Sujet Précédent Sujet Suivant

Mon ordi est infecté

Résolu/Fermé
mimi - 4 juin 2009 à 00:49
 Pier-Luc0170 - 14 juin 2009 à 01:08
Bonjour,
mon ordi déconne. chaque fois que je me connecte a internet ...des fenetre aparesse toute seule et cela s'empire de + en +......
ca serais tres aimable si je trouve une personne qui porais m'aider...merci
A voir également:

49 réponses

Réponse 1 / 49
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
4 juin 2009 à 00:50
Bonjour,

--> Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

--> Double-clique sur RSIT.exe afin de lancer le programme.
(Sous Vista, il faut cliquer droit sur RSIT.exe et choisir Exécuter en tant qu'administrateur)

--> Clique sur Continue à l'écran Disclaimer.

--> Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

--> Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

Note : les rapports sont sauvegardés dans le dossier C:\rsit.
0
mimi
4 juin 2009 à 01:08
merci de m'avoir repondu
je te poste le rapport
Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-06-04 00:04:03
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 8 GB (40%) free of 20 GB
Total RAM: 446 MB (39% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0:06:51, on 04-06-2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\S3trayp.exe
C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZR.EXE
D:\explorer.exe
C:\Program Files\Movie Maker\explorer.exe
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\Dos Optimizer.pif
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
C:\Program Files\mobiConnect\mobiConnect.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Program Files\trend micro\Administrateur.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe
O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus C91 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZR.EXE /FU "C:\WINDOWS\TEMP\E_S7D.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [internet_explorer] C:\Program Files\Movie Maker\explorer.exe
O4 - HKCU\..\Run: [msn] C:\Program Files\Movie Maker\explorer.exe
O4 - HKCU\..\Run: [anti-virus 2007] D:\explorer.exe
O4 - HKCU\..\Run: [Mp3 player] C:\Documents and Settings\All Users\Favorites\explorer.exe
O4 - HKCU\..\Run: [cdoosoft] olhrwef.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Dos Optimizer.pif = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C9DDE240-5DC4-4070-9435-135C892F9322}: NameServer = 193.251.169.166 193.251.169.83
O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: Planificateur Avira AntiVir Premium (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
O23 - Service: Service d'assistance Avira AntiVir Premium MailGuard (AVEService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe
0
Réponse 2 / 49
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
4 juin 2009 à 01:10
--> Télécharge UsbFix (de C_XX & Chiquitine29) sur ton Bureau.

--> Lance l'installation avec les paramètres par défaut.

--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.

--> Double-clique sur le raccourci UsbFix sur ton Bureau.

--> Choisis l'option 1 (Recherche).

--> Laisse travailler l'outil.

--> Poste le rapport UsbFix.txt.

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
0
Réponse 3 / 49
mimi
4 juin 2009 à 01:23
info.txt logfile of random's system information tool 1.06 2009-06-04 00:06:53

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
Avira AntiVir Premium-->C:\Program Files\Avira\AntiVir PersonalEdition Premium\SETUP.EXE /REMOVE
Camera RAW Plug-In for EPSON Creativity Suite-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{8DAC1AE4-33D1-4A78-8A42-00E09EDECC3E}\SETUP.EXE" -l0x9 UNINST
ClubDJ Pro-->C:\PROGRA~1\CLUBDJ~1\UNWISE.EXE C:\PROGRA~1\CLUBDJ~1\INSTALL.LOG
Correctif pour Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
DJMASTERMIX uninstall-->C:\Program Files\Micro Application\DJMASTERMIX\uninstall.exe
DSS DJ 5.6-->"C:\Program Files\MyXOFT\DSS DJ\unins000.exe"
EPSON Attach To Email-->C:\Program Files\Fichiers communs\InstallShield\Driver\8\Intel 32\IDriver.exe /M{20C45B32-5AB6-46A4-94EF-58950CAF05E5} /l1033 ADDREMOVEDLG
EPSON Easy Photo Print-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B66E665A-DF96-4C38-9422-C7F74BC1B4E5}\SETUP.EXE" -l0x9 UNINST
EPSON File Manager-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2EB81825-E9EE-44F4-8F51-1240C3898DC6}\Setup.exe" -l0x9 UNINST
EPSON Printer Software-->C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\EPUPDATE.EXE /R
EPSON Scan Assistant-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2A88F1BF-7041-4E42-84B1-6B4ACB83AC64}\Setup.exe" -l0x40c -u
EPSON Stylus C90_91_D92 Manual-->C:\Program Files\EPSON\TPMANUAL\ESC90 91 D92\ENG\USE_G\DOCUNINS.EXE
EPSON Web-To-Page-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{7F14F68C-17FA-4F88-B3FD-7F449C1EBF32}\SETUP.EXE" -l0x9 -anything
FindyKill-->C:\FindyKill\Uninstal.exe
High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe"
HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
K-Lite Codec Pack 3.2.0 Full-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{9011040C-6000-11D3-8CFE-0150048383C9}
Mise à jour de sécurité pour Windows XP (KB944338-v2)-->"C:\WINDOWS\$NtUninstallKB944338-v2$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
mobiConnect-->C:\Program Files\mobiConnect\uninst.exe
Skype™ 3.6-->MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
VIA Display Driver 6.14.10.0099-->C:\PROGRA~1\S3\UChromeP\s3minset.exe /u UChromeP.uns
VIA Gestionnaire de périphériques de plate-forme-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{20D4A895-748C-4D88-871C-FDB1695B0169}
Web Construction Kit version 3.0-->"C:\WINDOWS\UNISTB32.EXE" /U "C:\Program Files\Wck3\UNINST0.000" "C:\Program Files\Wck3\UNINST1.000"
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
Windows Live Messenger-->MsiExec.exe /I{F6326B60-1B1D-4ABF-BFCD-7B7404F44411}

======Security center information======

AV: Avira AntiVir PersonalEdition (outdated)

======System event log======

Computer Name: W-INFO
Event Code: 6011
Message: Le nom NetBIOS et le nom de l'hôte DNS de cet ordinateur ont été modifiés de MACHINENAME vers W-INFO.

Record Number: 5
Source Name: EventLog
Time Written: 20090520124941.000000+060
Event Type: Informations
User:

Computer Name: MACHINENAME
Event Code: 2
Message: Pendant la validation de \Device\Serial1 en tant que port série, une FIFO a été détectée. La FIFO sera utilisée.

Record Number: 4
Source Name: Serial
Time Written: 20090520134614.000000+060
Event Type: Informations
User:

Computer Name: MACHINENAME
Event Code: 2
Message: Pendant la validation de \Device\Serial0 en tant que port série, une FIFO a été détectée. La FIFO sera utilisée.

Record Number: 3
Source Name: Serial
Time Written: 20090520134614.000000+060
Event Type: Informations
User:

Computer Name: MACHINENAME
Event Code: 6005
Message: Le service d'Enregistrement d'événement a démarré.

Record Number: 2
Source Name: EventLog
Time Written: 20090520134553.000000+060
Event Type: Informations
User:

Computer Name: MACHINENAME
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 2 Multiprocessor Free.

Record Number: 1
Source Name: EventLog
Time Written: 20090520134553.000000+060
Event Type: Informations
User:

=====Application event log=====

Computer Name: W-INFO
Event Code: 1000
Message: Les compteurs de performances pour le service MSDTC (MSDTC) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 5
Source Name: LoadPerf
Time Written: 20090520125111.000000+060
Event Type: Informations
User:

Computer Name: W-INFO
Event Code: 1000
Message: Les compteurs de performances pour le service TermService (Services Terminal Server) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 4
Source Name: LoadPerf
Time Written: 20090520125109.000000+060
Event Type: Informations
User:

Computer Name: W-INFO
Event Code: 1000
Message: Les compteurs de performances pour le service RemoteAccess (Routage et accès distant) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 3
Source Name: LoadPerf
Time Written: 20090520125014.000000+060
Event Type: Informations
User:

Computer Name: W-INFO
Event Code: 1000
Message: Les compteurs de performances pour le service PSched (PSched) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 2
Source Name: LoadPerf
Time Written: 20090520125001.000000+060
Event Type: Informations
User:

Computer Name: W-INFO
Event Code: 1000
Message: Les compteurs de performances pour le service RSVP (QoS RSVP) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 1
Source Name: LoadPerf
Time Written: 20090520124947.000000+060
Event Type: Informations
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 6 Stepping 5, GenuineIntel
"PROCESSOR_REVISION"=0605
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------
0
Réponse 4 / 49
mimi
4 juin 2009 à 01:24
info.txt logfile of random's system information tool 1.06 2009-06-04 00:06:53

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
Avira AntiVir Premium-->C:\Program Files\Avira\AntiVir PersonalEdition Premium\SETUP.EXE /REMOVE
Camera RAW Plug-In for EPSON Creativity Suite-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{8DAC1AE4-33D1-4A78-8A42-00E09EDECC3E}\SETUP.EXE" -l0x9 UNINST
ClubDJ Pro-->C:\PROGRA~1\CLUBDJ~1\UNWISE.EXE C:\PROGRA~1\CLUBDJ~1\INSTALL.LOG
Correctif pour Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
DJMASTERMIX uninstall-->C:\Program Files\Micro Application\DJMASTERMIX\uninstall.exe
DSS DJ 5.6-->"C:\Program Files\MyXOFT\DSS DJ\unins000.exe"
EPSON Attach To Email-->C:\Program Files\Fichiers communs\InstallShield\Driver\8\Intel 32\IDriver.exe /M{20C45B32-5AB6-46A4-94EF-58950CAF05E5} /l1033 ADDREMOVEDLG
EPSON Easy Photo Print-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B66E665A-DF96-4C38-9422-C7F74BC1B4E5}\SETUP.EXE" -l0x9 UNINST
EPSON File Manager-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2EB81825-E9EE-44F4-8F51-1240C3898DC6}\Setup.exe" -l0x9 UNINST
EPSON Printer Software-->C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\EPUPDATE.EXE /R
EPSON Scan Assistant-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2A88F1BF-7041-4E42-84B1-6B4ACB83AC64}\Setup.exe" -l0x40c -u
EPSON Stylus C90_91_D92 Manual-->C:\Program Files\EPSON\TPMANUAL\ESC90 91 D92\ENG\USE_G\DOCUNINS.EXE
EPSON Web-To-Page-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{7F14F68C-17FA-4F88-B3FD-7F449C1EBF32}\SETUP.EXE" -l0x9 -anything
FindyKill-->C:\FindyKill\Uninstal.exe
High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe"
HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
K-Lite Codec Pack 3.2.0 Full-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{9011040C-6000-11D3-8CFE-0150048383C9}
Mise à jour de sécurité pour Windows XP (KB944338-v2)-->"C:\WINDOWS\$NtUninstallKB944338-v2$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
mobiConnect-->C:\Program Files\mobiConnect\uninst.exe
Skype™ 3.6-->MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
VIA Display Driver 6.14.10.0099-->C:\PROGRA~1\S3\UChromeP\s3minset.exe /u UChromeP.uns
VIA Gestionnaire de périphériques de plate-forme-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{20D4A895-748C-4D88-871C-FDB1695B0169}
Web Construction Kit version 3.0-->"C:\WINDOWS\UNISTB32.EXE" /U "C:\Program Files\Wck3\UNINST0.000" "C:\Program Files\Wck3\UNINST1.000"
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
Windows Live Messenger-->MsiExec.exe /I{F6326B60-1B1D-4ABF-BFCD-7B7404F44411}

======Security center information======

AV: Avira AntiVir PersonalEdition (outdated)

======System event log======

Computer Name: W-INFO
Event Code: 6011
Message: Le nom NetBIOS et le nom de l'hôte DNS de cet ordinateur ont été modifiés de MACHINENAME vers W-INFO.

Record Number: 5
Source Name: EventLog
Time Written: 20090520124941.000000+060
Event Type: Informations
User:

Computer Name: MACHINENAME
Event Code: 2
Message: Pendant la validation de \Device\Serial1 en tant que port série, une FIFO a été détectée. La FIFO sera utilisée.

Record Number: 4
Source Name: Serial
Time Written: 20090520134614.000000+060
Event Type: Informations
User:

Computer Name: MACHINENAME
Event Code: 2
Message: Pendant la validation de \Device\Serial0 en tant que port série, une FIFO a été détectée. La FIFO sera utilisée.

Record Number: 3
Source Name: Serial
Time Written: 20090520134614.000000+060
Event Type: Informations
User:

Computer Name: MACHINENAME
Event Code: 6005
Message: Le service d'Enregistrement d'événement a démarré.

Record Number: 2
Source Name: EventLog
Time Written: 20090520134553.000000+060
Event Type: Informations
User:

Computer Name: MACHINENAME
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 2 Multiprocessor Free.

Record Number: 1
Source Name: EventLog
Time Written: 20090520134553.000000+060
Event Type: Informations
User:

=====Application event log=====

Computer Name: W-INFO
Event Code: 1000
Message: Les compteurs de performances pour le service MSDTC (MSDTC) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 5
Source Name: LoadPerf
Time Written: 20090520125111.000000+060
Event Type: Informations
User:

Computer Name: W-INFO
Event Code: 1000
Message: Les compteurs de performances pour le service TermService (Services Terminal Server) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 4
Source Name: LoadPerf
Time Written: 20090520125109.000000+060
Event Type: Informations
User:

Computer Name: W-INFO
Event Code: 1000
Message: Les compteurs de performances pour le service RemoteAccess (Routage et accès distant) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 3
Source Name: LoadPerf
Time Written: 20090520125014.000000+060
Event Type: Informations
User:

Computer Name: W-INFO
Event Code: 1000
Message: Les compteurs de performances pour le service PSched (PSched) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 2
Source Name: LoadPerf
Time Written: 20090520125001.000000+060
Event Type: Informations
User:

Computer Name: W-INFO
Event Code: 1000
Message: Les compteurs de performances pour le service RSVP (QoS RSVP) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 1
Source Name: LoadPerf
Time Written: 20090520124947.000000+060
Event Type: Informations
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 6 Stepping 5, GenuineIntel
"PROCESSOR_REVISION"=0605
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 49
mimi
4 juin 2009 à 01:48
############################# [ UsbFix V3.028 | Scan ]

# User : Administrateur (Administrateurs) # W-INFO
# Update on 02/06/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 0:42:23 | 04-06-2009

# Intel(R) Pentium(R) 4 CPU 3.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Enabled
# AV : Avira AntiVir PersonalEdition 8.0.1.27 [ Enabled | (!) Outdated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 19.52 Go (7.89 Go free) # FAT32
# D:\ # Disque fixe local # 19.52 Go (19.25 Go free) # FAT32
# E:\ # Disque fixe local # 19.52 Go (18.91 Go free) # FAT32
# F:\ # Disque fixe local # 15.9 Go (10.71 Go free) # FAT32
# G:\ # Disque CD-ROM

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\S3trayp.exe
C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZR.EXE
D:\explorer.exe
C:\Program Files\Movie Maker\explorer.exe
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\Dos Optimizer.pif
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Registre Startup ]

HKCU_Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
HKCU_Main: "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
HKCU_Main: "Start Page"="about:blank"
HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
HKLM_logon: "DefaultUserName"="Administrateur"
HKLM_logon: "AltDefaultUserName"="Administrateur"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""
HKLM_Run: VTTimer=VTTimer.exe
HKLM_Run: S3Trayp=S3trayp.exe
HKLM_Run: HDAudDeck=C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe 1
HKLM_Run: avgnt="C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
HKLM_Run: FrameWorkService=
HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKCU_Run: CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
HKCU_Run: EPSON Stylus C91 Series=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZR.EXE /FU "C:\WINDOWS\TEMP\E_S7D.tmp" /EF "HKCU"
HKCU_Run: FrameWorkService=
HKCU_Run: internet_explorer=C:\Program Files\Movie Maker\explorer.exe
HKCU_Run: msn=C:\Program Files\Movie Maker\explorer.exe
HKCU_Run: anti-virus 2007=D:\explorer.exe
HKCU_Run: Mp3 player=C:\Documents and Settings\All Users\Favorites\explorer.exe
HKCU_Run: cdoosoft=olhrwef.exe

################## [ Fichiers # Dossiers infectieux ]

Found ! C:\WINDOWS\inf\smss.exe
Found ! C:\WINDOWS\system32\nmdfgds0.dll
Found ! C:\WINDOWS\system32\olhrwef.exe
Found ! "C:\WINDOWS\system32\Sexy Girls.scr"
Found ! "C:\Documents and Settings\Administrateur\Application Data\svchost.exe"
Found ! "C:\Documents and Settings\Administrateur\Application Data\lsass.exe"
Found ! "C:\Documents and Settings\Administrateur\Application Data\smss.exe"
Found ! C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\WZSE1.TMP\uninstall.exe
Found ! C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\WZSE1.TMP\install.exe
C:\autorun.inf # -> fichier appelé : "C:\q9.cmd" ( absent ! )
Found ! C:\autorun.inf
D:\autorun.inf # -> fichier appelé : "D:\q9.cmd" ( absent ! )
Found ! D:\explorer.exe
Found ! D:\autorun.inf
E:\autorun.inf # -> fichier appelé : "E:\q9.cmd" ( absent ! )
Found ! E:\explorer.exe
Found ! E:\autorun.inf
F:\autorun.inf # -> fichier appelé : "F:\q9.cmd" ( absent ! )
Found ! F:\explorer.exe
Found ! F:\autorun.inf
Found ! H:\autorun.inf

################## [ Registre # Clés Run infectieuses ]

Found ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "FrameWorkService"
Found ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "cdoosoft"
Found ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "FrameWorkService"
Found ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "internet_explorer"
Found ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Mp3 player"
Found ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "msn"
Found ! HKU\S-1-5-21-1202660629-1715567821-839522115-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "cdoosoft"
Found ! HKU\S-1-5-21-1202660629-1715567821-839522115-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "FrameWorkService"
Found ! HKU\S-1-5-21-1202660629-1715567821-839522115-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "internet_explorer"
Found ! HKU\S-1-5-21-1202660629-1715567821-839522115-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Mp3 player"
Found ! HKU\S-1-5-21-1202660629-1715567821-839522115-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "msn"
Found ! HKLM\software\microsoft\security center "AntiVirusDisableNotify" ( 0x1 )
Found ! HKLM\software\microsoft\security center "FirewallDisableNotify" ( 0x1 )
Found ! HKLM\software\microsoft\security center "UpdatesDisableNotify" ( 0x1 )

################## [ Registre # Mountpoints2 ]

HKCU\...\Explorer\MountPoints2\H\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{55108ff8-489e-11de-b451-001bb9dd327a}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{55108ff9-489e-11de-b451-001bb9dd327a}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{8436dd6a-4965-11de-b452-001bb9dd327a}\Shell\AutoRun\Command

################## [ ! Fin du rapport # UsbFix V3.028 ! ]
0
Réponse 6 / 49
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
4 juin 2009 à 02:07
--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.

--> Double-clique sur le raccourci UsbFix présent sur ton Bureau.

--> Choisis l'option 2 (Suppression).

--> Ton Bureau disparaîtra et le PC redémarrera.

--> Au redémarrage, UsbFix scannera ton PC, laisse travailler l'outil.

--> Ensuite, poste le rapport UsbFix.txt qui apparaîtra avec le Bureau .

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).
0
mimi
4 juin 2009 à 02:24
############################## [ UsbFix V3.028 | Cleaning ]

# User : Administrateur (Administrateurs) # W-INFO
# Update on 02/06/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 1:17:31 | 04-06-2009

# Intel(R) Pentium(R) 4 CPU 3.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Enabled
# AV : Avira AntiVir PersonalEdition 8.0.1.27 [ Enabled | (!) Outdated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 19.52 Go (7.87 Go free) # FAT32
# D:\ # Disque fixe local # 19.52 Go (19.25 Go free) # FAT32
# E:\ # Disque fixe local # 19.52 Go (18.91 Go free) # FAT32
# F:\ # Disque fixe local # 15.9 Go (10.71 Go free) # FAT32
# G:\ # Disque CD-ROM
# H:\ # Disque CD-ROM # 7.6 Mo (0 Mo free) [mobiConnect] # CDFS

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\WINDOWS\system32\userinit.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
C:\WINDOWS\System32\alg.exe

################## [ Fichiers # Dossiers infectieux ]

Deleted ! C:\WINDOWS\inf\smss.exe
Deleted ! C:\WINDOWS\system32\nmdfgds0.dll
Deleted ! C:\WINDOWS\system32\olhrwef.exe
Deleted ! "C:\WINDOWS\system32\Sexy Girls.scr"
Deleted ! "C:\Documents and Settings\Administrateur\Application Data\svchost.exe"
Deleted ! "C:\Documents and Settings\Administrateur\Application Data\lsass.exe"
Deleted ! "C:\Documents and Settings\Administrateur\Application Data\smss.exe"
Deleted ! C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\WZSE1.TMP\uninstall.exe
Deleted ! C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\WZSE1.TMP\install.exe
C:\autorun.inf # -> fichier appelé : "C:\q9.cmd" ( absent ! )
Deleted ! C:\autorun.inf
D:\autorun.inf # -> fichier appelé : "D:\q9.cmd" ( absent ! )
Deleted ! D:\explorer.exe
Deleted ! D:\autorun.inf
E:\autorun.inf # -> fichier appelé : "E:\q9.cmd" ( absent ! )
Deleted ! E:\explorer.exe
Deleted ! E:\autorun.inf
F:\autorun.inf # -> fichier appelé : "F:\q9.cmd" ( absent ! )
Deleted ! F:\explorer.exe
Deleted ! F:\autorun.inf
(!) Not Deleted ! H:\autorun.inf

################## [ Registre # Clés Run infectieuses ]

Deleted ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "FrameWorkService"
Deleted ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "cdoosoft"
Deleted ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "FrameWorkService"
Deleted ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "internet_explorer"
Deleted ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Mp3 player"
Deleted ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "msn"
# HKLM\software\microsoft\security center\\ "AntiVirusDisableNotify" # -> Reset sucessfully !
# HKLM\software\microsoft\security center\\ "FirewallDisableNotify" # -> Reset sucessfully !
# HKLM\software\microsoft\security center\\ "UpdatesDisableNotify" # -> Reset sucessfully !

################## [ Registre # Mountpoints2 ]

Deleted ! HKCU\...\Explorer\MountPoints2\H\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{55108ff8-489e-11de-b451-001bb9dd327a}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{55108ff9-489e-11de-b451-001bb9dd327a}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{8436dd6a-4965-11de-b452-001bb9dd327a}\Shell\AutoRun\Command

################## [ Listing des fichiers présent ]

[06/04/2008 02:40 AM|-rahs----|4952] - C:\Bootfont.bin
[06/04/2008 02:41 AM|-rahs----|251712] - C:\ntldr
[06/04/2008 02:41 AM|-rahs----|47564] - C:\NTDETECT.COM
[05/20/2009 12:49 PM|---hs----|212] - C:\boot.ini
[05/20/2009 12:54 PM|--a------|0] - C:\CONFIG.SYS
[05/20/2009 12:54 PM|--a------|0] - C:\AUTOEXEC.BAT
[05/20/2009 12:54 PM|-rahs----|0] - C:\IO.SYS
[05/20/2009 12:54 PM|-rahs----|0] - C:\MSDOS.SYS
[05/20/2009 04:46 PM|--ah-----|244] - C:\sqmnoopt00.sqm
[05/20/2009 04:46 PM|--ah-----|268] - C:\sqmdata00.sqm
[05/24/2009 09:43 PM|--ah-----|244] - C:\sqmnoopt01.sqm
[05/24/2009 09:43 PM|--ah-----|232] - C:\sqmdata01.sqm
[05/24/2009 10:07 PM|--ah-----|244] - C:\sqmnoopt02.sqm
[05/24/2009 10:07 PM|--ah-----|232] - C:\sqmdata02.sqm
[05/30/2009 11:33 PM|--a------|2674] - C:\FindyKill.txt
[?|?|?] - C:\pagefile.sys
[06/04/2009 01:19 AM|--a------|5217] - C:\UsbFix.txt
[05/07/2008 07:37 AM|--ah-----|162] - E:\~$islam.docx
[06/20/2008 12:19 PM|--a------|2666290] - E:\wck_v3_fr.exe
[05/24/2008 03:53 PM|--ah-----|162] - E:\~$lam (R‚par‚).docx
[04/09/2009 03:52 PM|--a------|62] - F:\abortmsg.txt
[11/05/2007 01:17 PM|-r-------|51] - H:\AUTORUN.INF
[07/03/2007 01:04 PM|-r-------|106496] - H:\AutoRun.exe
[07/03/2007 01:04 PM|-r-------|110592] - H:\DataCard_Setup.exe
[07/03/2007 01:04 PM|-r-------|144384] - H:\DataCard_Setup64.exe
[05/16/2007 10:31 AM|-r-------|6144] - H:\ResetDevice.exe
[11/07/2007 10:23 AM|-r-------|869] - H:\SysConfig.dat
[10/31/2007 06:02 AM|-r-------|4286] - H:\mobiConnect.ico

################## [ Vaccination ]

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
# D:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
# E:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
# F:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

################## [ ! Fin du rapport # UsbFix V3.028 ! ]
0
Réponse 7 / 49
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
4 juin 2009 à 02:32
---> Désinstalle FindyKill et UsbFix.

---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
---> Sélectionne Exécuter un examen rapide.
---> Clique sur Rechercher. L'analyse démarre.

A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
---> Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.
0
Réponse 8 / 49
mimi
4 juin 2009 à 03:13
Malwarebytes' Anti-Malware 1.37
Version de la base de données: 2182
Windows 5.1.2600 Service Pack 2

04-06-2009 2:07:37
mbam-log-2009-06-04 (02-07-36).txt

Type de recherche: Examen rapide
Eléments examinés: 73349
Temps écoulé: 2 minute(s), 55 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\FrameWorkService (Trojan.Delf) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\FrameWorkService (Trojan.Delf) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\3 (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\4 (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\1 (Security.Hijack) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\Administrateur\Application Data\smss.exe (Trojan.Delf) -> Quarantined and deleted successfully.
C:\WINDOWS\inf\smss.exe (Trojan.Delf) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Sexy Girls.scr (Trojan.Delf) -> Quarantined and deleted successfully.
C:\Program Files\Internet Explorer\explorer.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
0
Réponse 9 / 49
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
4 juin 2009 à 03:16
--> Relance MBAM, va dans Quarantaine et supprime tout.

--> Refais un scan RSIT et poste le rapport log.
0
Réponse 10 / 49
mimi
4 juin 2009 à 03:25
Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-06-04 02:23:48
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 8 GB (42%) free of 20 GB
Total RAM: 446 MB (54% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2:23:59, on 04-06-2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\S3trayp.exe
C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\Dos Optimizer.pif
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\mobiConnect\mobiConnect.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Program Files\trend micro\Administrateur.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe
O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus C91 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZR.EXE /FU "C:\WINDOWS\TEMP\E_S7D.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [anti-virus 2007] D:\explorer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Dos Optimizer.pif = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C9DDE240-5DC4-4070-9435-135C892F9322}: NameServer = 193.251.169.166 193.251.169.83
O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: Planificateur Avira AntiVir Premium (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
O23 - Service: Service d'assistance Avira AntiVir Premium MailGuard (AVEService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe
0
Réponse 11 / 49
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
4 juin 2009 à 03:29
1/

---> Lance ce fichier : C:\Program Files\trend micro\Administrateur.exe

---> Choisis Do a system scan only.

---> Coche les cases qui sont devant les lignes suivantes :

O4 - HKCU\..\Run: [anti-virus 2007] D:\explorer.exe

O4 - Startup: Dos Optimizer.pif = ?

---> Clique en bas sur Fix checked. Mets oui si HijackThis te demande quelque chose.

---> Ferme HijackThis.


2/

---> Télécharge SDFix (créé par AndyManchesta) sur ton Bureau.
- Double-clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
- Redémarre ton ordinateur en mode sans échec.

---> Pour redémarrer en mode sans échec :
- Redémarre ton PC.
- Au démarrage, tapote sur F8 (F5 sur certains PC) juste après l'affichage du BIOS et juste avant le chargement de Windows.
- Dans le menu d'options avancées, choisis Mode sans échec.
- Choisis ta session.

---> Déroule la liste des instructions ci-dessous :
- Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double-clique sur RunThis.bat pour lancer le script.
- Appuie sur Y pour commencer le processus de nettoyage.
- Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
- Appuie sur une touche pour redémarrer le PC.
- Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
- Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
- Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
- Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
- Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse.
0
mimi
4 juin 2009 à 03:43
dit mon ami je peut te retrouver demain soir?.....il fait tard et demain je travail .....je doit etre a 8.00 au boulot.
si oui dit moi a quelle heure tu sera sur le forum
je te remerci bcp pour ton aide il ya une tres grande diference entre avant et maientenant ..les fenetres qui souvrer toutes seules n'aparaisse plus.
0
Réponse 12 / 49
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
4 juin 2009 à 03:49
Oui, je vais dormir aussi.
0
mimi
4 juin 2009 à 03:58
bonne nuit ...fait de beaux reves et a demain
0
Réponse 13 / 49
mimi
4 juin 2009 à 23:52
bonsoir.
voila je te poste le rapport de SDFix:

[b]SDFix: Version 1.240 [/b]
Run by Administrateur on Thu 06/04/2009 at 10:36 PM

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]:

Trojan Files Found:

C:\Documents and Settings\Administrateur\Application Data\smss.exe - Deleted





Removing Temp Files

[b]ADS Check [/b]:



[b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-04 22:40:06
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HDAudDeck = C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe 1????????????????????????????????????????????????

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[b]Remaining Files [/b]:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Wed 12 Nov 2008 147,456 ..SH. --- "C:\Program Files\Movie Maker\explorer.exe"
Thu 21 May 2009 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Wed 12 Nov 2008 147,456 A.SH. --- "C:\System Volume Information\_restore{4BE66B2E-8563-4551-B613-0925D20DDBD8}\RP18\A0013440.exe"
Thu 4 Jun 2009 933,928 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\c46a8212705069a7604ff98b5b281a3e\BIT5.tmp"
Thu 4 Jun 2009 9,615,808 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\bbe52ffe0bfd8ca5fdbd0b2cd5a3aa64\BIT7.tmp"
Thu 4 Jun 2009 824,360 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\6d3285ea07e02e844a1e46dffef593cf\BIT8.tmp"
Thu 4 Jun 2009 1,317,744 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\5e4f2e76786e12fcb7b972dae96443a2\BITC.tmp"
Wed 3 Jun 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\6b00e567d1aec2f4fa4805e942ed2a2d\BIT12.tmp"
Wed 3 Jun 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\8a2a5ecd72c62a4fe04757ab8c19e933\BIT13.tmp"
Thu 4 Jun 2009 4,657,040 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\596b908e8d017befb53f853fe927f94a\BIT2.tmp"
Thu 4 Jun 2009 655,216 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\75268bc24bd5ec747ac183eeadb761f8\BIT4.tmp"
Thu 4 Jun 2009 8,831,368 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\8a899ed7d93ef1188fb849621e59999b\BITB.tmp"
Sun 31 May 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\2b5c5ac9e782a4592ba0b3e07e9b7eee\BITD.tmp"
Thu 4 Jun 2009 4,599,282 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\d4d9eeb6e20dc10efc511218ecc2ad85\download\BITB.tmp"
Thu 4 Jun 2009 1,325,640 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\fb7e4e3914021d8e9d80ac8f418fa4bb\download\BIT7.tmp"
Thu 4 Jun 2009 843,864 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\c379bab7b72a5a3477ef6b8fa934fb77\download\BIT8.tmp"
Thu 4 Jun 2009 101,176 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\60102ca8d49bef61c61212965ef6dbcb\download\BIT4.tmp"
Thu 4 Jun 2009 567,669 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\191c12c131f075e05b15e1e035903121\download\BIT5.tmp"
Thu 4 Jun 2009 36,258 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\b024880fe56b3ff50f74fc334213eb78\download\BIT4.tmp"
Thu 4 Jun 2009 43,570 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\47c4bdf626b189d93918e8924a659af7\download\BIT5.tmp"
Thu 4 Jun 2009 967,015 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\cbc1b829918070e9cdead53865e03be6\download\BIT4.tmp"

[b]Finished![/b]
0
Réponse 14 / 49
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
5 juin 2009 à 00:57
--> Installe ceci :
http://www.microsoft.com/downloads/details.aspx?FamilyId=9AE91EBE-3385-447C-8A30-081805B2F90B&displaylang=fr

--> Refais un scan RSIT et poste le rapport log.
0
Réponse 15 / 49
mimi
5 juin 2009 à 14:05
bonjour.
voici le rapport RSIT
Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-06-05 12:54:28
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 7 GB (37%) free of 20 GB
Total RAM: 446 MB (53% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:54:31, on 05-06-2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\S3trayp.exe
C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\Dos Optimizer.pif
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Program Files\trend micro\Administrateur.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe
O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus C91 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZR.EXE /FU "C:\WINDOWS\TEMP\E_S7D.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Dos Optimizer.pif = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: Planificateur Avira AntiVir Premium (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
O23 - Service: Service d'assistance Avira AntiVir Premium MailGuard (AVEService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe
0
Réponse 16 / 49
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
5 juin 2009 à 14:11
Apparemment, tu as la version 8 payante d'AntiVir, tu ne peux pas passer à la version 9 ?


1/

---> Lance ce fichier : C:\Program Files\trend micro\Administrateur.exe

---> Choisis Do a system scan only.

---> Coche la case qui est devant la ligne suivante :

O4 - Startup: Dos Optimizer.pif = ?

---> Clique en bas sur Fix checked. Mets oui si HijackThis te demande quelque chose.

---> Ferme HijackThis.


2/

---> Désactive ton antivirus le temps de la manipulation car OTMoveIt3 est détecté comme une infection à tort.

---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau.

---> Double-clique sur OTMoveIt3.exe afin de le lancer.

---> Copie (Ctrl+C) le texte suivant ci-dessous :





:processes
explorer.exe

:files
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\Dos Optimizer.pif
C:\Documents and Settings\Administrateur\Application Data\smss.exe
C:\Documents and Settings\Administrateur\Application Data\svchost.exe
C:\Documents and Settings\Administrateur\Application Data\lsass.exe

:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}]

:commands
[purity]
[emptytemp]
[reboot]





---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
0
mimi
5 juin 2009 à 14:43
========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
File/Folder C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\Dos Optimizer.pif not found.
C:\Documents and Settings\Administrateur\Application Data\smss.exe moved successfully.
C:\Documents and Settings\Administrateur\Application Data\svchost.exe moved successfully.
C:\Documents and Settings\Administrateur\Application Data\lsass.exe moved successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}\\ deleted successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\BIT1.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\KLUF0DMF\ads[1].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\KLUF0DMF\affich-12727251-mon-ordi-est-infecte[1].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\8HQFOLMN\ads[2].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\20BX7NGL\autopromo[1].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\M1SDYX8J\
scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Temp folders emptied.

OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 06052009_133411

Files moved on Reboot...
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\BIT1.tmp moved successfully.
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat moved successfully.
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\KLUF0DMF\ads[1].htm moved successfully.
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\KLUF0DMF\affich-12727251-mon-ordi-est-infecte[1].htm moved successfully.
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\8HQFOLMN\ads[2].htm moved successfully.
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\20BX7NGL\autopromo[1].htm moved successfully.
File C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\M1SDYX8J\
not found!
0
Réponse 17 / 49
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
5 juin 2009 à 14:43
--> Refais un scan RSIT et poste le rapport log.
0
Réponse 18 / 49
mimi
5 juin 2009 à 14:49
Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-06-05 13:47:30
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 9 GB (43%) free of 20 GB
Total RAM: 446 MB (48% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:47:34, on 05-06-2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\S3trayp.exe
C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\Dos Optimizer.pif
C:\Program Files\mobiConnect\mobiConnect.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Program Files\trend micro\Administrateur.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe
O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus C91 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZR.EXE /FU "C:\WINDOWS\TEMP\E_S7D.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Dos Optimizer.pif = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C9DDE240-5DC4-4070-9435-135C892F9322}: NameServer = 193.251.169.166 193.251.169.83
O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: Planificateur Avira AntiVir Premium (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
O23 - Service: Service d'assistance Avira AntiVir Premium MailGuard (AVEService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe
0
Réponse 19 / 49
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
5 juin 2009 à 14:51
L'infection se régénère.

/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\

--> Télécharge ComboFix (de sUBs) sur ton Bureau.
--> Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
--> Il va te demander d'installer la console de récupération : accepte.
--> Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
0
mimi
5 juin 2009 à 18:49
ComboFix 09-06-04.08 - Administrateur 06/05/2009 17:40.1 - FAT32x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.213.1036.18.446.208 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated) {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Administrateur\Application Data\smss.exe
c:\windows\IE4 Error Log.txt

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_AVPsys


((((((((((((((((((((((((((((( Fichiers créés du 2009-05-05 au 2009-06-05 ))))))))))))))))))))))))))))))))))))
.

2009-06-05 16:43 . 2007-04-08 14:14 377344 ----a-w- c:\documents and settings\Administrateur\Application Data\lsass.exe
2009-06-05 12:34 . 2009-06-05 12:34 -------- d-----w- C:\_OTMoveIt
2009-06-05 11:12 . 2009-06-05 11:12 -------- d-----w- c:\windows\system32\fr-fr
2009-06-05 10:33 . 2009-02-20 17:10 52224 ------w- c:\windows\system32\dllcache\msfeedsbs.dll
2009-06-05 10:33 . 2009-02-20 17:10 459264 ------w- c:\windows\system32\dllcache\msfeeds.dll
2009-06-05 10:33 . 2009-02-20 17:10 268288 ------w- c:\windows\system32\dllcache\iertutil.dll
2009-06-05 10:33 . 2009-02-20 17:10 63488 ------w- c:\windows\system32\dllcache\icardie.dll
2009-06-05 10:33 . 2009-02-20 10:20 13824 ------w- c:\windows\system32\dllcache\ieudinit.exe
2009-06-05 10:32 . 2009-02-20 17:10 383488 ------w- c:\windows\system32\dllcache\ieapfltr.dll
2009-06-05 10:32 . 2008-07-09 14:25 2455488 ------w- c:\windows\system32\dllcache\ieapfltr.dat
2009-06-05 10:32 . 2009-02-20 17:10 6066176 ------w- c:\windows\system32\dllcache\ieframe.dll
2009-06-04 21:35 . 2009-06-04 21:35 -------- d-----w- c:\windows\ERUNT
2009-06-04 01:44 . 2008-11-06 01:03 -------- d-----w- C:\SDFix
2009-06-04 01:36 . 2008-10-24 11:10 453632 ------w- c:\windows\system32\dllcache\mrxsmb.sys
2009-06-04 01:09 . 2007-04-08 14:14 377344 ----a-w- c:\windows\system32\Sexy Girls.scr
2009-06-04 01:00 . 2009-05-26 12:20 40160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-04 00:59 . 2009-05-26 12:19 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-06-04 00:51 . 2009-06-04 00:51 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2009-06-04 00:51 . 2009-06-04 00:51 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-06-04 00:51 . 2009-06-04 00:51 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-06-04 00:29 . 2008-06-14 17:59 272768 ------w- c:\windows\system32\drivers\bthport.sys
2009-06-04 00:29 . 2008-06-14 17:59 272768 ------w- c:\windows\system32\dllcache\bthport.sys
2009-06-03 23:40 . 2009-06-03 23:40 -------- d-----w- C:\UsbFix
2009-06-03 23:00 . 2009-06-03 23:00 -------- d-----w- c:\program files\trend micro
2009-06-03 23:00 . 2009-06-03 23:00 -------- d-----w- C:\rsit
2009-06-03 22:34 . 2009-06-03 22:34 -------- d-sh--w- C:\FOUND.005
2009-06-03 16:29 . 2009-06-03 16:29 -------- d-sh--w- C:\FOUND.004
2009-06-03 11:26 . 2009-06-03 11:26 -------- d-sh--w- C:\FOUND.003
2009-06-01 23:17 . 2009-06-01 23:17 -------- d-----w- c:\documents and settings\All Users\Application Data\TEMP
2009-06-01 23:16 . 2009-06-01 23:16 -------- d-----w- c:\program files\ClubDJ Pro
2009-06-01 23:16 . 1999-03-23 23:06 1046288 ----a-w- c:\windows\system32\msjet35.dll
2009-06-01 23:16 . 1998-06-17 22:00 89360 ----a-w- c:\windows\system32\Vb5db.dll
2009-06-01 23:16 . 1997-01-12 22:00 37136 ----a-w- c:\windows\system32\MSJINT35.DLL
2009-06-01 23:16 . 1996-11-07 23:48 368912 ----a-w- c:\windows\system32\vbar332.dll
2009-06-01 23:16 . 1996-12-02 16:44 24336 ----a-w- c:\windows\system32\MSJTER35.DLL
2009-05-31 09:02 . 2009-05-31 09:02 -------- d-sh--w- C:\FOUND.002
2009-05-31 04:28 . 2009-05-31 04:28 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Identities
2009-05-31 02:00 . 2009-05-31 02:00 -------- d--h--w- c:\windows\$hf_mig$
2009-05-30 22:32 . 2009-05-30 22:32 -------- d-----w- c:\documents and settings\Administrateur\Application Data\EPSON
2009-05-29 21:52 . 2009-05-29 21:52 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Skype
2009-05-29 20:08 . 2009-05-29 20:08 -------- d-----w- C:\GenProc
2009-05-29 16:21 . 2009-05-29 16:21 -------- d-sh--w- C:\FOUND.001
2009-05-28 18:58 . 2009-05-28 18:58 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Avira
2009-05-28 18:56 . 2009-05-28 18:56 -------- d-sh--w- c:\documents and settings\Administrateur\UserData
2009-05-28 14:41 . 2009-05-28 14:41 -------- d-----w- c:\program files\Wck3
2009-05-28 13:05 . 2009-05-31 18:00 2048 ----a-w- c:\documents and settings\Administrateur\Application Data\invibes\gdiplusfont.dll
2009-05-28 13:05 . 2009-05-28 13:05 -------- d-----w- c:\documents and settings\Administrateur\Application Data\invibes
2009-05-28 13:05 . 2009-05-28 13:05 -------- d-----w- c:\program files\Micro Application
2009-05-28 12:59 . 2009-05-28 12:59 -------- d-----w- c:\documents and settings\Administrateur\DSS DJ Data
2009-05-28 12:59 . 2006-12-02 05:22 479232 ----a-w- c:\windows\system32\msvcm80.dll
2009-05-28 12:59 . 2006-12-01 21:03 626688 ----a-w- c:\windows\system32\msvcr80.dll
2009-05-28 12:59 . 2006-12-01 21:03 548864 ----a-w- c:\windows\system32\msvcp80.dll
2009-05-28 12:59 . 2003-03-19 04:14 499712 ----a-w- c:\windows\system32\msvcp71.dll
2009-05-28 12:59 . 2009-05-28 12:59 -------- d-----w- c:\program files\MyXOFT
2009-05-27 18:02 . 2009-05-27 18:02 -------- d-----w- c:\documents and settings\Administrateur\Contacts
2009-05-24 20:08 . 2004-08-03 22:08 31616 ----a-w- c:\windows\system32\drivers\usbccgp.sys
2009-05-24 20:08 . 2004-08-03 22:08 31616 ----a-w- c:\windows\system32\dllcache\usbccgp.sys
2009-05-24 20:06 . 2007-08-24 18:45 101120 ----a-r- c:\windows\system32\drivers\ewusbmdm.sys
2009-05-24 20:06 . 2007-08-24 18:45 24448 ----a-r- c:\windows\system32\drivers\ewdcsc.sys
2009-05-24 20:06 . 2009-05-24 20:06 -------- d-----w- c:\program files\mobiConnect
2009-05-24 20:06 . 2004-08-03 22:08 26496 ----a-w- c:\windows\system32\dllcache\usbstor.sys
2009-05-23 07:20 . 2009-05-23 07:20 -------- d-sh--w- C:\FOUND.000
2009-05-20 19:06 . 2009-05-20 19:06 -------- d-----w- c:\documents and settings\All Users\Application Data\UDL
2009-05-20 19:03 . 2006-04-18 04:00 102400 ----a-w- c:\documents and settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S30RP1.EXE
2009-05-20 19:03 . 2006-12-08 02:04 76800 ----a-w- c:\windows\system32\E_FLBBZR.DLL
2009-05-20 19:03 . 2006-04-19 02:00 62976 ----a-w- c:\windows\system32\E_FD4BBZR.DLL
2009-05-20 19:03 . 2004-09-10 20:12 49152 ----a-w- c:\windows\system32\E_DCINST.DLL
2009-05-20 19:03 . 2004-08-03 22:01 25856 ----a-w- c:\windows\system32\drivers\usbprint.sys
2009-05-20 19:03 . 2004-08-03 22:01 25856 ----a-w- c:\windows\system32\dllcache\usbprint.sys
2009-05-20 19:02 . 2009-05-20 19:02 -------- d-----w- c:\program files\EPSON
2009-05-20 19:02 . 2009-05-20 19:02 -------- d-----w- c:\documents and settings\All Users\Application Data\EPSON
2009-05-20 18:36 . 2009-05-20 18:36 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Media Player Classic
2009-05-20 15:45 . 2009-05-20 15:45 -------- d-----w- c:\windows\system32\DRVSTORE
2009-05-20 15:45 . 2009-05-20 15:45 -------- d-----w- c:\program files\MSN Messenger
2009-05-20 15:44 . 2009-05-20 15:44 -------- d-----w- c:\program files\Skype
2009-05-20 15:43 . 2009-05-20 15:43 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype
2009-05-20 15:42 . 2008-05-09 12:15 45376 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-05-20 15:42 . 2008-01-21 17:11 22336 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-05-20 15:42 . 2008-06-27 14:03 75072 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-05-20 15:42 . 2009-05-20 15:42 -------- d-----w- c:\program files\Avira
2009-05-20 15:42 . 2009-05-20 15:42 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2009-05-20 15:37 . 2003-06-19 00:31 17920 ----a-w- c:\windows\system32\mdimon.dll
2009-05-20 15:36 . 2009-05-20 15:36 -------- d-----w- c:\program files\Microsoft.NET
2009-05-20 15:36 . 2009-05-20 15:36 -------- d-----w- c:\program files\Microsoft Works
2009-05-20 15:35 . 2009-05-20 15:35 -------- d-----w- c:\windows\SHELLNEW
2009-05-20 13:50 . 2009-05-20 13:50 -------- d-----w- c:\program files\VIA
2009-05-20 13:50 . 2007-04-11 07:35 331184 ------w- c:\windows\system32\difxapi.dll
2009-05-20 13:47 . 2009-05-20 13:47 -------- d-----w- c:\program files\Fichiers communs\InstallShield
2009-05-20 12:13 . 2009-06-05 12:37 78928 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-05-20 12:12 . 2006-12-26 12:31 4864 ----a-r- c:\windows\system32\drivers\PortIo.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-24 20:09 . 2008-06-04 01:41 48616 ----a-w- c:\windows\system32\perfc00C.dat
2009-05-24 20:09 . 2008-06-04 01:41 367658 ----a-w- c:\windows\system32\perfh00C.dat
2009-05-20 19:04 . 2009-05-20 19:04 -------- d-----w- c:\documents and settings\Administrateur\Application Data\InstallShield
2009-05-20 15:41 . 2009-05-20 15:41 -------- d-----w- c:\program files\K-Lite Codec Pack
2009-05-20 13:48 . 2009-05-20 13:48 -------- d-----w- c:\program files\S3
2009-05-20 13:48 . 2009-05-20 13:48 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-05-20 12:33 . 2009-05-20 11:53 86331 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-05-20 11:54 . 2009-05-20 11:54 -------- d-----w- c:\program files\microsoft frontpage
2009-05-20 11:52 . 2009-05-20 11:52 -------- d-----w- c:\program files\Services en ligne
2009-05-20 11:51 . 2009-05-20 11:51 21892 ----a-w- c:\windows\system32\emptyregdb.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-06-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HDAudDeck"="c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe" [2007-06-29 811008]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" [2008-06-12 266497]
"VTTimer"="VTTimer.exe" - c:\windows\system32\VTTimer.exe [2006-09-21 53248]
"S3Trayp"="S3trayp.exe" - c:\windows\system32\S3Trayp.exe [2007-06-11 176128]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-06-04 15360]

c:\documents and settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\
DosÿOptimizer.pif [2007-4-8 377344]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"DisallowRun"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\disallowrun]
"1"= cmd.exe
"2"= mmc.exe
"3"= rstrui.exe
"4"= regedit.exe
"5"= regedt32.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R2 AntiVirMailService;Avira AntiVir Premium MailGuard;c:\program files\Avira\AntiVir PersonalEdition Premium\avmailc.exe [20-05-2009 16:42 164097]
R2 antivirwebservice;Avira AntiVir Premium WebGuard;c:\program files\Avira\AntiVir PersonalEdition Premium\avwebgrd.exe [20-05-2009 16:42 258305]
R2 AVEService;Service d'assistance Avira AntiVir Premium MailGuard;c:\program files\Avira\AntiVir PersonalEdition Premium\avesvc.exe [20-05-2009 16:42 41217]
R3 S3GIGP;S3GIGP;c:\windows\system32\drivers\S3gIGPm.sys [20-05-2009 14:48 714240]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-FrameWorkService - (no file)
HKLM-Run-FrameWorkService - (no file)
SafeBoot-procexp90.Sys


.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
LSP: avsda.dll
TCP: {C9DDE240-5DC4-4070-9435-135C892F9322} = 193.251.169.166 193.251.169.83
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-05 17:43
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HDAudDeck = c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe 1????????????????????????????????????????????????

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'lsass.exe'(720)
c:\windows\system32\avsda.dll

- - - - - - - > 'explorer.exe'(3136)
c:\windows\system32\msi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\AVIRA\ANTIVIR PERSONALEDITION PREMIUM\SCHED.EXE
c:\program files\AVIRA\ANTIVIR PERSONALEDITION PREMIUM\AVGUARD.EXE
c:\program files\FICHIERS COMMUNS\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
c:\windows\system32\wscntfy.exe
c:\documents and settings\ADMINISTRATEUR\MENU DéMARRER\PROGRAMMES\DéMARRAGE\DOS OPTIMIZER.PIF
.
**************************************************************************
.
Heure de fin: 2009-06-05 17:44 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-06-05 16:44

Avant-CF: 8,910,192,640 octets libres
Après-CF: 8,996,175,872 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

207 --- E O F --- 2009-06-05 01:04
0
Réponse 20 / 49
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
5 juin 2009 à 21:15
/!\ Seul mimi peut suivre cette procédure. /!\


1/

---> Ouvre le Bloc-notes.

---> Copie le texte ci-dessous par sélection puis Ctrl+C :






KillAll::

File::
C:\Documents and Settings\Administrateur\Application Data\smss.exe
C:\Documents and Settings\Administrateur\Application Data\svchost.exe
C:\Documents and Settings\Administrateur\Application Data\lsass.exe
c:\windows\system32\Sexy Girls.scr
c:\documents and settings\ADMINISTRATEUR\MENU DéMARRER\PROGRAMMES\DéMARRAGE\DOS OPTIMIZER.PIF






--> Colle la sélection dans le Bloc-notes.

--> Enregistre ce fichier sur le Bureau (Impératif).

--> Nom du fichier : CFScript
--> Type du fichier : tous les fichiers
--> Clique sur Enregistrer.
--> Quitte le Bloc-notes.


2/

--> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://www.searchengines.pl/phpbb203/pliki/picasso/virus/programs/combofix/combofix_cfscript.gif

--> Une fenêtre bleue va apparaître : au message qui apparaît, tu acceptes.

--> Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.

--> Une fois le scan achevé, un rapport va s'afficher : poste-le.

--> Si le fichier ne s'ouvre pas, il se trouve ici C:\Combofix.txt
0
mimi
5 juin 2009 à 22:21
ComboFix 09-06-04.08 - Administrateur 06/05/2009 21:05.3 - FAT32x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.213.1036.18.446.202 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\CFScript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated) {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}

FILE ::
"c:\documents and settings\Administrateur\Application Data\lsass.exe"
"c:\documents and settings\Administrateur\Application Data\smss.exe"
"c:\documents and settings\Administrateur\Application Data\svchost.exe"
"c:\documents and settings\ADMINISTRATEUR\MENU DéMARRER\PROGRAMMES\DéMARRAGE\DOS OPTIMIZER.PIF"
"c:\windows\system32\Sexy Girls.scr"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Administrateur\Application Data\svchost.exe
c:\windows\system32\Sexy Girls.scr
.
---- Exécution préalable -------
.
c:\documents and settings\Administrateur\Application Data\lsass.exe
c:\windows\system32\Sexy Girls.scr

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-05-05 au 2009-06-05 ))))))))))))))))))))))))))))))))))))
.

2009-06-05 12:34 . 2009-06-05 12:34 -------- d-----w- C:\_OTMoveIt
2009-06-05 11:12 . 2009-06-05 11:12 -------- d-----w- c:\windows\system32\fr-fr
2009-06-05 10:33 . 2009-02-20 17:10 52224 ------w- c:\windows\system32\dllcache\msfeedsbs.dll
2009-06-05 10:33 . 2009-02-20 17:10 459264 ------w- c:\windows\system32\dllcache\msfeeds.dll
2009-06-05 10:33 . 2009-02-20 17:10 268288 ------w- c:\windows\system32\dllcache\iertutil.dll
2009-06-05 10:33 . 2009-02-20 17:10 63488 ------w- c:\windows\system32\dllcache\icardie.dll
2009-06-05 10:33 . 2009-02-20 10:20 13824 ------w- c:\windows\system32\dllcache\ieudinit.exe
2009-06-05 10:32 . 2009-02-20 17:10 383488 ------w- c:\windows\system32\dllcache\ieapfltr.dll
2009-06-05 10:32 . 2008-07-09 14:25 2455488 ------w- c:\windows\system32\dllcache\ieapfltr.dat
2009-06-05 10:32 . 2009-02-20 17:10 6066176 ------w- c:\windows\system32\dllcache\ieframe.dll
2009-06-04 21:35 . 2009-06-04 21:35 -------- d-----w- c:\windows\ERUNT
2009-06-04 01:44 . 2008-11-06 01:03 -------- d-----w- C:\SDFix
2009-06-04 01:36 . 2008-10-24 11:10 453632 ------w- c:\windows\system32\dllcache\mrxsmb.sys
2009-06-04 01:00 . 2009-05-26 12:20 40160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-04 00:59 . 2009-05-26 12:19 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-06-04 00:51 . 2009-06-04 00:51 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2009-06-04 00:51 . 2009-06-04 00:51 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-06-04 00:51 . 2009-06-04 00:51 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-06-04 00:29 . 2008-06-14 17:59 272768 ------w- c:\windows\system32\drivers\bthport.sys
2009-06-04 00:29 . 2008-06-14 17:59 272768 ------w- c:\windows\system32\dllcache\bthport.sys
2009-06-03 23:40 . 2009-06-03 23:40 -------- d-----w- C:\UsbFix
2009-06-03 23:00 . 2009-06-03 23:00 -------- d-----w- c:\program files\trend micro
2009-06-03 23:00 . 2009-06-03 23:00 -------- d-----w- C:\rsit
2009-06-03 22:34 . 2009-06-03 22:34 -------- d-sh--w- C:\FOUND.005
2009-06-03 16:29 . 2009-06-03 16:29 -------- d-sh--w- C:\FOUND.004
2009-06-03 11:26 . 2009-06-03 11:26 -------- d-sh--w- C:\FOUND.003
2009-06-01 23:17 . 2009-06-01 23:17 -------- d-----w- c:\documents and settings\All Users\Application Data\TEMP
2009-06-01 23:16 . 2009-06-01 23:16 -------- d-----w- c:\program files\ClubDJ Pro
2009-06-01 23:16 . 1999-03-23 23:06 1046288 ----a-w- c:\windows\system32\msjet35.dll
2009-06-01 23:16 . 1998-06-17 22:00 89360 ----a-w- c:\windows\system32\Vb5db.dll
2009-06-01 23:16 . 1997-01-12 22:00 37136 ----a-w- c:\windows\system32\MSJINT35.DLL
2009-06-01 23:16 . 1996-11-07 23:48 368912 ----a-w- c:\windows\system32\vbar332.dll
2009-06-01 23:16 . 1996-12-02 16:44 24336 ----a-w- c:\windows\system32\MSJTER35.DLL
2009-05-31 09:02 . 2009-05-31 09:02 -------- d-sh--w- C:\FOUND.002
2009-05-31 04:28 . 2009-05-31 04:28 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Identities
2009-05-31 02:00 . 2009-05-31 02:00 -------- d--h--w- c:\windows\$hf_mig$
2009-05-30 22:32 . 2009-05-30 22:32 -------- d-----w- c:\documents and settings\Administrateur\Application Data\EPSON
2009-05-29 21:52 . 2009-05-29 21:52 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Skype
2009-05-29 20:08 . 2009-05-29 20:08 -------- d-----w- C:\GenProc
2009-05-29 16:21 . 2009-05-29 16:21 -------- d-sh--w- C:\FOUND.001
2009-05-28 18:58 . 2009-05-28 18:58 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Avira
2009-05-28 18:56 . 2009-05-28 18:56 -------- d-sh--w- c:\documents and settings\Administrateur\UserData
2009-05-28 14:41 . 2009-05-28 14:41 -------- d-----w- c:\program files\Wck3
2009-05-28 13:05 . 2009-05-31 18:00 2048 ----a-w- c:\documents and settings\Administrateur\Application Data\invibes\gdiplusfont.dll
2009-05-28 13:05 . 2009-05-28 13:05 -------- d-----w- c:\documents and settings\Administrateur\Application Data\invibes
2009-05-28 13:05 . 2009-05-28 13:05 -------- d-----w- c:\program files\Micro Application
2009-05-28 12:59 . 2009-05-28 12:59 -------- d-----w- c:\documents and settings\Administrateur\DSS DJ Data
2009-05-28 12:59 . 2006-12-02 05:22 479232 ----a-w- c:\windows\system32\msvcm80.dll
2009-05-28 12:59 . 2006-12-01 21:03 626688 ----a-w- c:\windows\system32\msvcr80.dll
2009-05-28 12:59 . 2006-12-01 21:03 548864 ----a-w- c:\windows\system32\msvcp80.dll
2009-05-28 12:59 . 2003-03-19 04:14 499712 ----a-w- c:\windows\system32\msvcp71.dll
2009-05-28 12:59 . 2009-05-28 12:59 -------- d-----w- c:\program files\MyXOFT
2009-05-27 18:02 . 2009-05-27 18:02 -------- d-----w- c:\documents and settings\Administrateur\Contacts
2009-05-24 20:08 . 2004-08-03 22:08 31616 ----a-w- c:\windows\system32\drivers\usbccgp.sys
2009-05-24 20:08 . 2004-08-03 22:08 31616 ----a-w- c:\windows\system32\dllcache\usbccgp.sys
2009-05-24 20:06 . 2007-08-24 18:45 101120 ----a-r- c:\windows\system32\drivers\ewusbmdm.sys
2009-05-24 20:06 . 2007-08-24 18:45 24448 ----a-r- c:\windows\system32\drivers\ewdcsc.sys
2009-05-24 20:06 . 2009-05-24 20:06 -------- d-----w- c:\program files\mobiConnect
2009-05-24 20:06 . 2004-08-03 22:08 26496 ----a-w- c:\windows\system32\dllcache\usbstor.sys
2009-05-23 07:20 . 2009-05-23 07:20 -------- d-sh--w- C:\FOUND.000
2009-05-20 19:06 . 2009-05-20 19:06 -------- d-----w- c:\documents and settings\All Users\Application Data\UDL
2009-05-20 19:03 . 2006-04-18 04:00 102400 ----a-w- c:\documents and settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S30RP1.EXE
2009-05-20 19:03 . 2006-12-08 02:04 76800 ----a-w- c:\windows\system32\E_FLBBZR.DLL
2009-05-20 19:03 . 2006-04-19 02:00 62976 ----a-w- c:\windows\system32\E_FD4BBZR.DLL
2009-05-20 19:03 . 2004-09-10 20:12 49152 ----a-w- c:\windows\system32\E_DCINST.DLL
2009-05-20 19:03 . 2004-08-03 22:01 25856 ----a-w- c:\windows\system32\drivers\usbprint.sys
2009-05-20 19:03 . 2004-08-03 22:01 25856 ----a-w- c:\windows\system32\dllcache\usbprint.sys
2009-05-20 19:02 . 2009-05-20 19:02 -------- d-----w- c:\program files\EPSON
2009-05-20 19:02 . 2009-05-20 19:02 -------- d-----w- c:\documents and settings\All Users\Application Data\EPSON
2009-05-20 18:36 . 2009-05-20 18:36 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Media Player Classic
2009-05-20 15:45 . 2009-05-20 15:45 -------- d-----w- c:\windows\system32\DRVSTORE
2009-05-20 15:45 . 2009-05-20 15:45 -------- d-----w- c:\program files\MSN Messenger
2009-05-20 15:44 . 2009-05-20 15:44 -------- d-----w- c:\program files\Skype
2009-05-20 15:43 . 2009-05-20 15:43 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype
2009-05-20 15:42 . 2008-05-09 12:15 45376 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-05-20 15:42 . 2008-01-21 17:11 22336 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-05-20 15:42 . 2008-06-27 14:03 75072 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-05-20 15:42 . 2009-05-20 15:42 -------- d-----w- c:\program files\Avira
2009-05-20 15:42 . 2009-05-20 15:42 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2009-05-20 15:37 . 2003-06-19 00:31 17920 ----a-w- c:\windows\system32\mdimon.dll
2009-05-20 15:36 . 2009-05-20 15:36 -------- d-----w- c:\program files\Microsoft.NET
2009-05-20 15:36 . 2009-05-20 15:36 -------- d-----w- c:\program files\Microsoft Works
2009-05-20 15:35 . 2009-05-20 15:35 -------- d-----w- c:\windows\SHELLNEW
2009-05-20 13:50 . 2009-05-20 13:50 -------- d-----w- c:\program files\VIA
2009-05-20 13:50 . 2007-04-11 07:35 331184 ------w- c:\windows\system32\difxapi.dll
2009-05-20 13:47 . 2009-05-20 13:47 -------- d-----w- c:\program files\Fichiers communs\InstallShield
2009-05-20 12:13 . 2009-06-05 12:37 78928 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-05-20 12:12 . 2006-12-26 12:31 4864 ----a-r- c:\windows\system32\drivers\PortIo.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-24 20:09 . 2008-06-04 01:41 48616 ----a-w- c:\windows\system32\perfc00C.dat
2009-05-24 20:09 . 2008-06-04 01:41 367658 ----a-w- c:\windows\system32\perfh00C.dat
2009-05-20 19:04 . 2009-05-20 19:04 -------- d-----w- c:\documents and settings\Administrateur\Application Data\InstallShield
2009-05-20 15:41 . 2009-05-20 15:41 -------- d-----w- c:\program files\K-Lite Codec Pack
2009-05-20 13:48 . 2009-05-20 13:48 -------- d-----w- c:\program files\S3
2009-05-20 13:48 . 2009-05-20 13:48 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-05-20 12:33 . 2009-05-20 11:53 86331 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-05-20 11:54 . 2009-05-20 11:54 -------- d-----w- c:\program files\microsoft frontpage
2009-05-20 11:52 . 2009-05-20 11:52 -------- d-----w- c:\program files\Services en ligne
2009-05-20 11:51 . 2009-05-20 11:51 21892 ----a-w- c:\windows\system32\emptyregdb.dat
.

((((((((((((((((((((((((((((( SnapShot@2009-06-05_16.43.43 )))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-06-04 15360]
"FrameWorkService"="" [BU]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HDAudDeck"="c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe" [2007-06-29 811008]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" [2008-06-12 266497]
"VTTimer"="VTTimer.exe" - c:\windows\system32\VTTimer.exe [2006-09-21 53248]
"S3Trayp"="S3trayp.exe" - c:\windows\system32\S3Trayp.exe [2007-06-11 176128]
"FrameWorkService"="" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-06-04 15360]

c:\documents and settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\
DosÿOptimizer.pif [2007-4-8 377344]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"DisallowRun"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\disallowrun]
"1"= cmd.exe
"2"= mmc.exe
"3"= rstrui.exe
"4"= regedit.exe
"5"= regedt32.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R2 AntiVirMailService;Avira AntiVir Premium MailGuard;c:\program files\Avira\AntiVir PersonalEdition Premium\avmailc.exe [20-05-2009 16:42 164097]
R2 antivirwebservice;Avira AntiVir Premium WebGuard;c:\program files\Avira\AntiVir PersonalEdition Premium\avwebgrd.exe [20-05-2009 16:42 258305]
R2 AVEService;Service d'assistance Avira AntiVir Premium MailGuard;c:\program files\Avira\AntiVir PersonalEdition Premium\avesvc.exe [20-05-2009 16:42 41217]
R3 S3GIGP;S3GIGP;c:\windows\system32\drivers\S3gIGPm.sys [20-05-2009 14:48 714240]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
LSP: avsda.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-05 21:08
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HDAudDeck = c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe 1????????????????????????????????????????????????

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'lsass.exe'(720)
c:\windows\system32\avsda.dll

- - - - - - - > 'explorer.exe'(500)
c:\windows\system32\msi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\AVIRA\ANTIVIR PERSONALEDITION PREMIUM\SCHED.EXE
c:\program files\AVIRA\ANTIVIR PERSONALEDITION PREMIUM\AVGUARD.EXE
c:\program files\FICHIERS COMMUNS\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
c:\windows\system32\wscntfy.exe
c:\documents and settings\ADMINISTRATEUR\MENU DéMARRER\PROGRAMMES\DéMARRAGE\DOS OPTIMIZER.PIF
c:\program files\Avira\AntiVir PersonalEdition Premium\avwsc.exe
.
**************************************************************************
.
Heure de fin: 2009-06-05 21:09 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-06-05 20:09
ComboFix2.txt 2009-06-05 16:44

Avant-CF: 8,788,754,432 octets libres
Après-CF: 8,904,228,864 octets libres

207 --- E O F --- 2009-06-05 01:04
0