problème b.exe Fermé

Question

Bonjour,
            
Je reçois des messages d'erreurs b.exe, depuis certaines applications de mon ordinateur sont inutilisables. Mon antivirus par exemple (avira antivir premium) ne s'ouvre même plus je peux même pas faire un scan de mon disque dur. Je ne sais pas ce que c'est que ce b.exe et je ne sais pas quoi faire (trop balèze pour moi) HELP!

Narco!4 · Answer

Bonjour,

télécharge GenProc (de narco4 et jean-chretien1) http://www.genproc.com/GenProc.exe

- double-clique sur GenProc.exe , patiente le temps du scan.
- à la fin du scan, un message apparait clique sur "OUI"
- poste le contenu du rapport qui s'ouvre

marcberger · Answer

Rapport GenProc 2.572 [1] 
@ 04.06.2009 à 18:14:14 
@ Windows XP Service Pack 3
@ Mozilla Firefox (3.0.10) [Navigateur par défaut]

# Etape 1/ Télécharge :
 
- CCleaner https://www.ccleaner.com/ccleaner/download (FileHippo). Ce logiciel va permettre de supprimer tous les fichiers temporaires. Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme.

- Toolbar-S&D https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2 (Team IDN) sur ton Bureau.

- ComboFix http://download.bleepingcomputer.com/sUBs/ComboFix.exe (sUBs) sur ton Bureau.
Désactive ton antivirus, ton pare-feu et ferme tes programmes en cours. Lance combofix.exe et accepte les termes en cliquant sur OUI. Patiente. Au message "ComboFix a détecté que la 'console de récupération Windows' n'existe pas sur ce PC", clique sur oui puis sur OK, puis patiente. Valide le CLUF Microsoft. Au message "La console de récupération a été installée avec succès", clique impérativement sur NON pour quitter le programme (ferme également le rapport CF-RC.txt qui s'est ouvert)

- SmitfraudFix http://siri.urz.free.fr/Fix/SmitfraudFix.exe (S!Ri). Double-clique sur le fichier "smitfraudfix.exe" et choisis l'option 1 ; il va lister tous les éléments nuisibles dans un rapport : poste-le maintenant et passe à la suite.

- MSNFix http://sosvirus.changelog.fr/MSNFix.zip (!aur3n7) et décompresse-le sur le Bureau.

- USBFix http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe (Chiquitine29) sur le Bureau, et procède simplement à son installation.


 Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/  ; Choisis ta session courante *** Berger *** (pour retrouver le rapport, clique sur le raccourci "Rapport GenProc[1]" sur ton bureau).


# Etape 2/ 

 Lance Toolbar-S&D situé sur le Bureau.
 Tape sur "2" puis valide en appuyant sur "Entrée". Ne ferme pas la fenêtre lors de la suppression.

# Etape 3/ 

 Double-clique sur le fichier "SmitfraudFix.exe" et choisis l'option 2, réponds oui à tout et laisse-le procéder. Sauvegarde le rapport sur ton bureau.

# Etape 4/ 

Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
- Exécute l'option R.
- Si l'infection est détectée, exécute l'option N.
- Sauvegarde ce rapport sur ton bureau.

# Etape 5/ 

 Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir, puis double-clique sur le raccourci UsbFix présent sur ton Bureau : choisis l' option 2 (Suppression), ton bureau disparaitra et le pc redémarrera. Au redémarrage, UsbFix scannera ton pc, laisse travailler l'outil.

# Etape 6/ 

 Double clique sur combofix.exe et suis les instructions. Attention de ne pas utiliser ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne au risque de figer l'ordinateur.

# Etape 7/ 

 Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 8/ 

 Redémarre normalement et poste, dans la même réponse : 

- Le contenu du rapport Combofix.txt situé dans C:\ ; 
- Le contenu du rapport rapport.txt situé sur le Bureau ; 
- Le contenu du rapport msnfix.txt situé dans C:\WINDOWS ; 
- Le contenu du rapport TB.txt situé dans C:\ ; 
- Le contenu du rapport UsbFix.txt situé dans C:\ ; 
- Un nouveau rapport HijackThis http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ;
- Un nouveau rapport GenProc ;

 Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com 
----------------------------------------------------------------------

~~ Arguments de la procédure ~~


# Détections [1] GenProc 2.572 04.06.2009 à 18:13:53 
Toolbar:le 04.06.2009 à 18:13:58 "C:\Documents and Settings\Berger\Application Data\WeatherDPA" 
Vundo:le 04.06.2009 à 18:13:58 "C:\WINDOWS\system32\*.ini2" 
Smitfraud:le 04.06.2009 à 18:13:59 "C:\WINDOWS\System32\msxml71.dll" 
MSNFix:le 04.06.2009 à 18:14:00 "C:\WINDOWS\services.exe" 
USBFix:le 04.06.2009 à 18:14:01 "C:\WINDOWS\pskt.ini"

Narco!4 · Answer

Suit ces manips.

marcberger · Answer

rapport SmitFraud fix

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Atheros AR8121/AR8113 PCI-E Ethernet Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

Description: Atheros AR8121/AR8113 PCI-E Ethernet Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{6D01EBF0-D137-477E-8799-E1C79F3EC006}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{AC5A144C-6531-4803-B9C0-BB787CFD84E4}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{6D01EBF0-D137-477E-8799-E1C79F3EC006}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{AC5A144C-6531-4803-B9C0-BB787CFD84E4}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{6D01EBF0-D137-477E-8799-E1C79F3EC006}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{AC5A144C-6531-4803-B9C0-BB787CFD84E4}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{6D01EBF0-D137-477E-8799-E1C79F3EC006}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{AC5A144C-6531-4803-B9C0-BB787CFD84E4}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Narco!4 · Answer

un rapport complet c'est mieut, mais passe à la suite.

marcberger · Answer

voilà j'ai tout fait sauf usbfix (j'ai pas de clé usb ni de disque externe) et j'arrive pas a refaire un test genproc, par contre j'ai le rapport hijack.
je les ai posté dans l'ordre de la procédure.

combofix rapport:

ComboFix 09-06-03.04 - Berger 04.06.2009 19:28.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.2047.1709 [GMT 2:00]
Lancé depuis: c:\documents and settings\Berger\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\ZangoSA
c:\documents and settings\All Users\Application Data\ZangoSA\ZangoSA.dat
c:\documents and settings\All Users\Application Data\ZangoSA\ZangoSA_kyf.dat
c:\documents and settings\All Users\Application Data\ZangoSA\ZangoSAAbout.mht
c:\documents and settings\All Users\Application Data\ZangoSA\ZangoSAau.dat
c:\documents and settings\All Users\Application Data\ZangoSA\ZangoSAEula.mht
c:\documents and settings\Berger\Application Data\wiaserva.log
C:\smp.bat
c:\windows\BMf3ea1b49.txt
c:\windows\BMf3ea1b49.xml
c:\windows\icon.ico
c:\windows\msa.exe
c:\windows\pskt.ini
c:\windows\system32\404Fix.exe
c:\windows\system32\actmovieq.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\bdhspsmq.ini
c:\windows\system32\celoykkm.ini
c:\windows\system32\dlsosuci.ini
c:\windows\system32\drivers\Msft_Kernel_LMouFilt_01005.Wdf
c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
c:\windows\system32\dumphive.exe
c:\windows\system32\hjynskbo.ini
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\iygsgobj.ini
c:\windows\system32\KTuwHkkj.ini
c:\windows\system32\KTuwHkkj.ini2
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\qixttaog.ini
c:\windows\system32\SrchSTS.exe
c:\windows\system32\srojxgyr.ini
c:\windows\system32\tmp.reg
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe
c:\windows\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NETTCPPORTSHARINGWUDFSVC
-------\Service_NetTcpPortSharingWudfSvc


(((((((((((((((((((((((((((((   Fichiers créés du 2009-05-04 au 2009-06-04  ))))))))))))))))))))))))))))))))))))
.

2009-06-04 17:38 . 2009-06-04 17:38	111808	----a-w-	c:\windows\system32\drivers\8a5d64c5.sys
2009-06-04 17:10 . 2009-06-04 17:13	--------	d-----w-	C:\ToolBar SD
2009-06-04 16:56 . 2009-06-04 16:56	--------	d-----w-	C:\UsbFix
2009-06-04 16:13 . 2009-06-04 16:13	--------	d-----w-	C:\GenProc
2009-06-04 15:40 . 2008-05-08 14:02	203136	-c----w-	c:\windows\system32\dllcache\rmcast.sys
2009-06-04 15:40 . 2008-10-24 11:21	455296	-c----w-	c:\windows\system32\dllcache\mrxsmb.sys
2009-06-04 15:40 . 2008-12-11 10:57	333952	-c----w-	c:\windows\system32\dllcache\srv.sys
2009-06-04 15:40 . 2008-04-11 19:05	691712	-c----w-	c:\windows\system32\dllcache\inetcomm.dll
2009-06-04 15:40 . 2008-12-16 12:31	354304	-c----w-	c:\windows\system32\dllcache\winhttp.dll
2009-06-04 15:40 . 2008-10-15 16:35	337408	-c----w-	c:\windows\system32\dllcache\netapi32.dll
2009-06-04 13:47 . 2009-06-04 13:47	--------	d-----w-	c:\windows\system32\fr
2009-06-04 13:47 . 2009-06-04 13:47	--------	d-----w-	c:\windows\l2schemas
2009-06-04 13:30 . 2009-06-04 13:29	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2009-06-04 13:30 . 2009-06-04 13:29	55640	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-06-04 13:30 . 2009-06-04 13:29	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2009-06-04 13:30 . 2009-06-04 13:29	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2009-06-04 13:30 . 2009-06-04 13:30	--------	d-----w-	c:\program files\Avira
2009-06-03 15:35 . 2009-06-03 15:35	20480	--sha-w-	c:\windows\system32\advpack.dllh.dll
2009-06-03 01:37 . 2009-06-04 14:34	146	--s-a-w-	c:\windows\system32\2014296592.dat
2009-05-28 16:39 . 2009-05-28 17:11	--------	d-----w-	c:\windows\SHELLNEW
2009-05-27 21:37 . 2009-05-27 21:37	--------	d-----w-	c:\program files\QuickHelp2
2009-05-27 21:37 . 2009-05-27 21:37	229376	----a-w-	c:\windows\system32\wifiman.dll

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-04 17:36 . 2009-02-22 17:36	--------	d-----w-	c:\program files\Steam
2009-06-04 17:11 . 2003-04-24 12:00	85696	----a-w-	c:\windows\system32\perfc00C.dat
2009-06-04 17:11 . 2003-04-24 12:00	513492	----a-w-	c:\windows\system32\perfh00C.dat
2009-06-04 13:49 . 2008-02-03 14:01	86327	----a-w-	c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat
2009-06-04 13:30 . 2008-02-03 15:58	--------	d-----w-	c:\documents and settings\All Users\Application Data\Avira
2009-06-04 13:25 . 2008-07-17 17:00	--------	d-----w-	c:\program files\IKEA HomePlanner
2009-06-04 13:25 . 2008-02-04 13:36	--------	d-----w-	c:\program files\Fichiers communs\Wise Installation Wizard
2009-05-30 13:42 . 2008-02-03 17:56	20744	----a-w-	c:\documents and settings\Berger\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-05-27 22:09 . 2008-06-03 13:15	--------	d-----w-	c:\documents and settings\Berger\Application Data\dvdcss
2009-05-27 21:37 . 2008-08-01 13:54	--------	d-----w-	c:\program files\Common Files
2009-05-11 12:07 . 2008-02-03 15:41	--------	d--h--w-	c:\program files\InstallShield Installation Information
2009-04-30 08:40 . 2009-04-30 08:40	--------	d-----w-	c:\documents and settings\All Users\Application Data\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
2009-04-30 08:40 . 2009-04-30 08:40	--------	d-----w-	c:\program files\iTunes
2009-04-30 08:40 . 2009-04-30 08:40	--------	d-----w-	c:\program files\iPod
2009-04-30 08:40 . 2008-02-03 17:58	--------	d-----w-	c:\program files\Fichiers communs\Apple
2009-04-30 08:38 . 2009-04-30 08:38	--------	d-----w-	c:\program files\QuickTime
2009-04-30 08:35 . 2009-04-30 08:35	75048	----a-w-	c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 8.1.1.10\SetupAdmin.exe
2009-04-30 08:34 . 2009-04-30 08:34	--------	d-----w-	c:\program files\Bonjour
2009-04-21 22:20 . 2009-04-21 22:20	14311680	----a-w-	c:\windows\system32\xlive.dll
2009-04-21 22:20 . 2009-04-21 22:20	13642496	----a-w-	c:\windows\system32\xlivefnt.dll
2009-03-26 13:23 . 2009-04-30 08:37	1900544	----a-w-	c:\windows\system32\usbaaplrc.dll
2009-03-26 13:23 . 2008-07-16 18:31	36864	----a-w-	c:\windows\system32\drivers\usbaapl.sys
2009-03-19 14:32 . 2009-03-19 14:32	23400	----a-w-	c:\documents and settings\All Users\Application Data\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}\x86\x86\GEARAspiWDM.sys
2009-03-19 14:32 . 2008-01-29 10:01	23400	----a-w-	c:\windows\system32\drivers\GEARAspiWDM.sys
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7c5c0f58-e061-457d-9033-77307f5ed00c}]
2008-12-10 20:47	1784856	----a-w-	c:\program files\TorrentMan\tbTor0.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-02-04 68856]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-02-06 3885408]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"DAEMON Tools Lite"="d:\applications\DAEMON Tools Lite\daemon.exe" [2008-07-17 490952]
"EA Core"="c:\program files\Electronic Arts\EADM\Core.exe" [2009-04-29 3338240]
"Steam"="c:\program files\Steam\Steam.exe" [2009-05-28 1217784]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-27 136600]
"Adobe Reader Speed Launcher"="d:\applications\Reader\Reader_sl.exe" [2008-01-11 39792]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-06-05 185896]
"Six Engine"="c:\program files\ASUS\Six Engine\SixEngine.exe" [2008-05-14 5958656]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-02-18 13680640]
"Launch LCDMon"="c:\program files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" [2007-12-13 2051096]
"Launch LGDCore"="c:\program files\Logitech\GamePanel Software\G-series Software\LGDCore.exe" [2007-12-13 2095640]
"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-03-26 177472]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-02-18 86016]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-01-05 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-04-02 342312]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-06-04 209153]
"SigmatelSysTrayApp"="stsystra.exe" - c:\windows\stsystra.exe [2006-03-20 282624]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-02-18 1657376]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2008-03-26 16859136]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" - c:\windows\KHALMNPR.Exe [2008-02-29 76304]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2008-12-27 67128]
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2009-1-28 805392]
Privoxy.lnk - c:\program files\Privoxy\privoxy.exe [2008-1-20 302080]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 01:42	72208	----a-w-	c:\program files\Fichiers communs\Logitech\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\[u]0/uSBBD.exe \Device\HarddiskVolume2\WINDOWS\system32\SBFC.dat -d \Device\HarddiskVolume2\WINDOWS\system32\SBSP.dat

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"d:\BF 2142\BF2142.exe"=
"d:\Call of Juarez\CoJ.exe"=
"d:\Anno1701\Anno1701.exe"=
"d:\WorldInConflict\wic.exe"=
"d:\WorldInConflict\wic_online.exe"=
"d:\WorldInConflict\wic_ds.exe"=
"d:\Crysis\Bin32\Crysis.exe"=
"d:\Crysis\Bin32\CrysisDedicatedServer.exe"=
"c:\WINDOWS\system32\PnkBstrA.exe"=
"c:\WINDOWS\system32\PnkBstrB.exe"=
"d:\LOTRBFME\game.dat"=
"d:\LOTRO\Le Seigneur des anneaux Online\lotroclient.exe"=
"d:\lotrBMFE2\game.dat"=
"d:\LOTRBFME_ROTWK\game.dat"=
"c:\Program Files\Electronic Arts\EADM\Core.exe"=
"d:\RiseOfArgonauts\Binaries\RiseOfTheArgonauts.exe"=
"c:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe"=
"c:\Program Files\Steam\SteamApps\common\dawn of war 2\DOW2.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
"c:\Program Files\Steam\SteamApps\common\empire total war\Empire.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=

R0 mv61xx;mv61xx;c:\windows\system32\drivers\mv61xx.sys [01/01/2002 09:55 150568]
R2 AntiVirMailService;Avira AntiVir MailGuard;c:\program files\Avira\AntiVir Desktop\avmailc.exe [04/06/2009 15:30 194817]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [04/06/2009 15:30 108289]
R2 AntiVirWebService;Avira AntiVir WebGuard;c:\program files\Avira\AntiVir Desktop\avwebgrd.exe [04/06/2009 15:30 432897]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [28/03/2009 18:14 55152]
R3 L1e;Miniport Driver for Atheros AR8121/AR8113 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1e51x86.sys [01/01/2002 09:55 36864]
S3 fsssvc;Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [06/02/2009 19:08 533360]
.
Contenu du dossier 'Tâches planifiées'

2008-09-06 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{3E4ECB2B-51E1-45E8-80A0-AD3B2D5A9893} - (no file)
BHO-{a1a9fd43-3f54-4ae4-9957-2cc300c5ef99} - (no file)
HKLM-Run-CmUsbSound - cmcnfgu.cpl
Notify-AtiExtEvent - (no file)
Notify-jkkIxxVp - jkkIxxVp.dll
SafeBoot-procexp90.Sys


.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
LSP: c:\program files\Avira\AntiVir Desktop\avsda.dll
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
FF - ProfilePath - c:\documents and settings\Berger\Application Data\Mozilla\Firefox\Profiles\cquiuqgm.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.ch
FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: d:\applications\Reader\browser\nppdf32.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-04 19:38
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\8a5d64c5]
"ImagePath"="\SystemRoot\System32\drivers\8a5d64c5.sys"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1085031214-1767777339-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:b1,16,96,66,76,92,f0,e2,01,63,c6,63,0e,c3,f4,be,63,d2,02,1f,a0,10,03,
   85,ce,43,19,7e,4f,40,f1,de,ce,a6,1d,a4,52,86,c4,aa,24,3a,39,84,4d,2e,f8,e1,\
"??"=hex:3f,eb,b2,a8,d5,51,4b,c2,1b,01,ec,08,0f,18,11,95

[HKEY_USERS\S-1-5-21-1085031214-1767777339-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:2b,65,0f,3a,36,6a,09,c6,b9,5d,9c,e6,fb,17,30,6a,ca,c6,8a,ad,41,
   66,4c,ae,2d,9f,1a,8c,0d,35,41,08,61,74,1a,12,0d,4d,61,44,e1,b7,9e,36,63,0f,\
"rkeysecu"=hex:c9,33,a6,ec,2a,70,08,b3,4a,ef,31,8b,08,22,93,ad

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"C040311900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(748)
c:\program files\fichiers communs\logitech\bluetooth\LBTWlgn.dll
c:\program files\fichiers communs\logitech\bluetooth\LBTServ.dll

- - - - - - - > 'lsass.exe'(808)
c:\program files\Avira\AntiVir Desktop\avsda.dll

- - - - - - - > 'explorer.exe'(3012)
c:\program files\Logitech\SetPoint\GameHook.dll
c:\program files\Logitech\SetPoint\lgscroll.dll
c:\program files\Microsoft Office\OFFICE11\msohev.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\LightScribe\LSSrvc.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\PnkBstrA.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
c:\program files\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
c:\program files\Logitech\GamePanel Software\LCD Manager\Applets\LCDCountdown.exe
c:\program files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.exe
c:\program files\Windows Live\Contacts\wlcomm.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\system32\wbem\wmiadap.exe
c:\program files\Avira\AntiVir Desktop\guardgui.exe
.
**************************************************************************
.
Heure de fin: 2009-06-04 19:40 - La machine a redémarré
ComboFix-quarantined-files.txt  2009-06-04 17:40

Avant-CF: 35'340'087'296 octets libres
Après-CF: 35'555'045'376 octets libres

Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4
275	--- E O F ---	2009-06-04 15:53


RAPPORT.TXT :

SmitFraudFix v2.419

Rapport fait à 19:14:46.90, 04.06.2009
Executé à partir de C:\Documents and Settings\Berger\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\system32\msxml71.dll supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{6D01EBF0-D137-477E-8799-E1C79F3EC006}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{AC5A144C-6531-4803-B9C0-BB787CFD84E4}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{6D01EBF0-D137-477E-8799-E1C79F3EC006}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{AC5A144C-6531-4803-B9C0-BB787CFD84E4}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{6D01EBF0-D137-477E-8799-E1C79F3EC006}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{AC5A144C-6531-4803-B9C0-BB787CFD84E4}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{6D01EBF0-D137-477E-8799-E1C79F3EC006}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{AC5A144C-6531-4803-B9C0-BB787CFD84E4}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK.2



»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

MSNFIX.TXT:

MSNFix 1.760  
 
C:\Documents and Settings\Berger\Bureau\MSNFix 
Fix exécuté le 04.06.2009 - 19:21:36.57 By Berger 
mode sans échec           
    
************************ Recherche les fichiers présents      
    
... C:\WINDOWS\services.exe 
... C:\WINDOWS\system32\mcrh.tmp 
... C:\WINDOWS\services.exe 
... C:\WINDOWS\system32\mcrh.tmp 
... C:\WINDOWS\system32\tmp.txt 
 
************************ Recherche les dossiers présents       
 
Aucun dossier trouvé 
 
 
 
 
************************ Suppression des fichiers       
    
.. OK ... C:\WINDOWS\system32\avgvrark.exe 
.. OK ... C:\DOCUME~1\Berger\LOCALS~1\Temp\winlogon.exe 
.. OK ... C:\DOCUME~1\Berger\LOCALS~1\Temp\services.exe 
.. OK ... C:\WINDOWS\system32\cftmon.exe 
.. OK ... C:\WINDOWS\services.exe  
.. OK ... C:\WINDOWS\system32\mcrh.tmp  
.. OK ... C:\WINDOWS\services.exe  
.. OK ... C:\WINDOWS\system32\mcrh.tmp  
.. OK ... C:\WINDOWS\system32\tmp.txt  
 
 
 
************************ Nettoyage du registre 
 
 
 
************************ Hostsclean 
 
Cleanhosts v 0.1.0.7  By Laurent

-- Backup : C:\WINDOWS\system32\drivers\etc\hosts-20090604192405
-- original size 0.77 Kb / 20 lines
-- Start cleaning Hosts file .... 



-- final size 0.77 Kb / 20 lines
-- entry Found : 0  /  Entry check : 310

End .............................. 12.19 Secondes 

 
 
 
 
Les fichiers encore présents seront supprimés au prochain redémarrage 
 
 
Aucun Fichier trouvé 
 
 
 
 
 
************************ Hostsclean 
 
Cleanhosts v 0.1.0.7  By Laurent

-- Backup : C:\WINDOWS\system32\drivers\etc\hosts-20090604192711
-- original size 0.77 Kb / 20 lines
-- Start cleaning Hosts file .... 



-- final size 0.77 Kb / 20 lines
-- entry Found : 0  /  Entry check : 310

End .............................. 19.88 Secondes 

TB.txt :


   -----------\  ToolBar S&D 1.2.8   XP/Vista

   Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
   X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 CPU          6600  @ 2.40GHz )
   BIOS : BIOS Date: 05/26/08 00:30:30 Ver: 08.00.14
   USER : Berger ( Administrator )
   BOOT : Fail-safe boot
   Antivirus : AntiVir Desktop 9.0.1.26 (Not Activated)
   A:\ (USB)
   C:\ (Local Disk) - NTFS - Total:97 Go (Free:32 Go)
   D:\ (Local Disk) - NTFS - Total:368 Go (Free:199 Go)
   E:\ (CD or DVD)
   W:\ (USB)
   X:\ (USB)
   Y:\ (USB)
   Z:\ (USB)

   "C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
   Option : [2] ( 04.06.2009|19:11 )

   -----------\ SUPPRESSION

   Supprime! - C:\Program Files\BitLord\BitLord.exe
   Supprime! - C:\Program Files\BitLord\BitLord.url
   Supprime! - C:\Program Files\BitLord\BitLord.xml
   Supprime! - C:\Program Files\BitLord\Downloads
   Supprime! - C:\Program Files\BitLord\Downloads.xml
   Supprime! - C:\Program Files\BitLord\lang
   Supprime! - C:\Program Files\BitLord\License.txt
   Supprime! - C:\Program Files\BitLord\rules
   Supprime! - C:\Program Files\BitLord\Torrents
   Supprime! - C:\Program Files\BitLord\uninst.exe
   Supprime! - C:\DOCUME~1\Berger\MENUDM~1\PROGRA~1\BitLord
   Supprime! - C:\DOCUME~1\Berger\Cookies\berger@subtitles.releasecrawler[1].txt
   Supprime! - C:\DOCUME~1\Berger\Cookies\berger@contentcatalog.hotbar[1].txt
   Supprime! - C:\DOCUME~1\Berger\Cookies\berger@hotbar[2].txt
   Supprime! - C:\DOCUME~1\Berger\APPLIC~1\WeatherDPA\Weather
   Supprime! - C:\DOCUME~1\Berger\APPLIC~1\Zango\IESkins
   Supprime! - C:\DOCUME~1\Berger\APPLIC~1\Zango\v3.0
   Supprime! - C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\Zango
   Supprime! - C:\DOCUME~1\Berger\Cookies\berger@hosted.zango[1].txt
   Supprime! - C:\Program Files\BitLord
   Supprime! - C:\DOCUME~1\Berger\APPLIC~1\WeatherDPA
   Supprime! - C:\DOCUME~1\Berger\APPLIC~1\Zango
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\2ACA5CC3-0F83-453D-A079-1076FE1A8B65

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\WINDOWS\system32\blank.htm"
   "Start Page"="https://www.msn.com/fr-fr/?ocid=iehp"
   "Search Page"="https://www.bing.com/?fdr=lc&toHttps=1&redig=FA6AD360E0BE4C719380F8C470A3D3A8"
   "Search Bar"="http://www.bing.com/spresults.aspx"
   "SearchMigratedDefaultURL"="https://www.google.com/webhp?gws_rd=ssl{searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
   "Default_Search_URL"="http://www.google.com/toolbar/ie8/sidebar.html"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"
   "Search Bar"="https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchasst.htm"


   --------------------\  Recherche d'autres infections

   C:\WINDOWS\system32\KTuwHkkj.ini
   C:\WINDOWS\system32\KTuwHkkj.ini2
   [b]==> VUNDO <==/b
 



   1 - "C:\ToolBar SD\TB_1.txt" - 04.06.2009|19:13 - Option : [2]

   -----------\  Fin du rapport a 19:13:13.85

Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:43:39, on 04.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
C:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDCountdown.exe
C:\Program Files\Electronic Arts\EADM\Core.exe
C:\Program Files\Steam\Steam.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Privoxy\privoxy.exe
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: TorrentMan Toolbar - {7c5c0f58-e061-457d-9033-77307f5ed00c} - C:\Program Files\TorrentMan\tbTor0.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: TorrentMan Toolbar - {7c5c0f58-e061-457d-9033-77307f5ed00c} - C:\Program Files\TorrentMan\tbTor0.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: TorrentMan Toolbar - {7c5c0f58-e061-457d-9033-77307f5ed00c} - C:\Program Files\TorrentMan\tbTor0.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\applications\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Six Engine] "C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\applications\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
O4 - Startup: GameSpot Download Manager.lnk = D:\Jeux\GameSpot\GameSpotDownloadManager_Win32.exe
O4 - Startup: rncsys32.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Privoxy.lnk = C:\Program Files\Privoxy\privoxy.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/FacebookPhotoUploader5.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {D6E7CFB5-C074-4D1C-B647-663D1A8D96BF} (Facebook Photo Uploader 4) - http://upload.facebook.com/controls/FacebookPhotoUploader4_5.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTServ.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Mises à jour automatiques (wuauserv) - Unknown owner - C:\WINDOWS\

Narco!4 · Answer

fait usbfix quand meme

marcberger · Answer

USBfix rapport

############################## [ UsbFix V3.028 | Scan ]

# User : Berger (Administrateurs) # VADOR
# Update on 02/06/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 20:18:10 | 04/06/2009

# Intel(R) Core(TM)2 CPU          6600  @ 2.40GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 6.0.2900.5512
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.26 [ Enabled | Updated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 97,65 Go (33,13 Go free) # NTFS
# D:\ # Disque fixe local # 368,04 Go (199,21 Go free) [Données] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque amovible # 490,84 Mo (489,3 Mo free) # FAT
# W:\ # Disque amovible
# X:\ # Disque amovible
# Y:\ # Disque amovible
# Z:\ # Disque amovible

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
D:\applications\Reader\Reader_sl.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
C:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDCountdown.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDPop3.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Electronic Arts\EADM\Core.exe
C:\Program Files\Steam\Steam.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Privoxy\privoxy.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [  Registre Startup ]

HKCU_Main:   "Local Page"="C:\WINDOWS\system32\blank.htm" 
HKCU_Main:   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" 
HKCU_Main:   "Start Page"="https://www.msn.com/fr-fr/?ocid=iehp" 
HKLM_logon:  "Userinit"="C:\WINDOWS\system32\userinit.exe," 
HKLM_logon:  "DefaultUserName"="Berger" 
HKLM_logon:  "AltDefaultUserName"="Berger" 
HKLM_logon:  "LegalNoticeCaption"="" 
HKLM_logon:  "LegalNoticeText"="" 
HKLM_Run:    SigmatelSysTrayApp=stsystra.exe 
HKLM_Run:    SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe" 
HKLM_Run:    Adobe Reader Speed Launcher="D:\applications\Reader\Reader_sl.exe" 
HKLM_Run:    TkBellExe="C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot 
HKLM_Run:    Six Engine="C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r 
HKLM_Run:    NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup 
HKLM_Run:    nwiz=nwiz.exe /install 
HKLM_Run:    Launch LCDMon="C:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" 
HKLM_Run:    Launch LGDCore="C:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE 
HKLM_Run:    RTHDCPL=RTHDCPL.EXE 
HKLM_Run:    AppleSyncNotifier=C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe 
HKLM_Run:    Kernel and Hardware Abstraction Layer=KHALMNPR.EXE 
HKLM_Run:    NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit 
HKLM_Run:    QuickTime Task="C:\Program Files\QuickTime\QTTask.exe" -atboottime 
HKLM_Run:    iTunesHelper="C:\Program Files\iTunes\iTunesHelper.exe" 
HKLM_Run:    avgnt="C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min 
HKLM_Run:    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents= 
HKCU_Run:    swg=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe  
HKCU_Run:    MsnMsgr="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background  
HKCU_Run:    ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe  
HKCU_Run:    DAEMON Tools Lite="D:\applications\DAEMON Tools Lite\daemon.exe" -autorun  
HKCU_Run:    EA Core="C:\Program Files\Electronic Arts\EADM\Core.exe" -silent  
HKCU_Run:    Steam="C:\Program Files\Steam\Steam.exe" -silent  

################## [ Fichiers # Dossiers infectieux ]

F:\autorun.inf # -> fichier appelé : "F:\yhh.bat" ( présent ! )  
Found ! F:\yhh.bat  
Found ! F:\autorun.inf  

################## [ Registre # Clés Run infectieuses ]


################## [ Registre # Mountpoints2 ]

HKCU\...\Explorer\MountPoints2\{870b3d18-1e56-11de-9829-00221506175d}\Shell\AutoRun\Command  
HKCU\...\Explorer\MountPoints2\{870b3d18-1e56-11de-9829-00221506175d}\Shell\open\Command  

################## [ ! Fin du rapport # UsbFix V3.028 ! ]

Narco!4 · Answer

option 2

marcberger · Answer

voilà le rapport de l'option 2 d'usbfix

############################## [ UsbFix V3.028 | Cleaning ]

# User : Berger (Administrateurs) # VADOR
# Update on 02/06/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 20:25:00 | 04/06/2009

# Intel(R) Core(TM)2 CPU          6600  @ 2.40GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 6.0.2900.5512
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.26 [ Enabled | Updated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 97,65 Go (33,13 Go free) # NTFS
# D:\ # Disque fixe local # 368,04 Go (199,21 Go free) [Données] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque amovible # 490,84 Mo (489,3 Mo free) # FAT
# W:\ # Disque amovible
# X:\ # Disque amovible
# Y:\ # Disque amovible
# Z:\ # Disque amovible

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Avira\AntiVir Desktop\avwsc.exe

################## [ Fichiers # Dossiers infectieux ]

F:\autorun.inf # -> fichier appelé : "F:\yhh.bat" ( présent ! )  
Deleted ! -> F:\yhh.bat 
Deleted ! F:\autorun.inf    

################## [ Registre # Clés Run infectieuses ]


################## [ Registre # Mountpoints2 ]


################## [ Listing des fichiers présent ]

[03.02.2008 16:02|--a------|0] - C:\AUTOEXEC.BAT
[15.08.2008 22:43|---hs----|212] - C:\boot.ini
[02.03.2006 14:00|-rahs----|4952] - C:\Bootfont.bin
[04.06.2009 19:40|--a------|17603] - C:\ComboFix.txt
[03.02.2008 16:02|--a------|0] - C:\CONFIG.SYS
[03.02.2008 16:02|-rahs----|0] - C:\IO.SYS
[20.03.2009 02:47|--a------|30017] - C:\MP4debug.log
[03.02.2008 16:02|-rahs----|0] - C:\MSDOS.SYS
[02.03.2006 14:00|-rahs----|47564] - C:\NTDETECT.COM
[04.06.2009 15:44|-rahs----|252240] - C:
tldr
[?|?|?] - C:\pagefile.sys
[04.06.2009 19:20|--a------|2955] - C:apport.txt
[01.01.2002 09:52|--a------|581] - C:\RHDSetup.log
[04.06.2009 19:13|--a------|3343] - C:\TB.txt
[04.06.2009 20:25|--a------|3251] - C:\UsbFix.txt
[05.01.2002 03:40|--a------|487424] - D:\msvcp70.dll
[05.01.2002 03:37|--a------|344064] - D:\msvcr70.dll
[07.05.2009 22:41|--a------|60928] - F:\NINA-TREPLEV, acte IIII.doc
[28.05.2009 15:00|--a------|721500] - F:\affiche concert bret.pdf
[18.10.2007 17:25|--ah-----|368] - F:\._m‚moire marc 1.doc
[16.10.2007 12:30|--ah-----|4096] - F:\._.Trashes
[07.05.2009 22:49|--ah-----|6148] - F:\.DS_Store
[16.10.2007 14:06|--ah-----|82] - F:\._.TemporaryItems
[18.10.2007 17:19|--ah-----|408] - F:\._titre.doc
[29.05.2009 11:42|--a------|346828] - F:\JeromeRicher_Ecorces[14][3].pdf

################## [ Vaccination ]

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# D:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# F:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  

################## [ ! Fin du rapport # UsbFix V3.028 ! ]

Narco!4 · Answer

double clique sur le raccourci GenProc sur ton bureau, patiente le temps du scan, poste le rapport.

marcberger · Answer

j'ai refait un rapport Gen proc aussi, je crois qu'il y a tout. Je comprends pas trop ce que je fait mais j'espere que vous oui. tenez moi au courant et merci pour le coup de pouce. mon antivirus c'est relancé ça m'a l'air bon signe.
j'ai déjà mis 4 ou 5 fichiers en quarantaine.

Genproc :

Rapport GenProc 2.572 [3]
@ 04.06.2009 à 20:32:59
@ Windows XP Service Pack 3

GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante : 


Poste un rapport Nod32 https://www.eset.com/ (il faut utiliser Internet Explorer)
- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :  
- C:\Program Files\EsetOnlineScanner\log.txt

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

Bidoubidou · Answer

Bonsoir, 
Je ne sais pas si ça pourra être utile mais j'ai eu un problème qui concernait entre autre ce fichier.
Chez moi il était dans C:\Users\*****\AppData\Local\Temp\   (en remplaçant les *** par ton nom)
Accompagné d'un a.exe et d'un c.exe
IL faut terminer le processus dans le gestionnaire des taches (ctrl+alt+suppr) pour pouvoir supprimer b.exe.
Je ne sais pas si ça suffit à régler le problème, ça ne l'a pas régler chez moi en tout cas, mais peut-être que plusieurs problèmes se superposaient, en tout cas je n'ai plus entendu parlé de b.exe depuis.
Attend peut-être la confirmation des pros du forum avant de tout supprimer ;)

(cf le post de mon problème : http://www.commentcamarche.net/forum/affich 12726820 bsod vista virus )

Narco!4 · Answer

Poste un rapport Nod32 https://www.eset.com/ (il faut utiliser Internet Explorer) 
- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport : 
- C:\Program Files\EsetOnlineScanner\log.txt

marcberger · Answer

je suis obligé d'utiliser cet antivirus?
Je suis en train de scanner mon disque avec le mien, j'attends la fin du scan

Narco!4 · Answer

oui!

marcberger · Answer

C:\Documents and Settings\Berger\Bureau\MSNFix\backup\services.exe	une variante de Win32/Kryptik.RJ cheval de troie	nettoyé par suppression - mis en quarantaine
C:\Documents and Settings\Berger\Bureau\MSNFix\incl\Hostsclean.exe	Win32/Packed.Autoit.Gen application	supprimé - mis en quarantaine
C:\Qoobox\Quarantine\C\WINDOWS\system32\bdhspsmq.ini.vir	Win32/Adware.Virtumonde.NEO application	nettoyé par suppression - mis en quarantaine
C:\Qoobox\Quarantine\C\WINDOWS\system32\celoykkm.ini.vir	Win32/Adware.Virtumonde.NEO application	nettoyé par suppression - mis en quarantaine
rapport de Eset antivirus

C:\Qoobox\Quarantine\C\WINDOWS\system32\dlsosuci.ini.vir	Win32/Adware.Virtumonde.NEO application	nettoyé par suppression - mis en quarantaine
C:\Qoobox\Quarantine\C\WINDOWS\system32\hjynskbo.ini.vir	Win32/Adware.Virtumonde.NEO application	nettoyé par suppression - mis en quarantaine
C:\Qoobox\Quarantine\C\WINDOWS\system32\iygsgobj.ini.vir	Win32/Adware.Virtumonde.NEO application	nettoyé par suppression - mis en quarantaine
C:\Qoobox\Quarantine\C\WINDOWS\system32\KTuwHkkj.ini.vir	Win32/Adware.Virtumonde.NEO application	nettoyé par suppression - mis en quarantaine
C:\Qoobox\Quarantine\C\WINDOWS\system32\KTuwHkkj.ini2.vir	Win32/Adware.Virtumonde.NEO application	nettoyé par suppression - mis en quarantaine
C:\Qoobox\Quarantine\C\WINDOWS\system32\qixttaog.ini.vir	Win32/Adware.Virtumonde.NEO application	nettoyé par suppression - mis en quarantaine
C:\Qoobox\Quarantine\C\WINDOWS\system32\srojxgyr.ini.vir	Win32/Adware.Virtumonde.NEO application	nettoyé par suppression - mis en quarantaine
C:\WINDOWS\services.MSNFix	une variante de Win32/Kryptik.RJ cheval de troie	nettoyé par suppression - mis en quarantaine
C:\WINDOWS\system32\drivers\8466975a.sys	une variante de Win32/Rustock.NIH cheval de troie	nettoyé par suppression - mis en quarantaine

Narco!4 · Answer

Des soucies encore ?

marcberger · Answer

ça a l'air d'aller mieux. Mon antivirus remarche, j'ai scanné 2 x mon disque dure, ça a l'air bien propre.
juste une question par rapport a mon antivirus...Quand il detecte un trojan ou nimporte quelle saloperie, quel est la meilleurs strategie a adopter? la quarantaine? la suppression? ou simplement bloquer l'acces?

Narco!4 · Answer

ça depend

* Pour terminer, utilise ToolsCleaner! (de A.Rothstein et Dj Quiou) http://pc-system.fr/ pour nettoyer les utilitaires téléchargés,
* Désactive la restauration système, redémarre l'ordinateur, puis réactive-la, en procédant comme indiqué ici  http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

* Lance le nettoyage avec CCleaner et fais ce scan en ligne : https://forum.pcastuces.com/sujet.asp?f=25&s=31584&page=1

* Visite régulièrement le site http://www.update.microsoft.com/windowsupdate/v6/default.aspx afin d'avoir un système toujours actualisé.
* Utilise hebdomadairement ce petit programme http://alt-shift-return.org/Info/Update_Checker.html pour effectuer tes mises à jour logicielles.
* N'installe jamais un programme sans avoir entièrement lu et compris les termes de son contrat d'utilisation, ou sans être définitivement certain qu'il n'installe pas discrètement un logiciel publicitaire (renseigne-toi sur Google ou sur les forums)
* Préfère l'utilisation de logiciels libres https://fr.wikipedia.org/wiki/Logiciel_libre : ils sont transparents et plus sécurisés, à l'inverse des logiciels propriétaires https://fr.wikipedia.org/wiki/Logiciel_propri%C3%A9taire ; Firefox, Thunderbird, OpenOffice, VLC... en font partie.

* A ce moment là, tu pourras marquer ton sujet "résolu" si tu estimes que c'est le cas 
* Note importante : il est fortement conseillé d'utiliser un compte limité pour une utilisation classique d'un ordinateur afin de minimiser très siginificativement les risques d'infection.
Mode d'emploi : https://www.microsoft.com/de-ch

à+

Problème b.exe

20 réponses