http://webnickgiftnet.com (Google) Résolu/Fermé

Question

Bonjour,

J'ai un problème depuis ce matin : lorsque je fais une recherche avec Google (avec Hooseek, tout est normal), et que je veux ouvrir un résultat, c'est le site http://webnickgiftnet.com qui s'ouvre (ex: http://webnickgiftnet.com/?q=myspace%20sebastien%20schuller)­, avant de revenir sur la page d'accueil de Google.

Hier, tout allait bien. Java s'est mis à jour lorsque je me suis connecté. A part ça...

Merci de votre aide !

Catulle · Answer

J'ai fait un scan avec BitDefender, deux fichiers infectés par PWStealer. Je ne sais pas si c'est lié...

D'habitude, je fais de nombreuses recherches pour essayer de trouver une solution, mais comme ça ne fonctionne pas...

*Au secours!*

anthony5151 · Answer

Bonjour,


Peux-tu utiliser ce logiciel de diagnostic stp, ça me permettra de t'aider :

• Télécharge Random's System Information Tool (RSIT) de random/random, et enregistre le sur ton Bureau.
• Double clique sur RSIT.exe pour lancer l'outil. 
• Clique sur ' continue ' à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés

Tutoriel illustré pour t'aider : https://www.androidworld.fr/

Catulle · Answer

Logfile of random's system information tool 1.06 (written by random/random)
Run by Utilisateur at 2009-06-24 12:24:55
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 62 GB (41%) free of 153 GB
Total RAM: 2047 MB (64% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:25:05, on 24/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
C:\Program Files\Belgium Identity Card\beidsystemtray.exe
C:\Documents and Settings\Utilisateur\system.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Druide\Antidote\Gestionnaire Antidote.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\beidservicecrl.exe
C:\WINDOWS\system32\beidservicepcsc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Utilisateur\Mes documents\My Downloads\RSIT.exe
C:\Program Files	rend micro\Utilisateur.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hooseek.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Program Files\IEPro\iepro.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {dbc80044-a445-435b-bc74-9c25c1c588a9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [GamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [beidsystemtray] C:\Program Files\Belgium Identity Card\beidsystemtray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [PromoReg] C:\Documents and Settings\Utilisateur\system.exe
O4 - HKLM\..\Run: [sysldtray] C:\windows\ld10.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus D120 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICCE.EXE /FU "C:\WINDOWS\TEMP\E_S2D7.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\Program Files\Druide\Antidote\Gestionnaire Antidote.exe
O4 - Startup: rncsys32.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IEPro\iepro.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [java_sun] Java (Sun)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://belgacom.extrafilm.be/ImageUploader5.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: eID CRL Service -  Zetes - C:\WINDOWS\system32\beidservicecrl.exe
O23 - Service: eID Privacy Service - Zetes - C:\WINDOWS\system32\beidservicepcsc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (javaquickstarterservice) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: Mises à jour automatiques (wuauserv) - Unknown owner - C:\WINDOWS\
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe

Catulle · Answer

info.txt logfile of random's system information tool 1.06 2009-06-24 12:25:07

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
AC3Filter (remove only)-->C:\Program Files\AC3Filter\uninstall.exe
Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)-->MsiExec.exe /X{6846389C-BAC0-4374-808E-B120F86AF5D7}
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 8.1.2 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A81200000003}
Antidote RX v6-->MsiExec.exe /X{A474EA56-5DBD-4181-8230-806A4762EA7F}
Apple Mobile Device Support-->MsiExec.exe /I{35B91753-5789-4517-9CF1-2CCE3A8CF4F1}
Apple Software Update-->MsiExec.exe /I{02DFF6B1-1654-411C-8D7B-FD6052EF016F}
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
Assistant de connexion Windows Live-->MsiExec.exe /I{D3116CC7-24DC-4CA3-9CE1-23FED836E9F2}
ASUS Gamer OSD-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{315ACD04-BCEB-478B-9B1D-5431D0E6CB11}\setup.exe" -l0x40c  -removeonly
ASUS GamerOSD AP-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{E96BE1AC-D50C-4EE5-808F-95F25364F78B} 
Atheros Communications Inc.(R) L1 Gigabit Ethernet Driver-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{6E19F210-3813-4002-B561-94D66AA182B6}\Setup.exe" -l0x9  -removeonly
ATI - Utilitaire de désinstallation du logiciel-->C:\Program Files\ATI Technologies\UninstallAll\AtiCimUn.exe
Belgium Identity Card Run-time 2.6-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{EA248851-A7D5-4906-8C46-A3CA267F6A24} /l1036 
BitDefender Internet Security 2008-->MsiExec.exe /I{BF7D87C5-CFC3-40C5-A367-24586EEBB8CA}
Bonjour-->MsiExec.exe /I{47BF1BD6-DCAC-468F-A0AD-E5DECC2211C3}
CleanUp!-->C:\Program Files\CleanUp!\uninstall.exe
Compatibility Pack for the 2007 Office system-->MsiExec.exe /X{90120000-0020-040C-0000-0000000FF1CE}
Correctif pour Lecteur Windows Media 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
Correctif pour Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Diablo II-->C:\WINDOWS\DIIUnin.exe C:\WINDOWS\DIIUnin.dat
DVD Shrink 3.2-->"C:\Program Files\DVD Shrink\unins000.exe"
EPSON Logiciel imprimante-->C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\EPUPDATE.EXE /R
EPSON Stylus C110_D120 Manuel-->C:\Program Files\EPSON\TPMANUAL\ESC110_D120\FRA\USE_G\DOCUNINS.EXE
EPSON Web-To-Page-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{7F14F68C-17FA-4F88-B3FD-7F449C1EBF32}\SETUP.EXE" -l0x40c -anything
GameCenter-->C:\Program Files\Cyanide\GameCenter\uninstall.exe
GameShadow-->MsiExec.exe /I{80EF444D-E4DB-4978-9BDE-CB6DED7DEE85}
GOM Player-->"C:\Program Files\GRETECH\GomPlayer\Uninstall.exe"
Half-Life(R) 2-->MsiExec.exe /I{D45EC259-4A19-4656-B588-C2C360DD18EA}
High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe"
HijackThis 2.0.2-->"C:\Program Files	rend micro\HijackThis.exe" /uninstall
Home'Bank Light 3.3.3-->"unins000.exe"
Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
IE7Pro-->C:\Program Files\IEPro\uninst.exe
Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216010FF}
K-Lite Codec Pack 3.2.5 Standard-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"
Lecteur Windows Media 11-->"C:\Program Files\Windows Media Player\Setup_wm.exe" /Uninstall
L'entraîneur 00-01-->C:\WINDOWS\IsUn040c.exe -f"C:\Program Files\L'entraîneur 00-01\Uninst.isu"
Messenger Plus! Live-->"C:\Program Files\Messenger Plus! Live\Uninstall.exe"
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office Standard Edition 2003-->MsiExec.exe /I{9112040C-6000-11D3-8CFE-0150048383C9}
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Mise à jour critique pour Lecteur Windows Media 11 (KB959772)-->"C:\WINDOWS\$NtUninstallKB959772_WM11$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127-v2)-->"C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB950759)-->"C:\WINDOWS\ie7updates\KB950759-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB963027)-->"C:\WINDOWS\ie7updates\KB963027-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB969897)-->"C:\WINDOWS\ie7updates\KB969897-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950759)-->"C:\WINDOWS\$NtUninstallKB950759$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951376)-->"C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB942763)-->"C:\WINDOWS\$NtUninstallKB942763$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
Mozilla Firefox (3.0.11)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MPEG2 Codec(libmpeg2/mad)-->"C:\Program Files\GNU\MPEG2\Uninstall.exe"
MSN-->C:\Program Files\MSN\MsnInstaller\msninst.exe /Action:ARP
NVIDIA Drivers-->C:\WINDOWS\system32
vudisp.exe UninstallGUI
OGA Notifier 1.7.0105.35.0-->MsiExec.exe /I{25E98ECB-5727-408E-B30A-2CAF86F5B310}
Package de pilotes Windows - Advanced Micro Devices (AmdK8) Processor  (05/27/2006 1.3.2.0)-->C:\PROGRA~1\DIFX\7B44739871F4D539FA473F57A832EA4B6A59EF06\DPInst.exe /d /u C:\WINDOWS\system32\DRVSTORE\amdk8_1F9DE4E49C97F59EE9F75C34E0E91E568FC9EEB2\amdk8.inf
PhotoFiltre-->"C:\Program Files\PhotoFiltre\Uninst.exe"
Pro Cycling Manager - Saison 2006-->C:\Program Files\Cyanide\Pro Cycling Manager - Saison 2006\uninstall.exe
QuickTime Alternative 2.6.0-->"C:\Program Files\QuickTime Alternative\unins000.exe"
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x40c  -removeonly
Security Update pour Microsoft .NET Framework 2.0 (KB928365)-->C:\WINDOWS\system32\msiexec.exe /promptrestart /uninstall {8056AC9E-49C5-4375-9ADE-B2F862C9DF51} /package {7131646D-CD3C-40F4-97B9-CD9E4E6262EF}
Smart Defrag 1.11-->"C:\Program Files\IObit\IObit SmartDefrag\unins000.exe"
Steam(TM)-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3}
Windows Live installer-->MsiExec.exe /X{FD44E544-E7D0-4DBA-9FA0-8AE1A1300390}
Windows Live Messenger-->MsiExec.exe /X{BADF6744-3787-48F6-B8C9-4C4995401D65}
Windows Media Format 11 runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
XviD MPEG-4 Video Codec-->C:\WINDOWS\system32undll32.exe setupapi,InstallHinfSection Remove_XviD 132 C:\WINDOWS\INF\xvid.inf

======Security center information======

AV: Bitdefender Antivirus
FW: Bitdefender Firewall

======System event log======

Computer Name: UTILISAT-316462
Event Code: 36
Message: Le service de temps n'a pas pu synchroniser l'heure système de 49152
secondes car aucun fournisseur de temps n'a pu fournir de datage
utilisable. L'horloge système n'est pas synchronisée.

Record Number: 27020
Source Name: W32Time
Time Written: 20090523215545.000000+120
Event Type: warning
User: 

Computer Name: UTILISAT-316462
Event Code: 4226
Message: TCP/IP a atteint la limite de sécurité imposée sur le nombre de tentatives de connexion TCP simultanées.

Record Number: 27018
Source Name: Tcpip
Time Written: 20090523191052.000000+120
Event Type: warning
User: 

Computer Name: UTILISAT-316462
Event Code: 29
Message: Le fournisseur de temps NtpClient est configuré pour acquérir le temps à partir d'une
ou plusieurs sources de temps, cependant aucune source n'est actuellement accessible.
Aucune tentative pour en contacter une ne sera effectuée d'ici 14 minutes.
NtpClient n'a pas de source de temps précis. 

Record Number: 26965
Source Name: W32Time
Time Written: 20090523081635.000000+120
Event Type: error
User: 

Computer Name: UTILISAT-316462
Event Code: 17
Message: Fournisseur de temps NtpClient : une erreur s'est produite lors de la recherche DNS de
l'homologue manuellement configuré 'time.windows.com,0x1'. NtpClient va essayer à nouveau
la recherche DNS dans 15 minutes.
L'erreur était : Une opération a été tentée sur un hôte impossible à atteindre. (0x80072751)

Record Number: 26964
Source Name: W32Time
Time Written: 20090523081635.000000+120
Event Type: error
User: 

Computer Name: UTILISAT-316462
Event Code: 36
Message: Le service de temps n'a pas pu synchroniser l'heure système de 49152
secondes car aucun fournisseur de temps n'a pu fournir de datage
utilisable. L'horloge système n'est pas synchronisée.

Record Number: 26934
Source Name: W32Time
Time Written: 20090522220715.000000+120
Event Type: warning
User: 

=====Application event log=====

Computer Name: UTILISAT-316462
Event Code: 12001
Message: The Messenger Sharing USN Journal Reader service started successfully.

Record Number: 33057
Source Name: usnjsvc
Time Written: 20090607090157.000000+120
Event Type: 
User: 

Computer Name: UTILISAT-316462
Event Code: 12001
Message: The Messenger Sharing USN Journal Reader service started successfully.

Record Number: 32913
Source Name: usnjsvc
Time Written: 20090606094714.000000+120
Event Type: 
User: 

Computer Name: UTILISAT-316462
Event Code: 12001
Message: The Messenger Sharing USN Journal Reader service started successfully.

Record Number: 32845
Source Name: usnjsvc
Time Written: 20090605094229.000000+120
Event Type: 
User: 

Computer Name: UTILISAT-316462
Event Code: 12001
Message: The Messenger Sharing USN Journal Reader service started successfully.

Record Number: 32821
Source Name: usnjsvc
Time Written: 20090604152721.000000+120
Event Type: 
User: 

Computer Name: UTILISAT-316462
Event Code: 12001
Message: The Messenger Sharing USN Journal Reader service started successfully.

Record Number: 32797
Source Name: usnjsvc
Time Written: 20090604105129.000000+120
Event Type: 
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 67 Stepping 3, AuthenticAMD
"PROCESSOR_REVISION"=4303
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"CLASSPATH"=C:\Program Files\Belgium Identity Card\

-----------------EOF-----------------












Merci beaucoup !

anthony5151 · Answer

Ton ordinateur est infecté par le ver KoobFace, qui se transmet principalement par les sites de réseaux sociaux tels que Facebook (par des liens infectés qui sont postés sur ta page, ou te sont envoyés par message privé)


• Télécharge et installe Malwarebytes' Anti-Malware
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
• Sélectionne tes disques durs" puis clique sur "Lancer l’examen" 
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments  détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer, clique sur Yes
• Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp

Catulle · Answer

C'est le rapport affiché avant  la suppression des fichiers. Je l'ai redémarré trop rapidement, je n'ai pas sauvé le second rapport [pas très malin, je sais... ;-)]. J'ai fait un second scan, il m'a trouvé encore trois nouveaux fichiers infectés. Je mets le rapport suivant la suppression en dessous de celui-ci. Merci! 

Rapport 1 (Avant la 1e suppression) :

Malwarebytes' Anti-Malware 1.38
Version de la base de données: 2332
Windows 5.1.2600 Service Pack 3

25/06/2009 9:32:48
mbam-log-2009-06-25 (09-32-42).txt

Type de recherche: Examen rapide
Eléments examinés: 100527
Temps écoulé: 10 minute(s), 59 second(s)

Processus mémoire infecté(s): 2
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 6
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 15

Processus mémoire infecté(s):
C:\WINDOWS\ld10.exe (Worm.KoobFace) -> No action taken.
C:\Documents and Settings\Utilisateur\system.exe (Trojan.Agent) -> No action taken.

Module(s) mémoire infecté(s):
c:\program files\sys\sys.dll (Rootkit.Agent) -> No action taken.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sys (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sys (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sys (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysdrv (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sysdrv (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysdrv (Trojan.Agent) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysldtray (Worm.KoobFace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PromoReg (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RList (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\sys (Rootkit.Agent) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\ld10.exe (Worm.KoobFace) -> No action taken.
c:\program files\sys\sys.dll (Rootkit.Agent) -> No action taken.
c:\documents and settings\utilisateur\local settings\Temp\TMPE64.tmp (Trojan.Dropper) -> No action taken.
c:\documents and settings\utilisateur\local settings\Temp\~TMDFA.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\utilisateur\local settings	emporary internet files\Content.IE5\17NA43MC\pdrv[1].exe (Worm.Koobface) -> No action taken.
c:\documents and settings\utilisateur\local settings	emporary internet files\Content.IE5\MT9E282F\load[1].exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Utilisateur\system.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\freddy46.exe (Worm.KoobFace) -> No action taken.
c:\WINDOWS\Temp\wpv031245501395.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\Temp\wpv881243627542.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Utilisateur\Application Data\wiaserva.log (Malware.Trace) -> No action taken.
C:\WINDOWS\bf23567.dat (Worm.KoobFace) -> No action taken.
C:\WINDOWS\010112010146118114.dat (Worm.KoobFace) -> No action taken.
c:\WINDOWS\0101120101465452.dat (Worm.KoobFace) -> No action taken.
C:\Program Files\sys\sys.sys (Trojan.Agent) -> No action taken.







Rapport 2 (après la 2e suppression):

Malwarebytes' Anti-Malware 1.38
Version de la base de données: 2332
Windows 5.1.2600 Service Pack 3

25/06/2009 9:51:15
mbam-log-2009-06-25 (09-51-15).txt

Type de recherche: Examen rapide
Eléments examinés: 100435
Temps écoulé: 9 minute(s), 52 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\WINDOWS\Temp\wpv381245795053.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\wpv921245771011.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Utilisateur\Application Data\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully.

anthony5151 · Answer

Ok, on continue ;)


/!\ A l'attention de ceux qui passent sur ce sujet /!\
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.


/!\ Désactive tous tes logiciels de protection /!\

• Télécharge ComboFix (de sUBs) sur ton Bureau.
• Double-clique sur ComboFix.exe afin de le lancer.
• Il va te demander d'installer la console de récupération : accepte.
• Ne touche à rien pendant le scan.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Tutoriel officiel de Combofix : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Catulle · Answer

Mmmh. Pour télécharger ComboFix, faudrait peut-être que mon ordinateur fonctionne... 
Je l'ai éteint après ma réponse, je l'ai allumé plus tard et rien ne va plus.
Il démarre très lentement, il arrive sur le bureau puis redémarre... sans cesse.
Je ne sais pas si c'est lié au programme que j'ai utilisé, aux fichiers que j'ai supprimé, si c'est juste une coïncidence...

Je l'ai démarré en mode sans échec à l'instant, ça semble aller. (Je ne suis pas sur cet ordinateur-là pour l'instant et il n'est plus connecté à internet.) 
J'ai refait un scan avec Anti-Malware, il a trouvé 3 éléments infectés. Je peux les supprimer ?

Aaaargh!

anthony5151 · Answer

Je viens de revérifier le rapport de MalwareBytes, tout ce qu'il a supprimé était réellement néfaste, je ne sais pas pourquoi tu n'as plus accès au mode normal.

Quoi qu'il en soit, avant de réparer Windows, il faut finir de désinfecter (sinon ça ne sert à rien).
Est-ce que tu peux poster un nouveau rapport RSIT depuis le mode sans échec stp ?

Catulle · Answer

Voilà : 

Logfile of random's system information tool 1.06 (written by random/random)
Run by Utilisateur at 2009-06-26 10:01:40
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 53 GB (35%) free of 153 GB
Total RAM: 2047 MB (88% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:01:54, on 26/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Utilisateur\Mes documents\My Downloads\RSIT.exe
C:\Program Files	rend micro\Utilisateur.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hooseek.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Program Files\IEPro\iepro.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {dbc80044-a445-435b-bc74-9c25c1c588a9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [GamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [beidsystemtray] C:\Program Files\Belgium Identity Card\beidsystemtray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus D120 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICCE.EXE /FU "C:\WINDOWS\TEMP\E_S2D7.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\Program Files\Druide\Antidote\Gestionnaire Antidote.exe
O4 - Startup: rncsys32.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IEPro\iepro.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [java_sun] Java (Sun)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://belgacom.extrafilm.be/ImageUploader5.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: eID CRL Service -  Zetes - C:\WINDOWS\system32\beidservicecrl.exe
O23 - Service: eID Privacy Service - Zetes - C:\WINDOWS\system32\beidservicepcsc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: Mises à jour automatiques (wuauserv) - Unknown owner - C:\WINDOWS\
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe

anthony5151 · Answer

Re,


On va s'occuper rapidement d'une infection de disque amovible :

Télécharge UsbFix (de Chiquitine29 et C_XX) sur ton Bureau
• Lance l'installation avec les paramètres par défaut
• Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir
• Double clique sur le raccourci UsbFix sur ton Bureau
• Au menu principal, choisis l'option 2 (Suppression)
• Ton Bureau va disparaitre, puis l'ordinateur va redémarrer --> c'est normal
• Laisse travailler l'outil jusqu'au bout
• A la fin, le rapport USBFix.txt va s'afficher --> poste le dans ta prochaine réponse stp


Ensuite, toujours pour l'infection KoobFace, il faut que tu utilises Combofix comme indiqué ici stp

Catulle · Answer

Okay, je vais faire ça. Mais il ne démarre toujours pas normalement, mode sans échec obligatoire...

Catulle · Answer

Voilà, j'ai installé en mode sans échec UsbFix, il a redémarré en mode normal, fait le scan comme prévu et pour l'instant il n'a pas encore redémarré... Je croise les doigts!

Voilà le rapport d'UsbFix, je mettrai dans un autre message celui de ComboFix dès que c'est fait.

Merci ! :-)


############################## [ UsbFix V3.033 ]

# User : Utilisateur (Administrateurs) # UTILISAT-316462
# Update on 15/06/09 by C_XX
# Start at: 13:44:52 | 26/06/2009
# Website : http://pagesperso-orange.fr/NosTools/usbfix.html

# AMD Athlon(tm) 64 X2 Dual Core Processor 4600+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Disabled
# AV : Bitdefender Antivirus 8.0 [ Enabled | Updated ]
# FW : Bitdefender Firewall[ Enabled ]8.0

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 149,04 Go (52,01 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque CD-ROM
# F:\ # Disque fixe local # 1,87 Go (1,68 Go free) [USB DISK] # FAT
# G:\ # Disque fixe local # 149,01 Go (3,79 Go free) [LACIE] # FAT32

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\beidservicecrl.exe
C:\WINDOWS\system32\beidservicepcsc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Fichiers # Dossiers infectieux ]

Supprimé ! C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\d2l_Install.exe    
Supprimé ! G:\msvcr71.dll    

################## [ Registre # Clés Run infectieuses ]


################## [ Registre # Mountpoints2 ]

Supprimé ! HKCU\...\Explorer\MountPoints2\{aec469bf-466e-11dd-a5c3-001e8cdb3e22}\Shell\Auto\Command  

################## [ Listing des fichiers présent ]

[20/06/2009 09:56|--a------|3072] - C:\00000433560896.bbl
[18/06/2008 16:12|--a------|0] - C:\AUTOEXEC.BAT
[17/12/2002 16:46|--a------|5421] - C:\banner.jpg
[20/03/2003 14:34|--a------|1297] - C:\bgmenu.jpg
[18/06/2008 18:11|-rahs----|228] - C:\boot.ini
[02/03/2006 14:00|-rahs----|4952] - C:\Bootfont.bin
[10/12/2002 08:58|--a------|1146] - C:\bullet.gif
[18/06/2008 16:12|--a------|0] - C:\CONFIG.SYS
[27/08/2008 18:01|--a------|157] - C:\error.txt
[17/12/2002 15:22|--a------|3476] - C:\errorDE.htm
[17/12/2002 15:22|--a------|3451] - C:\errorEN.htm
[17/12/2002 15:22|--a------|3520] - C:\errorFR.htm
[17/12/2002 15:22|--a------|3450] - C:\errorNL.htm
[29/05/2007 10:09|--a------|930816] - C:\hb32.exe
[17/04/2003 10:40|--a------|6238] - C:\Hb32de.hlp
[17/04/2003 10:11|--a------|64777] - C:\Hb32en.hlp
[15/10/2008 17:27|--ah-----|8628] - C:\hb32FR.GID
[17/04/2003 10:48|--a------|72010] - C:\Hb32fr.hlp
[17/04/2003 15:15|--a------|70079] - C:\Hb32nl.hlp
[20/06/2009 09:56|--a------|296] - C:\HomeBankProxy.ini
[17/12/2002 16:46|--a------|1825] - C:\iconing.gif
[18/06/2008 16:12|-rahs----|0] - C:\IO.SYS
[18/06/2008 16:12|-rahs----|0] - C:\MSDOS.SYS
[13/03/2003 15:12|--a------|53045] - C:\msg.dat
[02/03/2006 14:00|-rahs----|47564] - C:\NTDETECT.COM
[23/06/2008 18:41|-rahs----|252240] - C:
tldr
[?|?|?] - C:\pagefile.sys
[18/06/2008 16:28|--a------|575] - C:\RHDSetup.log
[30/05/2009 09:59|--ah-----|232] - C:\sqmdata00.sqm
[30/05/2009 10:52|--ah-----|232] - C:\sqmdata01.sqm
[30/05/2009 11:11|--ah-----|232] - C:\sqmdata02.sqm
[30/05/2009 11:48|--ah-----|232] - C:\sqmdata03.sqm
[30/05/2009 12:42|--ah-----|232] - C:\sqmdata04.sqm
[30/05/2009 14:34|--ah-----|232] - C:\sqmdata05.sqm
[30/05/2009 16:06|--ah-----|232] - C:\sqmdata06.sqm
[30/05/2009 17:10|--ah-----|232] - C:\sqmdata07.sqm
[30/05/2009 17:13|--ah-----|232] - C:\sqmdata08.sqm
[30/05/2009 18:52|--ah-----|232] - C:\sqmdata09.sqm
[30/05/2009 21:00|--ah-----|232] - C:\sqmdata10.sqm
[30/05/2009 21:52|--ah-----|232] - C:\sqmdata11.sqm
[30/05/2009 23:03|--ah-----|232] - C:\sqmdata12.sqm
[14/06/2009 10:07|--ah-----|232] - C:\sqmdata13.sqm
[14/06/2009 11:07|--ah-----|232] - C:\sqmdata14.sqm
[14/06/2009 15:30|--ah-----|232] - C:\sqmdata15.sqm
[02/04/2009 16:50|--ah-----|232] - C:\sqmdata16.sqm
[02/04/2009 17:03|--ah-----|232] - C:\sqmdata17.sqm
[01/05/2009 16:04|--ah-----|268] - C:\sqmdata18.sqm
[15/05/2009 18:11|--ah-----|232] - C:\sqmdata19.sqm
[30/05/2009 09:59|--ah-----|244] - C:\sqmnoopt00.sqm
[30/05/2009 10:52|--ah-----|244] - C:\sqmnoopt01.sqm
[30/05/2009 11:11|--ah-----|244] - C:\sqmnoopt02.sqm
[30/05/2009 11:48|--ah-----|244] - C:\sqmnoopt03.sqm
[30/05/2009 12:42|--ah-----|244] - C:\sqmnoopt04.sqm
[30/05/2009 14:34|--ah-----|244] - C:\sqmnoopt05.sqm
[30/05/2009 16:06|--ah-----|244] - C:\sqmnoopt06.sqm
[30/05/2009 17:10|--ah-----|244] - C:\sqmnoopt07.sqm
[30/05/2009 17:13|--ah-----|244] - C:\sqmnoopt08.sqm
[30/05/2009 18:52|--ah-----|244] - C:\sqmnoopt09.sqm
[30/05/2009 21:00|--ah-----|244] - C:\sqmnoopt10.sqm
[30/05/2009 21:52|--ah-----|244] - C:\sqmnoopt11.sqm
[30/05/2009 23:03|--ah-----|244] - C:\sqmnoopt12.sqm
[14/06/2009 10:07|--ah-----|244] - C:\sqmnoopt13.sqm
[14/06/2009 11:07|--ah-----|244] - C:\sqmnoopt14.sqm
[14/06/2009 15:30|--ah-----|244] - C:\sqmnoopt15.sqm
[02/04/2009 16:50|--ah-----|244] - C:\sqmnoopt16.sqm
[02/04/2009 17:03|--ah-----|244] - C:\sqmnoopt17.sqm
[01/05/2009 16:04|--ah-----|244] - C:\sqmnoopt18.sqm
[15/05/2009 18:11|--ah-----|244] - C:\sqmnoopt19.sqm
[05/08/1998 11:26|--a------|3072] - C:	emplate.bbl
[26/06/2009 13:48|--a------|6160] - C:\UsbFix.txt
[12/03/2003 13:50|--ah-----|140] - C:\WM800918.bin
[26/06/2009 10:03|--a------|23934] - F:\log.txt
[26/06/2009 10:56|--a------|1079] - F:\mbam-log-2009-06-26 (10-55-52).txt
[24/06/2009 18:50|--a------|25088] - F:\Vivement la fin des examens que je puisse acheter tout ‡a.doc
[22/05/2009 20:34|--ahs----|26112] - F:\Thumbs.db
[21/03/2008 16:07|--ah-----|4096] - G:\._.Trashes
[24/11/2008 18:34|--ah-----|12292] - G:\.DS_Store
[27/06/2008 07:13|--ah-----|162] - G:\~$urnal communal de Spy.doc
[15/06/2007 13:48|---hs----|2577] - G:\AlbumArtSmall.jpg
[15/06/2007 13:48|---hs----|2577] - G:\AlbumArt_{693DEFCC-BF57-4E7E-96EC-77A9D149053C}_Small.jpg
[15/06/2007 13:48|---hs----|9362] - G:\Folder.jpg
[15/06/2007 13:48|---hs----|9362] - G:\AlbumArt_{693DEFCC-BF57-4E7E-96EC-77A9D149053C}_Large.jpg
[15/06/2007 13:48|---hs----|413] - G:\desktop.ini
[30/01/2009 08:27|--ahs----|8704] - G:\Thumbs.db

################## [ Vaccination ]

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# F:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# G:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  

################## [ ! Fin du rapport # UsbFix V3.033 ! ]

Catulle · Answer

Et voilà le rapport de ComboFix ! Je suis de nouveau sur le pc "infecté", en mode normal, ça va donc déjà mieux, merci ! Je serai pleinement satisfait quand on me dira que tout est en ordre... ;)


ComboFix 09-06-25.06 - Utilisateur 26/06/2009 14:07.1 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.32.1036.18.2047.1624 [GMT 2:00]
Lancé depuis: F:\ComboFix.exe
AV: Bitdefender Antivirus *On-access scanning disabled* (Updated) {6C4BB89C-B0ED-4F41-A29C-4373888923BB}
FW: Bitdefender Firewall *disabled* {4055920F-2E99-48A8-A270-4243D2B8F242}
 * Un nouveau point de restauration a été créé
.
[i] ADS - WINDOWS: deleted 24 bytes in 1 streams. /i

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\14071564
c:\documents and settings\All Users\Application Data\14071564\14071564.exe
c:\documents and settings\All Users\Application Data\14071564\14071564.glu
c:\documents and settings\All Users\Application Data\94081556
c:\documents and settings\All Users\Application Data\94081556\94081556.exe
c:\documents and settings\Utilisateur\Application Data\wiaserva.log
c:\program files\sys
c:\program files\WinPCap
c:\program files\WinPCappcapd.exe
c:\windows\system32\drivers\3af87d64.sys
c:\windows\system32\drivers\720d471c.sys
c:\windows\system32\drivers
pf.sys
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Legacy_sys
-------\Legacy_sysdrv
-------\Service_3af87d64
-------\Service_720d471c
-------\Service_npf


(((((((((((((((((((((((((((((   Fichiers créés du 2009-05-26 au 2009-06-26  ))))))))))))))))))))))))))))))))))))
.

2009-06-26 12:14 . 2009-06-26 12:15	81920	----a-w-	c:\windows\system32\drivers\fb6ff851.sys
2009-06-26 11:42 . 2009-06-26 11:51	--------	d-----w-	C:\UsbFix
2009-06-25 19:24 . 2009-06-25 19:24	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\BitDefender
2009-06-25 13:15 . 2009-06-26 12:15	95744	----a-w-	c:\windows\system32\drivers\bfea5cf.sys
2009-06-25 07:20 . 2009-06-25 07:20	--------	d-----w-	c:\documents and settings\Utilisateur\Application Data\Malwarebytes
2009-06-25 07:20 . 2009-06-17 09:27	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-25 07:20 . 2009-06-25 07:20	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-06-25 07:20 . 2009-06-25 07:20	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2009-06-25 07:20 . 2009-06-17 09:27	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-06-24 10:24 . 2009-06-26 08:05	--------	d-----w-	c:\program files	rend micro
2009-06-24 10:24 . 2009-06-24 10:25	--------	d-----w-	C:sit
2009-06-24 08:07 . 2009-06-24 08:07	152576	----a-w-	c:\documents and settings\Utilisateur\Application Data\Sun\Java\jre1.6.0_13\lzma.dll
2009-06-22 07:03 . 2009-06-26 12:15	80640	----a-w-	c:\windows\system32\drivers\e79895f3.sys
2009-06-14 15:16 . 2009-06-14 15:16	--------	d-----w-	c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2009-06-14 15:16 . 2009-06-14 15:16	--------	d-----w-	c:\program files\DAEMON Tools Toolbar
2009-06-14 15:15 . 2009-06-15 06:55	--------	d-----w-	c:\program files\DAEMON Tools Lite
2009-06-14 15:10 . 2009-06-14 15:10	721904	----a-w-	c:\windows\system32\drivers\sptd.sys
2009-06-14 15:10 . 2009-06-14 15:19	--------	d-----w-	c:\documents and settings\Utilisateur\Application Data\DAEMON Tools Lite
2009-06-14 14:33 . 2009-06-14 16:37	--------	d-----w-	c:\program files\Championship Manager 01-02
2009-06-14 14:32 . 1998-10-29 14:45	306688	----a-w-	c:\windows\IsUninst.exe
2009-05-27 19:25 . 2009-05-27 19:25	--------	d-----w-	c:\documents and settings\All Users\Application Data\Office Genuine Advantage

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-26 12:12 . 2008-06-24 11:04	81984	----a-w-	c:\windows\system32\bdod.bin
2009-06-24 16:38 . 2008-06-18 14:37	196608	----a-w-	c:\windows\system32\drivers
Standard.bin
2009-06-24 11:27 . 2009-01-23 15:53	--------	d-----w-	c:\program files\Diablo II
2009-06-24 08:08 . 2008-10-29 15:34	--------	d-----w-	c:\program files\Java
2009-06-21 11:55 . 2008-06-19 11:13	--------	d-----w-	c:\program files\L'entraîneur 00-01
2009-06-12 19:05 . 2008-06-20 17:59	--------	d-----w-	c:\program files\Messenger Plus! Live
2009-06-01 15:26 . 2008-06-18 21:31	--------	d-----w-	c:\program files\Google
2009-05-11 20:55 . 2009-01-26 15:49	10240	----a-w-	c:\documents and settings\Utilisateur\Application Data\GRETECH\GomPlayer\GrLauncherTempSetup.exe
2009-05-07 15:33 . 2006-03-02 12:00	348672	----a-w-	c:\windows\system32\localspl.dll
2009-05-03 11:46 . 2009-05-03 11:46	--------	d-----w-	c:\program files\K-Lite Codec Pack
2009-05-01 18:54 . 2009-05-01 18:54	--------	d-----w-	c:\program files\HooTech
2009-04-29 04:45 . 2006-03-02 12:00	827392	----a-w-	c:\windows\system32\wininet.dll
2009-04-29 04:45 . 2006-03-02 12:00	78336	----a-w-	c:\windows\system32\ieencode.dll
2009-04-19 19:50 . 2006-03-02 12:00	1847296	----a-w-	c:\windows\system32\win32k.sys
2009-04-19 18:11 . 2009-04-19 18:11	3282	----a-w-	c:\windows\system32\PerfStringBackup.TMP
2009-04-19 18:11 . 2006-03-02 12:00	71452	----a-w-	c:\windows\system32\perfc00C.dat
2009-04-19 18:11 . 2006-03-02 12:00	458560	----a-w-	c:\windows\system32\perfh00C.dat
2009-04-15 14:53 . 2006-03-02 12:00	585216	----a-w-	c:\windows\system32pcrt4.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Gestionnaire Antidote.exe"="c:\program files\Druide\Antidote\Gestionnaire Antidote.exe" [2008-12-03 542136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-04-19 7700480]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-04-19 86016]
"GamerOSD"="c:\program files\ASUS\GamerOSD\GamerOSD.exe" [2007-02-14 380928]
"BitDefender Antiphishing Helper"="c:\program files\BitDefender\BitDefender 2008\IEShow.exe" [2007-10-09 61440]
"BDAgent"="c:\program files\BitDefender\BitDefender 2008\bdagent.exe" [2008-09-16 368640]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"beidsystemtray"="c:\program files\Belgium Identity Card\beidsystemtray.exe" [2007-02-19 188416]
"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-10 116040]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-07-05 16380416]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2007-06-15 1826816]
"nwiz"="nwiz.exe" - c:\windows\system32
wiz.exe [2007-04-19 1626112]

c:\documents and settings\Utilisateur\Menu D‚marrer\Programmes\D‚marrage\
rncsys32.exe [2009-6-25 29184]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\IEPro\MiniDM.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Messenger\livecall.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\Cyanide\GameCenter\GameCenter.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8085:TCP"= 8085:TCP:sys

R2 eID CRL Service;eID CRL Service;c:\windows\system32\beidservicecrl.exe [19/02/2007 15:16 225280]
R2 eID Privacy Service;eID Privacy Service;c:\windows\system32\beidservicepcsc.exe [19/02/2007 15:16 331776]
R3 AtcL001;NDIS Miniport Driver for Atheros L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\l151x86.sys [18/06/2008 16:29 36864]
R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;c:\windows\system32\drivers\bdfndisf.sys [25/01/2008 15:40 86792]
S0 bpsj;bpsj;c:\windows\system32\drivers	dagwq.sys --> c:\windows\system32\drivers	dagwq.sys [?]
S0 cogwyef;cogwyef;c:\windows\system32\drivers\xqif.sys --> c:\windows\system32\drivers\xqif.sys [?]
S0 jyzuv;jyzuv;c:\windows\system32\drivers\vxup.sys --> c:\windows\system32\drivers\vxup.sys [?]
S0 xdztj;xdztj;c:\windows\system32\drivers\swdyzdx.sys --> c:\windows\system32\drivers\swdyzdx.sys [?]
S3 ACSSCR;ACR38 Smart Card Reader;c:\windows\system32\drivers\a38usb.sys [24/03/2006 19:14 33536]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx	REG_MULTI_SZ   	scan
.
Contenu du dossier 'Tâches planifiées'

2009-06-22 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-04-11 15:57]

2009-06-24 c:\windows\Tasks\SmartDefrag.job
- c:\program files\IObit\IObit SmartDefrag\IObit SmartDefrag.exe [2008-10-08 16:15]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\fsnqyvqp.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.hooseek.com/
FF - plugin: c:\program files\Mozilla Firefox\plugins
p-mswmp.dll
FF - HiddenExtension: Java Console: No Registry Reference - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA}
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-26 14:14
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\bfea5cf]
"ImagePath"="\SystemRoot\System32\drivers\bfea5cf.sys"

Catulle · Answer

...

Maintenant, quand j'allume mon pc, j'ai droit à un bel écran bleu.
Message d'erreur STOP 0x0000007E (0xC0000005, 0x805A84C8, 0xBAD07748, 0xBAD07444)

Chouette!

Edit : J'ai fait une restauration du système (celle que ComboFix avait faite avant d'agir) et tout semble aller (du moins, il n'y a plus le message bleu).

Donc tous les rapports postés  plus haut sont, je pense, inutile. Que puis-je encore faire ?
En deux jours, il y a eu pas mal de problèmes pour une simple question d'internet...
Un virus aurait fait tout ça ?
Qu'est ce que je peux encore faire comme scan ?

Edit 2 : Tout ne va pas si bien que ça : il recommence à redémarrer tout seul.
Retour à la case départ...

Merci quand même.

Catulle · Answer

Je tente de tout refaire depuis le début :

Rapport Malwarebytes'A-M : 

Malwarebytes' Anti-Malware 1.38
Version de la base de données: 2332
Windows 5.1.2600 Service Pack 3

26/06/2009 19:06:12
mbam-log-2009-06-26 (19-06-12).txt

Type de recherche: Examen rapide
Eléments examinés: 88126
Temps écoulé: 2 minute(s), 33 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\fips32cup (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fips32cup (Rootkit.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\WINDOWS\system32\drivers\fips32cup.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Utilisateur\Application Data\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully.

anthony5151 · Answer

"En deux jours, il y a eu pas mal de problèmes pour une simple question d'internet"

==> Justement, ce n'est pas une simple question d'internet, tu as un ver KoobFace accompagné d'un rootkit (+ une infection de disque amovible qu'on a supprimé) : ton ordinateur est sévèrement infecté !

Ce sont ces infections qui redirigent tes connections et qui créent tous ces problèmes... Tant qu'on n'aura pas désinfecté totalement, les problèmes persisteront. Tu avais d'ailleurs remarqué une amélioration aussitôt après avoir utilisé Combofix (bien qu'il n'ait pas supprimé tout !), avant d'avoir de nouveaux problèmes.

Question : as-tu un CD d'installation de Windows xp (pas un CD de réinitialisation) ?



Avant de tenter une suppression manuelle (si tu es d'accord...), je voudrais que tu vérifies certains fichiers douteux stp :

• Rends toi sur le site https://www.virustotal.com/gui/
• Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide : c:\windows\system32\drivers
pf.sys    
• Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.
• Fais un copier/coller du rapport sur le forum.

Si tu ne trouves pas le fichier, fais ceci :
• Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
• Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
• Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.

Fais la même analyse pour ces fichiers :
c:\windows\system32\Packet.dll    
c:\windows\system32\pthreadVC.dll    
c:\windows\system32\wpcap.dll

Catulle · Answer

J'avais à peine terminé une analyse ComboFix (j'aurais peut-être pas dû comme personne n'était là pour m'assister mais j'ai refait toutes les étapes faites "ensemble") que tu répondais. Je ne trouve plus ces fichiers : ComboFix les a supprimés...

Pour le CD, oui je pense. En tous cas il n'est pas marqué que c'est un CD de réinitialisation... Je suppose que c'est le bon alors.

Pour le moment, c'est stable. Mais j'ai refait une analyse avec Malwarebytes et il m'en trouve encore 4 (trois Rootkit.Agent qui terminent tous par fips32cup. Les mêmes qui auraient dû être supprimés comme le montre le rapport précédent...)

Le rapport :

ComboFix 09-06-25.07 - Utilisateur 26/06/2009 19:15.1 - NTFSx86 NETWORK
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.32.1036.18.2047.1794 [GMT 2:00]
Lancé depuis: c:\documents and settings\Utilisateur\Bureau\ComboFix.exe
AV: Bitdefender Antivirus *On-access scanning disabled* (Updated) {6C4BB89C-B0ED-4F41-A29C-4373888923BB}
FW: Bitdefender Firewall *disabled* {4055920F-2E99-48A8-A270-4243D2B8F242}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\14071564
c:\documents and settings\All Users\Application Data\14071564\14071564.exe
c:\documents and settings\All Users\Application Data\94081556
c:\documents and settings\All Users\Application Data\94081556\94081556.exe
c:\documents and settings\Utilisateur\Application Data\wiaserva.log
c:\documents and settings\Utilisateur\Utilisateur.exe
c:\program files\sys
c:\program files\WinPCap
c:\program files\WinPCappcapd.exe
c:\windows\system32\drivers\3af87d64.sys
c:\windows\system32\drivers\720d471c.sys
c:\windows\system32\drivers
pf.sys
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll
G:\desktop.ini

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_FIPS32CUP
-------\Legacy_i386si
-------\Legacy_NPF
-------\Legacy_sys
-------\Legacy_sysdrv
-------\Legacy_systemntmi
-------\Service_npf
-------\Service_3af87d64
-------\Service_720d471c


(((((((((((((((((((((((((((((   Fichiers créés du 2009-05-26 au 2009-06-26  ))))))))))))))))))))))))))))))))))))
.

2009-06-26 16:05 . 2009-06-26 16:05	--------	d-----w-	c:\windows\system32\wbem\Repository
2009-06-26 12:14 . 2009-06-26 15:42	81920	----a-w-	c:\windows\system32\drivers\fb6ff851.sys
2009-06-26 11:42 . 2009-06-26 16:48	--------	d-----w-	C:\UsbFix
2009-06-25 19:24 . 2009-06-25 19:24	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\BitDefender
2009-06-25 13:15 . 2009-06-26 17:21	95744	----a-w-	c:\windows\system32\drivers\bfea5cf.sys
2009-06-25 07:20 . 2009-06-25 07:20	--------	d-----w-	c:\documents and settings\Utilisateur\Application Data\Malwarebytes
2009-06-25 07:20 . 2009-06-17 09:27	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-25 07:20 . 2009-06-25 07:20	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-06-25 07:20 . 2009-06-25 07:20	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2009-06-25 07:20 . 2009-06-17 09:27	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-06-24 10:24 . 2009-06-26 08:05	--------	d-----w-	c:\program files	rend micro
2009-06-24 10:24 . 2009-06-24 10:25	--------	d-----w-	C:sit
2009-06-24 08:07 . 2009-06-24 08:07	152576	----a-w-	c:\documents and settings\Utilisateur\Application Data\Sun\Java\jre1.6.0_13\lzma.dll
2009-06-22 07:03 . 2009-06-26 17:21	80640	----a-w-	c:\windows\system32\drivers\e79895f3.sys
2009-06-14 15:16 . 2009-06-14 15:16	--------	d-----w-	c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2009-06-14 15:16 . 2009-06-14 15:16	--------	d-----w-	c:\program files\DAEMON Tools Toolbar
2009-06-14 15:15 . 2009-06-15 06:55	--------	d-----w-	c:\program files\DAEMON Tools Lite
2009-06-14 15:10 . 2009-06-14 15:10	721904	----a-w-	c:\windows\system32\drivers\sptd.sys
2009-06-14 15:10 . 2009-06-14 15:19	--------	d-----w-	c:\documents and settings\Utilisateur\Application Data\DAEMON Tools Lite
2009-06-14 14:33 . 2009-06-14 16:37	--------	d-----w-	c:\program files\Championship Manager 01-02
2009-06-14 14:32 . 1998-10-29 14:45	306688	----a-w-	c:\windows\IsUninst.exe
2009-05-27 19:25 . 2009-05-27 19:25	--------	d-----w-	c:\documents and settings\All Users\Application Data\Office Genuine Advantage

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-26 16:07 . 2008-06-24 11:04	81984	----a-w-	c:\windows\system32\bdod.bin
2009-06-24 16:38 . 2008-06-18 14:37	196608	----a-w-	c:\windows\system32\drivers
Standard.bin
2009-06-24 11:27 . 2009-01-23 15:53	--------	d-----w-	c:\program files\Diablo II
2009-06-24 08:08 . 2008-10-29 15:34	--------	d-----w-	c:\program files\Java
2009-06-21 11:55 . 2008-06-19 11:13	--------	d-----w-	c:\program files\L'entraîneur 00-01
2009-06-12 19:05 . 2008-06-20 17:59	--------	d-----w-	c:\program files\Messenger Plus! Live
2009-06-01 15:26 . 2008-06-18 21:31	--------	d-----w-	c:\program files\Google
2009-05-11 20:55 . 2009-01-26 15:49	10240	----a-w-	c:\documents and settings\Utilisateur\Application Data\GRETECH\GomPlayer\GrLauncherTempSetup.exe
2009-05-07 15:33 . 2006-03-02 12:00	348672	----a-w-	c:\windows\system32\localspl.dll
2009-05-03 11:46 . 2009-05-03 11:46	--------	d-----w-	c:\program files\K-Lite Codec Pack
2009-05-01 18:54 . 2009-05-01 18:54	--------	d-----w-	c:\program files\HooTech
2009-04-29 04:45 . 2006-03-02 12:00	827392	----a-w-	c:\windows\system32\wininet.dll
2009-04-29 04:45 . 2006-03-02 12:00	78336	----a-w-	c:\windows\system32\ieencode.dll
2009-04-19 19:50 . 2006-03-02 12:00	1847296	----a-w-	c:\windows\system32\win32k.sys
2009-04-19 18:11 . 2009-04-19 18:11	3282	----a-w-	c:\windows\system32\PerfStringBackup.TMP
2009-04-19 18:11 . 2006-03-02 12:00	71452	----a-w-	c:\windows\system32\perfc00C.dat
2009-04-19 18:11 . 2006-03-02 12:00	458560	----a-w-	c:\windows\system32\perfh00C.dat
2009-04-15 14:53 . 2006-03-02 12:00	585216	----a-w-	c:\windows\system32pcrt4.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Gestionnaire Antidote.exe"="c:\program files\Druide\Antidote\Gestionnaire Antidote.exe" [2008-12-03 542136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-04-19 7700480]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-04-19 86016]
"GamerOSD"="c:\program files\ASUS\GamerOSD\GamerOSD.exe" [2007-02-14 380928]
"BitDefender Antiphishing Helper"="c:\program files\BitDefender\BitDefender 2008\IEShow.exe" [2007-10-09 61440]
"BDAgent"="c:\program files\BitDefender\BitDefender 2008\bdagent.exe" [2008-09-16 368640]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"beidsystemtray"="c:\program files\Belgium Identity Card\beidsystemtray.exe" [2007-02-19 188416]
"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-10 116040]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-07-05 16380416]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2007-06-15 1826816]
"nwiz"="nwiz.exe" - c:\windows\system32
wiz.exe [2007-04-19 1626112]

c:\documents and settings\Utilisateur\Menu D‚marrer\Programmes\D‚marrage\
rncsys32.exe [2009-6-25 29184]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\IEPro\MiniDM.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Messenger\livecall.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\Cyanide\GameCenter\GameCenter.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8085:TCP"= 8085:TCP:sys

R2 eID CRL Service;eID CRL Service;c:\windows\system32\beidservicecrl.exe [19/02/2007 15:16 225280]
R2 eID Privacy Service;eID Privacy Service;c:\windows\system32\beidservicepcsc.exe [19/02/2007 15:16 331776]
R3 AtcL001;NDIS Miniport Driver for Atheros L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\l151x86.sys [18/06/2008 16:29 36864]
R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;c:\windows\system32\drivers\bdfndisf.sys [25/01/2008 15:40 86792]
S0 bpsj;bpsj;c:\windows\system32\drivers	dagwq.sys --> c:\windows\system32\drivers	dagwq.sys [?]
S0 cogwyef;cogwyef;c:\windows\system32\drivers\xqif.sys --> c:\windows\system32\drivers\xqif.sys [?]
S0 jyzuv;jyzuv;c:\windows\system32\drivers\vxup.sys --> c:\windows\system32\drivers\vxup.sys [?]
S0 xdztj;xdztj;c:\windows\system32\drivers\swdyzdx.sys --> c:\windows\system32\drivers\swdyzdx.sys [?]
S2 fips32cup;fips32cup;c:\windows\system32\drivers\fips32cup.sys [19/08/2004 17:52 41216]
S3 ACSSCR;ACR38 Smart Card Reader;c:\windows\system32\drivers\a38usb.sys [24/03/2006 19:14 33536]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - fips32cup

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx	REG_MULTI_SZ   	scan
.
Contenu du dossier 'Tâches planifiées'

2009-06-22 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-04-11 15:57]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-Utilisateur - c:\documents and settings\Utilisateur\Utilisateur.exe


.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\fsnqyvqp.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.hooseek.com/
FF - plugin: c:\program files\Mozilla Firefox\plugins
p-mswmp.dll
FF - HiddenExtension: Java Console: No Registry Reference - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA}
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-26 19:20
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\bfea5cf]
"ImagePath"="\SystemRoot\System32\drivers\bfea5cf.sys"

anthony5151 · Answer

Ok, puisque tu as réutilisé Combofix, on va essayer de supprimer tous les éléments néfastes restants avec un script


/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour catulle, il n'est pas transposable sur un autre ordinateur ! 

• Télécharge ce dossier catulle.zip 
• Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination 
• Un autre dossier va apparaitre, prends le fichier CFScript.txt qui se trouve à l'intérieur et place le sur le Bureau. 

• Désactive tes logiciels de protection 
• Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme sur ce lien)
• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. 
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
• Si le fichier ne s'ouvre pas, il se trouve ici &#8594; C:\ComboFix.txt

Catulle · Answer

Voilà !

ComboFix 09-06-26.02 - Utilisateur 26/06/2009 20:30.2 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.32.1036.18.2047.1439 [GMT 2:00]
Lancé depuis: c:\documents and settings\Utilisateur\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Utilisateur\Bureau\CFScript.txt
AV: Bitdefender Antivirus *On-access scanning disabled* (Updated) {6C4BB89C-B0ED-4F41-A29C-4373888923BB}
FW: Bitdefender Firewall *disabled* {4055920F-2E99-48A8-A270-4243D2B8F242}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\DAEMON Tools Toolbar
c:\windows\system32\drivers\fips32cup.sys

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_fips32cup
-------\Service_bfea5cf
-------\Service_bpsj
-------\Service_cogwyef
-------\Service_e79895f3
-------\Service_fips32cup
-------\Service_jyzuv
-------\Service_xdztj


(((((((((((((((((((((((((((((   Fichiers créés du 2009-05-26 au 2009-06-26  ))))))))))))))))))))))))))))))))))))
.

2009-06-26 17:24 . 2009-06-26 17:24	--------	dc----w-	c:\windows\system32\dllcache\cache
2009-06-26 16:05 . 2009-06-26 16:05	--------	d-----w-	c:\windows\system32\wbem\Repository
2009-06-26 11:42 . 2009-06-26 16:48	--------	d-----w-	C:\UsbFix
2009-06-25 19:24 . 2009-06-25 19:24	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\BitDefender
2009-06-25 07:20 . 2009-06-25 07:20	--------	d-----w-	c:\documents and settings\Utilisateur\Application Data\Malwarebytes
2009-06-25 07:20 . 2009-06-17 09:27	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-25 07:20 . 2009-06-25 07:20	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-06-25 07:20 . 2009-06-25 07:20	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2009-06-25 07:20 . 2009-06-17 09:27	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-06-24 10:24 . 2009-06-26 08:05	--------	d-----w-	c:\program files	rend micro
2009-06-24 10:24 . 2009-06-24 10:25	--------	d-----w-	C:sit
2009-06-24 08:07 . 2009-06-24 08:07	152576	----a-w-	c:\documents and settings\Utilisateur\Application Data\Sun\Java\jre1.6.0_13\lzma.dll
2009-06-14 15:16 . 2009-06-14 15:16	--------	d-----w-	c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2009-06-14 15:15 . 2009-06-15 06:55	--------	d-----w-	c:\program files\DAEMON Tools Lite
2009-06-14 15:10 . 2009-06-14 15:10	721904	----a-w-	c:\windows\system32\drivers\sptd.sys
2009-06-14 15:10 . 2009-06-14 15:19	--------	d-----w-	c:\documents and settings\Utilisateur\Application Data\DAEMON Tools Lite
2009-06-14 14:33 . 2009-06-14 16:37	--------	d-----w-	c:\program files\Championship Manager 01-02
2009-06-14 14:32 . 1998-10-29 14:45	306688	----a-w-	c:\windows\IsUninst.exe
2009-05-27 19:25 . 2009-05-27 19:25	--------	d-----w-	c:\documents and settings\All Users\Application Data\Office Genuine Advantage

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-26 18:37 . 2008-06-24 11:04	81984	----a-w-	c:\windows\system32\bdod.bin
2009-06-24 16:38 . 2008-06-18 14:37	196608	----a-w-	c:\windows\system32\drivers
Standard.bin
2009-06-24 11:27 . 2009-01-23 15:53	--------	d-----w-	c:\program files\Diablo II
2009-06-24 08:08 . 2008-10-29 15:34	--------	d-----w-	c:\program files\Java
2009-06-21 11:55 . 2008-06-19 11:13	--------	d-----w-	c:\program files\L'entraîneur 00-01
2009-06-12 19:05 . 2008-06-20 17:59	--------	d-----w-	c:\program files\Messenger Plus! Live
2009-06-01 15:26 . 2008-06-18 21:31	--------	d-----w-	c:\program files\Google
2009-05-11 20:55 . 2009-01-26 15:49	10240	----a-w-	c:\documents and settings\Utilisateur\Application Data\GRETECH\GomPlayer\GrLauncherTempSetup.exe
2009-05-07 15:33 . 2006-03-02 12:00	348672	----a-w-	c:\windows\system32\localspl.dll
2009-05-03 11:46 . 2009-05-03 11:46	--------	d-----w-	c:\program files\K-Lite Codec Pack
2009-05-01 18:54 . 2009-05-01 18:54	--------	d-----w-	c:\program files\HooTech
2009-04-29 04:45 . 2006-03-02 12:00	827392	----a-w-	c:\windows\system32\wininet.dll
2009-04-29 04:45 . 2006-03-02 12:00	78336	----a-w-	c:\windows\system32\ieencode.dll
2009-04-19 19:50 . 2006-03-02 12:00	1847296	----a-w-	c:\windows\system32\win32k.sys
2009-04-19 18:11 . 2009-04-19 18:11	3282	----a-w-	c:\windows\system32\PerfStringBackup.TMP
2009-04-19 18:11 . 2006-03-02 12:00	71452	----a-w-	c:\windows\system32\perfc00C.dat
2009-04-19 18:11 . 2006-03-02 12:00	458560	----a-w-	c:\windows\system32\perfh00C.dat
2009-04-15 14:53 . 2006-03-02 12:00	585216	----a-w-	c:\windows\system32pcrt4.dll
.

(((((((((((((((((((((((((((((   SnapShot@2009-06-26_17.21.03   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-06-26 18:34 . 2009-06-26 18:34	16384              c:\windows	emp\Perflib_Perfdata_ec.dat
+ 2009-06-26 17:24 . 2008-10-16 13:09	51224              c:\windows\system32\dllcache\cache\wuauclt.exe
+ 2009-06-26 17:24 . 2008-04-14 02:33	82432              c:\windows\system32\dllcache\cache\ws2_32.dll
+ 2009-06-26 17:24 . 2008-04-14 02:34	26624              c:\windows\system32\dllcache\cache\userinit.exe
+ 2009-06-26 17:24 . 2008-04-14 02:34	14336              c:\windows\system32\dllcache\cache\svchost.exe
+ 2009-06-26 17:24 . 2008-04-14 02:34	57856              c:\windows\system32\dllcache\cache\spoolsv.exe
+ 2009-06-26 17:24 . 2008-04-14 02:33	17408              c:\windows\system32\dllcache\cache\powrprof.dll
+ 2009-06-26 17:24 . 2008-04-14 02:34	13312              c:\windows\system32\dllcache\cache\lsass.exe
+ 2009-06-26 17:24 . 2008-04-14 02:05	25216              c:\windows\system32\dllcache\cache\kbdclass.sys
+ 2009-06-26 17:24 . 2008-04-13 18:53	36608              c:\windows\system32\dllcache\cache\ip6fw.sys
+ 2009-06-26 17:24 . 2008-04-14 02:33	15360              c:\windows\system32\dllcache\cache\ctfmon.exe
+ 2009-06-26 17:24 . 2008-04-14 02:34	512000              c:\windows\system32\dllcache\cache\winlogon.exe
+ 2009-06-26 17:24 . 2009-04-29 04:45	827392              c:\windows\system32\dllcache\cache\wininet.dll
+ 2009-06-26 17:24 . 2008-04-14 02:33	579584              c:\windows\system32\dllcache\cache\user32.dll
+ 2009-06-26 17:24 . 2008-04-14 02:33	297984              c:\windows\system32\dllcache\cache	ermsrv.dll
+ 2009-06-26 17:24 . 2008-06-20 11:51	361600              c:\windows\system32\dllcache\cache	cpip.sys
+ 2009-06-26 17:24 . 2009-02-09 11:23	111104              c:\windows\system32\dllcache\cache\services.exe
+ 2009-06-26 17:24 . 2008-04-13 19:20	182656              c:\windows\system32\dllcache\cache
dis.sys
+ 2009-06-26 17:24 . 2008-04-14 02:33	110080              c:\windows\system32\dllcache\cache\imm32.dll
+ 2009-06-26 17:24 . 2008-04-14 02:33	1571840              c:\windows\system32\dllcache\cache\sfcfiles.dll
+ 2009-06-26 17:24 . 2009-02-09 11:23	2147328              c:\windows\system32\dllcache\cache
toskrnl.exe
+ 2009-06-26 17:24 . 2009-02-09 11:23	2025984              c:\windows\system32\dllcache\cache
tkrnlpa.exe
+ 2009-06-26 17:24 . 2009-03-21 14:07	1054720              c:\windows\system32\dllcache\cache\kernel32.dll
+ 2009-06-26 17:24 . 2008-04-14 02:34	1037824              c:\windows\system32\dllcache\cache\explorer.exe
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Gestionnaire Antidote.exe"="c:\program files\Druide\Antidote\Gestionnaire Antidote.exe" [2008-12-03 542136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-04-19 7700480]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-04-19 86016]
"GamerOSD"="c:\program files\ASUS\GamerOSD\GamerOSD.exe" [2007-02-14 380928]
"BitDefender Antiphishing Helper"="c:\program files\BitDefender\BitDefender 2008\IEShow.exe" [2007-10-09 61440]
"BDAgent"="c:\program files\BitDefender\BitDefender 2008\bdagent.exe" [2008-09-16 368640]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"beidsystemtray"="c:\program files\Belgium Identity Card\beidsystemtray.exe" [2007-02-19 188416]
"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-10 116040]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-07-05 16380416]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2007-06-15 1826816]
"nwiz"="nwiz.exe" - c:\windows\system32
wiz.exe [2007-04-19 1626112]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\IEPro\MiniDM.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Messenger\livecall.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\Cyanide\GameCenter\GameCenter.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8085:TCP"= 8085:TCP:sys

R2 eID CRL Service;eID CRL Service;c:\windows\system32\beidservicecrl.exe [19/02/2007 15:16 225280]
R2 eID Privacy Service;eID Privacy Service;c:\windows\system32\beidservicepcsc.exe [19/02/2007 15:16 331776]
R3 AtcL001;NDIS Miniport Driver for Atheros L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\l151x86.sys [18/06/2008 16:29 36864]
R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;c:\windows\system32\drivers\bdfndisf.sys [25/01/2008 15:40 86792]
S3 ACSSCR;ACR38 Smart Card Reader;c:\windows\system32\drivers\a38usb.sys [24/03/2006 19:14 33536]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx	REG_MULTI_SZ   	scan
.
Contenu du dossier 'Tâches planifiées'

2009-06-22 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-04-11 15:57]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\fsnqyvqp.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.hooseek.com/
FF - plugin: c:\program files\Mozilla Firefox\plugins
p-mswmp.dll
FF - HiddenExtension: Java Console: No Registry Reference - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA}
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-26 20:34
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"C040211900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(2912)
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\scardsvr.exe
c:\windows\system32undll32.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\windows\ATKKBService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32
vsvc32.exe
c:\program files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
c:\program files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
c:\program files\BitDefender\BitDefender 2008\vsserv.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Heure de fin: 2009-06-26 20:40 - La machine a redémarré
ComboFix-quarantined-files.txt  2009-06-26 18:40
ComboFix2.txt  2009-06-26 17:26
ComboFix3.txt  2009-06-26 12:21

Avant-CF: 56.260.419.584 octets libres
Après-CF: 56.231.096.320 octets libres

196	--- E O F ---	2009-06-10 07:02

Catulle · Answer

J'ai redémarré mon ordinateur, rien à signaler ! J'ai refait un scan avec Malwarebyte's, il ne m'a rien trouvé.
Je vais en refaire une approfondie avec BitDefender. 
J'ai vraiment eu peur aujourd'hui (écran bleu, etc.) et, même si ce n'est peut-être pas tout à fait terminé, je suis rassuré. MERCI BEAUCOUP !

anthony5151 · Answer

En plus des analyses avec BitDefender et MalwareBytes, peux-tu faire une nouvelle analyse avec RSIT et poster le rapport stp ?
A part ça, tu n'as plus de problèmes (ordi bloqué, redirections...) ?

Catulle · Answer

Non, pour le moment tout est impeccable. J'avais redémarré mon ordinateur avec quelques craintes mais tout semble fonctionner.
Je verrai demain matin... Une fois que BitDefender a terminé, je l'éteindrai.
Et même s'il ne trouve rien, je veux bien refaire toutes les analyses qu'il faut, et trois fois si c'est nécessaire ! ;-)

Voilà le rapport RSIT :

Logfile of random's system information tool 1.06 (written by random/random)
Run by Utilisateur at 2009-06-26 23:24:02
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 53 GB (35%) free of 153 GB
Total RAM: 2047 MB (74% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:24:04, on 26/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
C:\Program Files\Belgium Identity Card\beidsystemtray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Druide\Antidote\Gestionnaire Antidote.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\beidservicecrl.exe
C:\WINDOWS\system32\beidservicepcsc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\BitDefender\BitDefender 2008\seccenter.exe
C:\Program Files\BitDefender\BitDefender 2008\uiscan.exe
C:\Documents and Settings\Utilisateur\Mes documents\My Downloads\RSIT.exe
C:\Program Files	rend micro\Utilisateur.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Program Files\IEPro\iepro.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {dbc80044-a445-435b-bc74-9c25c1c588a9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [GamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [beidsystemtray] C:\Program Files\Belgium Identity Card\beidsystemtray.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\Program Files\Druide\Antidote\Gestionnaire Antidote.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IEPro\iepro.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [java_sun] Java (Sun)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://belgacom.extrafilm.be/ImageUploader5.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: eID CRL Service -  Zetes - C:\WINDOWS\system32\beidservicecrl.exe
O23 - Service: eID Privacy Service - Zetes - C:\WINDOWS\system32\beidservicepcsc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: Mises à jour automatiques (wuauserv) - Unknown owner - C:\WINDOWS\
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe

anthony5151 · Answer

OK, tiens moi au courant du résultat du scan BitDefender, je te donnerai encore quelques conseils après ça ;)

Je serai absent une grande partie de la journée demain, je reviendrai normalement en fin d'après midi.
Bonne nuit

Catulle · Answer

Bonjour!

Ce matin : 
Malwarebytes, clean !
Bit Defender : 

Résumé de l'analyseNombre de signatures de virus : 3717919 
Plugins archives : 44 
Plug-ins messagerie : 6 
Plugins d'analyse : 13 
Plugins archives : 44 
Plug-ins système : 5 
Plug-ins décompression : 7 


Résumé de l'analyse généraleEléments analysés : 84117 
Eléments infectés  : 8 
Eléments suspects : 0 
Eléments résolus : 8 
Virus individuels trouvés : 2 
Répertoires analysés : 6352 
Secteur de boot analysés : 6 
Archives analysés : 670 
Erreurs I/O : 0 
Temps d'analyse : 00:00:38:53 
Fichiers par seconde : 35 


Résumé des processus analysésAnalysé(s) : 42 
Infecté(s) : 0 


Résumé des clés de registre analyséesAnalysé(s) : 848 
Infecté(s) : 0 


Résumé des cookies analysésAnalysé(s) : 17 
Infecté(s) : 0 

Problèmes résolus  /  Nom de l'objet  /  Nom de la menace  /  Etat final 
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\fips32cup.sys.vir Trojan.Agent.AMZV Effacé 
C:\System Volume Information\_restore{935A7D09-57B7-4412-9256-4253C5664800}\RP377\A0093474.sys Trojan.Agent.AMZV Effacé 
C:\System Volume Information\_restore{935A7D09-57B7-4412-9256-4253C5664800}\RP377\A0093475.sys Trojan.Agent.AMZV Effacé 
C:\System Volume Information\_restore{935A7D09-57B7-4412-9256-4253C5664800}\RP377\A0096485.sys Trojan.Agent.AMZV Effacé 
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\e79895f3.sys.vir Trojan.Peed.Gen Déplacé(s) en quarantaine 
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_e79895f3_.sys.zip=]e79895f3.sys Trojan.Peed.Gen Effacé 
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_fb6ff851_.sys.zip=]fb6ff851.sys Trojan.Peed.Gen Effacé 
C:\System Volume Information\_restore{935A7D09-57B7-4412-9256-4253C5664800}\RP377\A0096839.sys Trojan.Peed.Gen Déplacé(s) en quarantaine

anthony5151 · Answer

Les éléments détectés par BitDefender correspondent soit à Qoobox (la quarantaine de Combofix), soit à des archives de la restauration du système (sans danger du moment que tu ne fais pas de restauration pour le moment). Le rapport RSIT ne montre plus non plus d'infection ;)

Voici donc quelques conseils pour finir le nettoyage et sécuriser ton ordinateur :


1) Sécurise ton ordinateur 

• Logiciels de protection : 
* Garde BitDefender pour la protection et MalwareBytes pour son scan de nettoyage performant.
* En complément, tu peux installer Spybot (décoche le TeaTimer lors de l'installation). L'intérêt de ce programme, ce sont les vaccinations, à faire chaque semaine après une mise à jour. Par contre, son scan est peu efficace.

• Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille vivement d’installer et d'utiliser le navigateur Firefox. Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.

• Java n'est pas à jour, c'est une faille de sécurité.
Il faut d'abord désinstaller l'ancienne version : Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes et désinstalle les.
Ensuite, télécharge et installe la nouvelle version depuis le site officiel de java : https://java.com/fr/

• Adobe Reader n’est pas à jour, c’est une faille de sécurité. Désinstalle le en allant dans menu démarrer --> panneau de configuration --> ajout/suppression de programmes. Puis télécharge et installe la nouvelle version.

• Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : Update Checker (attention, les liens proposés ne correspondent pas toujours à la version française des programmes, il faut parfois les chercher manuellement)



2) Lance Hijackthis (RSIT l'a installé ici : C:\Program Files	rend micro\Utilisateur.exe), choisis "scan system only" et coche les lignes suivantes qui sont inutiles : 



Si tu as bien mis à jour Adobe Reader comme je te l'ai recommandé, cette ligne devrait apparaitre, tu peux la cocher : O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" 

Coche également toutes les lignes commençant par 016 puis clique sur "Fix checked"



3) Télécharge ToolsCleaner sur ton Bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé.
Lance le puis clique sur Recherche et patiente pendant le scan. A la fin, clique sur Suppression pour nettoyer.
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
S'il ne supprime pas tout, supprime manuellement ce qui reste.



4) Télécharge et installe CCleaner, puis lance le. 
Clique sur Option &#8594; avancé &#8594; décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis Nettoyeur &#8594; Analyse &#8594; Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, Registre &#8594; corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

(Tu peux garder ce logiciel et l'utiliser régulièrement).



5) Pour finir le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés). Pour ça, suis ce tutoriel stp.



6) Je t'invite enfin à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet




Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)

Catulle · Answer

Voilà, je viens de tout faire.
Un seul mot : merci !
Je ne sais pas ce que j'aurais fait sans toi ! ;)

Merci pour les conseils et les logiciels. (J'utilisais déjà Firefox, mais je ne connaissais pas les deux modules complémentaires : très utiles!)

Bon week-end !

Http://webnickgiftnet.com (Google)

27 réponses

Discussions similaires