Bonjour, j'ai le même problème [que certain] sur l'ordinateur d'un ami: ld8.exe. Je ne sais pas comment il a chopé cela; je n'arrive pas à le supprimer en "mode sans échec", ni avec SmitFraudFix ni avec MalwareByte Antimalware. Impossible de démarrer l'ordinateur normalement, il reboote tout seul au bout de 15 sec. Pas de fichier systems32 atteint. pas non plus dans les fichiers processus en cours. Après chaque nettoyage, lorsque je reboote manuellement et toujours en mode sans échec (seul mode où il ne reboote pas tout seul), le fichier réapparait automatiquement. Cela fait 1h30 que je suis dessus, je commence sérieusement à m'énerver. Qui peut m'aider svp. merci

Salut, Redémarre en mode sans échec avec prise en charge réseau. Ensuite: Télécharge Random's System Information Tool (RSIT) par random/random et sauvegarde-le sur ton Bureau. * Double-clique sur RSIT.exe afin de lancer RSIT. * Clique sur Continue à l'écran Disclaimer. * Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence. * Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). Note : Les deux rapports sont également sauvegardés %SystemDrive%\rsit ou C:\Rsit ++

Bonjour. Merci pour cette réponse si rapide. Je n'ai pas encore eu le temps de me repencher sur mon ordinateur perso. Je vais donc voir cela ce week end et vous tiendrai au courant. merci encore.

Yop. Voici comme tu me l'as demandé le contenu log : Logfile of random's system information tool 1.06 (written by random/random) Run by Remy at 2009-06-13 08:46:18 Microsoft Windows XP Édition familiale Service Pack 3 System drive C: has 207 GB (87%) free of 238 GB Total RAM: 1983 MB (88% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 08:46:24, on 13/06/2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16827) Boot mode: Safe mode Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\savedump.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Documents and Settings\Remy\Bureau\RSIT.exe C:\Documents and Settings\Remy\Bureau\Remy.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start O4 - HKLM\..\Run: [ACU] "C:\Program Files\Atheros\ACU.exe" -nogui O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [WASService] C:\WINDOWS\system32\wassrv.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe -hidden O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: dlbcserv.lnk = C:\Program Files\Dell Photo Printer 720\dlbcserv.exe O4 - Global Startup: NETGEAR WG111v3 Smart Wizard.lnk = C:\Program Files\NETGEAR\WG111v3\WG111v3.exe O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ? O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} (GMNRev Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab O16 - DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} (DLoader Class) - http://dl.uc.sina.com/cab/downloader.cab O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-03.sun.com/s/ESD5/JSCDL/jre/6u10-b92-b/jinstall-6u10-windows-i586-jc.cab?e=1226684660760&h=dea036c1ded15a60afe7018d91ebf40f/&filename=jinstall-6u10-windows-i586-jc.cab O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll O23 - Service: Service de configuration Atheros (ACS) - Atheros - C:\WINDOWS\system32\acs.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

ainsi que le contenu info: info.txt logfile of random's system information tool 1.06 2009-06-13 08:46:26 ======Uninstall list====== -->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2E47302B-8081-46D3-9FEA-BEB2E5F5C3EC}\setup.exe" -l0x40c anything -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe Adobe Flash Player Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe Adobe Reader 9 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A90000000001} Alawar Game Box-->C:\Program Files\Alawar\AlawarGameBox\Uninstall.exe Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe Atheros Client Installation Program-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{28006915-2739-4EBE-B5E8-49B25D32EB33}\setup.exe" -l0x40c -removeonly avast! Antivirus-->C:\Program Files\Alwil Software\Avast4\aswRunDll.exe "C:\Program Files\Alwil Software\Avast4\Setup\setiface.dll",RunSetup Broadcom Wireless LAN Driver 4.100.15.7_Negative_Foxconn-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{7CB9546E-BF2C-47DE-9DB4-C4364FBE57EC}\Setup.exe" -l0x9 UNINSTALL Call of Duty(R) 4 - Modern Warfare(TM)-->C:\Program Files\InstallShield Installation Information\{E48469CC-635E-4FD5-A122-1497C286D217}\setup.exe -runfromtemp -l0x040c Carte réseau local sans fil 802.11 Broadcom-->"C:\Program Files\Broadcom\Broadcom 802.11\Driver\bcmwlu00.exe" verbose /rootkey="Software\Broadcom\802.11\UninstallInfo" /rootdir="C:\Program Files\Broadcom\Broadcom 802.11\Driver" CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe" Conexant HD Audio-->C:\Program Files\CONEXANT\CNXT_HDAUDIO\HXFSETUP.EXE -U -IAt8VEN5a.inf ControlMK 0.232-->C:\Program Files\ControlMK\uninst.exe Correctif pour Lecteur Windows Media 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe" Dell Photo Printer 720 Logger-->C:\Program Files\Dell Photo Printer 720\dlbcunst.exe Dell Photo Printer 720-->C:\WINDOWS\system32\spool\drivers\w32x86\3\DLBCUN5C.EXE -dDell Photo Printer 720 Drug Lord 2-->C:\Program Files\Drug Lord 2\druglord2.exe remove eMule-->"C:\Program Files\eMule\Uninstall.exe" EVEREST Ultimate Edition v4.60-->"C:\Program Files\Lavalys\EVEREST Ultimate Edition\unins000.exe" Farm Frenzy 2 v1.1-->"C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Jeux\FarmFrenzy2\unins000.exe" Farm Frenzy-->C:\Program Files\Alawar\FarmFrenzy\Uninstall.exe Favorit-->"c:\documents and settings\remy\local settings\application data\gkoyokw.exe" -uninstall Google Toolbar for Internet Explorer-->"C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarManager_BDA1448D3D255554.exe" /uninstall Google Toolbar for Internet Explorer-->MsiExec.exe /I{18455581-E099-4BA8-BC6B-F34B2F06600C} HDAUDIO Soft Data Fax Modem with SmartCP-->C:\Program Files\CONEXANT\CNXT_MODEM_HDAUDIO_VENICE_HSF\UIU32m.exe -U -IwqcVen5m.inf HijackThis 2.0.2-->"C:\Documents and Settings\Remy\Bureau\HijackThis.exe" /uninstall Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe" HP Product Detection-->MsiExec.exe /X{CAE7D1D9-3794-4169-B4DD-964ADBC534EE} HP Quick Launch Buttons 6.40 F1-->C:\Program Files\InstallShield Installation Information\{34D2AB40-150D-475D-AE32-BD23FB5EE355}\Setup.exe -runfromtemp -l0x040c -removeonly uninst HP Update-->MsiExec.exe /X{C8FD5BC1-92EF-4C15-92A9-F9AC7F61985F} HP Wireless Assistant-->MsiExec.exe /I{CBAE4F50-9FC9-4557-AB36-9826DF3C103C} Jasc Paint Shop Photo Album-->MsiExec.exe /I{CC000127-5E5D-4A1C-90CB-EEAAAC1E3AC0} Jasc Paint Shop Pro 8-->MsiExec.exe /I{81A34902-9D0B-4920-A25C-4CDC5D14B328} Java(TM) 6 Update 10-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216010FF} Lecteur Windows Media 11-->"C:\Program Files\Windows Media Player\Setup_wm.exe" /Uninstall LightScribe System Software 1.14.25.1-->MsiExec.exe /X{DA9DAC64-C947-47BA-B411-8A1959B177CF} Livebox-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{FC7DDAAE-7F2B-4270-9BFD-5A130B667E9E}\Setup.exe" -l0x40c Ma-Config.com-->MsiExec.exe /X{1C02A760-1682-49AE-BB54-FA7D63BD3504} Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe" Microsoft .NET Framework 1.1 French Language Pack-->MsiExec.exe /X{9A394342-4A68-4EBA-85A6-55B559F4E700} Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp" Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe" Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe" Microsoft Kernel-Mode Driver Framework Feature Pack 1.5-->"C:\WINDOWS\$NtUninstallWdf01005$\spuninst\spuninst.exe" Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe" Microsoft Office Professional Edition 2003-->MsiExec.exe /I{9011040C-6000-11D3-8CFE-0150048383C9} Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe" Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d} Mise à jour critique pour Lecteur Windows Media 11 (KB959772)-->"C:\WINDOWS\$NtUninstallKB959772_WM11$\spuninst\spuninst.exe" Mise à jour de sécurité pour Lecteur Windows Media (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe" Mise à jour de sécurité pour Lecteur Windows Media 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe" Mise à jour de sécurité pour Lecteur Windows Media 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127-v2)-->"C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows Internet Explorer 7 (KB963027)-->"C:\WINDOWS\ie7updates\KB963027-IE7\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf Mise à jour de sécurité pour Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe" Mise à jour pour Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe" Mise à jour pour Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe" Module de prise en charge linguistique de Microsoft .NET Framework 2.0 - FRA-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0 Language Pack - FRA\install.exe Mozilla Firefox (3.0.10)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe NETGEAR WG111v3 wireless USB 2.0 adapter-->C:\Program Files\InstallShield Installation Information\{5396FBD8-8BD7-47F9-92AE-F62F13D5A11D}\setup.exe -runfromtemp -l0x0409 NVIDIA Drivers-->C:\WINDOWS\system32\nvudisp.exe UninstallGUI Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{0E691604-B328-4B4A-8F17-C9D6395075C5}\Setup.exe" -l0x40c SFR - Kit de connexion-->C:\Program Files\SFR\Kit\uninstall.exe SuperCopier2-->"C:\Program Files\SuperCopier2\SC2Uninst.exe" Synaptics Pointing Device Driver-->rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall VLC media player 0.9.6-->C:\Program Files\VideoLAN\VLC\uninstall.exe Windows Internet Explorer 7-->"C:\WINDOWS\ie7\spuninst\spuninst.exe" Windows Media Format 11 runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe" Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe" Windows Search 4.0-->"C:\WINDOWS\$NtUninstallKB940157$\spuninst\spuninst.exe" Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe" XBCD 360 0.2.5-->C:\Program Files\XBCD 360\uninst.exe Zuma Deluxe RA-->C:\PROGRA~1\ZUMADE~1\UNWISE.EXE C:\PROGRA~1\ZUMADE~1\INSTALL.LOG Zuma Deluxe-->"C:\Program Files\Zuma Deluxe\Uninstall.exe" ======Security center information====== AV: avast! antivirus 4.8.1335 [VPS 090607-0] ======System event log====== Computer Name: YOANN Event Code: 1003 Message: Votre ordinateur n'a pas pu renouveler son adresse à partir du réseau (à partir du serveur DHCP) pour la carte réseau dont l'adresse réseau est 001A73A84058. Il s'est produit l'erreur suivante : L'opération a été annulée par l'utilisateur. . Votre ordinateur va continuer à essayer d'obtenir sa propre adresse auprès du serveur d'adresse réseau (DHCP). Record Number: 19760 Source Name: Dhcp Time Written: 20090516131948.000000+120 Event Type: Avertissement User: Computer Name: YOANN Event Code: 4201 Message: Le système a détecté que la carte réseau \DEVICE\TCPIP_{2EF13620-E400-4A00-898D-DF5D65EBA650} était connectée au réseau, et a lancé une opération normale sur la carte réseau. Record Number: 19759 Source Name: Tcpip Time Written: 20090516131948.000000+120 Event Type: Informations User: Computer Name: YOANN Event Code: 1003 Message: Votre ordinateur n'a pas pu renouveler son adresse à partir du réseau (à partir du serveur DHCP) pour la carte réseau dont l'adresse réseau est 001A73A84058. Il s'est produit l'erreur suivante : L'opération a été annulée par l'utilisateur. . Votre ordinateur va continuer à essayer d'obtenir sa propre adresse auprès du serveur d'adresse réseau (DHCP). Record Number: 19758 Source Name: Dhcp Time Written: 20090516131938.000000+120 Event Type: Avertissement User: Computer Name: YOANN Event Code: 4201 Message: Le système a détecté que la carte réseau \DEVICE\TCPIP_{2EF13620-E400-4A00-898D-DF5D65EBA650} était connectée au réseau, et a lancé une opération normale sur la carte réseau. Record Number: 19757 Source Name: Tcpip Time Written: 20090516131938.000000+120 Event Type: Informations User: Computer Name: YOANN Event Code: 1003 Message: Votre ordinateur n'a pas pu renouveler son adresse à partir du réseau (à partir du serveur DHCP) pour la carte réseau dont l'adresse réseau est 001A73A84058. Il s'est produit l'erreur suivante : L'opération a été annulée par l'utilisateur. . Votre ordinateur va continuer à essayer d'obtenir sa propre adresse auprès du serveur d'adresse réseau (DHCP). Record Number: 19756 Source Name: Dhcp Time Written: 20090516131928.000000+120 Event Type: Avertissement User: =====Application event log===== Computer Name: YOANN Event Code: 0 Message: Record Number: 991 Source Name: hpqwmiex Time Written: 20081125183945.000000+060 Event Type: Informations User: Computer Name: YOANN Event Code: 1003 Message: Le service Windows Search a été démarré. Record Number: 990 Source Name: Windows Search Service Time Written: 20081125183943.000000+060 Event Type: Informations User: Computer Name: YOANN Event Code: 102 Message: Windows (660) Windows: Le moteur de base de données a démarré une nouvelle instance (0). Record Number: 989 Source Name: ESENT Time Written: 20081125183938.000000+060 Event Type: Informations User: Computer Name: YOANN Event Code: 100 Message: SearchIndexer (660) Le moteur de base de données 5.01.2600.5512 est démarré. Record Number: 988 Source Name: ESENT Time Written: 20081125183938.000000+060 Event Type: Informations User: Computer Name: YOANN Event Code: 1800 Message: Le service Centre de sécurité Windows a démarré. Record Number: 987 Source Name: SecurityCenter Time Written: 20081125183938.000000+060 Event Type: Informations User: ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem "windir"=%SystemRoot% "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=15 "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 104 Stepping 1, AuthenticAMD "PROCESSOR_REVISION"=6801 "NUMBER_OF_PROCESSORS"=2 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP "FP_NO_HOST_CHECK"=NO "SAFEBOOT_OPTION"=MINIMAL -----------------EOF----------------- Comment vas-t-il, docteur?

Aouchhhhhhhh !!! ********************************************************** ********************* Option 1 (Recherche) ********************* ********************************************************** ▶ Télécharge UsbFix de C_XX & Chiquitine29 ▶ Tutoriel d'installation ▶ Tutoriel recherche ▶ Lance l'installation avec les paramètres par défaut ▶ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés (!) sans les ouvrir (!) ▶ Double clique sur le raccourci UsbFix sur ton bureau ▶ Choisis l'option 1 (recherche) ▶ Laisse travailler l'outil ▶ Ensuite poste le rapport UsbFix.txt qui apparaîtra Notes : 1- le rapport UsbFix.txt est sauvegardé a la racine du disque 2- Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides 3- "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. ********************************************************** ********************* Option 2 (Nettoyage) ********************* ********************************************************** ▶ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés (!) sans les ouvrir (!) ▶ Fais un double-clic sur le raccourci UsbFix présent sur ton bureau ▶ choisis l'option 2 ( Suppression ) ▶ Ton bureau disparaîtra et le PC redémarrera . ▶ Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil. ▶ Ensuite poste le rapport UsbFix.txt qui apparaîtra avec le bureau . ▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt ) Tutoriel nettoyage ====================================================== Ensuite:: Si vous etes sous Vista Désactivez l'UAC Télécharge OTM (Old Timer) sur ton bureau: ---> Sous XP: Double-clique sur OTM.exe afin de le lancer. Sous Vista: fais un clic droit sur OTM et choisis "exécuter en tant qu'administrateur" ---> Copie (Ctrl+C) le texte suivant ci-dessous : :Processes explorer.exe :Reg :Files C:\WINDOWS\ld08.exe C:\WINDOWS\system32\gsf83iujid.dll C:\ihnuetdm.exe C:\WINDOWS\system32\tmp3sv82.bat C:\WINDOWS\system32\svcchk.exe C:\WINDOWS\system32\wassrv.exe :Commands [start explorer] [emptytemp] [purity] [reboot] ---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved. ---> Clique maintenant sur le bouton MoveIt! puis ferme OTM. Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES. ---> Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\ Le nom du rapport correspond au moment de sa création : date_heure.log puis poste un nouveau log RSIT pour le contrôle. ++

Re. Je t'envoie donc le résultat après l'action 2 (de suppression). N.B.: bien que je ne sois pas encore allé jusqu'au bout de ta procédure (il me reste OTM), l'ordi ne reboote plus tout seul. D'ailleurs, à quoi servent les lignes que je dois rentrer dans OTM? ############################## [ UsbFix V3.031 ] # User : Remy (Administrateurs) # YOANN # Update on 13/06/09 by Chiquitine29 # Start at: 15:52:21 | 13/06/2009 # Website : http://pagesperso-orange.fr/NosTools/usbfix.html # AMD Athlon(tm) 64 X2 Dual-Core Processor TK-55 # Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3 # Internet Explorer 7.0.5730.13 # Windows Firewall Status : Enabled # AV : avast! antivirus 4.8.1335 [VPS 090607-0] 4.8.1335 [ Enabled | Updated ] # C:\ # Disque fixe local # 232,88 Go (213,77 Go free) # NTFS # D:\ # Disque CD-ROM ############################## [ Processus actifs ] C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\acs.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\SearchIndexer.exe C:\WINDOWS\system32\userinit.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wbem\wmiprvse.exe ################## [ Fichiers # Dossiers infectieux ] Supprimé ! C:\WINDOWS\ld08.exe ################## [ Registre # Clés Run infectieuses ] ################## [ Registre # Mountpoints2 ] Deleted ! HKCU\...\Explorer\MountPoints2\{08a7f34d-8235-11dd-8eaa-c17f112c009f}\Shell\AutoRun\Command Deleted ! HKCU\...\Explorer\MountPoints2\{a7b79b02-1333-11de-8fa6-001b24bdb65a}\Shell\AutoRun\Command ################## [ Listing des fichiers présent ] [14/09/2008 10:09|--a------|0] - C:\AUTOEXEC.BAT [23/09/2008 18:16|--a------|86] - C:\bcmwl5.log [23/09/2008 18:16|--a------|90] - C:\bcmwl6.log [14/09/2008 11:44|--ahs----|216] - C:\boot.ini [28/08/2001 14:00|-rahs----|4952] - C:\Bootfont.bin [14/09/2008 10:09|--a------|0] - C:\CONFIG.SYS [08/06/2009 23:52|--a------|24576] - C:\ihnuetdm.exe [14/09/2008 10:09|-rahs----|0] - C:\IO.SYS [14/09/2008 10:09|-rahs----|0] - C:\MSDOS.SYS [14/09/2008 11:41|-rahs----|47564] - C:\NTDETECT.COM [23/09/2008 18:37|-rahs----|252240] - C:\ntldr [?|?|?] - C:\pagefile.sys [13/06/2009 10:53|--a------|2396] - C:\rapport.txt [23/04/2009 15:44|--a------|90] - C:\Setup.log [13/06/2009 15:53|--a------|2789] - C:\UsbFix.txt ################## [ Vaccination ] # C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix. ################## [ ! Fin du rapport # UsbFix V3.031 ! ]

Stp soit patient, merci !!!!!!!!!! On a pas encore términé, attend! Fais OTM, il ya pas que Ld08 , il reste des infections. Merci, et A+

Re, Tu me reposte le même rapport RSIT que le poste 8 : --> Run by Remy at 2009-06-13 16:06:47 Refais RSIT stp, et poste un nouveau log. ++

Ld08.exe

Réponse 21 / 33

fix200 Messages postés 3365 Statut Contributeur sécurité 158

Salut,$
On a pas encore termines,

Je peux essayer de le récupérer pour ce week end et refaire une analyse complète dessus pour te poster le résultat?

Oui Stp, car il reste des rootkits que normalement antivir peux détecter, et on passeras un autre tool pour vérifier l'absence des rootkit.
Et , on vas faire un petit nettoyage pour optimiser, puis des conseils pour sécuriser.

Je t'attends le temps que tu viens.

++

fabienjah

Hello.
Je viens de lui envoyer un email et un texto afin que, s'il le peut, il me le ramène avant ce week end.
Je te tiens au courant dès que j'ai sa machine dans les mains et que j'ai refais une analyse complète avec Antivir.

Bonne journée à toi.

++

fix200 Messages postés 3365 Statut Contributeur sécurité 158 > fabienjah

OK,

A+

fabienjah > fix200 Messages postés 3365 Statut Contributeur sécurité

Hello Fix.
Tu vas bien?
Enfin récupéré le portable de mon ami.
Après mise à jour d'Antivir et analyse complète, voici le résultat :
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Avira AntiVir Personal
Date de création du fichier de rapport : samedi 20 juin 2009 17:42

La recherche porte sur 1478190 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : YOANN

Informations de version :
BUILD.DAT : 9.0.0.65 17959 Bytes 22/04/2009 12:06:00
AVSCAN.EXE : 9.0.3.6 466689 Bytes 21/04/2009 12:20:54
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11/02/2009 19:33:26
ANTIVIR2.VDF : 7.1.4.87 2982912 Bytes 12/06/2009 11:45:51
ANTIVIR3.VDF : 7.1.4.117 212480 Bytes 19/06/2009 15:37:36
Version du moteur : 8.2.0.193
AEVDF.DLL : 8.1.1.1 106868 Bytes 14/06/2009 11:46:16
AESCRIPT.DLL : 8.1.2.9 409978 Bytes 20/06/2009 15:37:39
AESCN.DLL : 8.1.2.3 127347 Bytes 14/06/2009 11:46:14
AERDL.DLL : 8.1.1.3 438645 Bytes 29/10/2008 17:24:41
AEPACK.DLL : 8.1.3.18 401783 Bytes 14/06/2009 11:46:12
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 20/06/2009 15:37:38
AEHEUR.DLL : 8.1.0.133 1798520 Bytes 20/06/2009 15:37:38
AEHELP.DLL : 8.1.3.6 205174 Bytes 14/06/2009 11:45:57
AEGEN.DLL : 8.1.1.46 348533 Bytes 20/06/2009 15:37:37
AEEMU.DLL : 8.1.0.9 393588 Bytes 09/10/2008 13:32:40
AECORE.DLL : 8.1.6.12 180599 Bytes 14/06/2009 11:45:53
AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.0.1 43777 Bytes 03/12/2008 10:39:26
AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 17/02/2009 12:49:32
RCTEXT.DLL : 9.0.37.0 88321 Bytes 15/04/2009 09:07:05

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+SPR,

Début de la recherche : samedi 20 juin 2009 17:42

La recherche d'objets cachés commence.
'30589' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HpqToaster.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Com4QLBEx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WindowsSearch.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WLANUTL.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WG111v3.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SuperCopier2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LightScribeControlPanel.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ACU.exe' - '1' module(s) sont contrôlés
Processus de recherche 'QLBCTRL.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpwuSchd2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqwmiex.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HPWAMain.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'searchindexer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PnkBstrA.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MDM.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'acs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LEXPPS.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LEXBCES.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'48' processus ont été contrôlés avec '48' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '66' fichiers).

La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\WINDOWS\system32\ntwassvc.tlb
[RESULTAT] Contient le modèle de détection du dropper DR/Autoit.YJ
C:\_OTM\MovedFiles\06132009_160406\WINDOWS\system32\gsf83iujid.dll
[RESULTAT] Contient le cheval de Troie TR/BHO.Agent.15000

Début de la désinfection :
C:\WINDOWS\system32\ntwassvc.tlb
[RESULTAT] Contient le modèle de détection du dropper DR/Autoit.YJ
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ab40ace.qua' !
C:\_OTM\MovedFiles\06132009_160406\WINDOWS\system32\gsf83iujid.dll
[RESULTAT] Contient le cheval de Troie TR/BHO.Agent.15000
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4aa30acd.qua' !

Fin de la recherche : samedi 20 juin 2009 18:12
Temps nécessaire: 28:04 Minute(s)

La recherche a été effectuée intégralement

3255 Les répertoires ont été contrôlés
220587 Des fichiers ont été contrôlés
2 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
2 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
1 Impossible de contrôler des fichiers
220584 Fichiers non infectés
1250 Les archives ont été contrôlées
1 Avertissements
3 Consignes
30589 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Il y a 2 fichiers infectés que j'ai placé en quarantaine. Je ne sais pas si je peux les supprimer. J'attends ton feux verts.

++

Réponse 22 / 33

fix200 Messages postés 3365 Statut Contributeur sécurité 158

Hello,
-> Tu peux les supprimer,

Tu reposte un nouveau log RSIT stp ....

fabienjah

Yop.
j'ai supprimer tout ce qu'il y avait dans la base de quarantaine d'antivir.
Voici le log de RSIT
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Logfile of random's system information tool 1.06 (written by random/random)
Run by Remy at 2009-06-20 21:55:28
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 217 GB (91%) free of 238 GB
Total RAM: 1983 MB (76% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:55:38, on 20/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Program Files\Atheros\ACU.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\NETGEAR\WG111v3\WG111v3.exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Documents and Settings\Remy\Mes documents\Logiciels\RSIT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\trend micro\Remy.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [ACU] "C:\Program Files\Atheros\ACU.exe" -nogui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: dlbcserv.lnk = C:\Program Files\Dell Photo Printer 720\dlbcserv.exe
O4 - Global Startup: NETGEAR WG111v3 Smart Wizard.lnk = C:\Program Files\NETGEAR\WG111v3\WG111v3.exe
O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?
O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} (GMNRev Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab
O16 - DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} (DLoader Class) - http://dl.uc.sina.com/cab/downloader.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-03.sun.com/s/ESD5/JSCDL/jre/6u10-b92-b/jinstall-6u10-windows-i586-jc.cab?e=1226684660760&h=dea036c1ded15a60afe7018d91ebf40f/&filename=jinstall-6u10-windows-i586-jc.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: Service de configuration Atheros (ACS) - Atheros - C:\WINDOWS\system32\acs.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

Réponse 23 / 33

fix200 Messages postés 3365 Statut Contributeur sécurité 158

Salut,

Maintenant, j'ai pas le temps,

Je reviens demain matin, et je te prépare des étapes

Bonne soirée, et A+

Réponse 24 / 33

fix200 Messages postés 3365 Statut Contributeur sécurité 158

Si vous etes sous Vista Désactivez l'UAC

Télécharge OTM (Old Timer) sur ton bureau:

---> Sous XP: Double-clique sur OTM.exe afin de le lancer.
Sous Vista: fais un clic droit sur OTM et choisis "exécuter en tant qu'administrateur"

---> Copie (Ctrl+C) le texte suivant ci-dessous :

:Processes
explorer.exe
:Services
mchInjDrv
:Reg

:Files
C:\WINDOWS\PEV.exe
:Commands
[start explorer]
[emptytemp]
[purity]
[reboot]

---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

---> Clique maintenant sur le bouton MoveIt! puis ferme OTM.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

---> Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

Ensuite:

Si etes sous Vista désactivez l'UAC

Télécharge ComboFix de sUBs sur ton bureau

/!\ Outil très puissant,sachez qu'une mauvaise utilisation du programme pourrait entraîner des problèmes dans le fonctionnement normal de votre ordinateur /!\

============> A lire, Impératif <============

AVANT d'utiliser ComboFix :

▶ /!\ Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours. /!\
▶ (!) Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares et de TOUT tes logiciels de protection (!).

▶ Double clique sur Combofix.exe afin de le lancer (Sous Vista: Clique droit et choisir exécuter en tant qu'administrateur")

▶ Appuies sur la touche 1, pour que le programme commence à s'exécuter et suit les instructions à l'écran

▶ Si il te demande d'installer la console de récupération, Accepte.

* /!\ Ne touche a rien pendant le scan /!\

▶ Si il te demande de redémarrer , accepte

▶ Après le redémarrage du PC, un rapport s'ouvrira dans le Bloc notes en fin d'analyse, copie et colle le dans ton a ta prochaine réponse

(Le fichier rapport Combofix.txt , est ensuite automatiquement sauvegardé dans C:\Combofix.txt)

A+

fabienjah

Yop!
rapport de OTM
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
Service\Driver mchInjDrv not found.
Service\Driver key mchInjDrv deleted successfully.
========== REGISTRY ==========
========== FILES ==========
C:\WINDOWS\PEV.exe moved successfully.
========== COMMANDS ==========
Explorer started successfully
File delete failed. C:\DOCUME~1\Remy\LOCALS~1\Temp\etilqs_dVa7jVqgFUGQgqZYOVXq scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\Remy\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_76c.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. C:\Documents and Settings\Remy\Local Settings\Application Data\Mozilla\Firefox\Profiles\fre97jqg.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Remy\Local Settings\Application Data\Mozilla\Firefox\Profiles\fre97jqg.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Remy\Local Settings\Application Data\Mozilla\Firefox\Profiles\fre97jqg.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Remy\Local Settings\Application Data\Mozilla\Firefox\Profiles\fre97jqg.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Remy\Local Settings\Application Data\Mozilla\Firefox\Profiles\fre97jqg.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.

OTM by OldTimer - Version 2.1.0.1 log created on 06212009_112647

Files moved on Reboot...
File C:\DOCUME~1\Remy\LOCALS~1\Temp\etilqs_dVa7jVqgFUGQgqZYOVXq not found!
File C:\WINDOWS\temp\Perflib_Perfdata_76c.dat not found!
C:\Documents and Settings\Remy\Local Settings\Application Data\Mozilla\Firefox\Profiles\fre97jqg.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\Remy\Local Settings\Application Data\Mozilla\Firefox\Profiles\fre97jqg.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\Remy\Local Settings\Application Data\Mozilla\Firefox\Profiles\fre97jqg.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\Remy\Local Settings\Application Data\Mozilla\Firefox\Profiles\fre97jqg.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\Remy\Local Settings\Application Data\Mozilla\Firefox\Profiles\fre97jqg.default\urlclassifier3.sqlite moved successfully.

Registry entries deleted on Reboot...

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Rapport de ComboFix, après mise à jour et installation de la console de récupération, sans demande de redémarrage
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
ComboFix 09-06-20.03 - Remy 21/06/2009 11:39.5 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1983.1562 [GMT 2:00]
Lancé depuis: c:\documents and settings\Remy\Mes documents\Logiciels\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((( Fichiers créés du 2009-05-21 au 2009-06-21 ))))))))))))))))))))))))))))))))))))
.

2009-06-20 17:41 . 2009-06-20 17:41 3561743 ----a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-06-14 21:19 . 2009-06-14 21:19 -------- d-----w- c:\documents and settings\All Users\Application Data\LightScribe
2009-06-14 13:38 . 2009-06-14 14:01 -------- d-----w- c:\program files\Navilog1
2009-06-14 11:29 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-06-14 11:29 . 2009-03-24 14:07 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-06-14 11:29 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-06-14 11:29 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-06-14 11:29 . 2009-06-14 11:29 -------- d-----w- c:\program files\Avira
2009-06-14 11:29 . 2009-06-14 11:29 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2009-06-14 10:52 . 2009-06-20 19:56 -------- d-----w- c:\program files\trend micro
2009-06-13 14:04 . 2009-06-13 14:04 -------- d-----w- C:\_OTM
2009-06-13 06:46 . 2009-06-13 06:46 -------- d-----w- C:\rsit
2009-06-10 15:55 . 2009-06-10 15:55 69632 ----a-w- c:\windows\system32\drivers\xiqxyymdrbvspvnc.sys
2009-06-10 15:47 . 2009-06-10 15:47 -------- d-----w- c:\documents and settings\Remy\Application Data\Malwarebytes
2009-06-10 15:47 . 2009-06-17 09:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-10 15:47 . 2009-06-20 17:41 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-06-10 15:47 . 2009-06-17 09:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-06-10 15:47 . 2009-06-10 15:47 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-06-09 19:05 . 2009-06-09 19:05 69632 ----a-w- c:\windows\system32\drivers\fnidetetrrpvrvjq.sys
2009-06-09 19:03 . 2009-06-09 19:03 69632 ----a-w- c:\windows\system32\drivers\qhxfyxevrcjpjpec.sys
2009-06-09 08:51 . 2009-06-09 08:51 69632 ----a-w- c:\windows\system32\drivers\enemqrxepoprxtfp.sys
2009-06-08 17:48 . 2009-06-08 17:59 -------- d-----w- c:\documents and settings\All Users\Application Data\FarmFrenzy2
2009-06-07 15:38 . 2009-06-07 15:38 -------- d-----w- c:\program files\Drug Lord 2
2009-06-03 14:02 . 2009-06-03 14:02 -------- d-----w- C:\My Games
2009-06-03 14:01 . 2009-06-03 14:21 -------- d-----w- c:\documents and settings\All Users\Application Data\AlawarGameBox
2009-06-01 15:19 . 2009-06-03 16:19 -------- d-----w- c:\program files\Alawar

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-21 09:38 . 2009-04-20 18:01 -------- d-----w- c:\program files\SuperCopier2
2009-06-21 09:33 . 2001-08-28 12:00 49644 ----a-w- c:\windows\system32\perfh00C.dat
2009-06-21 09:33 . 2001-08-28 12:00 111676 ----a-w- c:\windows\system32\perfc00C.dat
2009-06-19 15:54 . 2008-11-06 16:48 10 ----a-w- c:\windows\popcinfo.dat
2009-06-14 11:17 . 2008-09-23 17:23 -------- d-----w- c:\program files\Windows Desktop Search
2009-05-24 22:24 . 2008-05-26 20:18 350208 ------w- c:\windows\system32\mssph.dll
2009-05-12 13:12 . 2008-09-14 08:33 26144 ----a-w- c:\windows\system32\spupdsvc.exe
2009-05-07 18:46 . 2008-11-27 19:17 -------- d-----w- c:\documents and settings\Remy\Application Data\dvdcss
2009-05-07 15:33 . 2001-08-28 12:00 348672 ----a-w- c:\windows\system32\localspl.dll
2009-04-29 04:45 . 2001-08-28 12:00 827392 ----a-w- c:\windows\system32\wininet.dll
2009-04-29 04:45 . 2008-09-14 09:43 78336 ------w- c:\windows\system32\ieencode.dll
2009-04-23 13:44 . 2009-04-23 13:44 -------- d-----w- c:\program files\SAGEM Wi-Fi USB 802.11g
2009-04-23 13:44 . 2008-09-14 08:33 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-04-23 13:43 . 2009-04-23 13:43 -------- d-----w- c:\program files\SAGEM
2009-04-19 19:50 . 2001-08-28 12:00 1847296 ----a-w- c:\windows\system32\win32k.sys
2009-04-15 14:53 . 2001-08-28 12:00 585216 ----a-w- c:\windows\system32\rpcrt4.dll
2009-03-26 09:11 . 2009-04-26 19:01 2082104 ----a-w- c:\documents and settings\Remy\Application Data\Mozilla\Firefox\Profiles\fre97jqg.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-06-14_14.44.52 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-06-21 09:28 . 2009-06-21 09:28 16384 c:\windows\Temp\Perflib_Perfdata_2f0.dat
+ 2001-08-28 12:00 . 2009-06-21 09:33 87088 c:\windows\system32\perfc009.dat
+ 2008-09-23 17:07 . 2009-06-19 16:41 84661 c:\windows\system32\Macromed\Flash\uninstall_plugin.exe
+ 2001-08-28 12:00 . 2009-06-21 09:33 442512 c:\windows\system32\perfh009.dat
+ 2009-02-03 02:15 . 2009-02-03 02:15 240544 c:\windows\system32\Macromed\Flash\NPSWF32_FlashUtil.exe
+ 2009-06-15 17:57 . 2004-08-25 14:41 372736 c:\windows\Resources\Themes\Luna\Shell\NormalColor\metal_ss.dll
+ 2009-06-15 17:56 . 2001-08-28 12:00 361472 c:\windows\Resources\Themes\Luna\normal\Shell\NormalColor\shellstyle.dll
+ 2009-06-15 17:56 . 2001-08-28 12:00 362496 c:\windows\Resources\Themes\Luna\normal\Shell\Metallic\shellstyle.dll
+ 2009-06-15 17:56 . 2001-08-28 12:00 362496 c:\windows\Resources\Themes\Luna\normal\Shell\Homestead\shellstyle.dll
+ 2009-06-15 17:57 . 2004-08-25 14:41 372736 c:\windows\Resources\Themes\Luna\cristal\Shell\NormalColor\metal_ss.dll
+ 2009-06-15 17:57 . 2004-08-25 14:41 372736 c:\windows\Resources\Themes\Luna\cristal\Shell\Metallic\Shellstyle.dll
+ 2009-02-03 02:15 . 2009-02-03 02:15 3771296 c:\windows\system32\Macromed\Flash\NPSWF32.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"LightScribe Control Panel"="c:\program files\Fichiers communs\LightScribe\LightScribeControlPanel.exe" [2008-08-22 2363392]
"ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2008-08-22 1234160]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-12-04 68856]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-10-03 480560]
"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-09-14 102400]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-05-12 202032]
"ACU"="c:\program files\Atheros\ACU.exe" [2007-05-03 376921]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-08-23 8478720]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-08-23 81920]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-03-27 1040384]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-14 136600]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-08-23 1626112]
"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" - c:\windows\system32\CHDAudPropShortcut.exe [2006-07-26 61952]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
dlbcserv.lnk - c:\program files\Dell Photo Printer 720\dlbcserv.exe [2008-9-29 315392]
NETGEAR WG111v3 Smart Wizard.lnk - c:\program files\NETGEAR\WG111v3\WG111v3.exe [2007-9-12 1527808]
Sagem - Utilitaire r‚seau pour Cl‚ USB Wi-Fi 802.11g.lnk - c:\program files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe [2009-4-23 679936]
Windows Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"c:\\WINDOWS\\system32\\LEXPPS.EXE"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [14/06/2009 13:29 108289]
R3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [14/09/2008 10:35 193840]
R3 WSIMD;wsimd Service;c:\windows\system32\drivers\wsimd.sys [23/09/2008 17:16 57024]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [02/09/2008 16:14 191656]
S3 RTL8187B;NETGEAR WG111v3 54Mbps Wireless USB 2.0 Adapter Vista Driver;c:\windows\system32\drivers\wg111v3.sys [23/04/2007 14:11 224896]
S3 WlanUIG;Sagem 802.11g Wireless LAN USB Adapter Driver;c:\windows\system32\drivers\WlanUIG.sys [23/04/2009 15:44 379456]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - mchInjDrv

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\program files\Fichiers communs\LightScribe\LSRunOnce.exe"
.
.
------- Examen supplémentaire -------
.
uInternet Connection Wizard,ShellNext = iexplore
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} - hxxp://dl.uc.sina.com/cab/downloader.cab
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-21 11:41
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\c:\docume~1\Remy\LOCALS~1\Temp\mc21.tmp"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1212)
c:\windows\system32\athgina.dll

- - - - - - - > 'explorer.exe'(1864)
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Heure de fin: 2009-06-21 11:42
ComboFix-quarantined-files.txt 2009-06-21 09:42
ComboFix2.txt 2009-06-21 09:36
ComboFix3.txt 2009-06-14 16:21
ComboFix4.txt 2009-06-14 16:13
ComboFix5.txt 2009-06-21 09:38

Avant-CF: 227 775 873 024 octets libres
Après-CF: 227 764 637 696 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn

174 --- E O F --- 2009-06-14 11:17

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Réponse 25 / 33

fix200 Messages postés 3365 Statut Contributeur sécurité 158

Je vois l activité des rootkits ...

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000000
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]

File::
C:\windows\system32\drivers\xiqxyymdrbvspvnc.sys
C:\windows\system32\drivers\fnidetetrrpvrvjq.sys
C:\windows\system32\drivers\qhxfyxevrcjpjpec.sys
C:\windows\system32\drivers\enemqrxepoprxtfp.sys

- Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)

- Sauvegarde ce fichier sous le nom de CFScript.txt

- Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ceci

Cela va relancer Combofix,

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt

A+

fabienjah

Petite précision concernant l'étape précédente;
- après avoir glisser le fichier CFScript.txt sur ComboFix, ce drenier s'est naturellement lancé mais la fenetre bleu avec le message "Type 1 to continue, or 2 to abort" n'est pas apparu;
-l'ordinateur n'a pas redémarrer tout seul. Je me suis donc permis de le faire manuellement.

Voici toutefois le log de ComboFix
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
ComboFix 09-06-20.03 - Remy 21/06/2009 12:10.6 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1983.1479 [GMT 2:00]
Lancé depuis: c:\documents and settings\Remy\Mes documents\Logiciels\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Remy\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\windows\system32\drivers\enemqrxepoprxtfp.sys"
"c:\windows\system32\drivers\fnidetetrrpvrvjq.sys"
"c:\windows\system32\drivers\qhxfyxevrcjpjpec.sys"
"c:\windows\system32\drivers\xiqxyymdrbvspvnc.sys"
.

((((((((((((((((((((((((((((( Fichiers créés du 2009-05-21 au 2009-06-21 ))))))))))))))))))))))))))))))))))))
.

2009-06-20 17:41 . 2009-06-20 17:41 3561743 ----a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-06-14 21:19 . 2009-06-14 21:19 -------- d-----w- c:\documents and settings\All Users\Application Data\LightScribe
2009-06-14 13:38 . 2009-06-14 14:01 -------- d-----w- c:\program files\Navilog1
2009-06-14 11:29 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-06-14 11:29 . 2009-03-24 14:07 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-06-14 11:29 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-06-14 11:29 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-06-14 11:29 . 2009-06-14 11:29 -------- d-----w- c:\program files\Avira
2009-06-14 11:29 . 2009-06-14 11:29 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2009-06-14 10:52 . 2009-06-20 19:56 -------- d-----w- c:\program files\trend micro
2009-06-13 14:04 . 2009-06-13 14:04 -------- d-----w- C:\_OTM
2009-06-13 06:46 . 2009-06-13 06:46 -------- d-----w- C:\rsit
2009-06-10 15:55 . 2009-06-10 15:55 69632 ----a-w- c:\windows\system32\drivers\xiqxyymdrbvspvnc.sys
2009-06-10 15:47 . 2009-06-10 15:47 -------- d-----w- c:\documents and settings\Remy\Application Data\Malwarebytes
2009-06-10 15:47 . 2009-06-17 09:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-10 15:47 . 2009-06-20 17:41 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-06-10 15:47 . 2009-06-17 09:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-06-10 15:47 . 2009-06-10 15:47 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-06-09 19:05 . 2009-06-09 19:05 69632 ----a-w- c:\windows\system32\drivers\fnidetetrrpvrvjq.sys
2009-06-09 19:03 . 2009-06-09 19:03 69632 ----a-w- c:\windows\system32\drivers\qhxfyxevrcjpjpec.sys
2009-06-09 08:51 . 2009-06-09 08:51 69632 ----a-w- c:\windows\system32\drivers\enemqrxepoprxtfp.sys
2009-06-08 17:48 . 2009-06-08 17:59 -------- d-----w- c:\documents and settings\All Users\Application Data\FarmFrenzy2
2009-06-07 15:38 . 2009-06-07 15:38 -------- d-----w- c:\program files\Drug Lord 2
2009-06-03 14:02 . 2009-06-03 14:02 -------- d-----w- C:\My Games
2009-06-03 14:01 . 2009-06-03 14:21 -------- d-----w- c:\documents and settings\All Users\Application Data\AlawarGameBox
2009-06-01 15:19 . 2009-06-03 16:19 -------- d-----w- c:\program files\Alawar

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-21 09:38 . 2009-04-20 18:01 -------- d-----w- c:\program files\SuperCopier2
2009-06-21 09:33 . 2001-08-28 12:00 49644 ----a-w- c:\windows\system32\perfh00C.dat
2009-06-21 09:33 . 2001-08-28 12:00 111676 ----a-w- c:\windows\system32\perfc00C.dat
2009-06-19 15:54 . 2008-11-06 16:48 10 ----a-w- c:\windows\popcinfo.dat
2009-06-14 11:17 . 2008-09-23 17:23 -------- d-----w- c:\program files\Windows Desktop Search
2009-05-24 22:24 . 2008-05-26 20:18 350208 ------w- c:\windows\system32\mssph.dll
2009-05-12 13:12 . 2008-09-14 08:33 26144 ----a-w- c:\windows\system32\spupdsvc.exe
2009-05-07 18:46 . 2008-11-27 19:17 -------- d-----w- c:\documents and settings\Remy\Application Data\dvdcss
2009-05-07 15:33 . 2001-08-28 12:00 348672 ----a-w- c:\windows\system32\localspl.dll
2009-04-29 04:45 . 2001-08-28 12:00 827392 ----a-w- c:\windows\system32\wininet.dll
2009-04-29 04:45 . 2008-09-14 09:43 78336 ------w- c:\windows\system32\ieencode.dll
2009-04-23 13:44 . 2009-04-23 13:44 -------- d-----w- c:\program files\SAGEM Wi-Fi USB 802.11g
2009-04-23 13:44 . 2008-09-14 08:33 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-04-23 13:43 . 2009-04-23 13:43 -------- d-----w- c:\program files\SAGEM
2009-04-19 19:50 . 2001-08-28 12:00 1847296 ----a-w- c:\windows\system32\win32k.sys
2009-04-15 14:53 . 2001-08-28 12:00 585216 ----a-w- c:\windows\system32\rpcrt4.dll
2009-03-26 09:11 . 2009-04-26 19:01 2082104 ----a-w- c:\documents and settings\Remy\Application Data\Mozilla\Firefox\Profiles\fre97jqg.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-06-14_14.44.52 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-06-21 09:28 . 2009-06-21 09:28 16384 c:\windows\Temp\Perflib_Perfdata_2f0.dat
+ 2001-08-28 12:00 . 2009-06-21 09:33 87088 c:\windows\system32\perfc009.dat
+ 2008-09-23 17:07 . 2009-06-19 16:41 84661 c:\windows\system32\Macromed\Flash\uninstall_plugin.exe
+ 2001-08-28 12:00 . 2009-06-21 09:33 442512 c:\windows\system32\perfh009.dat
+ 2009-02-03 02:15 . 2009-02-03 02:15 240544 c:\windows\system32\Macromed\Flash\NPSWF32_FlashUtil.exe
+ 2009-06-15 17:57 . 2004-08-25 14:41 372736 c:\windows\Resources\Themes\Luna\Shell\NormalColor\metal_ss.dll
+ 2009-06-15 17:56 . 2001-08-28 12:00 361472 c:\windows\Resources\Themes\Luna\normal\Shell\NormalColor\shellstyle.dll
+ 2009-06-15 17:56 . 2001-08-28 12:00 362496 c:\windows\Resources\Themes\Luna\normal\Shell\Metallic\shellstyle.dll
+ 2009-06-15 17:56 . 2001-08-28 12:00 362496 c:\windows\Resources\Themes\Luna\normal\Shell\Homestead\shellstyle.dll
+ 2009-06-15 17:57 . 2004-08-25 14:41 372736 c:\windows\Resources\Themes\Luna\cristal\Shell\NormalColor\metal_ss.dll
+ 2009-06-15 17:57 . 2004-08-25 14:41 372736 c:\windows\Resources\Themes\Luna\cristal\Shell\Metallic\Shellstyle.dll
+ 2009-02-03 02:15 . 2009-02-03 02:15 3771296 c:\windows\system32\Macromed\Flash\NPSWF32.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"LightScribe Control Panel"="c:\program files\Fichiers communs\LightScribe\LightScribeControlPanel.exe" [2008-08-22 2363392]
"ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2008-08-22 1234160]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-12-04 68856]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-10-03 480560]
"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-09-14 102400]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-05-12 202032]
"ACU"="c:\program files\Atheros\ACU.exe" [2007-05-03 376921]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-08-23 8478720]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-08-23 81920]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-03-27 1040384]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-14 136600]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-08-23 1626112]
"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" - c:\windows\system32\CHDAudPropShortcut.exe [2006-07-26 61952]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
dlbcserv.lnk - c:\program files\Dell Photo Printer 720\dlbcserv.exe [2008-9-29 315392]
NETGEAR WG111v3 Smart Wizard.lnk - c:\program files\NETGEAR\WG111v3\WG111v3.exe [2007-9-12 1527808]
Sagem - Utilitaire r‚seau pour Cl‚ USB Wi-Fi 802.11g.lnk - c:\program files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe [2009-4-23 679936]
Windows Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"c:\\WINDOWS\\system32\\LEXPPS.EXE"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [14/06/2009 13:29 108289]
R3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [14/09/2008 10:35 193840]
R3 WSIMD;wsimd Service;c:\windows\system32\drivers\wsimd.sys [23/09/2008 17:16 57024]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [02/09/2008 16:14 191656]
S3 RTL8187B;NETGEAR WG111v3 54Mbps Wireless USB 2.0 Adapter Vista Driver;c:\windows\system32\drivers\wg111v3.sys [23/04/2007 14:11 224896]
S3 WlanUIG;Sagem 802.11g Wireless LAN USB Adapter Driver;c:\windows\system32\drivers\WlanUIG.sys [23/04/2009 15:44 379456]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - mchInjDrv

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\program files\Fichiers communs\LightScribe\LSRunOnce.exe"
.
.
------- Examen supplémentaire -------
.
uInternet Connection Wizard,ShellNext = iexplore
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} - hxxp://dl.uc.sina.com/cab/downloader.cab
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-21 12:12
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1212)
c:\windows\system32\athgina.dll

- - - - - - - > 'explorer.exe'(2396)
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Heure de fin: 2009-06-21 12:13
ComboFix-quarantined-files.txt 2009-06-21 10:13
ComboFix2.txt 2009-06-21 09:42
ComboFix3.txt 2009-06-21 09:36
ComboFix4.txt 2009-06-14 16:21
ComboFix5.txt 2009-06-21 10:10

Avant-CF: 227 759 353 856 octets libres
Après-CF: 227 751 821 312 octets libres

169 --- E O F --- 2009-06-14 11:17

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Réponse 26 / 33

fix200 Messages postés 3365 Statut Contributeur sécurité 158

ARRRRRRRRRRRRFFFFFFFFFFFFFFFFFFFFFFF

Ca ne veut pas se supprimer ...

Télécharge Gmer (by Przemyslaw Gmerek)

Dézippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

Les lignes rouges indiquent la présence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans démarrer ,puis ouvres le bloc note,vas dans édition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

Ensuite

sur les lignes rouge:

Services:cliques droit delete service
Process:cliques droit kill process
Adl ,file:cliques droit delete files

A+

fabienjah

Fais ch***, y'a pas de ligne en rouge
Je te poste le résultat, redémarre l'ordi et refais une analyse avec gmer
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-06-21 13:01:58
Windows 5.1.2600 Service Pack 3

---- System - GMER 1.0.15 ----

SSDT BAF10DDE ZwCreateKey
SSDT BAF10DD4 ZwCreateThread
SSDT BAF10DE3 ZwDeleteKey
SSDT BAF10DED ZwDeleteValueKey
SSDT BAF10DF2 ZwLoadKey
SSDT BAF10DC0 ZwOpenProcess
SSDT BAF10DC5 ZwOpenThread
SSDT BAF10DFC ZwReplaceKey
SSDT BAF10DF7 ZwRestoreKey
SSDT BAF10DE8 ZwSetValueKey
SSDT BAF10DCF ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!ZwCallbackReturn + 2FA0 8050483C 4 Bytes CALL 750B394E
? C:\DOCUME~1\Remy\LOCALS~1\Temp\mc21.tmp Le fichier spécifié est introuvable. !

---- User code sections - GMER 1.0.15 ----

.text C:\Program Files\Windows Desktop Search\WindowsSearch.exe[132] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F070F5A
.text C:\Program Files\Windows Desktop Search\WindowsSearch.exe[132] SHELL32.dll!SHFileOperationW 7CA80924 6 Bytes JMP 5F0A0F5A
.text C:\Program Files\Windows Desktop Search\WindowsSearch.exe[132] SHELL32.dll!SHFileOperation 7CA80C0C 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\Explorer.EXE[324] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F070F5A
.text C:\WINDOWS\Explorer.EXE[324] SHELL32.dll!SHFileOperationW 7CA80924 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\Explorer.EXE[324] SHELL32.dll!SHFileOperation 7CA80C0C 6 Bytes JMP 5F040F5A
.text C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe[512] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F070F5A
.text C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe[512] SHELL32.dll!SHFileOperationW 7CA80924 6 Bytes JMP 5F0A0F5A
.text C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe[512] SHELL32.dll!SHFileOperation 7CA80C0C 6 Bytes JMP 5F040F5A
.text C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe[528] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F070F5A
.text C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe[528] SHELL32.dll!SHFileOperationW 7CA80924 6 Bytes JMP 5F0A0F5A
.text C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe[528] SHELL32.dll!SHFileOperation 7CA80C0C 6 Bytes JMP 5F040F5A
.text C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe[552] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F070F5A
.text C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe[552] SHELL32.dll!SHFileOperationW 7CA80924 6 Bytes JMP 5F0A0F5A
.text C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe[552] SHELL32.dll!SHFileOperation 7CA80C0C 6 Bytes JMP 5F040F5A
.text C:\Program Files\Atheros\ACU.exe[564] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F070F5A
.text C:\Program Files\Atheros\ACU.exe[564] SHELL32.dll!SHFileOperationW 7CA80924 6 Bytes JMP 5F0A0F5A
.text C:\Program Files\Atheros\ACU.exe[564] SHELL32.dll!SHFileOperation 7CA80C0C 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\RUNDLL32.EXE[608] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F070F5A
.text C:\WINDOWS\system32\RUNDLL32.EXE[608] SHELL32.dll!SHFileOperationW 7CA80924 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\RUNDLL32.EXE[608] SHELL32.dll!SHFileOperation 7CA80C0C 6 Bytes JMP 5F040F5A
.text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[632] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F070F5A
.text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[632] SHELL32.dll!SHFileOperationW 7CA80924 6 Bytes JMP 5F0A0F5A
.text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[632] SHELL32.dll!SHFileOperation 7CA80C0C 6 Bytes JMP 5F040F5A
.text C:\Program Files\Java\jre6\bin\jusched.exe[672] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F070F5A
.text C:\Program Files\Java\jre6\bin\jusched.exe[672] SHELL32.dll!SHFileOperationW 7CA80924 6 Bytes JMP 5F0A0F5A
.text C:\Program Files\Java\jre6\bin\jusched.exe[672] SHELL32.dll!SHFileOperation 7CA80C0C 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\ctfmon.exe[696] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F070F5A
.text C:\WINDOWS\system32\ctfmon.exe[696] SHELL32.dll!SHFileOperationW 7CA80924 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\ctfmon.exe[696] SHELL32.dll!SHFileOperation 7CA80C0C 6 Bytes JMP 5F040F5A
.text C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe[720] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F070F5A
.text C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe[720] SHELL32.dll!SHFileOperationW 7CA80924 6 Bytes JMP 5F0A0F5A
.text C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe[720] SHELL32.dll!SHFileOperation 7CA80C0C 6 Bytes JMP 5F040F5A
.text C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe[924] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F070F5A
.text C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe[924] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 5F00003D
.text C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe[924] SHELL32.dll!SHFileOperationW 7CA80924 6 Bytes JMP 5F0A0F5A
.text C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe[924] SHELL32.dll!SHFileOperation 7CA80C0C 6 Bytes JMP 5F040F5A
.text C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe[1012] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F070F5A
.text C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe[1012] SHELL32.dll!SHFileOperationW 7CA80924 6 Bytes JMP 5F0A0F5A
.text C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe[1012] SHELL32.dll!SHFileOperation 7CA80C0C 6 Bytes JMP 5F040F5A
.text C:\Program Files\SuperCopier2\SuperCopier2.exe[1220] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F070F5A
.text C:\Program Files\SuperCopier2\SuperCopier2.exe[1220] shell32.dll!SHFileOperationW 7CA80924 6 Bytes JMP 5F0A0F5A
.text C:\Program Files\SuperCopier2\SuperCopier2.exe[1220] shell32.dll!SHFileOperation 7CA80C0C 6 Bytes JMP 5F040F5A
.text C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE[1388] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 5F00003D
.text C:\WINDOWS\system32\nvsvc32.exe[1440] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 5F00003D
.text C:\WINDOWS\System32\svchost.exe[1492] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 5F00003D
.text C:\WINDOWS\system32\PnkBstrA.exe[1776] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 5F00003D
.text C:\Documents and Settings\Remy\Bureau\gmer.exe[1972] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F040F5A
.text C:\Documents and Settings\Remy\Bureau\gmer.exe[1972] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 5F00003D
.text C:\Program Files\NETGEAR\WG111v3\WG111v3.exe[2004] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F070F5A
.text C:\Program Files\NETGEAR\WG111v3\WG111v3.exe[2004] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 5F00003D
.text C:\Program Files\NETGEAR\WG111v3\WG111v3.exe[2004] SHELL32.dll!SHFileOperationW 7CA80924 6 Bytes JMP 5F0A0F5A
.text C:\Program Files\NETGEAR\WG111v3\WG111v3.exe[2004] SHELL32.dll!SHFileOperation 7CA80C0C 6 Bytes JMP 5F040F5A
.text C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe[2040] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F070F5A
.text C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe[2040] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 5F00003D
.text C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe[2040] SHELL32.dll!SHFileOperationW 7CA80924 6 Bytes JMP 5F0A0F5A
.text C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe[2040] SHELL32.dll!SHFileOperation 7CA80C0C 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\SearchIndexer.exe[2168] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 5F00003D
.text C:\WINDOWS\system32\SearchIndexer.exe[2168] kernel32.dll!WriteFile 7C810E27 7 Bytes JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)
.text C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe[2520] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 5F00003D
.text C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe[3164] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 5F00003D
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[3344] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 5F00003D
.text C:\Program Files\Mozilla Firefox\firefox.exe[3728] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F070F5A
.text C:\Program Files\Mozilla Firefox\firefox.exe[3728] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 5F00003D
.text C:\Program Files\Mozilla Firefox\firefox.exe[3728] SHELL32.dll!SHFileOperationW 7CA80924 6 Bytes JMP 5F0A0F5A
.text C:\Program Files\Mozilla Firefox\firefox.exe[3728] SHELL32.dll!SHFileOperation 7CA80C0C 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\System32\alg.exe[3876] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 5F00003D

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- EOF - GMER 1.0.15 ----

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Réponse 27 / 33

fix200 Messages postés 3365 Statut Contributeur sécurité 158

Bizarre ...
1. Télécharge The Avenger par Swandog46 sur le Bureau

http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

Clique sur Avenger.zip pour ouvrir le fichier

Extraire avenger.exe sur le bureau

2. Copier tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Begin copying here:

Files to delete:
C:\windows\system32\drivers\xiqxyymdrbvspvnc.sys
C:\windows\system32\drivers\fnidetetrrpvrvjq.sys
C:\windows\system32\drivers\qhxfyxevrcjpjpec.sys
C:\windows\system32\drivers\enemqrxepoprxtfp.sys

IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

Ferme toutes les applications et ton navigateur

3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.

Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée.

Clique sur l'icône de droite (en rose et bleu). Le texte va se copier dans la fenêtre.

Clique sur Execute

4. The Avenger va automatiquement faire ce qui suit:

Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et transféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse

fabienjah

Effectivement...bizarre...bizarre...
il n'a rien trouvé non plus... rapport de avenger...
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: file "C:\windows\system32\drivers\xiqxyymdrbvspvnc.sys" not found!
Deletion of file "C:\windows\system32\drivers\xiqxyymdrbvspvnc.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\windows\system32\drivers\fnidetetrrpvrvjq.sys" not found!
Deletion of file "C:\windows\system32\drivers\fnidetetrrpvrvjq.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\windows\system32\drivers\qhxfyxevrcjpjpec.sys" not found!
Deletion of file "C:\windows\system32\drivers\qhxfyxevrcjpjpec.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\windows\system32\drivers\enemqrxepoprxtfp.sys" not found!
Deletion of file "C:\windows\system32\drivers\enemqrxepoprxtfp.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Tu veux que je refasse une analyse Antivir, ou autre?

fabienjah

OU que je fasse ta manip en "mode sans echec"?

Réponse 28 / 33

fix200 Messages postés 3365 Statut Contributeur sécurité 158

Re,
Non.

On vas vérifier ...

Télécharge MalwareBytes' Anti-Malware

▶ Tu l'installe; le programme va se mettre a jour automatiquement

▶ Une fois a jour, le programme va se lancer; clic sur l'onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression"

▶ Clique maintenant sur l'onglet recherche et coche la case : "exécuter un examen rapide".

▶ Puis clic sur "rechercher".

▶ Laisse le scanner le PC...

▶ Si des éléments on été trouvés --> clic sur "afficher les résultats", puis sur supprimer la sélection. afin de détruire les éléments infectés.

▶ Si il t´es demandé de redémarrer --> clic sur "YES".

▶ A la fin un rapport va s´ouvrir; sauvegarde le de manière a le retrouver en vu de le poster sur le forum.

▶ Copie et colle le rapport S.T.P.

** Note: les rapport sont aussi rangé dans l'onglet Rapport/Log

A+

fabienjah

bord**, j'ai fait une con*****;
j'ai oublié de coché dans parametre la cas "arreter internet explorer pendant la suppression. Et mm si je suis sous firefox, je suppose que c'est pas bon.
D'autant que voilà ce qu'il a trouvé lors de la 1ère analyse
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Malwarebytes' Anti-Malware 1.38
Version de la base de données: 2318
Windows 5.1.2600 Service Pack 3

21/06/2009 14:02:10
mbam-log-2009-06-21 (14-02-10).txt

Type de recherche: Examen rapide
Eléments examinés: 84213
Temps écoulé: 3 minute(s), 13 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\Remy\Bureau\avenger.exe (Trojan.Agent) -> Quarantined and deleted successfully.

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Comme de part hasard, un trojan dans Avenger.exe!! j'imagine que cela annule le résultat de ce dernier à l'étape précédente.
j'ai donc refait une analyse malware, après redémarrage manuel de l'ordi, et en cochant bien la case, et là, il n'a rien trouvé
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Malwarebytes' Anti-Malware 1.38
Version de la base de données: 2318
Windows 5.1.2600 Service Pack 3

21/06/2009 14:14:07
mbam-log-2009-06-21 (14-14-07).txt

Type de recherche: Examen rapide
Eléments examinés: 84177
Temps écoulé: 4 minute(s), 10 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Réponse 29 / 33

fix200 Messages postés 3365 Statut Contributeur sécurité 158

Salut,

Pour le case c'est pas indispensable ... merci quand même :)

Pour malwarebytes, c'est un faux positif , donc, C OK.

Fais une mise a jour avec Antivir puis fais un scan intégral et vire ce qu'il a trouvé, puis poste un nouveau log RSIT, et si négatif , on nettoie puis on sécurise. ;)
=)

A+

fabienjah

Re.
Antivir n'a rien trouvé.
Je te poste le log de RSIT
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Logfile of random's system information tool 1.06 (written by random/random)
Run by Remy at 2009-06-21 16:16:09
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 217 GB (91%) free of 238 GB
Total RAM: 1983 MB (77% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:16:15, on 21/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\acs.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Program Files\Atheros\ACU.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\NETGEAR\WG111v3\WG111v3.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\WINDOWS\system32\SearchFilterHost.exe
C:\Documents and Settings\Remy\Bureau\RSIT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\trend micro\Remy.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [ACU] "C:\Program Files\Atheros\ACU.exe" -nogui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: dlbcserv.lnk = C:\Program Files\Dell Photo Printer 720\dlbcserv.exe
O4 - Global Startup: NETGEAR WG111v3 Smart Wizard.lnk = C:\Program Files\NETGEAR\WG111v3\WG111v3.exe
O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?
O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} (GMNRev Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab
O16 - DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} (DLoader Class) - http://dl.uc.sina.com/cab/downloader.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-03.sun.com/s/ESD5/JSCDL/jre/6u10-b92-b/jinstall-6u10-windows-i586-jc.cab?e=1226684660760&h=dea036c1ded15a60afe7018d91ebf40f/&filename=jinstall-6u10-windows-i586-jc.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: Service de configuration Atheros (ACS) - Atheros - C:\WINDOWS\system32\acs.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

fabienjah

de retour.
J'attends tes préconisations...
++

Réponse 30 / 33

fix200 Messages postés 3365 Statut Contributeur sécurité 158

Hello,

Lat's work ;)

Lance Hijackthis
Fais scan only
Coche ces lignes
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [ACU] "C:\Program Files\Atheros\ACU.exe" -nogui
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: dlbcserv.lnk = C:\Program Files\Dell Photo Printer 720\dlbcserv.exe
O4 - Global Startup: NETGEAR WG111v3 Smart Wizard.lnk = C:\Program Files\NETGEAR\WG111v3\WG111v3.exe
O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} (GMNRev Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab
O16 - DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} (DLoader Class) - http://dl.uc.sina.com/cab/downloader.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-03.sun.com/
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
Clique sur "FIX CHECKED" et valide

1/
▶ Télécharge ToolsCleaner sur ton Bureau

▶ Sous XP : Double-clique sur ToolsCleaner2.exe
▶ Clique sur Recherche et laisse le scan se terminer.
▶ Clique sur Suppression pour finaliser.
▶ Tu peux, si tu le souhaites, te servir des Options facultatives.
▶ Clique sur Quitter, pour que le rapport puisse se créer.
▶ Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse

*************************************************************************
2/
▶ Télécharge Ccleaner (sans installer la barre yahoo) :

▶ Lance CCleaner puis Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
▶ Pour les autres paramètres, laisse-le avec ses réglages par défaut.
▶ Lance CCleaner en double-cliquant sur son raccourci sur le bureau.
▶ Puis dans le menu Nettoyeur
▶ Clique sur Analyse (laisser travailler cela peut durer longtemps la 1ere fois)
▶ Clique sur le bouton Lancer le nettoyage.
▶ Clique une seconde fois sur le bouton Lancer le nettoyage
▶ clique sur registre cherche et répare les erreurs effectue trois fois la manip pour que se sois efficace !

**************************************************************************
3/
Télécharge ATF Cleaner par Atribune

▶ Double-clique ATF-Cleaner.exe afin de lancer le programme.
▶ Sous l'onglet Main, choisis : Select All
▶ Clique sur le bouton Empty Selected
Si tu utilises le navigateur Firefox :
Clique Firefox au haut et choisis : Select All
▶ Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
Si tu utilises le navigateur Opera :
Clique Opera au haut et choisis : Select All
▶ Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
▶ Clique Exit, du menu prinicipal, afin de fermer le programme.
Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

****************************************************************************
4/Désactivation/Réactivation de la restauration du système :

*Désactivation:
▶ Cliquer droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > cocher la case "Désactiver la Restauration du système sur tous les lecteurs"
> Appliquer patiente jusqu'a que cela soit marqué "désactivée" puis OK.

* Activation :
▶ Suivre le même chemin ; décocher la case "Désactiver la Restauration du système sur tous les lecteurs"
▶ Appliquer attends que cela soit a nouveau sur "surveillance" puis OK.
▶ Redémarrer l'ordinateur..

****************************************************************************
5/
-Nettoyage et Défragmentation de tes Disques:

****************************************************************************

5.1/
*Nettoyage de disque:
● Clic droit sur "poste de travail" ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général"
● Cliques sur le bouton "nettoyage de disque", OK
● Fais la même chose pour chacun de tes disques

5.2/
Défragmentation:

● Ouvrir le menu "Démarrer" ==> "Tous les programmes" ==> Accessoires ==> Outils système ==> "Défragumenteur de disque"
● Clic sur analyser, s'il te demande de défragmenter, Clique sur "défragmenter"
Fais le même chose pour chacun de tes disques.

Note : si tu as un utilitaire pour défragmenter , utilises le à la place

5.3/

Vérifications des erreurs :

● Clic droit sur "poste de travail" ==> "ouvrir" ==> clic droit sur le disque C ==>Propriétés ==>onglet "Outil"
"Vérifier maintenant", une boîte s'ouvre, cocher les cases :

- Réparer automatiquement les erreurs...
- Rechercher et tenter une récupération...

--->Démarrer, OK

Note : s'il te dis de redémarrer ton PC pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal

_______________________________________________________________________

Dis moi comment va le PC =)

A+ ;)
*******

jahfab Messages postés 4 Statut Membre

Yop.
La réparation des erreurs après redémarrage a pris pas mal de temps.
L'ordi semble fonctionner, mais il y a 1 ou 2 bugs (actuellement):
- la carte wifi ne fonctionne plus;
- le panel du portable et plus précisément le déroulant automatique ne fonctionne plus non plus.

Pour le rapport ToolsCleaner, j'ai fait 2 fois la manip (comme un c**) donc je ne peux pas te le transmettre sachant que dans le second, il n'a repéré que ComboxFix(qu(il ne pouvait pas supprimer).

Sinon, tout le reste okay.

Reste-t-il une chose à faire?

jahfab Messages postés 4 Statut Membre

Bon,
je coupe.
Je verrai ta réponse demain.
Bonne soirée et début de semaine.

++

fabienjah

Yop.
Je décolle du boulot.
Serait chez moi dans 1h.
Si j'avais je dois faire qqechose...

++

Réponse 31 / 33

^^Marie^^ Messages postés 126523 Date d'inscription Statut Membre Dernière intervention 3 279

Salut

C:\WINDOWS\system32\tmp.txt : Passer peut-être un coup de UsbFix de chiquitine29

)))

Réponse 32 / 33

fix200 Messages postés 3365 Statut Contributeur sécurité 158

Marie: Usbfix déjà fait.

jahfab
Pour la carte Wifi: http://www.presence-pc.com/forum/ppc/Logiciels/wifi-connection-marche-plus-sujet-13685-1.htm

>> Il s'agit de quoi ton PC Portable?

>> tu supprimes combofix manuellement.

>> Tu appliques ces recommandations:

*******

Si nous avons utilisé Malware-bytes, vide sa quarantaine.
Si nous avons désactivé le TeaTimer de spybot, tu peux le réactiver.

*******
- Passe temps en temps des coups CCleaner (registre & nettoyage), ATFCleaner, et des défragmentations et des nettoyages du disque.
- crées un point de restauration dit "sain"
- fais une sauvegarde de données , au cas ou windows ne démarre pas et tu serras forcé(e) de formater.

*******

Sécurise ton ordinateur:

▶ Antivirus:
Antivir est le bon choix :)

Mets le a jour régulièrement Fais des scan a chaque les semaine.

▶ Anti-spyware:

Installe aussi Spyware-blaster,qui est léger en ressources, met le a jour régulièrement,et active toutes les protections (« Enable all protection »)
Garde MBAM (malwarebytes) pour faire un scan rapide a chaque semaine

▶ Firewall:
Mets ZoneAlarm (gratuit)
Ou Kerio (mieux que ZoneAlarm, mais certains composants se désactivent après 30 jours, mais reste le firewall de base)

Tutoriel zone alarm
Tutoriel Kerio

▶ Navigateur:

Pour naviguer sur internet plus en sécurité , je te conseille vivement d’installer et d'utiliser le navigateur Firefox. Une fois que c'est fait, lance le et installe les trois extensions de sécurité suivantes :
WOT
Voir pourquoi

No Script
Tutoriel et test No Script

Adblock Plus,Et le fichier de définitions Adblock ICI

▶ Maintenir son système a jour contre les failles de sécurité:

Installe toujours les mises a jours de Windows depuis Windows Update.

Mettre a jour Java ---> Lien <--

Désinstalle Adobe Reader, et installe la nouvelle version

Tu peux aussi mettre a jour tes logiciels grâce a ce petit logiciel
P.S: ne pas installer les bêtas listés!

A lire: Le danger des failles de sécurité

▶ Rappel sur les principales causes d'infections
Pourquoi et comment je me fais infecter?
Zombis et botnets
Trojan, comment ça marche?
Les ToolBars ce n'ai pas obligatoire
Le danger des cracks
les risques sécuritaires du P2P
Infection sur disques amovibles
Infection sur disques amovibles (Malekal)
Les virus MSN
MSN prévention
Les Exploits sur les sites WEB piégés
le social engineering

▶ Enfin, je t'invite a lire ces articles:

L'indispensable pour internet (merci sebsauvage)

Sécuriser son ordinateur et connaitre les menaces

Dossier prévention-protection

Voila, bonne lecture et une fois tous cela fait tu peux mettre le topic comme résolu.

Bon surf, et soit plus vigilant(e) a l'avenir. ;-)

jahfab Messages postés 4 Statut Membre

Hello.
Bon tout dabord, un grand merci à toi Fix, pour ta patience d'une part, pour la clarté de tes messages d'autre part!!
Pour éviter toute confusion, je suis fabienjah par la même occasion, et tous les conseils que tu as transmis durant ces 15 derniers jours était effectivement pour le portable de mon beau-frère.
Je sauvegarde ton dernier poste afin d'effectuer tous ses tests sur toutes les babasses qui sont à ma portée.

Et si à l'avenir l'on devait se croiser (c'est-on jamais), je me ferai un plaisir de payer ma tournée!!

Bonne continuation à toi.

Fab++

Réponse 33 / 33

fix200 Messages postés 3365 Statut Contributeur sécurité 158

Salut :)

Pour éviter toute confusion, je suis fabienjah par la même occasion

Oui oui je sais je sais ...

Je sauvegarde ton dernier poste afin d'effectuer tous ses tests sur toutes les babasses qui sont à ma portée.

Très bien ... :)

Et si à l'avenir l'on devait se croiser (c'est-on jamais), je me ferai un plaisir de payer ma tournée!!

MDR :D

écoute, pas besoin ... c'est gratuit :)

Pour finir:

Bonne continuation à toi.

A toi aussi :)

Bon surf :D

Ld08.exe

33 réponses

Votre réponse

Discussions similaires

Newsletters