virus system security Fermé

Question

Bonjour, 

j'ai trouvé des messages qui présentaient des problèmes similaires au mien, j'ai depuis quelques jours un virus qui se présente par l'ouverture d'une fenetre security system et qui bloque tout mon ordinateur; je n'arrive plus à ouvrir de logiciel ni à aller sur internet.
J'ai vu qu'il fallair télécharger RSIT ce que j'ai fait et voici les messages qui s'affichent:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Olive at 2009-06-20 16:41:37
Microsoft® Windows Vista™ Édition Familiale Premium  Service Pack 1
System drive C: has 196 GB (67%) free of 293 GB
Total RAM: 3070 MB (67% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:42:24, on 20/06/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18248)
Boot mode: Normal

Running processes:
C:\Windows\Explorer.EXE
C:\Users\Olive\AppData\Roaming\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\ProgramData\13268674\13268674.exe
C:\Users\Olive\Documents\Desktop\RSIT.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files	rend micro\Olive.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/...
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://y.lo.st
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/...
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://y.lo.st
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Windows Live Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Program Files\Windows Live\Family Safety\fssbho.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: EoBHO - {C7B76B90-3455-4AE6-A752-EAC4D19689E5} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [OnScreenDisplay] C:\Program Files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe
O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" update "Software\CyberLink\YouCam\1.0"
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HP Health Check Scheduler] [ProgramFilesFolder]Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [WAWifiMessage] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Orange\AntivirusFirewall\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Orange\AntivirusFirewall\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [EoEngine] "C:\Program Files\EoRezo\EoEngine.exe"
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [fssui] "C:\Program Files\Windows Live\Family Safety\fsui.exe" -autorun
O4 - HKLM\..\Run: [Windows UDP Control Center] msnmsgrss.exe
O4 - HKLM\..\Run: [sysldtray] c:\windows\ld09.exe
O4 - HKLM\..\Run: [pp] c:\windows\pp10.exe
O4 - HKLM\..\Run: [sysfbtray] c:\windows\freddy46.exe
O4 - HKLM\..\Run: [19462744] C:\ProgramData\19462744\19462744.exe
O4 - HKLM\..\Run: [13268674] C:\ProgramData\13268674\13268674.exe
O4 - HKLM\..\Run: [MRT] "C:\Windows\system32\MRT.exe" /R
O4 - HKLM\..\RunOnce: [SoftwareHelper] C:\Users\Olive\AppData\Roaming\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe -runonce
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [HPAdvisor] C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe autoRun
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: Outil de notification Live Search.lnk = C:\Users\Olive\AppData\Roaming\Microsoft\Live Search\Notification-LiveSearch.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: &Recherche AOL Toolbar - c:\program files\aol\aol toolbar 5.0esources\fr-fr\local\search.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O8 - Extra context menu item: Envoyer l'&image au périphérique Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix: 
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O20 - AppInit_DLLs: C:\Windows\System32\dsdmo32.dll
O23 - Service: Com4Qlb - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4Qlb.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Orange\AntivirusFirewall\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Orange\AntivirusFirewall\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Orange\AntivirusFirewall\Common\FSMA32.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: QuickPlay Background Capture Service (QBCS) (QPCapSvc) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\QPCapSvc.exe
O23 - Service: QuickPlay Task Scheduler (QTS) (QPSched) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\QPSched.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

le skull · Answer

Slt ah wé =( tu as un autre PC pour télécharger sa 

Télécharge GenProc (de narco4 et jean-chretien1) http://www.genproc.com/GenProc.exe
- double-clique sur GenProc.exe patiente le temps du scan.
- à la fin du scan, un message apparait clique sur "OUI"
- poste le contenu du rapport qui s'ouvre.

tu n'as qu'a te laisser guider tout est expliquer

fix200 · Answer

Salut, Tu es hyper infecté!!! Tu fais l'options S et L et tu postes les rapports, + un nouveau log RSIT, merci. Désactive l'UAC ********************************************************** ********************* Option S (Recherche) ********************* ********************************************************** Télécharge AD-Remover ( de C_XX ) sur ton bureau : ! Déconnecte toi et ferme toutes applications en cours ! • Double clique sur "AD-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut . • fais un clic droit sur le raccourci Ad-remover qui est sur ton bureau et choisis "exécuter en tant qu'administrateur". • Au menu principal choisis l'option "S" et tape sur [entrée] . • Laisse travailler l'outil et ne touche à rien ... --> Poste le rapport qui apparait à la fin , sur le forum ... <-- Notes: 1- Le rapport est sauvegardé aussi sous C:\Ad-report-scan.log 2- "Process.exe", une composante de l'outil, est détecté par certains antivirus : (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. ********************************************************** ********************* Option L (Recherche) ********************* ********************************************************** ! Déconnecte toi et ferme toutes applications en cours ! • Double clique sur "AD-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut . • fais un clic droit sur le raccourci Ad-remover qui est sur ton bureau et choisis "exécuter en tant qu'administrateur". • Au menu principal choisis l'option "L" et tape sur [entrée] . • Laisse travailler l'outil et ne touche à rien ... --> Poste le rapport qui apparait à la fin , sur le forum ... <-- Notes: 1- Le rapport est sauvegardé aussi sous C:\Ad-report-clean.log 2- "Process.exe", une composante de l'outil, est détecté par certains antivirus : (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. Aide en images (Nettoyage)

toj · Answer

Je vous remercies vraiment pour vos réponses, j'ai télécharger les logiciels sur un autre pc puis je les ais mis sur le mien, seulement le virus empêche leurs ouvertures...
Je ne suis pas douée en informatique donc je vous remercie, si vous avez d'autres conseils c'est avec plaisir que je les suivrai. Merci d'avance.

fix200 · Answer

Tu essaye de les renommer avant de les utiliser.

++

toj · Answer

ça ne change rien. Lorsque je redemarre l'ordi, le virus n'apparait qu'au bout de quelques secondes ce qui me permet d'ouvrir le logiciel et de commencer l'opération mais dès que le virus arrive l'application se ferme..

fix200 · Answer

MMMMMMMMMMMMM,
Je soupçonne une infection tibs ...

On vas trraiter ça ...

Si etes sous Vista désactivez l'UAC

Télécharge ComboFix de sUBs sur ton bureau 


/!\ Outil très puissant,sachez qu'une mauvaise utilisation du programme pourrait entraîner des problèmes dans le fonctionnement normal de votre ordinateur /!\ 


============> A lire, Impératif <============ 

AVANT d'utiliser ComboFix : 

&#x25B6; /!\ Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours. /!\ 
&#x25B6; (!) Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares et de TOUT tes logiciels de protection (!). 


&#x25B6; Renome Combofix.exe en F-Combo.exe

&#x25B6; Double clique sur F-Combo.exe afin de le lancer (Sous Vista: Clique droit et choisir exécuter en tant qu'administrateur") 

&#x25B6; Appuies sur la touche 1, pour que le programme commence à s'exécuter et suit les instructions à l'écran 

&#x25B6; Si il te demande d'installer la console de récupération, Accepte. En cas de problèmes d'installation: tuto

*/!\ Ne touche a rien pendant le scan /!\ 

&#x25B6; Si il te demande de redémarrer , accepte 

&#x25B6; Après le redémarrage du PC, un rapport s'ouvrira dans le Bloc notes en fin d'analyse, copie et colle le dans ton a ta prochaine réponse 


(Le fichier rapport Combofix.txt , est ensuite automatiquement sauvegardé dans C:\Combofix.txt) 

A+

toj · Answer

Je suis bien sous vista, questions idiotes: comment désactiver internet ainsi que les antivirus?
Désolée pour mon incompetence..

fix200 · Answer

comment désactiver internet
MDR :)

pas désactiver internet, je veux dire tu te déconnecte.

Pour F-sécure je ne sais pas car je ne l'utilise pas.

Mais, surement comme tous les antivirus clic droit puis désactiver le protection (ou quelque chose comme ça)

toj · Answer

:( je suis vraiment nul mais il me semble que l'antivirus est l'antivirus firewall et non f-secure.

fix200 · Answer

l'antivirus est l'antivirus firewall et non f-secure.
non.

Antivirus firewal = F-secure.

Clic droit >> Choisir "Virus spywares" puis désactive-les.


++

toj · Answer

Le virus m'empeche de desactiver l'antivirus, est ce que c'est grave?

fix200 · Answer

Nan , c'est pas le virus 

C toi même ...

Ton antivirus est facile a utiliser ...

Tu n'as qu'a l'ouvrir et chercher comment le désactiver , ça ne demande aucune compétence .....

toj · Answer

Le probleme c'est que je ne peux ouvrir aucun programme, dès que je double clique sur firewall ou sur combo un message de systeme security me dit: "Warning application cannot be executed. The program is infected...

fix200 · Answer

FFFFFFFFFFFF

Tu as renomé combofix? comme demandé

toj · Answer

Oui je l'ai renomé.
FFFFF???  si ça vous prend trop de temps je comprend, dites le moi.

fix200 · Answer

FFFFF??? si ça vous prend trop de temps je comprend, dites le moi.

Non pas du tout.

FFFFF, car tu es trés infecté , voila ce qu'il arrive quand on clic sur n importe quoi.

Ressaie combofix , et cette fois ignore les alertes.

toj · Answer

Quand le message apparait l'ouverture s'arrête immédiatement, je ne peux donc passer outre...
Je me demandais aussi si de reinstaller tout l'ordinateur pouvait enlever le virus, cela posant un autre problème car mon ordinateur ne possède pas de cd d'installation.

fix200 · Answer

Attends , on va essayer de faire autrement ...


Si vous êtes sous Vista Désactivez l'UAC

Télécharge OTM (Old Timer) sur ton bureau:

---> Sous XP: Double-clique sur OTM.exe afin de le lancer.
     Sous Vista: fais un clic droit sur OTM et choisis "exécuter en tant qu'administrateur"

---> Copie (Ctrl+C) le texte suivant ci-dessous : 

:Processes 
explorer.exe
13268674.exe 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
"EoEngine"=C:\Program Files\EoRezo\EoEngine.exe [2009-02-23 472872]
"Windows UDP Control Center"=-
"sysldtray"=-
"pp"=-
"sysfbtray"=-
"19462744"=-
"13268674"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"=""
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c5cc229-5ceb-11de-a75f-002186076d4b}] 
:Files
C:\Program Files\EoRezo
C:\ProgramData\13268674
C:\ProgramData\19462744
C:\Users\Olive\AppData\Roaming\EoRezo  
:Commands
[start explorer]
[emptytemp]
[purity]
[reboot]

---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

---> Clique maintenant sur le bouton MoveIt! puis ferme OTM.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

---> Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

Ensuite:

Télécharge Gmer (by Przemyslaw Gmerek)


Dézippes gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

Les lignes rouges indiquent la présence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans démarrer ,puis ouvres le bloc note,vas dans édition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

Ensuite

sur les lignes rouge:

Services:cliques droit delete service
Process:cliques droit kill process
Adl ,file:cliques droit delete files 

ensuite reposte un nouveau log RSIT pour le contrôle ...

++

toj · Answer

Je suis les instructions, je fai le clique droit et executer en tant qu'administrateur mais rien ne s'ouvre, je ne peux donc pas faire la suite..

fix200 · Answer

Tu essaye avec un double clique.
++

toj · Answer

C'est pareil, je vais me mettre a pleurer!!!

fix200 · Answer

Essaye Gmer .

:'/

toj · Answer

Gmer s'ouvre !!!! Je dois en faire quoi vu que je n'ai pas ouvert OTM  ?

fix200 · Answer

Voir en haut:

Dézippes gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

Les lignes rouges indiquent la présence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans démarrer ,puis ouvres le bloc note,vas dans édition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

Ensuite

sur les lignes rouge:

Services:cliques droit delete service
Process:cliques droit kill process
Adl ,file:cliques droit delete files

ensuite reposte un nouveau log RSIT pour le contrôle ...

++

toj · Answer

Comment on dezipe??? et ou est rootkit?

fix200 · Answer

Comment on dezipe??? et ou est rootkit?
La, je vois que tu n'est vraiment pas doué(e) ...

Clic droit >> Extraire tout >> laisse le te guider. ...

toj · Answer

Ne pas se moquer même si je l'accorde je ne suis pas douée.. enfin j'ai extrais et on me presente toujour un dossier gmer (le signe n'est plus une pochette avec un zip :) ) mais je ne voi pas de rootkit.

fix200 · Answer

Tu double clique sur "Gmer.exe"

Je pense qu'il ya des rootkit, suis exactement les instructions.

toj · Answer

Toujours le même problème, le virus empêche son ouverture.

toj · Answer

J'abandonne pour aujourd'hui, je vous dis un grand merci pour votre aide et votre patience; je me replonge dans le problème dans la semaine.

missfat · Answer

bonjour
je ne suis pas du tout une experte mais j'ai eu le même probleme il ya qq jours et je devais demarrer en mode sans echec avec prise en charge reseau, c'est le seul moyen de pouvoir faire qq chose car en effet le virus bloque tout le pc 
ensuite j'ai suivi les instruction d'un helpeur et maintenant tout est rentré ds l'ordre 

bon courage

Lyonnais92 · Answer

Re,

le post 32 ne mènera à rien.

faire supprimer des données issues de gmer sans les avoir examinées est hallucinant.

Il faut renommer les outils au moment de l'ouverture de la fenêtre qui demande de fournir les paramètres du téléchargement. Les renommer après ne fonctionne pas. Les canned speech sont très imprécis sur ce point.

toj · Answer

Bonjour,
Je viens de rallumer mon ordinateur et les programmes peuvent enfin s'ouvrire, je decouvre vos nouveaux messages et vous remercies; en revanche rien ne me prouve que le virus n'est plus sur l'ordinateur (il ne s'est surement pas envolé) donc je suis un peu perdue avec vos nombreuses reponses et ne sais laquelle dois je suivre. Merci d'avance

fix200 · Answer

Hello,
Celle ci --> http://www.commentcamarche.net/forum/affich 12971637 virus system security?page=2#34

++

toj · Answer

Voici le rapport: (merci merci)

ComboFix 09-06-22.0D - Olive 23/06/2009 17:47.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium   6.0.6001.1.1252.33.1036.18.3070.1536 [GMT 2:00]
Lancé depuis: c:\users\Olive\Desktop\maths\C-FIX.exe
AV: AntiVirus Firewall 7.03 *On-access scanning disabled* (Updated) {E7512ED5-4245-4B4D-AF3A-382D3F313F15}
FW: AntiVirus Firewall 7.03 *enabled* {D4747503-0346-49EB-9262-997542F79BF4}
SP: AntiVirus Firewall 7.03 *disabled* (Updated) {0651C4B0-1D7E-4682-B965-2E9523C483A5}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-2953666331-2871950449-2251577109-500
c:\$recycle.bin\S-1-5-21-3983755986-1279600414-361464282-500
c:\windows\system32\dAhXa1wYufU3ZRR.vbs
c:\$recycle.bin\S-1-5-21-2953666331-2871950449-2251577109-500\desktop.ini
c:\$recycle.bin\S-1-5-21-3983755986-1279600414-361464282-500\desktop.ini
c:\users\Olive\AppData\Roaming\02000000a8b26d8e579C.manifest
c:\users\Olive\AppData\Roaming\02000000a8b26d8e579O.manifest
c:\users\Olive\AppData\Roaming\02000000a8b26d8e579P.manifest
c:\users\Olive\AppData\Roaming\02000000a8b26d8e579S.manifest
c:\windows\9g2234wesdf3dfgjf23
c:\windows\system32\KBL.LOG
c:\windows\zaponce53198.dat
c:\windows\zaponce53290.dat
D:\Desktop.ini

.
(((((((((((((((((((((((((((((   Fichiers créés du 2009-05-23 au 2009-06-23  ))))))))))))))))))))))))))))))))))))
.

2009-06-23 14:25 . 2009-06-23 14:25	48	---ha-w-	c:\windows\system32\ezsidmv.dat
2009-06-21 09:44 . 2009-06-21 09:45	--------	d-----w-	c:\program files\Ad-remover
2009-06-21 09:18 . 2009-06-21 09:20	--------	d-----w-	C:\GenProc
2009-06-20 14:41 . 2009-06-20 14:42	--------	d-----w-	c:\program files	rend micro
2009-06-20 14:41 . 2009-06-20 14:42	--------	d-----w-	C:sit
2009-06-19 15:23 . 2008-06-20 01:14	97800	----a-w-	c:\windows\system32\infocardapi.dll
2009-06-19 15:22 . 2008-06-20 01:14	105016	----a-w-	c:\windows\system32\PresentationCFFRasterizerNative_v0300.dll
2009-06-19 15:22 . 2008-06-20 01:14	622080	----a-w-	c:\windows\system32\icardagt.exe
2009-06-19 15:22 . 2008-06-20 01:14	43544	----a-w-	c:\windows\system32\PresentationHostProxy.dll
2009-06-19 15:22 . 2008-06-20 01:14	11264	----a-w-	c:\windows\system32\icardres.dll
2009-06-19 15:22 . 2008-06-20 01:14	781344	----a-w-	c:\windows\system32\PresentationNative_v0300.dll
2009-06-19 15:22 . 2008-06-20 01:14	326160	----a-w-	c:\windows\system32\PresentationHost.exe
2009-06-19 15:15 . 2008-07-27 18:03	96760	----a-w-	c:\windows\system32\dfshim.dll
2009-06-19 15:15 . 2008-07-27 18:03	282112	----a-w-	c:\windows\system32\mscoree.dll
2009-06-19 15:15 . 2008-07-27 18:03	41984	----a-w-	c:\windows\system32
etfxperf.dll
2009-06-19 15:15 . 2008-07-27 18:03	158720	----a-w-	c:\windows\system32\mscorier.dll
2009-06-19 15:14 . 2008-07-27 18:03	83968	----a-w-	c:\windows\system32\mscories.dll
2009-06-14 15:52 . 2009-06-23 14:24	--------	d-----w-	c:\programdata\13268674
2009-06-14 15:29 . 2009-06-14 15:29	--------	d-----w-	c:\programdata\19462744
2009-06-14 15:20 . 2009-06-14 15:20	3257	---h--w-	c:\windows\bf5087.dat
2009-06-14 14:02 . 2009-06-14 14:02	1	----a-w-	c:\windows\dk39fi4fe.dat
2009-06-14 14:01 . 2009-06-14 14:01	1	---h--w-	c:\windows\bf23567.dat
2009-06-11 10:20 . 2009-04-21 11:55	2033152	----a-w-	c:\windows\system32\win32k.sys
2009-06-11 10:20 . 2009-04-23 12:42	636928	----a-w-	c:\windows\system32\localspl.dll
2009-06-11 10:20 . 2009-04-23 12:43	784896	----a-w-	c:\windows\system32pcrt4.dll
2009-06-11 10:20 . 2009-04-24 16:05	827904	----a-w-	c:\windows\system32\wininet.dll
2009-06-11 10:19 . 2009-04-24 13:44	26624	----a-w-	c:\windows\system32\ieUnatt.exe
2009-06-11 10:19 . 2009-04-24 16:02	78336	----a-w-	c:\windows\system32\ieencode.dll
2009-06-09 07:38 . 2009-06-09 07:38	456304	----a-w-	c:\programdata\Google\Google Toolbar\Update\gtb65F6.tmp.exe

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-23 14:26 . 2009-01-25 20:33	--------	d-----w-	c:\programdata\Google Updater
2009-06-23 14:25 . 2008-12-25 14:15	--------	d-----w-	c:\users\Olive\AppData\Roaming\skypePM
2009-06-23 14:25 . 2008-12-27 15:56	--------	d-----w-	c:\users\Olive\AppData\Roaming\EoRezo
2009-06-23 14:24 . 2008-12-27 15:56	--------	d-----w-	c:\program files\EoRezo
2009-06-21 14:38 . 2008-07-24 05:55	12	----a-w-	c:\windows\bthservsdp.dat
2009-06-20 14:41 . 2009-02-09 23:04	7592	----a-w-	c:\users\Olive\AppData\Local\d3d9caps.dat
2009-06-19 16:21 . 2008-03-07 05:14	676592	----a-w-	c:\windows\system32\perfh00C.dat
2009-06-19 16:21 . 2008-03-07 05:14	126880	----a-w-	c:\windows\system32\perfc00C.dat
2009-06-19 16:20 . 2008-12-22 15:37	108248	----a-w-	c:\users\Olive\AppData\Local\GDIPFONTCACHEV1.DAT
2009-06-19 15:41 . 2008-03-06 21:39	--------	d-----w-	c:\programdata\Microsoft Help
2009-06-14 17:05 . 2008-12-25 10:29	--------	d-----w-	c:\users\Olive\AppData\Roaming\LimeWire
2009-06-11 22:28 . 2008-03-06 21:17	--------	d-----w-	c:\program files\Microsoft Works
2009-06-11 06:12 . 2008-12-24 21:58	1915520	----a-w-	c:\users\Olive\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe
2009-06-03 22:21 . 2009-02-17 18:05	--------	d-----w-	c:\users\Olive\AppData\Roaming\dvdcss
2009-05-16 16:35 . 2009-05-10 13:14	--------	d-----w-	c:\program files\RaybanMirror
2009-05-10 16:42 . 2009-05-10 16:42	--------	d-----w-	c:\users\Olive\AppData\Roaming\Fit3DLive
2009-05-06 16:17 . 2008-12-25 14:13	--------	d-----w-	c:\users\Olive\AppData\Roaming\Skype
2009-04-26 10:43 . 2009-04-26 10:43	0	---ha-w-	c:\windows\system32\drivers\Msft_User_WpdMtpDr_01_00_00.Wdf
2009-04-26 10:29 . 2008-12-22 15:31	--------	d-----w-	c:\users\Olive\AppData\Roaming\Hewlett-Packard
2009-04-26 10:27 . 2009-04-26 10:27	--------	d-----w-	c:\program files\Samsung
2009-04-26 10:27 . 2008-03-06 20:36	--------	d--h--w-	c:\program files\InstallShield Installation Information
2009-04-26 10:27 . 2008-03-06 20:32	--------	d-----w-	c:\program files\Hewlett-Packard
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2007-08-23 455968]
"HPAdvisor"="c:\program files\Hewlett-Packard\HP Advisor\HPAdvisor.exe" [2007-10-01 1783136]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-11-18 21633320]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-01-25 39408]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvSvc"="c:\windows\system32
vsvc.dll" [2007-09-19 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-09-19 8497696]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-09-19 81920]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2007-03-11 159744]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-07-25 174616]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2007-12-19 468264]
"QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-09-19 202032]
"OnScreenDisplay"="c:\program files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe" [2007-09-04 554320]
"UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2007-08-16 218408]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-09-13 480560]
"WAWifiMessage"="c:\program files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe" [2007-01-08 311296]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 132496]
"F-Secure Manager"="c:\program files\Orange\AntivirusFirewall\Common\FSM32.EXE" [2008-04-23 182936]
"F-Secure TNB"="c:\program files\Orange\AntivirusFirewall\FSGUI\TNBUtil.exe" [2008-04-23 744032]
"EoEngine"="c:\program files\EoRezo\EoEngine.exe" [2009-02-23 472872]
"ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe" [2007-12-12 107248]
"fssui"="c:\program files\Windows Live\Family Safety\fsui.exe" [2009-02-06 454000]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SoftwareHelper"="c:\users\Olive\AppData\Roaming\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe" [2008-12-09 368224]

c:\users\Olive\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Outil de notification Live Search.lnk - c:\users\Olive\AppData\Roaming\Microsoft\Live Search\Notification-LiveSearch.exe [2008-12-26 143360]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-9-5 727592]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{F986AD45-3D68-4EB9-BD40-DC5B96B86266}"= UDP:c:\program files\Common Files\AOL\Loader\aolload.exe:AOL Loader
"{CC97F759-633E-4B96-99BA-F2BACDCC0198}"= TCP:c:\program files\Common Files\AOL\Loader\aolload.exe:AOL Loader
"{6320805D-B0B6-4E2D-A635-BBB1EF5FE9B3}"= c:\program files\Cyberlink\PowerDirector\PDR.EXE:CyberLink PowerDirector
"{2648016C-1312-4404-BDE4-786B2B6E4468}"= c:\program files\HP\QuickPlay\QP.exe:Quick Play
"{A73EB178-FD4A-4406-9387-FC99093F7CE1}"= c:\program files\HP\QuickPlay\QPService.exe:Quick Play Resident Program
"{4D2CBDDB-9E8C-4686-B628-E91E2CBB931F}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{85097506-13B2-47F9-8C38-03CEF85087A3}"= TCP:6004|c:\program files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{868E96A5-C673-4BD8-A750-F6ED88B230F2}"= c:\program files\Windows Live\Sync\WindowsLiveSync.exe:Windows Live Sync

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"c:\Program Files\OrangeHSS\Connectivity\ConnectivityManager.exe"= c:\program files\OrangeHSS\Connectivity\ConnectivityManager.exe:*:enabled:CSS

R1 F-Secure HIPS;F-Secure HIPS;c:\program files\Orange\AntivirusFirewall\HIPS\fshs.sys [23/12/2008 15:42 41184]
R1 FSES;F-Secure Email Scanning Driver;c:\windows\System32\drivers\fses.sys [23/12/2008 15:42 34752]
R1 FSFW;F-Secure Firewall Driver;c:\windows\System32\drivers\fsdfw.sys [23/12/2008 15:42 60064]
R1 fsvista;F-Secure Vista Support Driver;c:\program files\Orange\AntivirusFirewall\Anti-Virus\minifilter\fsvista.sys [23/12/2008 15:41 12896]
R2 fssfltr;FssFltr;c:\windows\System32\drivers\fssfltr.sys [26/12/2008 21:22 55264]
R2 fsssvc;Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [06/02/2009 19:08 533360]
R3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\program files\Orange\AntivirusFirewall\Anti-Virus\minifilter\fsgk.sys [23/12/2008 15:41 62048]
S3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\System32\drivers\PCAMp50.sys [17/02/2009 14:41 28224]
S4 F-Secure Filter;F-Secure File System Filter;c:\program files\Orange\AntivirusFirewall\Anti-Virus\win2k\fsfilter.sys [23/12/2008 15:41 39776]
S4 F-Secure Recognizer;F-Secure File System Recognizer;c:\program files\Orange\AntivirusFirewall\Anti-Virus\win2k\fsrec.sys [23/12/2008 15:41 25184]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs	REG_MULTI_SZ   	BthServ

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\program files\Common Files\LightScribe\LSRunOnce.exe"
.
Contenu du dossier 'Tâches planifiées'

2009-06-23 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-12-25 17:53]

2009-06-23 c:\windows\Tasks\User_Feed_Synchronization-{EACA1F9D-7DA9-463A-A478-B21C79F75452}.job
- c:\windows\system32\msfeedssync.exe [2008-01-21 02:24]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-HP Health Check Scheduler - [ProgramFilesFolder]Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
HKLM-Run-sysfbtray - c:\windows\freddy46.exe
HKLM-Run-19462744 - c:\programdata\19462744\19462744.exe
HKLM-Run-13268674 - c:\programdata\13268674\13268674.exe


.
------- Examen supplémentaire -------
.
uStart Page = hxxp://y.lo.st
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=81&bd=Pavilion&pf=laptop
IE: &Recherche AOL Toolbar - c:\program files\aol\aol toolbar 5.0esources\fr-fr\local\search.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
IE: Envoyer l'&image au périphérique Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
LSP: c:\program files\Orange\AntivirusFirewall\FSPS\program\FSLSP.DLL
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-23 17:51
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2009-06-23 17:53
ComboFix-quarantined-files.txt  2009-06-23 15:53

Avant-CF: 211 412 193 280 octets libres
Après-CF: 212 312 358 912 octets libres

211	--- E O F ---	2009-06-23 14:30

fix200 · Answer

Très bien ...

**

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"EoEngine"=-

File::
c:\windows\bthservsdp.dat 
c:\windows\system32\ezsidmv.dat 
c:\windows\bf5087.dat
c:\windows\dk39fi4fe.dat
c:\windows\bf23567.dat

Folder::
c:\programdata\13268674
c:\programdata\19462744
c:\users\Olive\AppData\Roaming\EoRez­o
c:\program files\EoRezo 



- Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)

- Sauvegarde ce fichier sous le nom de CFScript.txt

- Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ceci

Cela va relancer Combofix,

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt

toj · Answer

Ils ne me demandent pas de taper un ni de redemarrer l'ordinateur mais cela à l'air de fonctionner, voici le rapport:

ComboFix 09-06-22.0D - Olive 23/06/2009 18:42.2 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium   6.0.6001.1.1252.33.1036.18.3070.1438 [GMT 2:00]
Lancé depuis: c:\users\Olive\Documents\Desktop\C-FIX.exe
Commutateurs utilisés :: c:\users\Olive\Documents\Desktop\CFScript.txt
AV: AntiVirus Firewall 7.03 *On-access scanning disabled* (Updated) {E7512ED5-4245-4B4D-AF3A-382D3F313F15}
FW: AntiVirus Firewall 7.03 *enabled* {D4747503-0346-49EB-9262-997542F79BF4}
SP: AntiVirus Firewall 7.03 *disabled* (Updated) {0651C4B0-1D7E-4682-B965-2E9523C483A5}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

FILE ::
"c:\windows\bf23567.dat"
"c:\windows\bf5087.dat"
"c:\windows\bthservsdp.dat"
"c:\windows\dk39fi4fe.dat"
"c:\windows\system32\ezsidmv.dat"
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\EoRezo
c:\programdata\13268674
c:\programdata\19462744
c:\program files\EoRezo\ConfMedia.cyp
c:\program files\EoRezo\EoAdv\atl90.dll
c:\program files\EoRezo\EoAdv\EoAdv.dll
c:\program files\EoRezo\EoAdv\EoRezoBHO.dll
c:\program files\EoRezo\EoAdv\mfc90.dll
c:\program files\EoRezo\EoAdv\Microsoft.VC90.ATL.manifest
c:\program files\EoRezo\EoAdv\Microsoft.VC90.CRT.manifest
c:\program files\EoRezo\EoAdv\Microsoft.VC90.MFC.manifest
c:\program files\EoRezo\EoAdv\msvcr90.dll
c:\program files\EoRezo\EoEngine.exe
c:\program files\EoRezo\eoEngine.url
c:\program files\EoRezo\EoMultiLanguage.dll
c:\program files\EoRezo\EoRezoComm.dll
c:\program files\EoRezo\EoRezoImg_17.dll
c:\program files\EoRezo\EoRezoImg_19.dll
c:\program files\EoRezo\EoRezoImg_20.dll
c:\program files\EoRezo\EoRezoImg_21.dll
c:\program files\EoRezo\EoRezoImg_22.dll
c:\program files\EoRezo\EoRezoImg_23.dll
c:\program files\EoRezo\EoRezoTools_16.dll
c:\program files\EoRezo\EoRezoTools_17.dll
c:\program files\EoRezo\EoRezoTools_18.dll
c:\program files\EoRezo\EoRezoTools_20.dll
c:\program files\EoRezo\EoRezoTools_21.dll
c:\program files\EoRezo\EoRezoTools_26.dll
c:\program files\EoRezo\EoRezoTools_27.dll
c:\program files\EoRezo\EoRezoTools_28.dll
c:\program files\EoRezo\EoRezoTools_29.dll
c:\program files\EoRezo\EoRezoTools_30.dll
c:\program files\EoRezo\FreeImage.dll
c:\program files\EoRezo\Host.cyp
c:\program files\EoRezo\lang\ihm_eoclock.xml
c:\program files\EoRezo\lang\ihm_eoengine.xml
c:\program files\EoRezo\lang\ihm_eonet.xml
c:\program files\EoRezo\lang\ihm_eorezotools.xml
c:\program files\EoRezo\lang\ihm_eosudoku.xml
c:\program files\EoRezo\lang\ihm_eoweather.xml
c:\program files\EoRezo\lang\lang_en.xml
c:\program files\EoRezo\lang\lang_es.xml
c:\program files\EoRezo\lang\lang_fr.xml
c:\program files\EoRezo\lang\lang_it.xml
c:\program files\EoRezo\MngInstaller.dll
c:\program files\EoRezo\unins000.dat
c:\program files\EoRezo\unins000.exe
c:\program files\EoRezo\user.cyp
c:\programdata\13268674\pc13268674ins
c:\programdata\19462744\19462744.glu
c:\windows\bf23567.dat
c:\windows\bf5087.dat
c:\windows\bthservsdp.dat
c:\windows\dk39fi4fe.dat
c:\windows\system32\ezsidmv.dat

.
(((((((((((((((((((((((((((((   Fichiers créés du 2009-05-23 au 2009-06-23  ))))))))))))))))))))))))))))))))))))
.

2009-06-21 09:44 . 2009-06-21 09:45	--------	d-----w-	c:\program files\Ad-remover
2009-06-21 09:18 . 2009-06-21 09:20	--------	d-----w-	C:\GenProc
2009-06-20 14:41 . 2009-06-20 14:42	--------	d-----w-	c:\program files	rend micro
2009-06-20 14:41 . 2009-06-20 14:42	--------	d-----w-	C:sit
2009-06-19 15:23 . 2008-06-20 01:14	97800	----a-w-	c:\windows\system32\infocardapi.dll
2009-06-19 15:22 . 2008-06-20 01:14	105016	----a-w-	c:\windows\system32\PresentationCFFRasterizerNative_v0300.dll
2009-06-19 15:22 . 2008-06-20 01:14	622080	----a-w-	c:\windows\system32\icardagt.exe
2009-06-19 15:22 . 2008-06-20 01:14	43544	----a-w-	c:\windows\system32\PresentationHostProxy.dll
2009-06-19 15:22 . 2008-06-20 01:14	11264	----a-w-	c:\windows\system32\icardres.dll
2009-06-19 15:22 . 2008-06-20 01:14	781344	----a-w-	c:\windows\system32\PresentationNative_v0300.dll
2009-06-19 15:22 . 2008-06-20 01:14	326160	----a-w-	c:\windows\system32\PresentationHost.exe
2009-06-19 15:15 . 2008-07-27 18:03	96760	----a-w-	c:\windows\system32\dfshim.dll
2009-06-19 15:15 . 2008-07-27 18:03	282112	----a-w-	c:\windows\system32\mscoree.dll
2009-06-19 15:15 . 2008-07-27 18:03	41984	----a-w-	c:\windows\system32
etfxperf.dll
2009-06-19 15:15 . 2008-07-27 18:03	158720	----a-w-	c:\windows\system32\mscorier.dll
2009-06-19 15:14 . 2008-07-27 18:03	83968	----a-w-	c:\windows\system32\mscories.dll
2009-06-11 10:20 . 2009-04-21 11:55	2033152	----a-w-	c:\windows\system32\win32k.sys
2009-06-11 10:20 . 2009-04-23 12:42	636928	----a-w-	c:\windows\system32\localspl.dll
2009-06-11 10:20 . 2009-04-23 12:43	784896	----a-w-	c:\windows\system32pcrt4.dll
2009-06-11 10:20 . 2009-04-24 16:05	827904	----a-w-	c:\windows\system32\wininet.dll
2009-06-11 10:19 . 2009-04-24 13:44	26624	----a-w-	c:\windows\system32\ieUnatt.exe
2009-06-11 10:19 . 2009-04-24 16:02	78336	----a-w-	c:\windows\system32\ieencode.dll
2009-06-09 07:38 . 2009-06-09 07:38	456304	----a-w-	c:\programdata\Google\Google Toolbar\Update\gtb65F6.tmp.exe

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-23 14:26 . 2009-01-25 20:33	--------	d-----w-	c:\programdata\Google Updater
2009-06-23 14:25 . 2008-12-25 14:15	--------	d-----w-	c:\users\Olive\AppData\Roaming\skypePM
2009-06-23 14:25 . 2008-12-27 15:56	--------	d-----w-	c:\users\Olive\AppData\Roaming\EoRezo
2009-06-20 14:41 . 2009-02-09 23:04	7592	----a-w-	c:\users\Olive\AppData\Local\d3d9caps.dat
2009-06-19 16:21 . 2008-03-07 05:14	676592	----a-w-	c:\windows\system32\perfh00C.dat
2009-06-19 16:21 . 2008-03-07 05:14	126880	----a-w-	c:\windows\system32\perfc00C.dat
2009-06-19 16:20 . 2008-12-22 15:37	108248	----a-w-	c:\users\Olive\AppData\Local\GDIPFONTCACHEV1.DAT
2009-06-19 15:41 . 2008-03-06 21:39	--------	d-----w-	c:\programdata\Microsoft Help
2009-06-14 17:05 . 2008-12-25 10:29	--------	d-----w-	c:\users\Olive\AppData\Roaming\LimeWire
2009-06-11 22:28 . 2008-03-06 21:17	--------	d-----w-	c:\program files\Microsoft Works
2009-06-11 06:12 . 2008-12-24 21:58	1915520	----a-w-	c:\users\Olive\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe
2009-06-03 22:21 . 2009-02-17 18:05	--------	d-----w-	c:\users\Olive\AppData\Roaming\dvdcss
2009-05-16 16:35 . 2009-05-10 13:14	--------	d-----w-	c:\program files\RaybanMirror
2009-05-10 16:42 . 2009-05-10 16:42	--------	d-----w-	c:\users\Olive\AppData\Roaming\Fit3DLive
2009-05-06 16:17 . 2008-12-25 14:13	--------	d-----w-	c:\users\Olive\AppData\Roaming\Skype
2009-04-26 10:43 . 2009-04-26 10:43	0	---ha-w-	c:\windows\system32\drivers\Msft_User_WpdMtpDr_01_00_00.Wdf
2009-04-26 10:29 . 2008-12-22 15:31	--------	d-----w-	c:\users\Olive\AppData\Roaming\Hewlett-Packard
2009-04-26 10:27 . 2009-04-26 10:27	--------	d-----w-	c:\program files\Samsung
2009-04-26 10:27 . 2008-03-06 20:36	--------	d--h--w-	c:\program files\InstallShield Installation Information
2009-04-26 10:27 . 2008-03-06 20:32	--------	d-----w-	c:\program files\Hewlett-Packard
.

(((((((((((((((((((((((((((((   SnapShot@2009-06-23_15.51.44   )))))))))))))))))))))))))))))))))))))))))
.
- 2008-12-22 15:21 . 2009-06-23 15:45	16384              c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2008-12-22 15:21 . 2009-06-23 16:34	16384              c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2008-12-22 15:21 . 2009-06-23 16:34	32768              c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2008-12-22 15:21 . 2009-06-23 15:45	32768              c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2008-12-22 15:21 . 2009-06-23 16:34	16384              c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2008-12-22 15:21 . 2009-06-23 15:45	16384              c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2007-08-23 455968]
"HPAdvisor"="c:\program files\Hewlett-Packard\HP Advisor\HPAdvisor.exe" [2007-10-01 1783136]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-11-18 21633320]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-01-25 39408]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvSvc"="c:\windows\system32
vsvc.dll" [2007-09-19 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-09-19 8497696]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-09-19 81920]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2007-03-11 159744]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-07-25 174616]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2007-12-19 468264]
"QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-09-19 202032]
"OnScreenDisplay"="c:\program files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe" [2007-09-04 554320]
"UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2007-08-16 218408]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-09-13 480560]
"WAWifiMessage"="c:\program files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe" [2007-01-08 311296]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 132496]
"F-Secure Manager"="c:\program files\Orange\AntivirusFirewall\Common\FSM32.EXE" [2008-04-23 182936]
"F-Secure TNB"="c:\program files\Orange\AntivirusFirewall\FSGUI\TNBUtil.exe" [2008-04-23 744032]
"ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe" [2007-12-12 107248]
"fssui"="c:\program files\Windows Live\Family Safety\fsui.exe" [2009-02-06 454000]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SoftwareHelper"="c:\users\Olive\AppData\Roaming\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe" [2008-12-09 368224]

c:\users\Olive\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Outil de notification Live Search.lnk - c:\users\Olive\AppData\Roaming\Microsoft\Live Search\Notification-LiveSearch.exe [2008-12-26 143360]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-9-5 727592]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{F986AD45-3D68-4EB9-BD40-DC5B96B86266}"= UDP:c:\program files\Common Files\AOL\Loader\aolload.exe:AOL Loader
"{CC97F759-633E-4B96-99BA-F2BACDCC0198}"= TCP:c:\program files\Common Files\AOL\Loader\aolload.exe:AOL Loader
"{6320805D-B0B6-4E2D-A635-BBB1EF5FE9B3}"= c:\program files\Cyberlink\PowerDirector\PDR.EXE:CyberLink PowerDirector
"{2648016C-1312-4404-BDE4-786B2B6E4468}"= c:\program files\HP\QuickPlay\QP.exe:Quick Play
"{A73EB178-FD4A-4406-9387-FC99093F7CE1}"= c:\program files\HP\QuickPlay\QPService.exe:Quick Play Resident Program
"{4D2CBDDB-9E8C-4686-B628-E91E2CBB931F}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{85097506-13B2-47F9-8C38-03CEF85087A3}"= TCP:6004|c:\program files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{868E96A5-C673-4BD8-A750-F6ED88B230F2}"= c:\program files\Windows Live\Sync\WindowsLiveSync.exe:Windows Live Sync

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"c:\Program Files\OrangeHSS\Connectivity\ConnectivityManager.exe"= c:\program files\OrangeHSS\Connectivity\ConnectivityManager.exe:*:enabled:CSS

R1 F-Secure HIPS;F-Secure HIPS;c:\program files\Orange\AntivirusFirewall\HIPS\fshs.sys [23/12/2008 15:42 41184]
R1 FSES;F-Secure Email Scanning Driver;c:\windows\System32\drivers\fses.sys [23/12/2008 15:42 34752]
R1 FSFW;F-Secure Firewall Driver;c:\windows\System32\drivers\fsdfw.sys [23/12/2008 15:42 60064]
R1 fsvista;F-Secure Vista Support Driver;c:\program files\Orange\AntivirusFirewall\Anti-Virus\minifilter\fsvista.sys [23/12/2008 15:41 12896]
R2 fssfltr;FssFltr;c:\windows\System32\drivers\fssfltr.sys [26/12/2008 21:22 55264]
R2 fsssvc;Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [06/02/2009 19:08 533360]
R3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\program files\Orange\AntivirusFirewall\Anti-Virus\minifilter\fsgk.sys [23/12/2008 15:41 62048]
S3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\System32\drivers\PCAMp50.sys [17/02/2009 14:41 28224]
S4 F-Secure Filter;F-Secure File System Filter;c:\program files\Orange\AntivirusFirewall\Anti-Virus\win2k\fsfilter.sys [23/12/2008 15:41 39776]
S4 F-Secure Recognizer;F-Secure File System Recognizer;c:\program files\Orange\AntivirusFirewall\Anti-Virus\win2k\fsrec.sys [23/12/2008 15:41 25184]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs	REG_MULTI_SZ   	BthServ

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\program files\Common Files\LightScribe\LSRunOnce.exe"
.
Contenu du dossier 'Tâches planifiées'

2009-06-23 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-12-25 17:53]

2009-06-23 c:\windows\Tasks\Scheduled scanning task.job
- c:\progra~1\Orange\ANTIVI~1\ANTI-V~1\fsav.exe [2008-12-23 16:11]

2009-06-23 c:\windows\Tasks\User_Feed_Synchronization-{EACA1F9D-7DA9-463A-A478-B21C79F75452}.job
- c:\windows\system32\msfeedssync.exe [2008-01-21 02:24]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-EoEngine - c:\program files\EoRezo\EoEngine.exe


.
------- Examen supplémentaire -------
.
uStart Page = hxxp://y.lo.st
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=81&bd=Pavilion&pf=laptop
IE: &Recherche AOL Toolbar - c:\program files\aol\aol toolbar 5.0esources\fr-fr\local\search.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
IE: Envoyer l'&image au périphérique Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
LSP: c:\program files\Orange\AntivirusFirewall\FSPS\program\FSLSP.DLL
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-23 18:44
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(912)
c:\program files\Orange\AntivirusFirewall\FWES\Program\fsdc.dll

- - - - - - - > 'lsass.exe'(728)
c:\program files\Orange\AntivirusFirewall\FWES\Program\fsdc.dll

- - - - - - - > 'csrss.exe'(616)
c:\program files\Orange\AntivirusFirewall\FWES\Program\fsdc.dll

- - - - - - - > 'csrss.exe'(680)
c:\program files\Orange\AntivirusFirewall\FWES\Program\fsdc.dll
.
Heure de fin: 2009-06-23 18:46
ComboFix-quarantined-files.txt  2009-06-23 16:46
ComboFix2.txt  2009-06-23 15:53

Avant-CF: 212 315 734 016 octets libres
Après-CF: 212 295 438 336 octets libres

269	--- E O F ---	2009-06-23 14:30

fix200 · Answer

Slt, On a bien avancés ... Dans l ordre: ^^^^ Folder:: c:\users\Olive\AppData\Roaming\EoRezo File:: c:\users\Olive\AppData\Local\d3d9caps.dat - Ouvre le Bloc-Notes puis colle le texte copié. (Démarrer\Tous les programmes\Accessoires\Bloc notes.) - Sauvegarde ce fichier sous le nom de CFScript.txt - Glisse maintenant le fichier CFScript.txt dans Combofix.exe Cela va relancer Combofix, Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide. Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. Après redémarrage, poste le contenu du rapport Combofix.txt Ensuite: ▶ Télécharge Toolscleaner sur ton Bureau ▶ Sous XP : Double-clique sur ToolsCleaner2.exe ▶ Sous Vista : Fais un clic droit sur ToolsCleaner2.exe et sélectionne "Exécuter en tant qu'administrateur" ▶ Clique sur Recherche et laisse le scan se terminer. ▶ Clique sur Suppression pour finaliser. ▶ Tu peux, si tu le souhaites, te servir des Options facultatives. ▶ Clique sur Quitter, pour que le rapport puisse se créer. ▶ Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse Ensuite: ********************************************************** ********************* Option S (Recherche) ********************* ********************************************************** Télécharge AD-Remover ( de C_XX ) sur ton bureau : ! Déconnecte toi et ferme toutes applications en cours ! • Double clique sur "AD-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut . • Double-clique sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil . • Au menu principal choisis l'option "S" et tape sur [entrée] . • Laisse travailler l'outil et ne touche à rien ... --> Poste le rapport qui apparait à la fin , sur le forum ... <-- Notes: 1- Le rapport est sauvegardé aussi sous C:\Ad-report-scan.log 2- "Process.exe", une composante de l'outil, est détecté par certains antivirus : (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. Aide (Installation) Aide (Recherche) ********************************************************** ********************* Option L (Nettoyage) ********************* ********************************************************** ! Déconnecte toi et ferme toutes applications en cours ! • Double-clique sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil . • Au menu principal choisis l'option "L" et tape sur [entrée] . • Laisse travailler l'outil et ne touche à rien ... --> Poste le rapport qui apparait à la fin , sur le forum ... <-- Notes: 1- Le rapport est sauvegardé aussi sous C:\Ad-report-clean.log 2- "Process.exe", une composante de l'outil, est détecté par certains antivirus : (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. Aide en images (Nettoyage) ... ++

toj · Answer

Bonjour, voici le premier rapport (de Combofixe ), je m'attaque à la suite :

ComboFix 09-06-22.0D - Olive 24/06/2009  9:01.3 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium   6.0.6001.1.1252.33.1036.18.3070.1908 [GMT 2:00]
Lancé depuis: c:\users\Olive\Documents\Desktop\C-FIX.exe
Commutateurs utilisés :: c:\users\Olive\Documents\Desktop\CFScript.txt
AV: AntiVirus Firewall 7.03 *On-access scanning disabled* (Updated) {E7512ED5-4245-4B4D-AF3A-382D3F313F15}
FW: AntiVirus Firewall 7.03 *enabled* {D4747503-0346-49EB-9262-997542F79BF4}
SP: AntiVirus Firewall 7.03 *disabled* (Updated) {0651C4B0-1D7E-4682-B965-2E9523C483A5}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

FILE ::
"c:\users\Olive\AppData\Local\d3d9caps.dat"
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\Olive\AppData\Roaming\EoRezo
c:\users\Olive\AppData\Local\d3d9caps.dat
c:\users\Olive\AppData\Roaming\EoRezo\cmhost.cyp
c:\users\Olive\AppData\Roaming\EoRezo\ConfMedia.cyp
c:\users\Olive\AppData\Roaming\EoRezo\db\cat.cyp
c:\users\Olive\AppData\Roaming\EoRezo\eoDesktop\config.xml
c:\users\Olive\AppData\Roaming\EoRezo\eoDesktop\eoDesktop.html
c:\users\Olive\AppData\Roaming\EoRezo\eoDesktop\userConfig.xml
c:\users\Olive\AppData\Roaming\EoRezo\eoStats\eoStats.txt
c:\users\Olive\AppData\Roaming\EoRezo\host.cyp
c:\users\Olive\AppData\Roaming\EoRezo\SoftwareUpdate\help_config.cyp
c:\users\Olive\AppData\Roaming\EoRezo\SoftwareUpdate\SoftwareUpdate.exe
c:\users\Olive\AppData\Roaming\EoRezo\SoftwareUpdate\SoftwareUpdateHP.exe
c:\users\Olive\AppData\Roaming\EoRezo\SoftwareUpdate\unins000.dat
c:\users\Olive\AppData\Roaming\EoRezo\SoftwareUpdate\unins000.exe
c:\users\Olive\AppData\Roaming\EoRezo\SoftwareUpdate\user_config.cyp
c:\users\Olive\AppData\Roaming\EoRezo\SoftwareUpdate\user_profil.cyp
c:\users\Olive\AppData\Roaming\EoRezo\user.cyp

.
(((((((((((((((((((((((((((((   Fichiers créés du 2009-05-24 au 2009-06-24  ))))))))))))))))))))))))))))))))))))
.

2009-06-24 06:54 . 2009-06-24 06:54	48	---ha-w-	c:\windows\system32\ezsidmv.dat
2009-06-21 09:44 . 2009-06-21 09:45	--------	d-----w-	c:\program files\Ad-remover
2009-06-21 09:18 . 2009-06-21 09:20	--------	d-----w-	C:\GenProc
2009-06-20 14:41 . 2009-06-20 14:42	--------	d-----w-	c:\program files	rend micro
2009-06-20 14:41 . 2009-06-20 14:42	--------	d-----w-	C:sit
2009-06-19 15:23 . 2008-06-20 01:14	97800	----a-w-	c:\windows\system32\infocardapi.dll
2009-06-19 15:22 . 2008-06-20 01:14	105016	----a-w-	c:\windows\system32\PresentationCFFRasterizerNative_v0300.dll
2009-06-19 15:22 . 2008-06-20 01:14	622080	----a-w-	c:\windows\system32\icardagt.exe
2009-06-19 15:22 . 2008-06-20 01:14	43544	----a-w-	c:\windows\system32\PresentationHostProxy.dll
2009-06-19 15:22 . 2008-06-20 01:14	11264	----a-w-	c:\windows\system32\icardres.dll
2009-06-19 15:22 . 2008-06-20 01:14	781344	----a-w-	c:\windows\system32\PresentationNative_v0300.dll
2009-06-19 15:22 . 2008-06-20 01:14	326160	----a-w-	c:\windows\system32\PresentationHost.exe
2009-06-19 15:15 . 2008-07-27 18:03	96760	----a-w-	c:\windows\system32\dfshim.dll
2009-06-19 15:15 . 2008-07-27 18:03	282112	----a-w-	c:\windows\system32\mscoree.dll
2009-06-19 15:15 . 2008-07-27 18:03	41984	----a-w-	c:\windows\system32
etfxperf.dll
2009-06-19 15:15 . 2008-07-27 18:03	158720	----a-w-	c:\windows\system32\mscorier.dll
2009-06-19 15:14 . 2008-07-27 18:03	83968	----a-w-	c:\windows\system32\mscories.dll
2009-06-11 10:20 . 2009-04-21 11:55	2033152	----a-w-	c:\windows\system32\win32k.sys
2009-06-11 10:20 . 2009-04-23 12:42	636928	----a-w-	c:\windows\system32\localspl.dll
2009-06-11 10:20 . 2009-04-23 12:43	784896	----a-w-	c:\windows\system32pcrt4.dll
2009-06-11 10:20 . 2009-04-24 16:05	827904	----a-w-	c:\windows\system32\wininet.dll
2009-06-11 10:19 . 2009-04-24 13:44	26624	----a-w-	c:\windows\system32\ieUnatt.exe
2009-06-11 10:19 . 2009-04-24 16:02	78336	----a-w-	c:\windows\system32\ieencode.dll
2009-06-09 07:38 . 2009-06-09 07:38	456304	----a-w-	c:\programdata\Google\Google Toolbar\Update\gtb65F6.tmp.exe

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-24 06:54 . 2008-12-25 14:15	--------	d-----w-	c:\users\Olive\AppData\Roaming\skypePM
2009-06-23 14:26 . 2009-01-25 20:33	--------	d-----w-	c:\programdata\Google Updater
2009-06-19 16:21 . 2008-03-07 05:14	676592	----a-w-	c:\windows\system32\perfh00C.dat
2009-06-19 16:21 . 2008-03-07 05:14	126880	----a-w-	c:\windows\system32\perfc00C.dat
2009-06-19 16:20 . 2008-12-22 15:37	108248	----a-w-	c:\users\Olive\AppData\Local\GDIPFONTCACHEV1.DAT
2009-06-19 15:41 . 2008-03-06 21:39	--------	d-----w-	c:\programdata\Microsoft Help
2009-06-14 17:05 . 2008-12-25 10:29	--------	d-----w-	c:\users\Olive\AppData\Roaming\LimeWire
2009-06-11 22:28 . 2008-03-06 21:17	--------	d-----w-	c:\program files\Microsoft Works
2009-06-11 06:12 . 2008-12-24 21:58	1915520	----a-w-	c:\users\Olive\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe
2009-06-03 22:21 . 2009-02-17 18:05	--------	d-----w-	c:\users\Olive\AppData\Roaming\dvdcss
2009-05-16 16:35 . 2009-05-10 13:14	--------	d-----w-	c:\program files\RaybanMirror
2009-05-10 16:42 . 2009-05-10 16:42	--------	d-----w-	c:\users\Olive\AppData\Roaming\Fit3DLive
2009-05-06 16:17 . 2008-12-25 14:13	--------	d-----w-	c:\users\Olive\AppData\Roaming\Skype
2009-04-26 10:43 . 2009-04-26 10:43	0	---ha-w-	c:\windows\system32\drivers\Msft_User_WpdMtpDr_01_00_00.Wdf
2009-04-26 10:29 . 2008-12-22 15:31	--------	d-----w-	c:\users\Olive\AppData\Roaming\Hewlett-Packard
2009-04-26 10:27 . 2009-04-26 10:27	--------	d-----w-	c:\program files\Samsung
2009-04-26 10:27 . 2008-03-06 20:36	--------	d--h--w-	c:\program files\InstallShield Installation Information
2009-04-26 10:27 . 2008-03-06 20:32	--------	d-----w-	c:\program files\Hewlett-Packard
.

(((((((((((((((((((((((((((((   SnapShot@2009-06-23_15.51.44   )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-01-21 01:58 . 2009-06-24 06:54	52050              c:\windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2006-11-02 13:05 . 2009-06-24 06:54	81658              c:\windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
+ 2008-12-22 15:21 . 2009-06-24 06:57	16384              c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2008-12-22 15:21 . 2009-06-23 15:45	16384              c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2008-12-22 15:21 . 2009-06-24 06:57	32768              c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2008-12-22 15:21 . 2009-06-23 15:45	32768              c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2008-12-22 15:21 . 2009-06-24 06:57	16384              c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2008-12-22 15:21 . 2009-06-23 15:45	16384              c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2008-12-22 15:25 . 2009-06-23 14:26	7580              c:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-2953666331-2871950449-2251577109-1000_UserData.bin
+ 2008-12-22 15:25 . 2009-06-24 06:54	7580              c:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-2953666331-2871950449-2251577109-1000_UserData.bin
+ 2009-06-24 06:52 . 2009-06-24 06:52	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2009-06-23 14:24 . 2009-06-23 14:24	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2009-06-23 14:24 . 2009-06-23 14:24	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2009-06-24 06:52 . 2009-06-24 06:52	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2008-12-22 15:47 . 2009-06-23 21:43	291694              c:\windows\System32\WDI\SuspendPerformanceDiagnostics_SystemData_S3.bin
+ 2008-12-22 15:55 . 2009-06-23 22:28	124120              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache3.0.0.0.dat
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2007-08-23 455968]
"HPAdvisor"="c:\program files\Hewlett-Packard\HP Advisor\HPAdvisor.exe" [2007-10-01 1783136]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-11-18 21633320]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-01-25 39408]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvSvc"="c:\windows\system32
vsvc.dll" [2007-09-19 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-09-19 8497696]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-09-19 81920]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2007-03-11 159744]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-07-25 174616]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2007-12-19 468264]
"QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-09-19 202032]
"OnScreenDisplay"="c:\program files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe" [2007-09-04 554320]
"UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2007-08-16 218408]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-09-13 480560]
"WAWifiMessage"="c:\program files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe" [2007-01-08 311296]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 132496]
"F-Secure Manager"="c:\program files\Orange\AntivirusFirewall\Common\FSM32.EXE" [2008-04-23 182936]
"F-Secure TNB"="c:\program files\Orange\AntivirusFirewall\FSGUI\TNBUtil.exe" [2008-04-23 744032]
"ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe" [2007-12-12 107248]
"fssui"="c:\program files\Windows Live\Family Safety\fsui.exe" [2009-02-06 454000]

c:\users\Olive\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Outil de notification Live Search.lnk - c:\users\Olive\AppData\Roaming\Microsoft\Live Search\Notification-LiveSearch.exe [2008-12-26 143360]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-9-5 727592]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{F986AD45-3D68-4EB9-BD40-DC5B96B86266}"= UDP:c:\program files\Common Files\AOL\Loader\aolload.exe:AOL Loader
"{CC97F759-633E-4B96-99BA-F2BACDCC0198}"= TCP:c:\program files\Common Files\AOL\Loader\aolload.exe:AOL Loader
"{6320805D-B0B6-4E2D-A635-BBB1EF5FE9B3}"= c:\program files\Cyberlink\PowerDirector\PDR.EXE:CyberLink PowerDirector
"{2648016C-1312-4404-BDE4-786B2B6E4468}"= c:\program files\HP\QuickPlay\QP.exe:Quick Play
"{A73EB178-FD4A-4406-9387-FC99093F7CE1}"= c:\program files\HP\QuickPlay\QPService.exe:Quick Play Resident Program
"{4D2CBDDB-9E8C-4686-B628-E91E2CBB931F}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{85097506-13B2-47F9-8C38-03CEF85087A3}"= TCP:6004|c:\program files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{868E96A5-C673-4BD8-A750-F6ED88B230F2}"= c:\program files\Windows Live\Sync\WindowsLiveSync.exe:Windows Live Sync

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"c:\Program Files\OrangeHSS\Connectivity\ConnectivityManager.exe"= c:\program files\OrangeHSS\Connectivity\ConnectivityManager.exe:*:enabled:CSS

R1 F-Secure HIPS;F-Secure HIPS;c:\program files\Orange\AntivirusFirewall\HIPS\fshs.sys [23/12/2008 15:42 41184]
R1 FSES;F-Secure Email Scanning Driver;c:\windows\System32\drivers\fses.sys [23/12/2008 15:42 34752]
R1 FSFW;F-Secure Firewall Driver;c:\windows\System32\drivers\fsdfw.sys [23/12/2008 15:42 60064]
R1 fsvista;F-Secure Vista Support Driver;c:\program files\Orange\AntivirusFirewall\Anti-Virus\minifilter\fsvista.sys [23/12/2008 15:41 12896]
R2 fssfltr;FssFltr;c:\windows\System32\drivers\fssfltr.sys [26/12/2008 21:22 55264]
R2 fsssvc;Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [06/02/2009 19:08 533360]
R3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\program files\Orange\AntivirusFirewall\Anti-Virus\minifilter\fsgk.sys [23/12/2008 15:41 62048]
S3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\System32\drivers\PCAMp50.sys [17/02/2009 14:41 28224]
S4 F-Secure Filter;F-Secure File System Filter;c:\program files\Orange\AntivirusFirewall\Anti-Virus\win2k\fsfilter.sys [23/12/2008 15:41 39776]
S4 F-Secure Recognizer;F-Secure File System Recognizer;c:\program files\Orange\AntivirusFirewall\Anti-Virus\win2k\fsrec.sys [23/12/2008 15:41 25184]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs	REG_MULTI_SZ   	BthServ

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\program files\Common Files\LightScribe\LSRunOnce.exe"
.
Contenu du dossier 'Tâches planifiées'

2009-06-24 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-12-25 17:53]

2009-06-24 c:\windows\Tasks\Scheduled scanning task.job
- c:\progra~1\Orange\ANTIVI~1\ANTI-V~1\fsav.exe [2008-12-23 16:11]

2009-06-23 c:\windows\Tasks\User_Feed_Synchronization-{EACA1F9D-7DA9-463A-A478-B21C79F75452}.job
- c:\windows\system32\msfeedssync.exe [2008-01-21 02:24]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-RunOnce-SoftwareHelper - c:\users\Olive\AppData\Roaming\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe


.
------- Examen supplémentaire -------
.
uStart Page = hxxp://y.lo.st
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=81&bd=Pavilion&pf=laptop
IE: &Recherche AOL Toolbar - c:\program files\aol\aol toolbar 5.0esources\fr-fr\local\search.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
IE: Envoyer l'&image au périphérique Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
LSP: c:\program files\Orange\AntivirusFirewall\FSPS\program\FSLSP.DLL
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-24 09:06
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(844)
c:\program files\Orange\AntivirusFirewall\FWES\Program\fsdc.dll

- - - - - - - > 'lsass.exe'(728)
c:\program files\Orange\AntivirusFirewall\FWES\Program\fsdc.dll

- - - - - - - > 'csrss.exe'(616)
c:\program files\Orange\AntivirusFirewall\FWES\Program\fsdc.dll

- - - - - - - > 'csrss.exe'(680)
c:\program files\Orange\AntivirusFirewall\FWES\Program\fsdc.dll
.
Heure de fin: 2009-06-24  9:08
ComboFix-quarantined-files.txt  2009-06-24 07:08
ComboFix2.txt  2009-06-23 16:46
ComboFix3.txt  2009-06-23 15:53

Avant-CF: 213 500 362 752 octets libres
Après-CF: 213 524 508 672 octets libres

236	--- E O F ---	2009-06-23 14:30

fix200 · Answer

Bonjour ...

Il y a quelque chose qui résiste a mes tentatives de suppression .. c:\windows\system32\ezsidmv.dat 

Tu peux faire la suite, ensuite on va la traiter ....





++++

fix200 · Answer

Hello , tu es toujours là ?

SI oui fait les procédures ....

@+

Virus system security

41 réponses

Discussions similaires