Mon ordi est infecté

Résolu
mimi -  
 Pier-Luc0170 -
Bonjour,
mon ordi déconne. chaque fois que je me connecte a internet ...des fenetre aparesse toute seule et cela s'empire de + en +......
ca serais tres aimable si je trouve une personne qui porais m'aider...merci
Configuration: Windows XP Internet Explorer 6.0

49 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Des symptômes persistants après connexion Internet montrent des fenêtres qui apparaissent sur un PC Windows XP, indiquant une possible infection ou présence d’éléments publicitaires intempestifs. Des conseils privilégient le balayage avec un antivirus à jour et l’analyse des composants suspects, notamment des fichiers cachés et des programmes au démarrage, puis la vérification via VirusTotal. D'autres propositions portent sur la désinstallation de UsbFix et l'examen de fichiers suspects tels que C:\WINDOWS\system32\ul.dll et og.dll, puis l'analyse détaillée via des rapports HijackThis et la consultation des liens publics. En cas de persistance, des vérifications supplémentaires des pages d'accueil et des éléments de démarrage, ainsi que des outils de nettoyage et de mise à jour des logiciels de sécurité, peuvent être envisagés.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Bonjour,

    --> Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

    --> Double-clique sur RSIT.exe afin de lancer le programme.
    (Sous Vista, il faut cliquer droit sur RSIT.exe et choisir Exécuter en tant qu'administrateur)

    --> Clique sur Continue à l'écran Disclaimer.

    --> Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

    --> Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

    Note : les rapports sont sauvegardés dans le dossier C:\rsit.
    0
    1. mimi
       
      merci de m'avoir repondu
      je te poste le rapport
      Logfile of random's system information tool 1.06 (written by random/random)
      Run by Administrateur at 2009-06-04 00:04:03
      Microsoft Windows XP Professionnel Service Pack 2
      System drive C: has 8 GB (40%) free of 20 GB
      Total RAM: 446 MB (39% free)

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 0:06:51, on 04-06-2009
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\VTTimer.exe
      C:\WINDOWS\system32\S3trayp.exe
      C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZR.EXE
      D:\explorer.exe
      C:\Program Files\Movie Maker\explorer.exe
      C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\Dos Optimizer.pif
      C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
      C:\Program Files\mobiConnect\mobiConnect.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
      C:\Program Files\trend micro\Administrateur.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
      O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
      O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
      O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe
      O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe 1
      O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [EPSON Stylus C91 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZR.EXE /FU "C:\WINDOWS\TEMP\E_S7D.tmp" /EF "HKCU"
      O4 - HKCU\..\Run: [internet_explorer] C:\Program Files\Movie Maker\explorer.exe
      O4 - HKCU\..\Run: [msn] C:\Program Files\Movie Maker\explorer.exe
      O4 - HKCU\..\Run: [anti-virus 2007] D:\explorer.exe
      O4 - HKCU\..\Run: [Mp3 player] C:\Documents and Settings\All Users\Favorites\explorer.exe
      O4 - HKCU\..\Run: [cdoosoft] olhrwef.exe
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - Startup: Dos Optimizer.pif = ?
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O17 - HKLM\System\CCS\Services\Tcpip\..\{C9DDE240-5DC4-4070-9435-135C892F9322}: NameServer = 193.251.169.166 193.251.169.83
      O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe
      O23 - Service: Planificateur Avira AntiVir Premium (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe
      O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe
      O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
      O23 - Service: Service d'assistance Avira AntiVir Premium MailGuard (AVEService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe
      0
  2. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    --> Télécharge UsbFix (de C_XX & Chiquitine29) sur ton Bureau.

    --> Lance l'installation avec les paramètres par défaut.

    --> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.

    --> Double-clique sur le raccourci UsbFix sur ton Bureau.

    --> Choisis l'option 1 (Recherche).

    --> Laisse travailler l'outil.

    --> Poste le rapport UsbFix.txt.

    Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

    "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    0
  3. mimi
     
    info.txt logfile of random's system information tool 1.06 2009-06-04 00:06:53

    ======Uninstall list======

    -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
    Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
    Avira AntiVir Premium-->C:\Program Files\Avira\AntiVir PersonalEdition Premium\SETUP.EXE /REMOVE
    Camera RAW Plug-In for EPSON Creativity Suite-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{8DAC1AE4-33D1-4A78-8A42-00E09EDECC3E}\SETUP.EXE" -l0x9 UNINST
    ClubDJ Pro-->C:\PROGRA~1\CLUBDJ~1\UNWISE.EXE C:\PROGRA~1\CLUBDJ~1\INSTALL.LOG
    Correctif pour Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
    DJMASTERMIX uninstall-->C:\Program Files\Micro Application\DJMASTERMIX\uninstall.exe
    DSS DJ 5.6-->"C:\Program Files\MyXOFT\DSS DJ\unins000.exe"
    EPSON Attach To Email-->C:\Program Files\Fichiers communs\InstallShield\Driver\8\Intel 32\IDriver.exe /M{20C45B32-5AB6-46A4-94EF-58950CAF05E5} /l1033 ADDREMOVEDLG
    EPSON Easy Photo Print-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B66E665A-DF96-4C38-9422-C7F74BC1B4E5}\SETUP.EXE" -l0x9 UNINST
    EPSON File Manager-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2EB81825-E9EE-44F4-8F51-1240C3898DC6}\Setup.exe" -l0x9 UNINST
    EPSON Printer Software-->C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\EPUPDATE.EXE /R
    EPSON Scan Assistant-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2A88F1BF-7041-4E42-84B1-6B4ACB83AC64}\Setup.exe" -l0x40c -u
    EPSON Stylus C90_91_D92 Manual-->C:\Program Files\EPSON\TPMANUAL\ESC90 91 D92\ENG\USE_G\DOCUNINS.EXE
    EPSON Web-To-Page-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{7F14F68C-17FA-4F88-B3FD-7F449C1EBF32}\SETUP.EXE" -l0x9 -anything
    FindyKill-->C:\FindyKill\Uninstal.exe
    High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe"
    HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
    K-Lite Codec Pack 3.2.0 Full-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"
    Microsoft Office Professional Edition 2003-->MsiExec.exe /I{9011040C-6000-11D3-8CFE-0150048383C9}
    Mise à jour de sécurité pour Windows XP (KB944338-v2)-->"C:\WINDOWS\$NtUninstallKB944338-v2$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
    Mise à jour pour Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
    mobiConnect-->C:\Program Files\mobiConnect\uninst.exe
    Skype™ 3.6-->MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
    VIA Display Driver 6.14.10.0099-->C:\PROGRA~1\S3\UChromeP\s3minset.exe /u UChromeP.uns
    VIA Gestionnaire de périphériques de plate-forme-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{20D4A895-748C-4D88-871C-FDB1695B0169}
    Web Construction Kit version 3.0-->"C:\WINDOWS\UNISTB32.EXE" /U "C:\Program Files\Wck3\UNINST0.000" "C:\Program Files\Wck3\UNINST1.000"
    Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
    Windows Live Messenger-->MsiExec.exe /I{F6326B60-1B1D-4ABF-BFCD-7B7404F44411}

    ======Security center information======

    AV: Avira AntiVir PersonalEdition (outdated)

    ======System event log======

    Computer Name: W-INFO
    Event Code: 6011
    Message: Le nom NetBIOS et le nom de l'hôte DNS de cet ordinateur ont été modifiés de MACHINENAME vers W-INFO.

    Record Number: 5
    Source Name: EventLog
    Time Written: 20090520124941.000000+060
    Event Type: Informations
    User:

    Computer Name: MACHINENAME
    Event Code: 2
    Message: Pendant la validation de \Device\Serial1 en tant que port série, une FIFO a été détectée. La FIFO sera utilisée.

    Record Number: 4
    Source Name: Serial
    Time Written: 20090520134614.000000+060
    Event Type: Informations
    User:

    Computer Name: MACHINENAME
    Event Code: 2
    Message: Pendant la validation de \Device\Serial0 en tant que port série, une FIFO a été détectée. La FIFO sera utilisée.

    Record Number: 3
    Source Name: Serial
    Time Written: 20090520134614.000000+060
    Event Type: Informations
    User:

    Computer Name: MACHINENAME
    Event Code: 6005
    Message: Le service d'Enregistrement d'événement a démarré.

    Record Number: 2
    Source Name: EventLog
    Time Written: 20090520134553.000000+060
    Event Type: Informations
    User:

    Computer Name: MACHINENAME
    Event Code: 6009
    Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 2 Multiprocessor Free.

    Record Number: 1
    Source Name: EventLog
    Time Written: 20090520134553.000000+060
    Event Type: Informations
    User:

    =====Application event log=====

    Computer Name: W-INFO
    Event Code: 1000
    Message: Les compteurs de performances pour le service MSDTC (MSDTC) ont été chargés.
    Les données d'enregistrement contiennent les nouvelles valeurs d'index
    assignées à ce service.

    Record Number: 5
    Source Name: LoadPerf
    Time Written: 20090520125111.000000+060
    Event Type: Informations
    User:

    Computer Name: W-INFO
    Event Code: 1000
    Message: Les compteurs de performances pour le service TermService (Services Terminal Server) ont été chargés.
    Les données d'enregistrement contiennent les nouvelles valeurs d'index
    assignées à ce service.

    Record Number: 4
    Source Name: LoadPerf
    Time Written: 20090520125109.000000+060
    Event Type: Informations
    User:

    Computer Name: W-INFO
    Event Code: 1000
    Message: Les compteurs de performances pour le service RemoteAccess (Routage et accès distant) ont été chargés.
    Les données d'enregistrement contiennent les nouvelles valeurs d'index
    assignées à ce service.

    Record Number: 3
    Source Name: LoadPerf
    Time Written: 20090520125014.000000+060
    Event Type: Informations
    User:

    Computer Name: W-INFO
    Event Code: 1000
    Message: Les compteurs de performances pour le service PSched (PSched) ont été chargés.
    Les données d'enregistrement contiennent les nouvelles valeurs d'index
    assignées à ce service.

    Record Number: 2
    Source Name: LoadPerf
    Time Written: 20090520125001.000000+060
    Event Type: Informations
    User:

    Computer Name: W-INFO
    Event Code: 1000
    Message: Les compteurs de performances pour le service RSVP (QoS RSVP) ont été chargés.
    Les données d'enregistrement contiennent les nouvelles valeurs d'index
    assignées à ce service.

    Record Number: 1
    Source Name: LoadPerf
    Time Written: 20090520124947.000000+060
    Event Type: Informations
    User:

    ======Environment variables======

    "ComSpec"=%SystemRoot%\system32\cmd.exe
    "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
    "windir"=%SystemRoot%
    "FP_NO_HOST_CHECK"=NO
    "OS"=Windows_NT
    "PROCESSOR_ARCHITECTURE"=x86
    "PROCESSOR_LEVEL"=15
    "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 6 Stepping 5, GenuineIntel
    "PROCESSOR_REVISION"=0605
    "NUMBER_OF_PROCESSORS"=2
    "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
    "TEMP"=%SystemRoot%\TEMP
    "TMP"=%SystemRoot%\TEMP

    -----------------EOF-----------------
    0
  4. mimi
     
    info.txt logfile of random's system information tool 1.06 2009-06-04 00:06:53

    ======Uninstall list======

    -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
    Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
    Avira AntiVir Premium-->C:\Program Files\Avira\AntiVir PersonalEdition Premium\SETUP.EXE /REMOVE
    Camera RAW Plug-In for EPSON Creativity Suite-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{8DAC1AE4-33D1-4A78-8A42-00E09EDECC3E}\SETUP.EXE" -l0x9 UNINST
    ClubDJ Pro-->C:\PROGRA~1\CLUBDJ~1\UNWISE.EXE C:\PROGRA~1\CLUBDJ~1\INSTALL.LOG
    Correctif pour Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
    DJMASTERMIX uninstall-->C:\Program Files\Micro Application\DJMASTERMIX\uninstall.exe
    DSS DJ 5.6-->"C:\Program Files\MyXOFT\DSS DJ\unins000.exe"
    EPSON Attach To Email-->C:\Program Files\Fichiers communs\InstallShield\Driver\8\Intel 32\IDriver.exe /M{20C45B32-5AB6-46A4-94EF-58950CAF05E5} /l1033 ADDREMOVEDLG
    EPSON Easy Photo Print-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B66E665A-DF96-4C38-9422-C7F74BC1B4E5}\SETUP.EXE" -l0x9 UNINST
    EPSON File Manager-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2EB81825-E9EE-44F4-8F51-1240C3898DC6}\Setup.exe" -l0x9 UNINST
    EPSON Printer Software-->C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\EPUPDATE.EXE /R
    EPSON Scan Assistant-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2A88F1BF-7041-4E42-84B1-6B4ACB83AC64}\Setup.exe" -l0x40c -u
    EPSON Stylus C90_91_D92 Manual-->C:\Program Files\EPSON\TPMANUAL\ESC90 91 D92\ENG\USE_G\DOCUNINS.EXE
    EPSON Web-To-Page-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{7F14F68C-17FA-4F88-B3FD-7F449C1EBF32}\SETUP.EXE" -l0x9 -anything
    FindyKill-->C:\FindyKill\Uninstal.exe
    High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe"
    HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
    K-Lite Codec Pack 3.2.0 Full-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"
    Microsoft Office Professional Edition 2003-->MsiExec.exe /I{9011040C-6000-11D3-8CFE-0150048383C9}
    Mise à jour de sécurité pour Windows XP (KB944338-v2)-->"C:\WINDOWS\$NtUninstallKB944338-v2$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
    Mise à jour pour Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
    mobiConnect-->C:\Program Files\mobiConnect\uninst.exe
    Skype™ 3.6-->MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
    VIA Display Driver 6.14.10.0099-->C:\PROGRA~1\S3\UChromeP\s3minset.exe /u UChromeP.uns
    VIA Gestionnaire de périphériques de plate-forme-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{20D4A895-748C-4D88-871C-FDB1695B0169}
    Web Construction Kit version 3.0-->"C:\WINDOWS\UNISTB32.EXE" /U "C:\Program Files\Wck3\UNINST0.000" "C:\Program Files\Wck3\UNINST1.000"
    Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
    Windows Live Messenger-->MsiExec.exe /I{F6326B60-1B1D-4ABF-BFCD-7B7404F44411}

    ======Security center information======

    AV: Avira AntiVir PersonalEdition (outdated)

    ======System event log======

    Computer Name: W-INFO
    Event Code: 6011
    Message: Le nom NetBIOS et le nom de l'hôte DNS de cet ordinateur ont été modifiés de MACHINENAME vers W-INFO.

    Record Number: 5
    Source Name: EventLog
    Time Written: 20090520124941.000000+060
    Event Type: Informations
    User:

    Computer Name: MACHINENAME
    Event Code: 2
    Message: Pendant la validation de \Device\Serial1 en tant que port série, une FIFO a été détectée. La FIFO sera utilisée.

    Record Number: 4
    Source Name: Serial
    Time Written: 20090520134614.000000+060
    Event Type: Informations
    User:

    Computer Name: MACHINENAME
    Event Code: 2
    Message: Pendant la validation de \Device\Serial0 en tant que port série, une FIFO a été détectée. La FIFO sera utilisée.

    Record Number: 3
    Source Name: Serial
    Time Written: 20090520134614.000000+060
    Event Type: Informations
    User:

    Computer Name: MACHINENAME
    Event Code: 6005
    Message: Le service d'Enregistrement d'événement a démarré.

    Record Number: 2
    Source Name: EventLog
    Time Written: 20090520134553.000000+060
    Event Type: Informations
    User:

    Computer Name: MACHINENAME
    Event Code: 6009
    Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 2 Multiprocessor Free.

    Record Number: 1
    Source Name: EventLog
    Time Written: 20090520134553.000000+060
    Event Type: Informations
    User:

    =====Application event log=====

    Computer Name: W-INFO
    Event Code: 1000
    Message: Les compteurs de performances pour le service MSDTC (MSDTC) ont été chargés.
    Les données d'enregistrement contiennent les nouvelles valeurs d'index
    assignées à ce service.

    Record Number: 5
    Source Name: LoadPerf
    Time Written: 20090520125111.000000+060
    Event Type: Informations
    User:

    Computer Name: W-INFO
    Event Code: 1000
    Message: Les compteurs de performances pour le service TermService (Services Terminal Server) ont été chargés.
    Les données d'enregistrement contiennent les nouvelles valeurs d'index
    assignées à ce service.

    Record Number: 4
    Source Name: LoadPerf
    Time Written: 20090520125109.000000+060
    Event Type: Informations
    User:

    Computer Name: W-INFO
    Event Code: 1000
    Message: Les compteurs de performances pour le service RemoteAccess (Routage et accès distant) ont été chargés.
    Les données d'enregistrement contiennent les nouvelles valeurs d'index
    assignées à ce service.

    Record Number: 3
    Source Name: LoadPerf
    Time Written: 20090520125014.000000+060
    Event Type: Informations
    User:

    Computer Name: W-INFO
    Event Code: 1000
    Message: Les compteurs de performances pour le service PSched (PSched) ont été chargés.
    Les données d'enregistrement contiennent les nouvelles valeurs d'index
    assignées à ce service.

    Record Number: 2
    Source Name: LoadPerf
    Time Written: 20090520125001.000000+060
    Event Type: Informations
    User:

    Computer Name: W-INFO
    Event Code: 1000
    Message: Les compteurs de performances pour le service RSVP (QoS RSVP) ont été chargés.
    Les données d'enregistrement contiennent les nouvelles valeurs d'index
    assignées à ce service.

    Record Number: 1
    Source Name: LoadPerf
    Time Written: 20090520124947.000000+060
    Event Type: Informations
    User:

    ======Environment variables======

    "ComSpec"=%SystemRoot%\system32\cmd.exe
    "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
    "windir"=%SystemRoot%
    "FP_NO_HOST_CHECK"=NO
    "OS"=Windows_NT
    "PROCESSOR_ARCHITECTURE"=x86
    "PROCESSOR_LEVEL"=15
    "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 6 Stepping 5, GenuineIntel
    "PROCESSOR_REVISION"=0605
    "NUMBER_OF_PROCESSORS"=2
    "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
    "TEMP"=%SystemRoot%\TEMP
    "TMP"=%SystemRoot%\TEMP

    -----------------EOF-----------------
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. mimi
     
    ############################# [ UsbFix V3.028 | Scan ]

    # User : Administrateur (Administrateurs) # W-INFO
    # Update on 02/06/09 by Chiquitine29, C_XX & Chimay8
    # WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
    # Start at: 0:42:23 | 04-06-2009

    # Intel(R) Pentium(R) 4 CPU 3.00GHz
    # Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
    # Internet Explorer 6.0.2900.2180
    # Windows Firewall Status : Enabled
    # AV : Avira AntiVir PersonalEdition 8.0.1.27 [ Enabled | (!) Outdated ]

    # A:\ # Lecteur de disquettes 3 ½ pouces
    # C:\ # Disque fixe local # 19.52 Go (7.89 Go free) # FAT32
    # D:\ # Disque fixe local # 19.52 Go (19.25 Go free) # FAT32
    # E:\ # Disque fixe local # 19.52 Go (18.91 Go free) # FAT32
    # F:\ # Disque fixe local # 15.9 Go (10.71 Go free) # FAT32
    # G:\ # Disque CD-ROM

    ############################## [ Processus actifs ]

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\VTTimer.exe
    C:\WINDOWS\system32\S3trayp.exe
    C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZR.EXE
    D:\explorer.exe
    C:\Program Files\Movie Maker\explorer.exe
    C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\Dos Optimizer.pif
    C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    ################## [ Registre Startup ]

    HKCU_Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
    HKCU_Main: "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
    HKCU_Main: "Start Page"="about:blank"
    HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
    HKLM_logon: "DefaultUserName"="Administrateur"
    HKLM_logon: "AltDefaultUserName"="Administrateur"
    HKLM_logon: "LegalNoticeCaption"=""
    HKLM_logon: "LegalNoticeText"=""
    HKLM_Run: VTTimer=VTTimer.exe
    HKLM_Run: S3Trayp=S3trayp.exe
    HKLM_Run: HDAudDeck=C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe 1
    HKLM_Run: avgnt="C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
    HKLM_Run: FrameWorkService=
    HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
    HKCU_Run: CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
    HKCU_Run: EPSON Stylus C91 Series=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZR.EXE /FU "C:\WINDOWS\TEMP\E_S7D.tmp" /EF "HKCU"
    HKCU_Run: FrameWorkService=
    HKCU_Run: internet_explorer=C:\Program Files\Movie Maker\explorer.exe
    HKCU_Run: msn=C:\Program Files\Movie Maker\explorer.exe
    HKCU_Run: anti-virus 2007=D:\explorer.exe
    HKCU_Run: Mp3 player=C:\Documents and Settings\All Users\Favorites\explorer.exe
    HKCU_Run: cdoosoft=olhrwef.exe

    ################## [ Fichiers # Dossiers infectieux ]

    Found ! C:\WINDOWS\inf\smss.exe
    Found ! C:\WINDOWS\system32\nmdfgds0.dll
    Found ! C:\WINDOWS\system32\olhrwef.exe
    Found ! "C:\WINDOWS\system32\Sexy Girls.scr"
    Found ! "C:\Documents and Settings\Administrateur\Application Data\svchost.exe"
    Found ! "C:\Documents and Settings\Administrateur\Application Data\lsass.exe"
    Found ! "C:\Documents and Settings\Administrateur\Application Data\smss.exe"
    Found ! C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\WZSE1.TMP\uninstall.exe
    Found ! C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\WZSE1.TMP\install.exe
    C:\autorun.inf # -> fichier appelé : "C:\q9.cmd" ( absent ! )
    Found ! C:\autorun.inf
    D:\autorun.inf # -> fichier appelé : "D:\q9.cmd" ( absent ! )
    Found ! D:\explorer.exe
    Found ! D:\autorun.inf
    E:\autorun.inf # -> fichier appelé : "E:\q9.cmd" ( absent ! )
    Found ! E:\explorer.exe
    Found ! E:\autorun.inf
    F:\autorun.inf # -> fichier appelé : "F:\q9.cmd" ( absent ! )
    Found ! F:\explorer.exe
    Found ! F:\autorun.inf
    Found ! H:\autorun.inf

    ################## [ Registre # Clés Run infectieuses ]

    Found ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "FrameWorkService"
    Found ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "cdoosoft"
    Found ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "FrameWorkService"
    Found ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "internet_explorer"
    Found ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Mp3 player"
    Found ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "msn"
    Found ! HKU\S-1-5-21-1202660629-1715567821-839522115-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "cdoosoft"
    Found ! HKU\S-1-5-21-1202660629-1715567821-839522115-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "FrameWorkService"
    Found ! HKU\S-1-5-21-1202660629-1715567821-839522115-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "internet_explorer"
    Found ! HKU\S-1-5-21-1202660629-1715567821-839522115-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Mp3 player"
    Found ! HKU\S-1-5-21-1202660629-1715567821-839522115-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "msn"
    Found ! HKLM\software\microsoft\security center "AntiVirusDisableNotify" ( 0x1 )
    Found ! HKLM\software\microsoft\security center "FirewallDisableNotify" ( 0x1 )
    Found ! HKLM\software\microsoft\security center "UpdatesDisableNotify" ( 0x1 )

    ################## [ Registre # Mountpoints2 ]

    HKCU\...\Explorer\MountPoints2\H\Shell\AutoRun\Command
    HKCU\...\Explorer\MountPoints2\{55108ff8-489e-11de-b451-001bb9dd327a}\Shell\AutoRun\Command
    HKCU\...\Explorer\MountPoints2\{55108ff9-489e-11de-b451-001bb9dd327a}\Shell\AutoRun\Command
    HKCU\...\Explorer\MountPoints2\{8436dd6a-4965-11de-b452-001bb9dd327a}\Shell\AutoRun\Command

    ################## [ ! Fin du rapport # UsbFix V3.028 ! ]
    0
  7. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    --> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.

    --> Double-clique sur le raccourci UsbFix présent sur ton Bureau.

    --> Choisis l'option 2 (Suppression).

    --> Ton Bureau disparaîtra et le PC redémarrera.

    --> Au redémarrage, UsbFix scannera ton PC, laisse travailler l'outil.

    --> Ensuite, poste le rapport UsbFix.txt qui apparaîtra avec le Bureau .

    Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).
    0
    1. mimi
       
      ############################## [ UsbFix V3.028 | Cleaning ]

      # User : Administrateur (Administrateurs) # W-INFO
      # Update on 02/06/09 by Chiquitine29, C_XX & Chimay8
      # WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
      # Start at: 1:17:31 | 04-06-2009

      # Intel(R) Pentium(R) 4 CPU 3.00GHz
      # Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
      # Internet Explorer 6.0.2900.2180
      # Windows Firewall Status : Enabled
      # AV : Avira AntiVir PersonalEdition 8.0.1.27 [ Enabled | (!) Outdated ]

      # A:\ # Lecteur de disquettes 3 ½ pouces
      # C:\ # Disque fixe local # 19.52 Go (7.87 Go free) # FAT32
      # D:\ # Disque fixe local # 19.52 Go (19.25 Go free) # FAT32
      # E:\ # Disque fixe local # 19.52 Go (18.91 Go free) # FAT32
      # F:\ # Disque fixe local # 15.9 Go (10.71 Go free) # FAT32
      # G:\ # Disque CD-ROM
      # H:\ # Disque CD-ROM # 7.6 Mo (0 Mo free) [mobiConnect] # CDFS

      ############################## [ Processus actifs ]

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\logonui.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe
      C:\WINDOWS\system32\userinit.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\wbem\wmiprvse.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
      C:\WINDOWS\System32\alg.exe

      ################## [ Fichiers # Dossiers infectieux ]

      Deleted ! C:\WINDOWS\inf\smss.exe
      Deleted ! C:\WINDOWS\system32\nmdfgds0.dll
      Deleted ! C:\WINDOWS\system32\olhrwef.exe
      Deleted ! "C:\WINDOWS\system32\Sexy Girls.scr"
      Deleted ! "C:\Documents and Settings\Administrateur\Application Data\svchost.exe"
      Deleted ! "C:\Documents and Settings\Administrateur\Application Data\lsass.exe"
      Deleted ! "C:\Documents and Settings\Administrateur\Application Data\smss.exe"
      Deleted ! C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\WZSE1.TMP\uninstall.exe
      Deleted ! C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\WZSE1.TMP\install.exe
      C:\autorun.inf # -> fichier appelé : "C:\q9.cmd" ( absent ! )
      Deleted ! C:\autorun.inf
      D:\autorun.inf # -> fichier appelé : "D:\q9.cmd" ( absent ! )
      Deleted ! D:\explorer.exe
      Deleted ! D:\autorun.inf
      E:\autorun.inf # -> fichier appelé : "E:\q9.cmd" ( absent ! )
      Deleted ! E:\explorer.exe
      Deleted ! E:\autorun.inf
      F:\autorun.inf # -> fichier appelé : "F:\q9.cmd" ( absent ! )
      Deleted ! F:\explorer.exe
      Deleted ! F:\autorun.inf
      (!) Not Deleted ! H:\autorun.inf

      ################## [ Registre # Clés Run infectieuses ]

      Deleted ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "FrameWorkService"
      Deleted ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "cdoosoft"
      Deleted ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "FrameWorkService"
      Deleted ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "internet_explorer"
      Deleted ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Mp3 player"
      Deleted ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "msn"
      # HKLM\software\microsoft\security center\\ "AntiVirusDisableNotify" # -> Reset sucessfully !
      # HKLM\software\microsoft\security center\\ "FirewallDisableNotify" # -> Reset sucessfully !
      # HKLM\software\microsoft\security center\\ "UpdatesDisableNotify" # -> Reset sucessfully !

      ################## [ Registre # Mountpoints2 ]

      Deleted ! HKCU\...\Explorer\MountPoints2\H\Shell\AutoRun\Command
      Deleted ! HKCU\...\Explorer\MountPoints2\{55108ff8-489e-11de-b451-001bb9dd327a}\Shell\AutoRun\Command
      Deleted ! HKCU\...\Explorer\MountPoints2\{55108ff9-489e-11de-b451-001bb9dd327a}\Shell\AutoRun\Command
      Deleted ! HKCU\...\Explorer\MountPoints2\{8436dd6a-4965-11de-b452-001bb9dd327a}\Shell\AutoRun\Command

      ################## [ Listing des fichiers présent ]

      [06/04/2008 02:40 AM|-rahs----|4952] - C:\Bootfont.bin
      [06/04/2008 02:41 AM|-rahs----|251712] - C:\ntldr
      [06/04/2008 02:41 AM|-rahs----|47564] - C:\NTDETECT.COM
      [05/20/2009 12:49 PM|---hs----|212] - C:\boot.ini
      [05/20/2009 12:54 PM|--a------|0] - C:\CONFIG.SYS
      [05/20/2009 12:54 PM|--a------|0] - C:\AUTOEXEC.BAT
      [05/20/2009 12:54 PM|-rahs----|0] - C:\IO.SYS
      [05/20/2009 12:54 PM|-rahs----|0] - C:\MSDOS.SYS
      [05/20/2009 04:46 PM|--ah-----|244] - C:\sqmnoopt00.sqm
      [05/20/2009 04:46 PM|--ah-----|268] - C:\sqmdata00.sqm
      [05/24/2009 09:43 PM|--ah-----|244] - C:\sqmnoopt01.sqm
      [05/24/2009 09:43 PM|--ah-----|232] - C:\sqmdata01.sqm
      [05/24/2009 10:07 PM|--ah-----|244] - C:\sqmnoopt02.sqm
      [05/24/2009 10:07 PM|--ah-----|232] - C:\sqmdata02.sqm
      [05/30/2009 11:33 PM|--a------|2674] - C:\FindyKill.txt
      [?|?|?] - C:\pagefile.sys
      [06/04/2009 01:19 AM|--a------|5217] - C:\UsbFix.txt
      [05/07/2008 07:37 AM|--ah-----|162] - E:\~$islam.docx
      [06/20/2008 12:19 PM|--a------|2666290] - E:\wck_v3_fr.exe
      [05/24/2008 03:53 PM|--ah-----|162] - E:\~$lam (R‚par‚).docx
      [04/09/2009 03:52 PM|--a------|62] - F:\abortmsg.txt
      [11/05/2007 01:17 PM|-r-------|51] - H:\AUTORUN.INF
      [07/03/2007 01:04 PM|-r-------|106496] - H:\AutoRun.exe
      [07/03/2007 01:04 PM|-r-------|110592] - H:\DataCard_Setup.exe
      [07/03/2007 01:04 PM|-r-------|144384] - H:\DataCard_Setup64.exe
      [05/16/2007 10:31 AM|-r-------|6144] - H:\ResetDevice.exe
      [11/07/2007 10:23 AM|-r-------|869] - H:\SysConfig.dat
      [10/31/2007 06:02 AM|-r-------|4286] - H:\mobiConnect.ico

      ################## [ Vaccination ]

      # C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
      # D:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
      # E:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
      # F:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

      ################## [ ! Fin du rapport # UsbFix V3.028 ! ]
      0
  8. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    ---> Désinstalle FindyKill et UsbFix.

    ---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
    ---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
    ---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
    ---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
    ---> Sélectionne Exécuter un examen rapide.
    ---> Clique sur Rechercher. L'analyse démarre.

    A la fin de l'analyse, un message s'affiche :

    L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

    ---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
    ---> Ferme tes navigateurs.
    Si des malwares ont été détectés, clique sur Afficher les résultats.
    ---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
    ---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.
    0
  9. mimi
     
    Malwarebytes' Anti-Malware 1.37
    Version de la base de données: 2182
    Windows 5.1.2600 Service Pack 2

    04-06-2009 2:07:37
    mbam-log-2009-06-04 (02-07-36).txt

    Type de recherche: Examen rapide
    Eléments examinés: 73349
    Temps écoulé: 2 minute(s), 55 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 5
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 4

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\FrameWorkService (Trojan.Delf) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\FrameWorkService (Trojan.Delf) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\3 (Security.Hijack) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\4 (Security.Hijack) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\1 (Security.Hijack) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\documents and settings\Administrateur\Application Data\smss.exe (Trojan.Delf) -> Quarantined and deleted successfully.
    C:\WINDOWS\inf\smss.exe (Trojan.Delf) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\Sexy Girls.scr (Trojan.Delf) -> Quarantined and deleted successfully.
    C:\Program Files\Internet Explorer\explorer.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
    0
  10. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    --> Relance MBAM, va dans Quarantaine et supprime tout.

    --> Refais un scan RSIT et poste le rapport log.
    0
  11. mimi
     
    Logfile of random's system information tool 1.06 (written by random/random)
    Run by Administrateur at 2009-06-04 02:23:48
    Microsoft Windows XP Professionnel Service Pack 2
    System drive C: has 8 GB (42%) free of 20 GB
    Total RAM: 446 MB (54% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 2:23:59, on 04-06-2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
    C:\WINDOWS\system32\VTTimer.exe
    C:\WINDOWS\system32\S3trayp.exe
    C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\Dos Optimizer.pif
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\mobiConnect\mobiConnect.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
    C:\Program Files\trend micro\Administrateur.exe
    C:\WINDOWS\system32\wuauclt.exe

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
    O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe
    O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe 1
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [EPSON Stylus C91 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZR.EXE /FU "C:\WINDOWS\TEMP\E_S7D.tmp" /EF "HKCU"
    O4 - HKCU\..\Run: [anti-virus 2007] D:\explorer.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Dos Optimizer.pif = ?
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{C9DDE240-5DC4-4070-9435-135C892F9322}: NameServer = 193.251.169.166 193.251.169.83
    O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe
    O23 - Service: Planificateur Avira AntiVir Premium (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe
    O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe
    O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
    O23 - Service: Service d'assistance Avira AntiVir Premium MailGuard (AVEService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe
    0
  12. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    1/

    ---> Lance ce fichier : C:\Program Files\trend micro\Administrateur.exe

    ---> Choisis Do a system scan only.

    ---> Coche les cases qui sont devant les lignes suivantes :

    O4 - HKCU\..\Run: [anti-virus 2007] D:\explorer.exe

    O4 - Startup: Dos Optimizer.pif = ?

    ---> Clique en bas sur Fix checked. Mets oui si HijackThis te demande quelque chose.

    ---> Ferme HijackThis.

    2/

    ---> Télécharge SDFix (créé par AndyManchesta) sur ton Bureau.
    - Double-clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
    - Redémarre ton ordinateur en mode sans échec.

    ---> Pour redémarrer en mode sans échec :
    - Redémarre ton PC.
    - Au démarrage, tapote sur F8 (F5 sur certains PC) juste après l'affichage du BIOS et juste avant le chargement de Windows.
    - Dans le menu d'options avancées, choisis Mode sans échec.
    - Choisis ta session.

    ---> Déroule la liste des instructions ci-dessous :
    - Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double-clique sur RunThis.bat pour lancer le script.
    - Appuie sur Y pour commencer le processus de nettoyage.
    - Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
    - Appuie sur une touche pour redémarrer le PC.
    - Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    - Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
    - Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
    - Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
    - Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse.
    0
    1. mimi
       
      dit mon ami je peut te retrouver demain soir?.....il fait tard et demain je travail .....je doit etre a 8.00 au boulot.
      si oui dit moi a quelle heure tu sera sur le forum
      je te remerci bcp pour ton aide il ya une tres grande diference entre avant et maientenant ..les fenetres qui souvrer toutes seules n'aparaisse plus.
      0
  13. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Oui, je vais dormir aussi.
    0
    1. mimi
       
      bonne nuit ...fait de beaux reves et a demain
      0
  14. mimi
     
    bonsoir.
    voila je te poste le rapport de SDFix:

    [b]SDFix: Version 1.240 [/b]
    Run by Administrateur on Thu 06/04/2009 at 10:36 PM

    Microsoft Windows XP [version 5.1.2600]
    Running From: C:\SDFix

    [b]Checking Services [/b]:

    Restoring Default Security Values
    Restoring Default Hosts File

    Rebooting

    [b]Checking Files [/b]:

    Trojan Files Found:

    C:\Documents and Settings\Administrateur\Application Data\smss.exe - Deleted

    Removing Temp Files

    [b]ADS Check [/b]:

    [b]Final Check [/b]:

    catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-06-04 22:40:06
    Windows 5.1.2600 Service Pack 2 FAT NTAPI

    scanning hidden processes ...

    scanning hidden services ...

    scanning hidden autostart entries ...

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    HDAudDeck = C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe 1????????????????????????????????????????????????

    scanning hidden files ...

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 0

    [b]Remaining Services [/b]:

    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
    "C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
    "C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
    "C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

    [b]Remaining Files [/b]:

    File Backups: - C:\SDFix\backups\backups.zip

    [b]Files with Hidden Attributes [/b]:

    Wed 12 Nov 2008 147,456 ..SH. --- "C:\Program Files\Movie Maker\explorer.exe"
    Thu 21 May 2009 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
    Wed 12 Nov 2008 147,456 A.SH. --- "C:\System Volume Information\_restore{4BE66B2E-8563-4551-B613-0925D20DDBD8}\RP18\A0013440.exe"
    Thu 4 Jun 2009 933,928 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\c46a8212705069a7604ff98b5b281a3e\BIT5.tmp"
    Thu 4 Jun 2009 9,615,808 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\bbe52ffe0bfd8ca5fdbd0b2cd5a3aa64\BIT7.tmp"
    Thu 4 Jun 2009 824,360 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\6d3285ea07e02e844a1e46dffef593cf\BIT8.tmp"
    Thu 4 Jun 2009 1,317,744 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\5e4f2e76786e12fcb7b972dae96443a2\BITC.tmp"
    Wed 3 Jun 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\6b00e567d1aec2f4fa4805e942ed2a2d\BIT12.tmp"
    Wed 3 Jun 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\8a2a5ecd72c62a4fe04757ab8c19e933\BIT13.tmp"
    Thu 4 Jun 2009 4,657,040 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\596b908e8d017befb53f853fe927f94a\BIT2.tmp"
    Thu 4 Jun 2009 655,216 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\75268bc24bd5ec747ac183eeadb761f8\BIT4.tmp"
    Thu 4 Jun 2009 8,831,368 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\8a899ed7d93ef1188fb849621e59999b\BITB.tmp"
    Sun 31 May 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\2b5c5ac9e782a4592ba0b3e07e9b7eee\BITD.tmp"
    Thu 4 Jun 2009 4,599,282 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\d4d9eeb6e20dc10efc511218ecc2ad85\download\BITB.tmp"
    Thu 4 Jun 2009 1,325,640 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\fb7e4e3914021d8e9d80ac8f418fa4bb\download\BIT7.tmp"
    Thu 4 Jun 2009 843,864 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\c379bab7b72a5a3477ef6b8fa934fb77\download\BIT8.tmp"
    Thu 4 Jun 2009 101,176 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\60102ca8d49bef61c61212965ef6dbcb\download\BIT4.tmp"
    Thu 4 Jun 2009 567,669 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\191c12c131f075e05b15e1e035903121\download\BIT5.tmp"
    Thu 4 Jun 2009 36,258 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\b024880fe56b3ff50f74fc334213eb78\download\BIT4.tmp"
    Thu 4 Jun 2009 43,570 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\47c4bdf626b189d93918e8924a659af7\download\BIT5.tmp"
    Thu 4 Jun 2009 967,015 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\cbc1b829918070e9cdead53865e03be6\download\BIT4.tmp"

    [b]Finished![/b]
    0
  15. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    --> Installe ceci :
    http://www.microsoft.com/downloads/details.aspx?FamilyId=9AE91EBE-3385-447C-8A30-081805B2F90B&displaylang=fr

    --> Refais un scan RSIT et poste le rapport log.
    0
  16. mimi
     
    bonjour.
    voici le rapport RSIT
    Logfile of random's system information tool 1.06 (written by random/random)
    Run by Administrateur at 2009-06-05 12:54:28
    Microsoft Windows XP Professionnel Service Pack 2
    System drive C: has 7 GB (37%) free of 20 GB
    Total RAM: 446 MB (53% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 12:54:31, on 05-06-2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16827)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\VTTimer.exe
    C:\WINDOWS\system32\S3trayp.exe
    C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\Dos Optimizer.pif
    C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
    C:\Program Files\trend micro\Administrateur.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
    O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe
    O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe 1
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [EPSON Stylus C91 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZR.EXE /FU "C:\WINDOWS\TEMP\E_S7D.tmp" /EF "HKCU"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Dos Optimizer.pif = ?
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe
    O23 - Service: Planificateur Avira AntiVir Premium (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe
    O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe
    O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
    O23 - Service: Service d'assistance Avira AntiVir Premium MailGuard (AVEService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe
    0
  17. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Apparemment, tu as la version 8 payante d'AntiVir, tu ne peux pas passer à la version 9 ?

    1/

    ---> Lance ce fichier : C:\Program Files\trend micro\Administrateur.exe

    ---> Choisis Do a system scan only.

    ---> Coche la case qui est devant la ligne suivante :

    O4 - Startup: Dos Optimizer.pif = ?

    ---> Clique en bas sur Fix checked. Mets oui si HijackThis te demande quelque chose.

    ---> Ferme HijackThis.

    2/

    ---> Désactive ton antivirus le temps de la manipulation car OTMoveIt3 est détecté comme une infection à tort.

    ---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau.

    ---> Double-clique sur OTMoveIt3.exe afin de le lancer.

    ---> Copie (Ctrl+C) le texte suivant ci-dessous :

    :processes
    explorer.exe

    :files
    C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\Dos Optimizer.pif
    C:\Documents and Settings\Administrateur\Application Data\smss.exe
    C:\Documents and Settings\Administrateur\Application Data\svchost.exe
    C:\Documents and Settings\Administrateur\Application Data\lsass.exe

    :reg
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}]

    :commands
    [purity]
    [emptytemp]
    [reboot]

    ---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

    ---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

    Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
    Accepte en cliquant sur YES.

    ---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
    Le nom du rapport correspond au moment de sa création : date_heure.log
    0
    1. mimi
       
      ========== PROCESSES ==========
      Process explorer.exe killed successfully.
      ========== FILES ==========
      File/Folder C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\Dos Optimizer.pif not found.
      C:\Documents and Settings\Administrateur\Application Data\smss.exe moved successfully.
      C:\Documents and Settings\Administrateur\Application Data\svchost.exe moved successfully.
      C:\Documents and Settings\Administrateur\Application Data\lsass.exe moved successfully.
      ========== REGISTRY ==========
      Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}\\ deleted successfully.
      ========== COMMANDS ==========
      File delete failed. C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\BIT1.tmp scheduled to be deleted on reboot.
      User's Temp folder emptied.
      User's Internet Explorer cache folder emptied.
      File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat scheduled to be deleted on reboot.
      File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\KLUF0DMF\ads[1].htm scheduled to be deleted on reboot.
      File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\KLUF0DMF\affich-12727251-mon-ordi-est-infecte[1].htm scheduled to be deleted on reboot.
      File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\8HQFOLMN\ads[2].htm scheduled to be deleted on reboot.
      File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\20BX7NGL\autopromo[1].htm scheduled to be deleted on reboot.
      File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\M1SDYX8J\
      scheduled to be deleted on reboot.
      File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
      User's Temporary Internet Files folder emptied.
      Local Service Temp folder emptied.
      File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
      Local Service Temporary Internet Files folder emptied.
      Network Service Temp folder emptied.
      Network Service Temporary Internet Files folder emptied.
      Windows Temp folder emptied.
      Temp folders emptied.

      OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 06052009_133411

      Files moved on Reboot...
      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\BIT1.tmp moved successfully.
      C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat moved successfully.
      C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\KLUF0DMF\ads[1].htm moved successfully.
      C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\KLUF0DMF\affich-12727251-mon-ordi-est-infecte[1].htm moved successfully.
      C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\8HQFOLMN\ads[2].htm moved successfully.
      C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\20BX7NGL\autopromo[1].htm moved successfully.
      File C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\M1SDYX8J\
      not found!
      0
  18. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    --> Refais un scan RSIT et poste le rapport log.
    0
  19. mimi
     
    Logfile of random's system information tool 1.06 (written by random/random)
    Run by Administrateur at 2009-06-05 13:47:30
    Microsoft Windows XP Professionnel Service Pack 2
    System drive C: has 9 GB (43%) free of 20 GB
    Total RAM: 446 MB (48% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 13:47:34, on 05-06-2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16827)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\VTTimer.exe
    C:\WINDOWS\system32\S3trayp.exe
    C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\Dos Optimizer.pif
    C:\Program Files\mobiConnect\mobiConnect.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
    C:\Program Files\trend micro\Administrateur.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
    O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe
    O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe 1
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [EPSON Stylus C91 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZR.EXE /FU "C:\WINDOWS\TEMP\E_S7D.tmp" /EF "HKCU"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Dos Optimizer.pif = ?
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{C9DDE240-5DC4-4070-9435-135C892F9322}: NameServer = 193.251.169.166 193.251.169.83
    O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe
    O23 - Service: Planificateur Avira AntiVir Premium (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe
    O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe
    O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
    O23 - Service: Service d'assistance Avira AntiVir Premium MailGuard (AVEService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe
    0
  20. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    L'infection se régénère.

    /!\ Désactive tes protections résidentes (Antivirus, etc...) /!\

    --> Télécharge ComboFix (de sUBs) sur ton Bureau.
    --> Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
    --> Il va te demander d'installer la console de récupération : accepte.
    --> Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

    Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
    0
    1. mimi
       
      ComboFix 09-06-04.08 - Administrateur 06/05/2009 17:40.1 - FAT32x86
      Microsoft Windows XP Professionnel 5.1.2600.2.1252.213.1036.18.446.208 [GMT 1:00]
      Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
      AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated) {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      c:\documents and settings\Administrateur\Application Data\smss.exe
      c:\windows\IE4 Error Log.txt

      .
      ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
      .

      -------\Service_AVPsys


      ((((((((((((((((((((((((((((( Fichiers créés du 2009-05-05 au 2009-06-05 ))))))))))))))))))))))))))))))))))))
      .

      2009-06-05 16:43 . 2007-04-08 14:14 377344 ----a-w- c:\documents and settings\Administrateur\Application Data\lsass.exe
      2009-06-05 12:34 . 2009-06-05 12:34 -------- d-----w- C:\_OTMoveIt
      2009-06-05 11:12 . 2009-06-05 11:12 -------- d-----w- c:\windows\system32\fr-fr
      2009-06-05 10:33 . 2009-02-20 17:10 52224 ------w- c:\windows\system32\dllcache\msfeedsbs.dll
      2009-06-05 10:33 . 2009-02-20 17:10 459264 ------w- c:\windows\system32\dllcache\msfeeds.dll
      2009-06-05 10:33 . 2009-02-20 17:10 268288 ------w- c:\windows\system32\dllcache\iertutil.dll
      2009-06-05 10:33 . 2009-02-20 17:10 63488 ------w- c:\windows\system32\dllcache\icardie.dll
      2009-06-05 10:33 . 2009-02-20 10:20 13824 ------w- c:\windows\system32\dllcache\ieudinit.exe
      2009-06-05 10:32 . 2009-02-20 17:10 383488 ------w- c:\windows\system32\dllcache\ieapfltr.dll
      2009-06-05 10:32 . 2008-07-09 14:25 2455488 ------w- c:\windows\system32\dllcache\ieapfltr.dat
      2009-06-05 10:32 . 2009-02-20 17:10 6066176 ------w- c:\windows\system32\dllcache\ieframe.dll
      2009-06-04 21:35 . 2009-06-04 21:35 -------- d-----w- c:\windows\ERUNT
      2009-06-04 01:44 . 2008-11-06 01:03 -------- d-----w- C:\SDFix
      2009-06-04 01:36 . 2008-10-24 11:10 453632 ------w- c:\windows\system32\dllcache\mrxsmb.sys
      2009-06-04 01:09 . 2007-04-08 14:14 377344 ----a-w- c:\windows\system32\Sexy Girls.scr
      2009-06-04 01:00 . 2009-05-26 12:20 40160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
      2009-06-04 00:59 . 2009-05-26 12:19 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
      2009-06-04 00:51 . 2009-06-04 00:51 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
      2009-06-04 00:51 . 2009-06-04 00:51 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
      2009-06-04 00:51 . 2009-06-04 00:51 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
      2009-06-04 00:29 . 2008-06-14 17:59 272768 ------w- c:\windows\system32\drivers\bthport.sys
      2009-06-04 00:29 . 2008-06-14 17:59 272768 ------w- c:\windows\system32\dllcache\bthport.sys
      2009-06-03 23:40 . 2009-06-03 23:40 -------- d-----w- C:\UsbFix
      2009-06-03 23:00 . 2009-06-03 23:00 -------- d-----w- c:\program files\trend micro
      2009-06-03 23:00 . 2009-06-03 23:00 -------- d-----w- C:\rsit
      2009-06-03 22:34 . 2009-06-03 22:34 -------- d-sh--w- C:\FOUND.005
      2009-06-03 16:29 . 2009-06-03 16:29 -------- d-sh--w- C:\FOUND.004
      2009-06-03 11:26 . 2009-06-03 11:26 -------- d-sh--w- C:\FOUND.003
      2009-06-01 23:17 . 2009-06-01 23:17 -------- d-----w- c:\documents and settings\All Users\Application Data\TEMP
      2009-06-01 23:16 . 2009-06-01 23:16 -------- d-----w- c:\program files\ClubDJ Pro
      2009-06-01 23:16 . 1999-03-23 23:06 1046288 ----a-w- c:\windows\system32\msjet35.dll
      2009-06-01 23:16 . 1998-06-17 22:00 89360 ----a-w- c:\windows\system32\Vb5db.dll
      2009-06-01 23:16 . 1997-01-12 22:00 37136 ----a-w- c:\windows\system32\MSJINT35.DLL
      2009-06-01 23:16 . 1996-11-07 23:48 368912 ----a-w- c:\windows\system32\vbar332.dll
      2009-06-01 23:16 . 1996-12-02 16:44 24336 ----a-w- c:\windows\system32\MSJTER35.DLL
      2009-05-31 09:02 . 2009-05-31 09:02 -------- d-sh--w- C:\FOUND.002
      2009-05-31 04:28 . 2009-05-31 04:28 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Identities
      2009-05-31 02:00 . 2009-05-31 02:00 -------- d--h--w- c:\windows\$hf_mig$
      2009-05-30 22:32 . 2009-05-30 22:32 -------- d-----w- c:\documents and settings\Administrateur\Application Data\EPSON
      2009-05-29 21:52 . 2009-05-29 21:52 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Skype
      2009-05-29 20:08 . 2009-05-29 20:08 -------- d-----w- C:\GenProc
      2009-05-29 16:21 . 2009-05-29 16:21 -------- d-sh--w- C:\FOUND.001
      2009-05-28 18:58 . 2009-05-28 18:58 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Avira
      2009-05-28 18:56 . 2009-05-28 18:56 -------- d-sh--w- c:\documents and settings\Administrateur\UserData
      2009-05-28 14:41 . 2009-05-28 14:41 -------- d-----w- c:\program files\Wck3
      2009-05-28 13:05 . 2009-05-31 18:00 2048 ----a-w- c:\documents and settings\Administrateur\Application Data\invibes\gdiplusfont.dll
      2009-05-28 13:05 . 2009-05-28 13:05 -------- d-----w- c:\documents and settings\Administrateur\Application Data\invibes
      2009-05-28 13:05 . 2009-05-28 13:05 -------- d-----w- c:\program files\Micro Application
      2009-05-28 12:59 . 2009-05-28 12:59 -------- d-----w- c:\documents and settings\Administrateur\DSS DJ Data
      2009-05-28 12:59 . 2006-12-02 05:22 479232 ----a-w- c:\windows\system32\msvcm80.dll
      2009-05-28 12:59 . 2006-12-01 21:03 626688 ----a-w- c:\windows\system32\msvcr80.dll
      2009-05-28 12:59 . 2006-12-01 21:03 548864 ----a-w- c:\windows\system32\msvcp80.dll
      2009-05-28 12:59 . 2003-03-19 04:14 499712 ----a-w- c:\windows\system32\msvcp71.dll
      2009-05-28 12:59 . 2009-05-28 12:59 -------- d-----w- c:\program files\MyXOFT
      2009-05-27 18:02 . 2009-05-27 18:02 -------- d-----w- c:\documents and settings\Administrateur\Contacts
      2009-05-24 20:08 . 2004-08-03 22:08 31616 ----a-w- c:\windows\system32\drivers\usbccgp.sys
      2009-05-24 20:08 . 2004-08-03 22:08 31616 ----a-w- c:\windows\system32\dllcache\usbccgp.sys
      2009-05-24 20:06 . 2007-08-24 18:45 101120 ----a-r- c:\windows\system32\drivers\ewusbmdm.sys
      2009-05-24 20:06 . 2007-08-24 18:45 24448 ----a-r- c:\windows\system32\drivers\ewdcsc.sys
      2009-05-24 20:06 . 2009-05-24 20:06 -------- d-----w- c:\program files\mobiConnect
      2009-05-24 20:06 . 2004-08-03 22:08 26496 ----a-w- c:\windows\system32\dllcache\usbstor.sys
      2009-05-23 07:20 . 2009-05-23 07:20 -------- d-sh--w- C:\FOUND.000
      2009-05-20 19:06 . 2009-05-20 19:06 -------- d-----w- c:\documents and settings\All Users\Application Data\UDL
      2009-05-20 19:03 . 2006-04-18 04:00 102400 ----a-w- c:\documents and settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S30RP1.EXE
      2009-05-20 19:03 . 2006-12-08 02:04 76800 ----a-w- c:\windows\system32\E_FLBBZR.DLL
      2009-05-20 19:03 . 2006-04-19 02:00 62976 ----a-w- c:\windows\system32\E_FD4BBZR.DLL
      2009-05-20 19:03 . 2004-09-10 20:12 49152 ----a-w- c:\windows\system32\E_DCINST.DLL
      2009-05-20 19:03 . 2004-08-03 22:01 25856 ----a-w- c:\windows\system32\drivers\usbprint.sys
      2009-05-20 19:03 . 2004-08-03 22:01 25856 ----a-w- c:\windows\system32\dllcache\usbprint.sys
      2009-05-20 19:02 . 2009-05-20 19:02 -------- d-----w- c:\program files\EPSON
      2009-05-20 19:02 . 2009-05-20 19:02 -------- d-----w- c:\documents and settings\All Users\Application Data\EPSON
      2009-05-20 18:36 . 2009-05-20 18:36 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Media Player Classic
      2009-05-20 15:45 . 2009-05-20 15:45 -------- d-----w- c:\windows\system32\DRVSTORE
      2009-05-20 15:45 . 2009-05-20 15:45 -------- d-----w- c:\program files\MSN Messenger
      2009-05-20 15:44 . 2009-05-20 15:44 -------- d-----w- c:\program files\Skype
      2009-05-20 15:43 . 2009-05-20 15:43 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype
      2009-05-20 15:42 . 2008-05-09 12:15 45376 ----a-w- c:\windows\system32\drivers\avgntdd.sys
      2009-05-20 15:42 . 2008-01-21 17:11 22336 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
      2009-05-20 15:42 . 2008-06-27 14:03 75072 ----a-w- c:\windows\system32\drivers\avipbb.sys
      2009-05-20 15:42 . 2009-05-20 15:42 -------- d-----w- c:\program files\Avira
      2009-05-20 15:42 . 2009-05-20 15:42 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
      2009-05-20 15:37 . 2003-06-19 00:31 17920 ----a-w- c:\windows\system32\mdimon.dll
      2009-05-20 15:36 . 2009-05-20 15:36 -------- d-----w- c:\program files\Microsoft.NET
      2009-05-20 15:36 . 2009-05-20 15:36 -------- d-----w- c:\program files\Microsoft Works
      2009-05-20 15:35 . 2009-05-20 15:35 -------- d-----w- c:\windows\SHELLNEW
      2009-05-20 13:50 . 2009-05-20 13:50 -------- d-----w- c:\program files\VIA
      2009-05-20 13:50 . 2007-04-11 07:35 331184 ------w- c:\windows\system32\difxapi.dll
      2009-05-20 13:47 . 2009-05-20 13:47 -------- d-----w- c:\program files\Fichiers communs\InstallShield
      2009-05-20 12:13 . 2009-06-05 12:37 78928 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
      2009-05-20 12:12 . 2006-12-26 12:31 4864 ----a-r- c:\windows\system32\drivers\PortIo.sys

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2009-05-24 20:09 . 2008-06-04 01:41 48616 ----a-w- c:\windows\system32\perfc00C.dat
      2009-05-24 20:09 . 2008-06-04 01:41 367658 ----a-w- c:\windows\system32\perfh00C.dat
      2009-05-20 19:04 . 2009-05-20 19:04 -------- d-----w- c:\documents and settings\Administrateur\Application Data\InstallShield
      2009-05-20 15:41 . 2009-05-20 15:41 -------- d-----w- c:\program files\K-Lite Codec Pack
      2009-05-20 13:48 . 2009-05-20 13:48 -------- d-----w- c:\program files\S3
      2009-05-20 13:48 . 2009-05-20 13:48 -------- d--h--w- c:\program files\InstallShield Installation Information
      2009-05-20 12:33 . 2009-05-20 11:53 86331 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
      2009-05-20 11:54 . 2009-05-20 11:54 -------- d-----w- c:\program files\microsoft frontpage
      2009-05-20 11:52 . 2009-05-20 11:52 -------- d-----w- c:\program files\Services en ligne
      2009-05-20 11:51 . 2009-05-20 11:51 21892 ----a-w- c:\windows\system32\emptyregdb.dat
      .

      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-06-04 15360]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "HDAudDeck"="c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe" [2007-06-29 811008]
      "avgnt"="c:\program files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" [2008-06-12 266497]
      "VTTimer"="VTTimer.exe" - c:\windows\system32\VTTimer.exe [2006-09-21 53248]
      "S3Trayp"="S3trayp.exe" - c:\windows\system32\S3Trayp.exe [2007-06-11 176128]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-06-04 15360]

      c:\documents and settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\
      DosÿOptimizer.pif [2007-4-8 377344]

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
      "DisallowRun"= 0 (0x0)

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\disallowrun]
      "1"= cmd.exe
      "2"= mmc.exe
      "3"= rstrui.exe
      "4"= regedit.exe
      "5"= regedt32.exe

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "EnableFirewall"= 0 (0x0)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
      "c:\\Program Files\\MSN Messenger\\livecall.exe"=
      "c:\\Program Files\\Skype\\Phone\\Skype.exe"=
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"=

      R2 AntiVirMailService;Avira AntiVir Premium MailGuard;c:\program files\Avira\AntiVir PersonalEdition Premium\avmailc.exe [20-05-2009 16:42 164097]
      R2 antivirwebservice;Avira AntiVir Premium WebGuard;c:\program files\Avira\AntiVir PersonalEdition Premium\avwebgrd.exe [20-05-2009 16:42 258305]
      R2 AVEService;Service d'assistance Avira AntiVir Premium MailGuard;c:\program files\Avira\AntiVir PersonalEdition Premium\avesvc.exe [20-05-2009 16:42 41217]
      R3 S3GIGP;S3GIGP;c:\windows\system32\drivers\S3gIGPm.sys [20-05-2009 14:48 714240]
      .
      - - - - ORPHELINS SUPPRIMES - - - -

      HKCU-Run-FrameWorkService - (no file)
      HKLM-Run-FrameWorkService - (no file)
      SafeBoot-procexp90.Sys


      .
      ------- Examen supplémentaire -------
      .
      IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      LSP: avsda.dll
      TCP: {C9DDE240-5DC4-4070-9435-135C892F9322} = 193.251.169.166 193.251.169.83
      .

      **************************************************************************

      catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2009-06-05 17:43
      Windows 5.1.2600 Service Pack 2 FAT NTAPI

      Recherche de processus cachés ...

      Recherche d'éléments en démarrage automatique cachés ...

      HKLM\Software\Microsoft\Windows\CurrentVersion\Run
      HDAudDeck = c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe 1????????????????????????????????????????????????

      Recherche de fichiers cachés ...

      Scan terminé avec succès
      Fichiers cachés: 0

      **************************************************************************
      .
      --------------------- DLLs chargées dans les processus actifs ---------------------

      - - - - - - - > 'lsass.exe'(720)
      c:\windows\system32\avsda.dll

      - - - - - - - > 'explorer.exe'(3136)
      c:\windows\system32\msi.dll
      .
      ------------------------ Autres processus actifs ------------------------
      .
      c:\program files\AVIRA\ANTIVIR PERSONALEDITION PREMIUM\SCHED.EXE
      c:\program files\AVIRA\ANTIVIR PERSONALEDITION PREMIUM\AVGUARD.EXE
      c:\program files\FICHIERS COMMUNS\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
      c:\windows\system32\wscntfy.exe
      c:\documents and settings\ADMINISTRATEUR\MENU DéMARRER\PROGRAMMES\DéMARRAGE\DOS OPTIMIZER.PIF
      .
      **************************************************************************
      .
      Heure de fin: 2009-06-05 17:44 - La machine a redémarré
      ComboFix-quarantined-files.txt 2009-06-05 16:44

      Avant-CF: 8,910,192,640 octets libres
      Après-CF: 8,996,175,872 octets libres

      WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
      [boot loader]
      timeout=2
      default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
      [operating systems]
      c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
      multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

      207 --- E O F --- 2009-06-05 01:04
      0
  21. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    /!\ Seul mimi peut suivre cette procédure. /!\

    1/

    ---> Ouvre le Bloc-notes.

    ---> Copie le texte ci-dessous par sélection puis Ctrl+C :

    KillAll::

    File::
    C:\Documents and Settings\Administrateur\Application Data\smss.exe
    C:\Documents and Settings\Administrateur\Application Data\svchost.exe
    C:\Documents and Settings\Administrateur\Application Data\lsass.exe
    c:\windows\system32\Sexy Girls.scr
    c:\documents and settings\ADMINISTRATEUR\MENU DéMARRER\PROGRAMMES\DéMARRAGE\DOS OPTIMIZER.PIF

    --> Colle la sélection dans le Bloc-notes.

    --> Enregistre ce fichier sur le Bureau (Impératif).

    --> Nom du fichier : CFScript
    --> Type du fichier : tous les fichiers
    --> Clique sur Enregistrer.
    --> Quitte le Bloc-notes.

    2/

    --> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
    http://www.searchengines.pl/phpbb203/pliki/picasso/virus/programs/combofix/combofix_cfscript.gif

    --> Une fenêtre bleue va apparaître : au message qui apparaît, tu acceptes.

    --> Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !
    Ne touche à rien tant que le scan n'est pas terminé.

    --> Une fois le scan achevé, un rapport va s'afficher : poste-le.

    --> Si le fichier ne s'ouvre pas, il se trouve ici C:\Combofix.txt
    0
    1. mimi
       
      ComboFix 09-06-04.08 - Administrateur 06/05/2009 21:05.3 - FAT32x86
      Microsoft Windows XP Professionnel 5.1.2600.2.1252.213.1036.18.446.202 [GMT 1:00]
      Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
      Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\CFScript.txt
      AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated) {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}

      FILE ::
      "c:\documents and settings\Administrateur\Application Data\lsass.exe"
      "c:\documents and settings\Administrateur\Application Data\smss.exe"
      "c:\documents and settings\Administrateur\Application Data\svchost.exe"
      "c:\documents and settings\ADMINISTRATEUR\MENU DéMARRER\PROGRAMMES\DéMARRAGE\DOS OPTIMIZER.PIF"
      "c:\windows\system32\Sexy Girls.scr"
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      c:\documents and settings\Administrateur\Application Data\svchost.exe
      c:\windows\system32\Sexy Girls.scr
      .
      ---- Exécution préalable -------
      .
      c:\documents and settings\Administrateur\Application Data\lsass.exe
      c:\windows\system32\Sexy Girls.scr

      .
      ((((((((((((((((((((((((((((( Fichiers créés du 2009-05-05 au 2009-06-05 ))))))))))))))))))))))))))))))))))))
      .

      2009-06-05 12:34 . 2009-06-05 12:34 -------- d-----w- C:\_OTMoveIt
      2009-06-05 11:12 . 2009-06-05 11:12 -------- d-----w- c:\windows\system32\fr-fr
      2009-06-05 10:33 . 2009-02-20 17:10 52224 ------w- c:\windows\system32\dllcache\msfeedsbs.dll
      2009-06-05 10:33 . 2009-02-20 17:10 459264 ------w- c:\windows\system32\dllcache\msfeeds.dll
      2009-06-05 10:33 . 2009-02-20 17:10 268288 ------w- c:\windows\system32\dllcache\iertutil.dll
      2009-06-05 10:33 . 2009-02-20 17:10 63488 ------w- c:\windows\system32\dllcache\icardie.dll
      2009-06-05 10:33 . 2009-02-20 10:20 13824 ------w- c:\windows\system32\dllcache\ieudinit.exe
      2009-06-05 10:32 . 2009-02-20 17:10 383488 ------w- c:\windows\system32\dllcache\ieapfltr.dll
      2009-06-05 10:32 . 2008-07-09 14:25 2455488 ------w- c:\windows\system32\dllcache\ieapfltr.dat
      2009-06-05 10:32 . 2009-02-20 17:10 6066176 ------w- c:\windows\system32\dllcache\ieframe.dll
      2009-06-04 21:35 . 2009-06-04 21:35 -------- d-----w- c:\windows\ERUNT
      2009-06-04 01:44 . 2008-11-06 01:03 -------- d-----w- C:\SDFix
      2009-06-04 01:36 . 2008-10-24 11:10 453632 ------w- c:\windows\system32\dllcache\mrxsmb.sys
      2009-06-04 01:00 . 2009-05-26 12:20 40160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
      2009-06-04 00:59 . 2009-05-26 12:19 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
      2009-06-04 00:51 . 2009-06-04 00:51 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
      2009-06-04 00:51 . 2009-06-04 00:51 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
      2009-06-04 00:51 . 2009-06-04 00:51 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
      2009-06-04 00:29 . 2008-06-14 17:59 272768 ------w- c:\windows\system32\drivers\bthport.sys
      2009-06-04 00:29 . 2008-06-14 17:59 272768 ------w- c:\windows\system32\dllcache\bthport.sys
      2009-06-03 23:40 . 2009-06-03 23:40 -------- d-----w- C:\UsbFix
      2009-06-03 23:00 . 2009-06-03 23:00 -------- d-----w- c:\program files\trend micro
      2009-06-03 23:00 . 2009-06-03 23:00 -------- d-----w- C:\rsit
      2009-06-03 22:34 . 2009-06-03 22:34 -------- d-sh--w- C:\FOUND.005
      2009-06-03 16:29 . 2009-06-03 16:29 -------- d-sh--w- C:\FOUND.004
      2009-06-03 11:26 . 2009-06-03 11:26 -------- d-sh--w- C:\FOUND.003
      2009-06-01 23:17 . 2009-06-01 23:17 -------- d-----w- c:\documents and settings\All Users\Application Data\TEMP
      2009-06-01 23:16 . 2009-06-01 23:16 -------- d-----w- c:\program files\ClubDJ Pro
      2009-06-01 23:16 . 1999-03-23 23:06 1046288 ----a-w- c:\windows\system32\msjet35.dll
      2009-06-01 23:16 . 1998-06-17 22:00 89360 ----a-w- c:\windows\system32\Vb5db.dll
      2009-06-01 23:16 . 1997-01-12 22:00 37136 ----a-w- c:\windows\system32\MSJINT35.DLL
      2009-06-01 23:16 . 1996-11-07 23:48 368912 ----a-w- c:\windows\system32\vbar332.dll
      2009-06-01 23:16 . 1996-12-02 16:44 24336 ----a-w- c:\windows\system32\MSJTER35.DLL
      2009-05-31 09:02 . 2009-05-31 09:02 -------- d-sh--w- C:\FOUND.002
      2009-05-31 04:28 . 2009-05-31 04:28 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Identities
      2009-05-31 02:00 . 2009-05-31 02:00 -------- d--h--w- c:\windows\$hf_mig$
      2009-05-30 22:32 . 2009-05-30 22:32 -------- d-----w- c:\documents and settings\Administrateur\Application Data\EPSON
      2009-05-29 21:52 . 2009-05-29 21:52 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Skype
      2009-05-29 20:08 . 2009-05-29 20:08 -------- d-----w- C:\GenProc
      2009-05-29 16:21 . 2009-05-29 16:21 -------- d-sh--w- C:\FOUND.001
      2009-05-28 18:58 . 2009-05-28 18:58 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Avira
      2009-05-28 18:56 . 2009-05-28 18:56 -------- d-sh--w- c:\documents and settings\Administrateur\UserData
      2009-05-28 14:41 . 2009-05-28 14:41 -------- d-----w- c:\program files\Wck3
      2009-05-28 13:05 . 2009-05-31 18:00 2048 ----a-w- c:\documents and settings\Administrateur\Application Data\invibes\gdiplusfont.dll
      2009-05-28 13:05 . 2009-05-28 13:05 -------- d-----w- c:\documents and settings\Administrateur\Application Data\invibes
      2009-05-28 13:05 . 2009-05-28 13:05 -------- d-----w- c:\program files\Micro Application
      2009-05-28 12:59 . 2009-05-28 12:59 -------- d-----w- c:\documents and settings\Administrateur\DSS DJ Data
      2009-05-28 12:59 . 2006-12-02 05:22 479232 ----a-w- c:\windows\system32\msvcm80.dll
      2009-05-28 12:59 . 2006-12-01 21:03 626688 ----a-w- c:\windows\system32\msvcr80.dll
      2009-05-28 12:59 . 2006-12-01 21:03 548864 ----a-w- c:\windows\system32\msvcp80.dll
      2009-05-28 12:59 . 2003-03-19 04:14 499712 ----a-w- c:\windows\system32\msvcp71.dll
      2009-05-28 12:59 . 2009-05-28 12:59 -------- d-----w- c:\program files\MyXOFT
      2009-05-27 18:02 . 2009-05-27 18:02 -------- d-----w- c:\documents and settings\Administrateur\Contacts
      2009-05-24 20:08 . 2004-08-03 22:08 31616 ----a-w- c:\windows\system32\drivers\usbccgp.sys
      2009-05-24 20:08 . 2004-08-03 22:08 31616 ----a-w- c:\windows\system32\dllcache\usbccgp.sys
      2009-05-24 20:06 . 2007-08-24 18:45 101120 ----a-r- c:\windows\system32\drivers\ewusbmdm.sys
      2009-05-24 20:06 . 2007-08-24 18:45 24448 ----a-r- c:\windows\system32\drivers\ewdcsc.sys
      2009-05-24 20:06 . 2009-05-24 20:06 -------- d-----w- c:\program files\mobiConnect
      2009-05-24 20:06 . 2004-08-03 22:08 26496 ----a-w- c:\windows\system32\dllcache\usbstor.sys
      2009-05-23 07:20 . 2009-05-23 07:20 -------- d-sh--w- C:\FOUND.000
      2009-05-20 19:06 . 2009-05-20 19:06 -------- d-----w- c:\documents and settings\All Users\Application Data\UDL
      2009-05-20 19:03 . 2006-04-18 04:00 102400 ----a-w- c:\documents and settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S30RP1.EXE
      2009-05-20 19:03 . 2006-12-08 02:04 76800 ----a-w- c:\windows\system32\E_FLBBZR.DLL
      2009-05-20 19:03 . 2006-04-19 02:00 62976 ----a-w- c:\windows\system32\E_FD4BBZR.DLL
      2009-05-20 19:03 . 2004-09-10 20:12 49152 ----a-w- c:\windows\system32\E_DCINST.DLL
      2009-05-20 19:03 . 2004-08-03 22:01 25856 ----a-w- c:\windows\system32\drivers\usbprint.sys
      2009-05-20 19:03 . 2004-08-03 22:01 25856 ----a-w- c:\windows\system32\dllcache\usbprint.sys
      2009-05-20 19:02 . 2009-05-20 19:02 -------- d-----w- c:\program files\EPSON
      2009-05-20 19:02 . 2009-05-20 19:02 -------- d-----w- c:\documents and settings\All Users\Application Data\EPSON
      2009-05-20 18:36 . 2009-05-20 18:36 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Media Player Classic
      2009-05-20 15:45 . 2009-05-20 15:45 -------- d-----w- c:\windows\system32\DRVSTORE
      2009-05-20 15:45 . 2009-05-20 15:45 -------- d-----w- c:\program files\MSN Messenger
      2009-05-20 15:44 . 2009-05-20 15:44 -------- d-----w- c:\program files\Skype
      2009-05-20 15:43 . 2009-05-20 15:43 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype
      2009-05-20 15:42 . 2008-05-09 12:15 45376 ----a-w- c:\windows\system32\drivers\avgntdd.sys
      2009-05-20 15:42 . 2008-01-21 17:11 22336 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
      2009-05-20 15:42 . 2008-06-27 14:03 75072 ----a-w- c:\windows\system32\drivers\avipbb.sys
      2009-05-20 15:42 . 2009-05-20 15:42 -------- d-----w- c:\program files\Avira
      2009-05-20 15:42 . 2009-05-20 15:42 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
      2009-05-20 15:37 . 2003-06-19 00:31 17920 ----a-w- c:\windows\system32\mdimon.dll
      2009-05-20 15:36 . 2009-05-20 15:36 -------- d-----w- c:\program files\Microsoft.NET
      2009-05-20 15:36 . 2009-05-20 15:36 -------- d-----w- c:\program files\Microsoft Works
      2009-05-20 15:35 . 2009-05-20 15:35 -------- d-----w- c:\windows\SHELLNEW
      2009-05-20 13:50 . 2009-05-20 13:50 -------- d-----w- c:\program files\VIA
      2009-05-20 13:50 . 2007-04-11 07:35 331184 ------w- c:\windows\system32\difxapi.dll
      2009-05-20 13:47 . 2009-05-20 13:47 -------- d-----w- c:\program files\Fichiers communs\InstallShield
      2009-05-20 12:13 . 2009-06-05 12:37 78928 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
      2009-05-20 12:12 . 2006-12-26 12:31 4864 ----a-r- c:\windows\system32\drivers\PortIo.sys

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2009-05-24 20:09 . 2008-06-04 01:41 48616 ----a-w- c:\windows\system32\perfc00C.dat
      2009-05-24 20:09 . 2008-06-04 01:41 367658 ----a-w- c:\windows\system32\perfh00C.dat
      2009-05-20 19:04 . 2009-05-20 19:04 -------- d-----w- c:\documents and settings\Administrateur\Application Data\InstallShield
      2009-05-20 15:41 . 2009-05-20 15:41 -------- d-----w- c:\program files\K-Lite Codec Pack
      2009-05-20 13:48 . 2009-05-20 13:48 -------- d-----w- c:\program files\S3
      2009-05-20 13:48 . 2009-05-20 13:48 -------- d--h--w- c:\program files\InstallShield Installation Information
      2009-05-20 12:33 . 2009-05-20 11:53 86331 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
      2009-05-20 11:54 . 2009-05-20 11:54 -------- d-----w- c:\program files\microsoft frontpage
      2009-05-20 11:52 . 2009-05-20 11:52 -------- d-----w- c:\program files\Services en ligne
      2009-05-20 11:51 . 2009-05-20 11:51 21892 ----a-w- c:\windows\system32\emptyregdb.dat
      .

      ((((((((((((((((((((((((((((( SnapShot@2009-06-05_16.43.43 )))))))))))))))))))))))))))))))))))))))))
      .
      .
      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-06-04 15360]
      "FrameWorkService"="" [BU]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "HDAudDeck"="c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe" [2007-06-29 811008]
      "avgnt"="c:\program files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" [2008-06-12 266497]
      "VTTimer"="VTTimer.exe" - c:\windows\system32\VTTimer.exe [2006-09-21 53248]
      "S3Trayp"="S3trayp.exe" - c:\windows\system32\S3Trayp.exe [2007-06-11 176128]
      "FrameWorkService"="" [BU]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-06-04 15360]

      c:\documents and settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\
      DosÿOptimizer.pif [2007-4-8 377344]

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
      "DisallowRun"= 0 (0x0)

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\disallowrun]
      "1"= cmd.exe
      "2"= mmc.exe
      "3"= rstrui.exe
      "4"= regedit.exe
      "5"= regedt32.exe

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
      "c:\\Program Files\\MSN Messenger\\livecall.exe"=
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
      "c:\\Program Files\\Skype\\Phone\\Skype.exe"=

      R2 AntiVirMailService;Avira AntiVir Premium MailGuard;c:\program files\Avira\AntiVir PersonalEdition Premium\avmailc.exe [20-05-2009 16:42 164097]
      R2 antivirwebservice;Avira AntiVir Premium WebGuard;c:\program files\Avira\AntiVir PersonalEdition Premium\avwebgrd.exe [20-05-2009 16:42 258305]
      R2 AVEService;Service d'assistance Avira AntiVir Premium MailGuard;c:\program files\Avira\AntiVir PersonalEdition Premium\avesvc.exe [20-05-2009 16:42 41217]
      R3 S3GIGP;S3GIGP;c:\windows\system32\drivers\S3gIGPm.sys [20-05-2009 14:48 714240]
      .
      .
      ------- Examen supplémentaire -------
      .
      IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      LSP: avsda.dll
      .

      **************************************************************************

      catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2009-06-05 21:08
      Windows 5.1.2600 Service Pack 2 FAT NTAPI

      Recherche de processus cachés ...

      Recherche d'éléments en démarrage automatique cachés ...

      HKLM\Software\Microsoft\Windows\CurrentVersion\Run
      HDAudDeck = c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe 1????????????????????????????????????????????????

      Recherche de fichiers cachés ...

      Scan terminé avec succès
      Fichiers cachés: 0

      **************************************************************************
      .
      --------------------- DLLs chargées dans les processus actifs ---------------------

      - - - - - - - > 'lsass.exe'(720)
      c:\windows\system32\avsda.dll

      - - - - - - - > 'explorer.exe'(500)
      c:\windows\system32\msi.dll
      .
      ------------------------ Autres processus actifs ------------------------
      .
      c:\program files\AVIRA\ANTIVIR PERSONALEDITION PREMIUM\SCHED.EXE
      c:\program files\AVIRA\ANTIVIR PERSONALEDITION PREMIUM\AVGUARD.EXE
      c:\program files\FICHIERS COMMUNS\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
      c:\windows\system32\wscntfy.exe
      c:\documents and settings\ADMINISTRATEUR\MENU DéMARRER\PROGRAMMES\DéMARRAGE\DOS OPTIMIZER.PIF
      c:\program files\Avira\AntiVir PersonalEdition Premium\avwsc.exe
      .
      **************************************************************************
      .
      Heure de fin: 2009-06-05 21:09 - La machine a redémarré
      ComboFix-quarantined-files.txt 2009-06-05 20:09
      ComboFix2.txt 2009-06-05 16:44

      Avant-CF: 8,788,754,432 octets libres
      Après-CF: 8,904,228,864 octets libres

      207 --- E O F --- 2009-06-05 01:04
      0
  • 1
  • 2
  • 3