehp" 
HKLM_logon: "Userinit"="C:\WINDOWS\system32\userinit.exe," 
HKLM_logon: "DefaultUserName"="Sylbane" 
HKLM_logon: "AltDefaultUserName"="Sylbane" 
HKLM_logon: "LegalNoticeCaption"="" 
HKLM_logon: "LegalNoticeText"="" 

################## [ Informations ]


################## [ Fichiers # Dossiers infectieux ]


################## [ Registre # Clés Run infectieuses ]

Found ! HKLM\software\microsoft\security center\ "AntiVirusOverride"  
# -> ( Value = 0x1 | Good = 0x0 Bad = 0x1 )  

################## [ Registre # Mountpoints2 ]

# -> Not Found !  

################## [ ! Fin du rapport # UsbFix V3.017 ! ]

ramoucho · Answer

et Hijackthis... merci

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:16:30, on 07/05/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O24 - Desktop Component 0: (no name) - http://www.airliners.net/photos/big/0/2/5/593520.jpg

jacques.gache · Answer

bonjour , ton rapport hijackthis ne me plait pas du tout il n'a pas de lignes 02 et 04 entre autre et c'est pas trop normal , ce qui est des plus étrange car on n'a passé combo, je te deamande de passer vudofix , merci

 Télécharge Vundofix de Atribune 

http://vundofix.atribune.org/ 

 sur la page cliques sur Download VundoFix
 enregistre le sur le  bureau
 Fais un double cliques sur VundoFix.exe. afin de le lancer. 
 Cliques sur le bouton Scan for Vundo. 
 Lorsque l'analyse est terminée, clique sur le bouton Fix Vundo. (Uniquement si des fichiers infectieux sont trouvés). 
 Une invite te demandera si tu veux supprimer les fichiers, Cliques sur le bouton Oui 
 Après avoir cliqué "Oui", le Bureau disparaîtra un moment lors de la suppression des fichiers. 
 Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique sur OK 
 Démarres ton PC à nouveau. 
 Copie/colle le contenu du rapport situé dans C:\vundofix.txt

ramoucho · Answer

ah...
je suis entrain de scanner.
Est-ce que cela ne peut pas etre lié à des bidouillages de ma part avant que tu m'aides? J'ai deja utilisé Hijackthis et fixé quelques entrées comme le stipulait l'analyse de hijackthis.de de mon rapport...
Le rapport arrive.
Merci.

ramoucho · Answer

Vundofix n'a rien trouvé. et je ne trouve rien dans c:\vundofix backups.

Concernant ces 02 et 04 on les voit dans le premier rapport Hijack. Ils correspondent sensiblement à tous les programmes qui se lançaient à l'allumage du PC. Les différents manip font que je n'ai quasi plus rien qui se lance au démarrage. Ça peut pas être lié?

Je reprends demain. Merci pour l'aide.

jacques.gache · Answer

oui dans le rsit il ya bien c'est ligne tu metteras un zphdiag pour être sur et si pareil c'est par ce que tu as fixer un peut durement !!! lol !!

Ouvres ce lien et télécharges ZHPDiag sur ton bureau :
 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

.cliques droit dessus et extraire tous
.ouvres le nouveau dossier ZHPDiag
.double clique sur la seringue ZHPDiag
.cliques sur tous
.cliques sur la loupe attend quelque minutes
.cliques sur l'appariel photos
.enregistres le de façon à le retrouver
.tu fermes ZHPDiag
. tu ouvres ton rapport ZHPDiag
.cliques sur édition
.et puis tous sélectionner
.et recliques sur édition
.copier
.tu reviens sur le forum et dans le cadre de la discution tu cliques droit dans le cadre de discution
.et coller

ramoucho · Answer

hello,

voici:
Rapport de ZHPDiag v1.20.2 par Nicolas Coolman
Enregistré le 08/05/2009 11:37:07
Platform : Microsoft Windows XP (5.1.2600) Service Pack 2
MSIE: Internet Explorer v6.0.2900.2180
MFIE: Mozilla Firefox (3.0.10)

---\ Processus lancés
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ati2sgag.exe
C:\WINDOWS\system32\services.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe

---\ Pages de démarrage d'Internet Explorer (R0)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr

---\ Pages de recherche d'Internet Explorer (R1)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchasst.htm

---\ Applications démarrées automatiquement par le registre (O4)
O4 - HKLM\..\policies\Explorer: [NoDriveAutoRun] Data="67108863"
O4 - HKLM\..\policies\Explorer: [NoDriveTypeAutoRun] Data="323"
O4 - HKLM\..\policies\Explorer: [NoDrives] Data="0"
O4 - HKLM\..\policies\Explorer: [HonorAutoRunSetting] Data="1"

---\ Lignes supplémentaires dans le menu contextuel d'Internet Explorer (O8)
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

---\ Boutons situés sur la barre d'outils principale d'Internet Explorer (O9)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe,302
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll,211
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - Web Browser Applet Control
O9 - Extra button: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll,211
O9 - Extra button: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe,302

---\ Objets ActiveX (Downloaded Program Files)(O16)
O16 - DPF: DirectAnimation Java Classes (DirectAnimation Java Classes) - file://C:\WINDOWS\Java\classes\dajava.cab
O16 - DPF: Microsoft XML Parser for Java (Microsoft XML Parser for Java) - file://C:\WINDOWS\Java\classes\xmldso.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {33564D57-9980-0010-8000-00AA00389B71} () - http://codecs.microsoft.com/codecs/i386/wmv9dmo.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} () - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38101.2841898148
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

---\ Protocole additionnel et piratage de protocole (O18)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

---\ Valeur de Registre AppInit_DLLs et sous-clés Winlogon Notify (autorun) (O20)
O20 - Winlogon Notify: AtiStartupEvent - C:\WINDOWS\System32\Ati2evxx.dll

---\ Liste des services NT non Microsoft et non désactivés (O23)
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service:  (Ati HotKey Poller) - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart (ATI Smart) - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: MSCamSvc (MSCamSvc) - C:\Program Files\Microsoft LifeCam\MSCamS32.exe
O23 - Service: Spouleur d'impression (Spooler) - C:\WINDOWS\system32\spoolsv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service

---\ Enumération des composants Active Desktop (O24)
O24 - Desktop Component 0: (no name) - file:http://www.airliners.net/photos/big/0/2/5/593520.jpg


End of the scan:

jacques.gache · Answer

bonjour, tu m'as bien mis le rapport complet car il me parrait un peut cour il y a d'abitude plus de ligne que cela
sinon la pour moi c'est bon au vu de ce qui est visible plus de traces d'infection 
il faudra que tu fasses les mises à jour pour windows avec le services pack 3 et puis pour IE tu as toujour le 6 et nous sommes rendu au 8 

Tu désinstalles les outils utilisés avec Toolscleaner2 lui tu le supprimeras de sur le bureau manuellement ainsi que le rapport généré qui est dans ton disque dur système sous le nom de " TCleaner "

Télécharge toolscleaner sur ton Bureau :   http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner

. Double-cliques "pour vista clique droit et en tant que administrateur" sur ToolsCleaner2 "l'as de carreau" et laisse le travailler 
. Cliques sur Recherche et laisse le scan se terminer. attention ça peut parraitre long
. Cliques sur Suppression pour finaliser. 
. Tu peux, si tu le souhaites, te servir des Options facultatives. 
. Clique sur Quitter, pour que le rapport puisse se créer. 
. Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse

ramoucho · Answer

Bon bah voil alors:

[ Rapport ToolsCleaner version 2.3.5 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\VundoFix.txt: trouvé !
C:\Combofix.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\Combofix: trouvé !
C:\Vundofix backups: trouvé !
C:\Qoobox: trouvé !
C:\_OtMoveIt: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Sylbane\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Sylbane\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\Sylbane\Bureau\vundoFix.exe: trouvé !
C:\Documents and Settings\Sylbane\Bureau\HJTInstall.exe: trouvé !
C:\Documents and Settings\Sylbane\Bureau\UsbFix.exe: trouvé !
C:\Documents and Settings\Sylbane\Bureau\OTMoveIt3.exe: trouvé !
C:\Documents and Settings\Sylbane\Bureau\Rsit.exe: trouvé !
C:\Documents and Settings\Sylbane\Menu Démarrer\Programmes\UsbFix: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Sylbane\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Sylbane\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\Sylbane\Bureau\vundoFix.exe: supprimé !
C:\Documents and Settings\Sylbane\Bureau\HJTInstall.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\VundoFix.txt: supprimé !
C:\Combofix.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\Sylbane\Bureau\UsbFix.exe: supprimé !
C:\Documents and Settings\Sylbane\Bureau\OTMoveIt3.exe: supprimé !
C:\Documents and Settings\Sylbane\Bureau\Rsit.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Combofix: supprimé !
C:\Vundofix backups: supprimé !
C:\Qoobox: supprimé !
C:\_OtMoveIt: supprimé !
C:\UsbFix: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\Sylbane\Menu Démarrer\Programmes\UsbFix: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

jacques.gache · Answer

bonjour, même si tu ne te sert pas de ie il faut le garder à jour , consernant le sp3 tu devrais déjà avoir eu l'occasion de le télécharger tout comme IE si tu fais régulièrement les mise à jour sur windows update ou si elles sont réglé sur automatique, 

sinon : regarde pourquoi garder IE à JOUR
rends toi sur ce site et met IE8  http://www.microsoft.com/downloads/details.aspx?FamilyID=341c2ad5-8c3d-4347-8c03-08cdecd8852b&DisplayLang=fr

Windows update  http://www.update.microsoft.com/windowsupdate/v6/default.aspx pour mettre le service pack 3 de windows xp ou directement ici http://www.microsoft.com/downloads/details.aspx?FamilyID=2fcde6ce-b5fb-4488-8c50-fe22559d164e&DisplayLang=fr


fais une analyse de vulnérabilité pour voir si tu n'aurais pas d'autre mises à jour à faire  que nous n'avons pas vu sur hijackthis: https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/

ramoucho · Answer

Merci pour tout jacques. Merci pour l'assistance.

il me reste quelques mise à jour à faire. Notamment IE8 qui demande à passer par microsoft update qui me dit que ma clé ou ma version windows n'est pas reconnue... donc IE attendra un peu car il y a toute une ribambelle de MAJ à faire.

@plus.
Sylvain

jacques.gache · Answer

bonjour, ta licence windows est bien une licence légale ???

Rundll symptomes étranges

25 réponses

Votre réponse

Discussions similaires

Newsletters