virus empeche d'ouvrir HijackThis Résolu

Question

Bonjour,
J'ai un probleme, quand j'ouvre internet explorer l'ordi gele et je suis obligé de faire un reset, j'ai réussi a installer firefox avec ma clef usb et je peut aller sur internet, c'est déja ça, sauf que les pages sont redirigé, j'ai réussi a installer Antivir et je vous donne le rapport. J'ai winxp sp3 pentium 4 2.8. 
Merci de bien vouloir m'aider.


Avira AntiVir Personal
Report file date: 25 juillet 2009  14:15

Scanning for 1567743 virus strains and unwanted programs.

Licensee        : Avira AntiVir Personal - FREE Antivirus
Serial number   : 0000149996-ADJIE-0000001
Platform        : Windows XP
Windows version : (Service Pack 3)  [5.1.2600]
Boot mode       : Normally booted
Username        : Administrateur
Computer name   : DELL

Version information:
BUILD.DAT       : 9.0.0.403     17961 Bytes  2009-06-03 17:05:00
AVSCAN.EXE      : 9.0.3.6      466689 Bytes  2009-05-11 08:14:47
AVSCAN.DLL      : 9.0.3.0       40705 Bytes  2009-02-27 09:58:24
LUKE.DLL        : 9.0.3.2      209665 Bytes  2009-02-20 10:35:49
LUKERES.DLL     : 9.0.2.0       12033 Bytes  2009-02-27 09:58:52
ANTIVIR0.VDF    : 7.1.0.0    15603712 Bytes  2008-10-27 11:30:36
ANTIVIR1.VDF    : 7.1.4.132   5707264 Bytes  2009-06-24 11:57:15
ANTIVIR2.VDF    : 7.1.4.253   1779200 Bytes  2009-07-19 11:57:29
ANTIVIR3.VDF    : 7.1.5.28     214528 Bytes  2009-07-24 11:57:31
Engineversion   : 8.2.0.228
AEVDF.DLL       : 8.1.1.1      106868 Bytes  2009-04-30 10:52:04
AESCRIPT.DLL    : 8.1.2.18     442746 Bytes  2009-07-25 11:57:46
AESCN.DLL       : 8.1.2.4      127348 Bytes  2009-07-25 11:57:44
AERDL.DLL       : 8.1.2.4      430452 Bytes  2009-07-25 11:57:44
AEPACK.DLL      : 8.1.3.18     401783 Bytes  2009-05-27 15:07:20
AEOFFICE.DLL    : 8.1.0.38     196987 Bytes  2009-07-25 11:57:42
AEHEUR.DLL      : 8.1.0.143   1864055 Bytes  2009-07-25 11:57:41
AEHELP.DLL      : 8.1.5.3      233846 Bytes  2009-07-25 11:57:34
AEGEN.DLL       : 8.1.1.50     352629 Bytes  2009-07-25 11:57:33
AEEMU.DLL       : 8.1.0.9      393588 Bytes  2008-10-09 13:32:40
AECORE.DLL      : 8.1.7.6      184694 Bytes  2009-07-25 11:57:32
AEBB.DLL        : 8.1.0.3       53618 Bytes  2008-10-09 13:32:40
AVWINLL.DLL     : 9.0.0.3       18177 Bytes  2008-12-12 07:47:59
AVPREF.DLL      : 9.0.0.1       43777 Bytes  2008-12-05 09:32:15
AVREP.DLL       : 8.0.0.3      155905 Bytes  2009-01-20 13:34:28
AVREG.DLL       : 9.0.0.0       36609 Bytes  2008-12-05 09:32:09
AVARKT.DLL      : 9.0.0.3      292609 Bytes  2009-03-24 14:05:41
AVEVTLOG.DLL    : 9.0.0.7      167169 Bytes  2009-01-30 09:37:08
SQLITE3.DLL     : 3.6.1.0      326401 Bytes  2009-01-28 14:03:49
SMTPLIB.DLL     : 9.2.0.25      28417 Bytes  2009-02-02 07:21:33
NETNT.DLL       : 9.0.0.0       11521 Bytes  2008-12-05 09:32:10
RCIMAGE.DLL     : 9.0.0.25    2438913 Bytes  2009-05-15 14:39:58
RCTEXT.DLL      : 9.0.37.0      86785 Bytes  2009-04-17 09:19:48

Configuration settings for the scan:
Jobname.............................: Complete system scan
Configuration file..................: c:\program files\avira\antivir desktop\sysscan.avp
Logging.............................: low
Primary action......................: interactive
Secondary action....................: ignore
Scan master boot sector.............: on
Scan boot sector....................: on
Boot sectors........................: C:, 
Process scan........................: on
Scan registry.......................: on
Search for rootkits.................: on
Integrity checking of system files..: off
Scan all files......................: All files
Scan archives.......................: on
Recursion depth.....................: 20
Smart extensions....................: on
Macro heuristic.....................: on
File heuristic......................: medium

Start of the scan: 25 juillet 2009  14:15

Starting search for hidden objects.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ESQULserv.sys\modules
    [INFO]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ESQULserv.sys\start
    [INFO]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ESQULserv.sys	ype
    [INFO]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ESQULserv.sys\imagepath
    [INFO]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ESQULserv.sys\group
    [INFO]      The registry entry is invisible.
'7549' objects were checked, '5' hidden objects were found.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'wmiprvse.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'avgcsrvx.exe' - '1' Module(s) have been scanned
Scan process 'nmsrvc.exe' - '1' Module(s) have been scanned
Scan process 'avgemc.exe' - '1' Module(s) have been scanned
Scan process 'avgnsx.exe' - '1' Module(s) have been scanned
Scan process 'avgrsx.exe' - '1' Module(s) have been scanned
Scan process 'avgam.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'jqs.exe' - '1' Module(s) have been scanned
Scan process 'avgwdsvc.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'TeaTimer.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'nmapp.exe' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'avgtray.exe' - '1' Module(s) have been scanned
Scan process 'igfxpers.exe' - '1' Module(s) have been scanned
Scan process 'hkcmd.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'savedump.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
39 processes with 39 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
    [INFO]      No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
    [INFO]      No virus was found!

Starting to scan executable files (registry).
The registry was scanned ( '60' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
    [WARNING]   The file could not be opened!
    [NOTE]      This file is a Windows system file.
    [NOTE]      This file cannot be opened for scanning.
C:\Documents and Settings\Administrateur\Local Settings\Temp\5df3805d-e8d3-4c10-ba5f-f556744291eb.tmp
  [0] Archive type: CAB (Microsoft)
    --> F2913_HPProductSupportWebsite.url.C72289A0_334F_47B2_9027_660ACF342337
      [WARNING]   No further files can be extracted from this archive. The archive will be closed
C:\Documents and Settings\Administrateur\Local Settings\Temp\610bfb0e-1d47-46d2-b227-fc89ae0c01ac.tmp
  [0] Archive type: CAB (Microsoft)
    --> F1308_hpobnz08.exe.843BC64F_8F28_4156_976C_445607111FBD
      [WARNING]   No further files can be extracted from this archive. The archive will be closed
    [WARNING]   No further files can be extracted from this archive. The archive will be closed
C:\WINDOWS\Temp\2715aafa-4e3b-4be4-91af-5225e8a06485.tmp
  [0] Archive type: CAB (Microsoft)
    --> Windows6.0-KB949247-v6001-x86.cab
      [WARNING]   No further files can be extracted from this archive. The archive will be closed
    [WARNING]   No further files can be extracted from this archive. The archive will be closed
C:\WINDOWS\Temp\387d0037-4049-4700-9bd4-ba48cbf2dda7.tmp
  [0] Archive type: CAB (Microsoft)
    --> 0
      [WARNING]   No further files can be extracted from this archive. The archive will be closed
    [WARNING]   No further files can be extracted from this archive. The archive will be closed


End of the scan: 25 juillet 2009  14:39
Used time: 23:50 Minute(s)

The scan has been done completely.

   4273 Scanned directories
 186809 Files were scanned
      0 Viruses and/or unwanted programs were found
      0 Files were classified as suspicious
      0 files were deleted
      0 Viruses and unwanted programs were repaired
      0 Files were moved to quarantine
      0 Files were renamed
      1 Files cannot be scanned
 186808 Files not concerned
   7069 Archives were scanned
      8 Warnings
      1 Notes
   7549 Objects were scanned with rootkit scan
      5 Hidden objects were found

gen-hackman · Answer

salut :

######## | XP _ Instal & recherche | #######


Telecharge et install UsbFix (de C_XX & Chiquitine29)

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau .

# Choisi l option 1 ( Recherche )

# Laisse travailler l outil.

# Ensuite post le rapport UsbFix.txt qui apparaitra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Utilisateur anonyme · Answer

Bonsoir,
Edit :
suis les procedures de mon ami Gen-hackman, à+ ^^

gen-hackman · Answer

9s de retard :)

Utilisateur anonyme · Answer

à toi l'honneur,
on ne va pas se battre pour si peu,  lol
à+

tobor · Answer

Merci de m'aider voici le rapport

############################## | UsbFix V6.011 |

User : Administrateur (Administrateurs) # DELL
Update on 24/07/09 by Chiquitine29 & C_XX
Start at: 16:16:55 | 2009-07-25
Website : http://pagesperso-orange.fr/NosTools/index.html

              Intel(R) Pentium(R) 4 CPU 2.80GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.11
Windows Firewall Status : Enabled
AV : AVG Anti-Virus 8.5 [ Enabled | Updated ]
AV : AntiVir Desktop 9.0.1.30 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 37,24 Go (26,79 Go free) # NTFS
E:\ -> Disque amovible # 488 Mo (468,3 Mo free) [SAMUEL P] # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxpers.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Pure Networks\Network Magic
mapp.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Program Files\Pure Networks\Network Magic
msrvc.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jucheck.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |


################## | Registre # Clés Run infectieuses |

Présent ! HKLM\software\microsoft\security center "AntiVirusDisableNotify" ( 0x1 )  
Présent ! HKLM\software\microsoft\security center "FirewallDisableNotify" ( 0x1 )  
Présent ! HKLM\software\microsoft\security center "UpdatesDisableNotify" ( 0x1 )  

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{9445952e-f2d2-11dd-946e-001311ab7334}
Shell\AutoRun\command =G:caeasyrip_setup.exe 
Shell\install\command =G:caeasyrip_setup.exe 
Shell\usermanualEnglish\command =G:caeasyrip_setup.exe /pdf_English
Shell\usermanualFrench\command =G:caeasyrip_setup.exe /pdf_French
Shell\usermanualSpanish\command =G:caeasyrip_setup.exe /pdf_Spanish

################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.011 ! |

gen-hackman · Answer

bien

########### | XP _  Suppression | ########



 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

• Double clic (clic droit "en tant qu'administrateur" pour Vista)sur le raccourci UsbFix présent sur ton bureau

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

• Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]  

• Ton bureau disparaitra et le pc redémarrera .

• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

• Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Utilisateur anonyme · Answer

re Gen-hackma,

toutes mes excuses mais je vois 2 antivirus sur ce rapport :
AVG8 et antivir

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 
C:\Program Files\Avira\AntiVir Desktop\sched.exe 
C:\PROGRA~1\AVG\AVG8\avgemc.exe 
C:\PROGRA~1\AVG\AVG8\avgam.exe 
C:\PROGRA~1\AVG\AVG8\avgrsx.exe 
C:\PROGRA~1\AVG\AVG8\avgnsx.exe 

à+++

gen-hackman · Answer

oui c est prevu dans le suite :)

j ai d'abord sauté sur l'infection la plus visible ^^

Utilisateur anonyme · Answer

bon courage et bonne soirée

@ ++

tobor · Answer

Voici le résultat.

############################## | UsbFix V6.011 |

User : Administrateur (Administrateurs) # DELL
Update on 24/07/09 by Chiquitine29 & C_XX
Start at: 16:28:58 | 2009-07-25
Website : http://pagesperso-orange.fr/NosTools/index.html

              Intel(R) Pentium(R) 4 CPU 2.80GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.11
Windows Firewall Status : Enabled
AV : AVG Anti-Virus 8.5 [ Enabled | Updated ]
AV : AntiVir Desktop 9.0.1.30 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 37,24 Go (26,79 Go free) # NTFS
E:\ -> Disque amovible # 488 Mo (468,3 Mo free) [SAMUEL P] # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Program Files\Pure Networks\Network Magic
msrvc.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe

################## | Fichiers # Dossiers infectieux |


################## | All Drives ... |


################## | Registre # Clés Run infectieuses |

# HKLM\software\microsoft\security center "AntiVirusDisableNotify" # -> Reset sucessfully !  
# HKLM\software\microsoft\security center "FirewallDisableNotify" # -> Reset sucessfully !  
# HKLM\software\microsoft\security center "UpdatesDisableNotify" # -> Reset sucessfully !  

################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{9445952e-f2d2-11dd-946e-001311ab7334}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[2006-11-29 16:06|--a------|0] -> C:\AUTOEXEC.BAT 
[2006-11-29 16:00|---hs----|212] -> C:\boot.ini 
[2006-01-05 16:31|-rahs----|4952] -> C:\Bootfont.bin 
[2006-11-29 16:06|--a------|0] -> C:\CONFIG.SYS 
[2009-07-20 20:22|--a------|525] -> C:\hpfr3420.xml 
[2009-07-20 20:22|--a------|28336] -> C:\hpfr3425.log 
[2006-11-29 16:06|-rahs----|0] -> C:\IO.SYS 
[2009-07-22 20:42|--a------|1755] -> C:\ip.txt 
[2006-11-29 16:06|-rahs----|0] -> C:\MSDOS.SYS 
[2006-01-05 16:32|-rahs----|47564] -> C:\NTDETECT.COM 
[2009-02-20 20:23|-rahs----|252240] -> C:
tldr 
[?|?|?] -> C:\pagefile.sys 
[2009-07-25 16:32|--a------|3244] -> C:\UsbFix.txt 
[2009-07-23 20:05|--a------|8172456] -> E:\Firefox Setup 3.5.1.exe 
[2009-07-25 14:12|--a------|401720] -> E:\HiJackThis.exe 
[2009-07-25 15:17|--a------|18380] -> E:\AVSCAN-20090725-141536-686A3781.LOG 
[2006-03-08 20:19|---h-----|1053184] -> E:\~WRL0001.tmp 
[2009-07-25 16:28|--a------|3410] -> E:\BOOTEX.LOG 
[2008-10-01 21:14|-r-h-----|474] -> E:\winamp_cache_0001.xml 
[2008-10-01 21:14|--a------|41] -> E:\pmp_usb.ini 
[2008-10-13 10:01|--a------|19968] -> E:\Informations g‚n‚rales.doc 
[2008-11-13 11:53|--a------|655872] -> E:\Diamond.ppt 

################## | Vaccination |

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# E:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  

################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.011 ! |

Pendant le processus un avertissement est apparu me disant CMD.EXE fichier endommager

gen-hackman · Answer

ok aide toi de cette page pour virer AVG :

Désinstallation Antivirus , Parefeu , Antispyware

tobor · Answer

C'est fait j'ai été obligé de loader le programme sur un autre ordi

gen-hackman · Answer

ok on continue :

Télécharge OTL de OLDTimer

et enregistre le sur ton Bureau.

Double clic sur OTL.exe pour le lancer.

Coche les 2 cases Lop et Purity

Coche la case devant scan all users

Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

Clique sur Parcourir et cherche le fichier ci-dessus.

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Tu feras la meme chose avec le "Extra.txt" s'il t'est demandé

tobor · Answer

Voici les liens
http://www.cijoint.fr/cjlink.php?file=cj200907/cijoDUwQio.txt

http://www.cijoint.fr/cjlink.php?file=cj200907/cijacp1MHq.txt

gen-hackman · Answer

Télécharge WORT (de pc-system.fr) sur ton bureau :


* Puis crée ce dossier > C:\WORT
-> Va dans poste de travail / clique sur ton disque C / puis clique droit dans cette fenêtre et choisis "créer"> "nouveau dossier" > nomme le exactement ainsi WORT

* Double clique sur WORT.exe pour lancer l'installation de l'outil .
* Ouvre le dossier WORT , clique sur WareOut_Removal_Tool.bat pour lancer l'outil et laisse toi guider ...

> Choisis l'option 1 et laisse travailler l'outil ...

Une fois terminé, poste le rapport obtenu .
Il sera enregistré dans C:\WORT\WORT_report.txt
( Il te sera proposé d'éxécuter le fichier WORTregfix.reg, accepte. )

tobor · Answer

Voici
===== Rapport WareOut Removal Tool ===== 
 
version 3.5 
 
analyse effectuée le 2009-07-25 à 17:29:07,10 
 
Résultats de l'analyse : 
======================== 
 
~~~~ Recherche d'infections dans C:\ ~~~~ 
 
C:\autorun.inf trouvé! 
C:\autorun.inf suppression impossible 
 
 
~~~~ Recherche d'infections dans C:\Program Files\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\WINDOWS\system\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\WINDOWS\system32\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\WINDOWS\system32\drivers\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\Documents and Settings\Administrateur\Application Data\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\Documents and Settings\Administrateur\Bureau\ ~~~~ 
 
 
~~~~ Recherche de détournement de DNS ~~~~ 
 
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]
    NameServer	REG_SZ	85.255.112.228,85.255.112.93
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{49E239B0-8267-4AE3-B08B-08960D4CDC36}]
    NameServer	REG_SZ	85.255.112.228,85.255.112.93
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{DA08E73E-4186-4E36-9419-ACCD922B3B0F}]
    NameServer	REG_SZ	85.255.112.228,85.255.112.93
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters]
    NameServer	REG_SZ	85.255.112.228,85.255.112.93
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{49E239B0-8267-4AE3-B08B-08960D4CDC36}]
    NameServer	REG_SZ	85.255.112.228,85.255.112.93
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{DA08E73E-4186-4E36-9419-ACCD922B3B0F}]
    NameServer	REG_SZ	85.255.112.228,85.255.112.93
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\Tcpip\Parameters]
    NameServer	REG_SZ	85.255.112.228,85.255.112.93
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\Tcpip\Parameters\Interfaces\{49E239B0-8267-4AE3-B08B-08960D4CDC36}]
    NameServer	REG_SZ	85.255.112.228,85.255.112.93
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\Tcpip\Parameters\Interfaces\{DA08E73E-4186-4E36-9419-ACCD922B3B0F}]
    NameServer	REG_SZ	85.255.112.228,85.255.112.93
 
 
~~~~ Recherche de Rootkits ~~~~ 
 
catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-25 17:29:29
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden files ...

disk error: C:\WINDOWS\system32\

please note that you need administrator rights to perform deep scan
 
 

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    System	REG_SZ	

 
 
~~~~ Recherche d'infections dans C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\Documents and Settings\Administrateur\Start Menu\Programs\ ~~~~ 
 
 
~~~~ Nettoyage du registre ~~~~ 
 
 
~~~~ Tentative de réparation des entrées suivantes: ~~~~ 
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] = "System" 
 
[HKLM\SYSTEM\CurrentControlSet\Services\Windows Tribute Service] 
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Windows Tribute Service] 
 
~~~~ Vérification: ~~~~ 

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    System	REG_SZ	

 
 
_________________________________ 
 
développé par http://pc-system.fr 
_________________________________

gen-hackman · Answer

ok refais OTL tout neuf stp

tobor · Answer

Je met le rapport ici ou sur www.cijoint.fr

gen-hackman · Answer

sur cijoint stp il rentrera pas ici

tobor · Answer

Je met le lien
http://www.cijoint.fr/cjlink.php?file=cj200907/cijB0u5nEo.txt

tobor · Answer

http://www.cijoint.fr/cjlink.php?file=cj200907/cijB0u5nEo.txt

gen-hackman · Answer

Télécharge HostXpert sur ton Bureau :

---> Décompresse-le (Clic droit >> Extraire ici) 

---> Double-clique sur HostsXpert pour le lancer 

---> clique sur le bouton "Restore MS Hosts File" puis ferme le programme 

PS : Avant de cliquer sur le bouton "Restore MS Hosts File", vérifie que le cadenas en haut à gauche est ouvert sinon tu vas avoir un message d'erreur. 

s'il est fermé , clique dessus  :)

ensuite :

Télécharge Zeb-Restore http://telechargement.zebulon.fr/zeb-restore.html enregistre ce fichier sur le bureau. 

-Clic droit Zeb-Restore.zip ==> Extraire tout choisis comme lieu d'enregistrement le bureau. 
-Ouvre le dossier ZR_1.0.0.37 ==> double clic sur Zeb-Restore.exe 
- Coche la case devant :sites de confiance
- Ne coche aucune autre case 
-Clique sur Restaurer 
-Redémarre ton PC

ensuite :

Double clic sur OTL.exe pour le lancer.


Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans la zone sous Customs Scans/Fixes

:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
TeaTimer.exe

:OTL
O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found.
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O4 - Startup: C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\AutorunsDisabled [2009-07-25 13:37:53 | 00,000,000 | -H-D | M]
O4 - Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\AutorunsDisabled [2009-07-25 13:37:42 | 00,000,000 | -H-D | M]
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.228,85.255.112.93
O18 - Protocol\Handler\ipp - No CLSID value found
O18 - Protocol\Handler\msdaipp - No CLSID value found
O20 - Winlogon\Notify\avgrsstarter: DllName - avgrsstx.dll -  File not found
O24 - Desktop Components:AutorunsDisabled () - 
@Alternate Data Stream - 116 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:D1B5B4F1


:files
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\AutorunsDisabled
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\AutorunsDisabled
C:\Documents and Settings\Administrateur\Bureau\autoruns
C:\WINDOWS	asks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job
C:\WINDOWS\System32\suckin_.dll

:commands
[emptytemp]
[start explorer]
[reboot]


Clique sur RunFix pour lancer la suppression.


Poste le rapport.

tobor · Answer

J'ai fais ce que tu m'as demandé, mais otl ne répond pas reste sur le sablier

tobor · Answer

otl indique processing O4 - Startup: C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\AutorunsDisabled [2009-07-25 13:37:53 | 00,000,000 | -H-D | M]

gen-hackman · Answer

oui des fois il est un peu long

tobor · Answer

Ça fait 40 min

tobor · Answer

J'ai fermé otl et redémaré l'ordi et recommené je vais voir

gen-hackman · Answer

oui regarde s'il n y pas un rapport dans C:\ aussi ^^

tobor · Answer

Je n'ai pas trouvé de rapport sur c

tobor · Answer

Merci de m'aider je doit quiter je revien demain midi, chez moi il est présentement 19h40. Je laisse mon ordi aller jusqu'à demain on va voir. À demain.

gen-hackman · Answer

ok

non pardon le rapport est censé etre dans :

C:\_OTL\le dernier en date

tobor · Answer

Bonjour je suis de retour
L'ordi as passé la nuit gelé sur otl j'ai refait la procédure 2 fois ce matin meme chose otl ne répond pas.
Merci pour votre patience.

tobor · Answer

J'ai trouvé le dossier otl mais il n'y a rien à l'intérieur

gen-hackman · Answer

passe-le en mode sans echec stp

tobor · Answer

comment je fait

tobor · Answer

ok j'ai trouvé comment redémarer sans échec je fais quoi apres

tobor · Answer

bon J'ai essayé otl en mode sans échec meme chose le programme ne répond pas et je suis obligé de redémarrer

zepixelator · Answer

J'ai le meme probleme,mon ordi s'est choppé une vérole et j'arrive plus a me connecter,donc jpeu plus faire de scan hijackthis!!!un scan de norton,spybot,et malware bytes font planter mon pc!!!a l'heure actuelle mon pc affiche un fichier system32 manquant ou endommagé au démarrage,j'arrive a demarrer en sans echec 1fois sur 30 mais jsai pas du tout quel dossier supprimer!!!J'ai cependant pu recupérer un log hijackthis avant que ca plante pour de bon!!!
04-dossier registre et demarrage-CFMON.EXE serait un virus selon la pacman list et n'aurai rien a faire dans la liste des programmes chargés en auto!!!! j'y connais rien du tout,ca fais 3 jours que je dors plus,que j'essaie de comprendre le log,j'ai une tronche de mort vivant!!Aidez moi svp  

voici mon fameux log hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:45:51, on 22/07/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\Program Files\Norton Save and Restore\Agent\VProSvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\SPAMfighter\sfus.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\vVX3000.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Sony\WALKMAN Launcher\WMAAD.exe
C:\Program Files\Adobe\Adobe Photoshop Lightroom 1.3\apdproxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\SPAMfighter\SFAgent.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Microsoft Xbox 360 Accessories\XboxStat.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Microsoft Money\System\mnyexpr.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Program Files\Veoh Networks\Veoh\VeohClient.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\fond-ecran-wallpaper\few-oneclick.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Norton Save and Restore\Console\VProConsole.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\PROGRA~1\FICHIE~1\MICROS~1\DW\DW20.EXE     (bizarre la ligne!!!!!!!!!!!!!!!!)
C:\Program Files\Java\jre1.6.0_07\bin\jucheck.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Maison\Mes documents\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.broadcom.com/support/security-center
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks=
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = plimus.com,www.plimus.com,regnow.com,www.regnow.com,;*.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\FICHIE~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Pluginseg\VeohToolbar.dll
O3 - Toolbar: Veoh Video Compass - {52836EB0-631A-47B1-94A6-61F9D9112DAE} - C:\Program Files\Veoh Networks\Veoh Video Compass\SearchRecsPlugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7
tiMUI.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [VX3000] C:\WINDOWS\vVX3000.exe
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [WMAAD] C:\Program Files\Sony\WALKMAN Launcher\WMAAD.exe
O4 - HKLM\..\Run: [Norton Save and Restore 2.0] "C:\Program Files\Norton Save and Restore\Agent\VProTray.exe"
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Adobe Photoshop Lightroom 1.3\apdproxy.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Program Files\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [XboxStat] "C:\Program Files\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Creative Detector] "C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe" /R
O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [VeohPlugin] "C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-3524445068-959122282-2878935301-1006\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-3524445068-959122282-2878935301-1006\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot (User '?')
O4 - HKUS\S-1-5-21-3524445068-959122282-2878935301-1006\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe" (User '?')
O4 - HKUS\S-1-5-21-3524445068-959122282-2878935301-1006\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (User '?')
O4 - HKUS\S-1-5-21-3524445068-959122282-2878935301-1006\..\Run: [Creative Detector] "C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe" /R (User '?')
O4 - HKUS\S-1-5-21-3524445068-959122282-2878935301-1006\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide (User '?')
O4 - HKUS\S-1-5-21-3524445068-959122282-2878935301-1006\..\Run: []  (User '?')
O4 - HKUS\S-1-5-21-3524445068-959122282-2878935301-1006\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (User '?')
O4 - HKUS\S-1-5-21-3524445068-959122282-2878935301-1006\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent (User '?')
O4 - HKUS\S-1-5-21-3524445068-959122282-2878935301-1006\..\Run: [VeohPlugin] "C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe" (User '?')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Fond Ecran OneClick.lnk = C:\Program Files\fond-ecran-wallpaper\few-oneclick.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Transfert par Image Converter 3 - C:\PROGRAM FILES\SONY\IMAGE CONVERTER 3\menu.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Image Converter SCSI Service (ICScsiSV) - Sony Corporation - C:\Program Files\Sony\IMAGE CONVERTER 3\ICScsiSV.exe
O23 - Service: IcVzMonLauncher - Sony Corporation - C:\Program Files\Sony\IMAGE CONVERTER 3\IcVzMonLauncher.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Image Converter video recording monitor for VAIO Entertainment - Sony Corporation - C:\Program Files\Sony\IMAGE CONVERTER 3\IcVzMon.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: Norton Save and Restore - Symantec Corporation - C:\Program Files\Norton Save and Restore\Agent\VProSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SonicStage Back-End Service - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SsBeSvc.exe
O23 - Service: SPAMfighter Update Service - SPAMfighter ApS - C:\Program Files\SPAMfighter\sfus.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\FICHIE~1\SYMANT~1\CCPD-LC\symlcsvc.exe

gen-hackman · Answer

zepixelator

crée-toi ton propre sujet stp

todor :


Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.



Télécharges :

Malwarebytes  

ou  :

Malwarebytes

* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

* Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebyte's .

Fais un examen dit "Complet" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

tobor · Answer

Bonjour gen-hackman
Malwarebytes est installé mais ne fait pas sa mise à jour et si je clique pour partir le programme ça fait comme avec HijackThis le programme ne démarre pas....

gen-hackman · Answer

ok ca sent le rootkit cette histoire(en general , quand MBAM plante.....) :

/!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\

♦ Surtout , penses à l'enregistrement à renommer Combofix en "ton prenom.exe"

_________________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================</gras>

♦ On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Avant d'utiliser ComboFix :
______________________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

♦ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

♦ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

>> Reviens sur le forum, et

♦ copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

tobor · Answer

J'ai essayé de le partir en mode sans échec et ça ne fonctionne pas.

gen-hackman · Answer

ok as-tu un msg d'erreur ?

tobor · Answer

Ça va pas bien, je clique sur ComboFix.exe la fenetre avec exécuter apparais je clique sur exécuter et il ne se passe rien...

tobor · Answer

La ligne 44 était pour Malwarebytes et pour la46 non je n'est pas de message d'erreur...

gen-hackman · Answer

tu as renommé Combofix comme demandé ?

tobor · Answer

Désolé j'avais oublié

gen-hackman · Answer

;)

tobor · Answer

ok je l'ai mit à la poubelle et j'ai recommencé et ça fonctionne...

gen-hackman · Answer

ne te sers pas du pc pendant que combofix tourne tu vas le mettre H.S

tobor · Answer

Bon le programme detecte un rootkit et est apparu un avertissement: PEV.exe Fichier endommagé et plus rien ne bouge...faut-il que je clique sur ok pour les 2 avertissements.

tobor · Answer

Non je me sert d'un autre ordi pour répondre...

gen-hackman · Answer

qui te signale PEV.exe ?

tobor · Answer

Un rectangle qui doit etre de windows l'autre rectangle pour le rootkot est de combofix

gen-hackman · Answer

tu as un rapport de Combo ?

tobor · Answer

ComboFix has detected the presence of rootkit activity and needs to reboot the machine Kindly note down on paper, the name of each file. We may need it later

C:/WINDOWS/system32/ESQULomafnxbbctjbfkatvaoyrodlgymkyrsp.dll
C:/WINDOWS/system32/driver/ESQUL......................................................sys
C:/WINDOWS/system32/ESQUL...........................................................dll

Quelque chose du genre...

tobor · Answer

non pas de rapport le programme est arreté...

gen-hackman · Answer

et tu as rebooté quand demandé ?

tobor · Answer

Non je vais le faire maintenant

gen-hackman · Answer

ca m etonne que combofix ne l'ai pas fait tout seul

tobor · Answer

Une fenetre antivir est apparu disant A virus or unwanted program was found
what should happen witch the file
eicar-test-signature virus

move to quarantine
delete
rename
deny access
ignore

quesque je fais

gen-hackman · Answer

je dois lire le rapport que t a donné Combofix pour continuer

tobor · Answer

voici le rapport je revien dans 4 heures...
ComboFix 09-07-26.03 - Administrateur 2009-07-27 13:10.1.2 - NTFSx86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.2.1036.18.1022.716 [GMT -4:00]
Running from: c:\documents and settings\Administrateur\Bureau\Jocelyn.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\ESQULuuhdmulcjdtwnbgrndpmexcpuyxatyke.sys
c:\windows\system32\ESQULkobcrhlrayyjopqqejmejadltkpgvabr.dll
c:\windows\system32\ESQULomafnxbbctjbfkatvaoyrodlgymkyrsp.dll
c:\windows\system32\ESQULzcounter

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_ESQULserv.sys


(((((((((((((((((((((((((   Files Created from 2009-06-27 to 2009-07-27  )))))))))))))))))))))))))))))))
.

2009-07-27 14:32 . 2009-07-13 17:36	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-27 14:32 . 2009-07-27 14:32	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-07-27 14:32 . 2009-07-27 14:32	--------	d-----w-	c:\docume~1\ALLUSE~1\APPLIC~1\Malwarebytes
2009-07-27 14:32 . 2009-07-13 17:36	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-07-25 16:35 . 2009-07-25 16:35	--------	d-----w-	C:\_OTL
2009-07-25 15:26 . 2009-07-25 15:29	--------	d-----w-	C:\WORT
2009-07-25 14:15 . 2009-07-25 14:33	--------	d-----w-	C:\UsbFix
2009-07-25 13:28 . 2009-07-25 13:28	--------	d-----w-	c:\program files\Trend Micro
2009-07-25 11:54 . 2009-03-30 08:33	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2009-07-25 11:54 . 2009-02-13 10:29	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2009-07-25 11:54 . 2009-03-24 14:08	55640	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-07-25 11:54 . 2009-02-13 10:17	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2009-07-25 11:54 . 2009-07-25 11:54	--------	d-----w-	c:\program files\Avira
2009-07-25 11:54 . 2009-07-25 11:54	--------	d-----w-	c:\docume~1\ALLUSE~1\APPLIC~1\Avira
2009-07-23 18:09 . 2009-07-23 18:09	0	----a-w-	c:\windows
sreg.dat
2009-07-23 18:09 . 2009-07-23 18:09	--------	d-----w-	c:\documents and settings\Administrateur\Local Settings\Application Data\Mozilla
2009-07-21 18:11 . 2009-07-21 18:11	--------	d--h--w-	c:\windows\system32\GroupPolicy

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-26 23:35 . 2006-01-05 14:32	84526	----a-w-	c:\windows\system32\perfc00C.dat
2009-07-26 23:35 . 2006-01-05 14:32	510324	----a-w-	c:\windows\system32\perfh00C.dat
2009-07-25 14:45 . 2009-01-31 12:28	--------	d-----w-	c:\docume~1\ALLUSE~1\APPLIC~1\avg8
2009-07-23 18:37 . 2009-07-23 18:20	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\HouseCall 6.6
2009-07-19 09:12 . 2009-02-02 15:02	--------	d-----w-	c:\program files\PokerStars
2009-07-19 00:01 . 2009-02-04 16:24	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\LimeWire
2009-07-07 15:24 . 2009-01-31 12:27	16328	----a-w-	c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-06-27 09:41 . 2009-02-13 18:27	--------	d-----w-	c:\program files\Pivot Stickfigure Animator
2009-06-27 09:11 . 2009-06-27 09:11	152576	----a-w-	c:\documents and settings\Administrateur\Application Data\Sun\Java\jre1.6.0_13\lzma.dll
2009-06-23 19:28 . 2009-06-14 16:02	37	----a-w-	c:\windows\popcinfot.dat
2009-06-16 14:40 . 2006-01-05 14:32	119808	----a-w-	c:\windows\system32	2embed.dll
2009-06-16 14:40 . 2006-01-05 14:32	81920	----a-w-	c:\windows\system32\fontsub.dll
2009-06-16 11:48 . 2009-05-18 17:29	--------	d-----w-	c:\program files\Google
2009-06-14 16:02 . 2009-06-14 16:02	0	----a-w-	c:\windows\popcreg.dat
2009-06-03 19:10 . 2006-01-05 14:32	1297408	----a-w-	c:\windows\system32\quartz.dll
2009-05-07 15:33 . 2006-01-05 14:32	348672	----a-w-	c:\windows\system32\localspl.dll
2009-04-29 04:45 . 2006-01-05 14:32	827392	----a-w-	c:\windows\system32\wininet.dll
2009-04-29 04:45 . 2006-01-05 14:32	78336	----a-w-	c:\windows\system32\ieencode.dll
2009-07-15 22:31 . 2009-07-23 18:08	137208	----a-w-	c:\program files\mozilla firefox\components\brwsrcmp.dll
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-05-18 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-09-20 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-09-20 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-09-20 114688]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-02-04 136600]
"nmapp"="c:\program files\Pure Networks\Network Magic
mapp.exe" [2007-03-14 321088]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

c:\docume~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\
hp psc 1000 series.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2002-12-2 147456]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\LimeWire\LimeWire.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"67:UDP"= 67:UDP:Service de découverte DHCP

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-07-25 108289]
S2 gupdate1c9d7de4dc4b67e;Service Google Update (gupdate1c9d7de4dc4b67e);c:\program files\Google\Update\GoogleUpdate.exe [2009-05-18 133104]
.
- - - - ORPHANS REMOVED - - - -

Notify-avgrsstarter - avgrsstx.dll


.
------- Supplementary Scan -------
.
uInternet Connection Wizard,ShellNext = iexplore
Handler: intu-ir2008 - {729D3592-92E7-4cbc-8E44-3C22B3F457B3} - c:\program files\ImpotRapide 2008\ic2008pp.dll
FF - ProfilePath - c:\docume~1\ADMINI~1\APPLIC~1\Mozilla\Firefox\Profiles\cn7l0ojp.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/webhp?hl=fr
FF - plugin: c:\program files\Google\Google Updater\2.4.1591.6512
pCIDetect13.dll
FF - plugin: c:\program files\Google\Update\1.2.183.7
pGoogleOneClick8.dll

---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota",      5120);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history",     true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata",    true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords",   false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads",   true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies",     true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache",       true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions",    true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history",                 true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata",                true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords",               false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads",               true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies",                 true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache",                   true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions",                true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps",             false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings",            false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs",    false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-27 13:22
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...  

scanning hidden autostart entries ... 

scanning hidden files ...  


c:\windows\TEMP\CR_1EC.tmp
c:\windows\TEMP\CR_27F.tmp
c:\windows\TEMP\Perflib_Perfdata_160.dat 16384 bytes
c:\windows\TEMP\Perflib_Perfdata_4c0.dat 16384 bytes
c:\windows\TEMP\WGAErrLog.txt 483 bytes
c:\windows\TEMP\59f30a02-91f2-448f-aa28-2dcf058165a5.tmp
c:\windows\TEMP\fadb1aed-31db-4e35-8bf6-a24bb5f7a377.tmp
c:\windows\TEMP\CR_2C6.tmp

scan completed successfully
hidden files: 8

**************************************************************************
.
Completion time: 2009-07-27 13:24
ComboFix-quarantined-files.txt  2009-07-27 17:24

Pre-Run: 29 097 992 192 octets libres
Post-Run: 29 103 292 416 octets libres

171	--- E O F ---	2009-07-26 01:00

gen-hackman · Answer

__________________________________________________________ =>/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement cet ordinateur,<= =>il est fort déconseillé de le transposer sur un autre ordinateur !<=====| --------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ♦ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ♦ Copie/colle dans le bloc-notes ce qui est entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- File:: c:\windows\TEMP\CR_1EC.tmp c:\windows\TEMP\CR_27F.tmp c:\windows\TEMP\59f30a02-91f2-448f-aa28-2dcf058165a5.tmp c:\windows\TEMP\fadb1aed-31db-4e35-8bf6-a24bb5f7a377.tmp c:\windows\TEMP\CR_2C6.tmp ------------------------------------------------------------------ ♦ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ♦ Quitte le Bloc Notes ♦ Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) Comme ceci ♦ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ♦ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ♦ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

tobor · Answer

Voici le rapport.

ComboFix 09-07-26.03 - Administrateur 2009-07-27 17:35.2.2 - NTFSx86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.2.1036.18.1022.712 [GMT -4:00]
Running from: c:\documents and settings\Administrateur\Bureau\Jocelyn.exe
Command switches used :: c:\documents and settings\Administrateur\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
"c:\windows\TEMP\59f30a02-91f2-448f-aa28-2dcf058165a5.tmp"
"c:\windows\TEMP\CR_1EC.tmp"
"c:\windows\TEMP\CR_27F.tmp"
"c:\windows\TEMP\CR_2C6.tmp"
"c:\windows\TEMP\fadb1aed-31db-4e35-8bf6-a24bb5f7a377.tmp"
.

(((((((((((((((((((((((((   Files Created from 2009-06-27 to 2009-07-27  )))))))))))))))))))))))))))))))
.

2009-07-27 14:32 . 2009-07-13 17:36	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-27 14:32 . 2009-07-27 14:32	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-07-27 14:32 . 2009-07-27 14:32	--------	d-----w-	c:\docume~1\ALLUSE~1\APPLIC~1\Malwarebytes
2009-07-27 14:32 . 2009-07-13 17:36	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-07-25 16:35 . 2009-07-25 16:35	--------	d-----w-	C:\_OTL
2009-07-25 15:26 . 2009-07-25 15:29	--------	d-----w-	C:\WORT
2009-07-25 14:15 . 2009-07-25 14:33	--------	d-----w-	C:\UsbFix
2009-07-25 13:28 . 2009-07-25 13:28	--------	d-----w-	c:\program files\Trend Micro
2009-07-25 11:54 . 2009-03-30 08:33	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2009-07-25 11:54 . 2009-02-13 10:29	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2009-07-25 11:54 . 2009-03-24 14:08	55640	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-07-25 11:54 . 2009-02-13 10:17	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2009-07-25 11:54 . 2009-07-25 11:54	--------	d-----w-	c:\program files\Avira
2009-07-25 11:54 . 2009-07-25 11:54	--------	d-----w-	c:\docume~1\ALLUSE~1\APPLIC~1\Avira
2009-07-23 18:09 . 2009-07-23 18:09	0	----a-w-	c:\windows
sreg.dat
2009-07-23 18:09 . 2009-07-23 18:09	--------	d-----w-	c:\documents and settings\Administrateur\Local Settings\Application Data\Mozilla
2009-07-21 18:11 . 2009-07-21 18:11	--------	d--h--w-	c:\windows\system32\GroupPolicy

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-26 23:35 . 2006-01-05 14:32	84526	----a-w-	c:\windows\system32\perfc00C.dat
2009-07-26 23:35 . 2006-01-05 14:32	510324	----a-w-	c:\windows\system32\perfh00C.dat
2009-07-25 14:45 . 2009-01-31 12:28	--------	d-----w-	c:\docume~1\ALLUSE~1\APPLIC~1\avg8
2009-07-23 18:37 . 2009-07-23 18:20	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\HouseCall 6.6
2009-07-19 09:12 . 2009-02-02 15:02	--------	d-----w-	c:\program files\PokerStars
2009-07-19 00:01 . 2009-02-04 16:24	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\LimeWire
2009-07-07 15:24 . 2009-01-31 12:27	16328	----a-w-	c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-06-27 09:41 . 2009-02-13 18:27	--------	d-----w-	c:\program files\Pivot Stickfigure Animator
2009-06-27 09:11 . 2009-06-27 09:11	152576	----a-w-	c:\documents and settings\Administrateur\Application Data\Sun\Java\jre1.6.0_13\lzma.dll
2009-06-23 19:28 . 2009-06-14 16:02	37	----a-w-	c:\windows\popcinfot.dat
2009-06-16 14:40 . 2006-01-05 14:32	119808	----a-w-	c:\windows\system32	2embed.dll
2009-06-16 14:40 . 2006-01-05 14:32	81920	----a-w-	c:\windows\system32\fontsub.dll
2009-06-16 11:48 . 2009-05-18 17:29	--------	d-----w-	c:\program files\Google
2009-06-14 16:02 . 2009-06-14 16:02	0	----a-w-	c:\windows\popcreg.dat
2009-06-03 19:10 . 2006-01-05 14:32	1297408	----a-w-	c:\windows\system32\quartz.dll
2009-05-07 15:33 . 2006-01-05 14:32	348672	----a-w-	c:\windows\system32\localspl.dll
2009-04-29 04:45 . 2006-01-05 14:32	827392	----a-w-	c:\windows\system32\wininet.dll
2009-04-29 04:45 . 2006-01-05 14:32	78336	----a-w-	c:\windows\system32\ieencode.dll
2009-07-15 22:31 . 2009-07-23 18:08	137208	----a-w-	c:\program files\mozilla firefox\components\brwsrcmp.dll
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-05-18 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-09-20 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-09-20 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-09-20 114688]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-02-04 136600]
"nmapp"="c:\program files\Pure Networks\Network Magic
mapp.exe" [2007-03-14 321088]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

c:\docume~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\
hp psc 1000 series.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2002-12-2 147456]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\avgrsstarter]
 [BU]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\LimeWire\LimeWire.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"67:UDP"= 67:UDP:Service de découverte DHCP

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-07-25 108289]
S2 gupdate1c9d7de4dc4b67e;Service Google Update (gupdate1c9d7de4dc4b67e);c:\program files\Google\Update\GoogleUpdate.exe [2009-05-18 133104]
.
.
------- Supplementary Scan -------
.
uInternet Connection Wizard,ShellNext = iexplore
Handler: intu-ir2008 - {729D3592-92E7-4cbc-8E44-3C22B3F457B3} - c:\program files\ImpotRapide 2008\ic2008pp.dll
FF - ProfilePath - c:\docume~1\ADMINI~1\APPLIC~1\Mozilla\Firefox\Profiles\cn7l0ojp.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/webhp?hl=fr
FF - plugin: c:\program files\Google\Google Updater\2.4.1591.6512
pCIDetect13.dll
FF - plugin: c:\program files\Google\Update\1.2.183.7
pGoogleOneClick8.dll

---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota",      5120);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history",     true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata",    true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords",   false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads",   true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies",     true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache",       true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions",    true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history",                 true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata",                true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords",               false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads",               true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies",                 true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache",                   true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions",                true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps",             false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings",            false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs",    false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

driver loading error catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-27 17:38
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...  

scanning hidden autostart entries ... 

scanning hidden files ...  


c:\windows\TEMP\CR_1EC.tmp
c:\windows\TEMP\CR_27F.tmp
c:\windows\TEMP\Perflib_Perfdata_160.dat 16384 bytes
c:\windows\TEMP\Perflib_Perfdata_4c0.dat 16384 bytes
c:\windows\TEMP\WGAErrLog.txt 483 bytes
c:\windows\TEMP\59f30a02-91f2-448f-aa28-2dcf058165a5.tmp
c:\windows\TEMP\fadb1aed-31db-4e35-8bf6-a24bb5f7a377.tmp
c:\windows\TEMP\CR_2C6.tmp

scan completed successfully
hidden files: 8

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'explorer.exe'(3784)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\eappprxy.dll
.
Completion time: 2009-07-27 17:40
ComboFix-quarantined-files.txt  2009-07-27 21:40
ComboFix2.txt  2009-07-27 17:24

Pre-Run: 29 116 133 376 octets libres
Post-Run: 29 095 010 304 octets libres

176	--- E O F ---	2009-07-26 01:00

gen-hackman · Answer

bonjour refais un OTL stp

tobor · Answer

Voici le résultat

http://www.cijoint.fr/cjlink.php?file=cj200907/cijTng32GB.txt

gen-hackman · Answer

Malwarebytes devrait marcher maintenant que le rootkit est dégagé

essaie de faire un scan complet apres mise a jour

tobor · Answer

Bon c'est terminé, apres le scan l'ordi a redémarré et il a fait un scan disk et il a fait des suppression de l'entrée d'index.... je vais mettre 2 rapports un avant la suppression et un apres.

Malwarebytes' Anti-Malware 1.39
Version de la base de données: 2518
Windows 5.1.2600 Service Pack 3

2009-07-28 12:02:18 André
mbam-log-2009-07-28 (12-02-12).txt

Type de recherche: Examen complet (C:\|E:\|)
Eléments examinés: 125318
Temps écoulé: 1 hour(s), 21 minute(s), 28 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Qoobox\quarantine\C\WINDOWS\system32\ESQULomafnxbbctjbfkatvaoyrodlgymkyrsp.dll.vir (Trojan.TDSS) -> No action taken.
c:\system volume information\_restore{2fbb84e2-5dcf-4c29-a0ee-47f155c21214}\RP177\A0023156.dll (Trojan.TDSS) -> No action taken.
c:\WINDOWS\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job (Trojan.FakeAlert) -> No action taken.

le deuxième

Malwarebytes' Anti-Malware 1.39
Version de la base de données: 2518
Windows 5.1.2600 Service Pack 3

2009-07-28 12:03:11 André
mbam-log-2009-07-28 (12-03-11).txt

Type de recherche: Examen complet (C:\|E:\|)
Eléments examinés: 125318
Temps écoulé: 1 hour(s), 21 minute(s), 28 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Qoobox\quarantine\C\WINDOWS\system32\ESQULomafnxbbctjbfkatvaoyrodlgymkyrsp.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
c:\system volume information\_restore{2fbb84e2-5dcf-4c29-a0ee-47f155c21214}\RP177\A0023156.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job (Trojan.FakeAlert) -> Quarantined and deleted successfully.

gen-hackman · Answer

des soucis persistants ?

tobor · Answer

Des soucis persistants ? C'est pas encore fini, il y a encore des virus....

tobor · Answer

Est-ce qu'il y a quelque chose d'autre à faire...

gen-hackman · Answer

Des soucis persistants ? C'est pas encore fini, il y a encore des virus....

des infos stp !!

tobor · Answer

Non je me demandais si tout était correct...

gen-hackman · Answer

si tu as vraiment un doute ^^:

Télécharge Superantispyware (SAS) 

Choisis "enregistrer" et enregistre-le sur ton bureau. 

Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions. 

Créé une icône sur le bureau. 

Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer. 

- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes. 
- Sous Configuration and Preferences, clique sur le bouton "Preferences" 
- Clique sur l'onglet "Scanning Control " 
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée : 

Close browsers before scanning 
Scan for tracking cookies 
Terminate memory threats before quarantining 
- Laisse les autres lignes décochées. 

- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle. 

- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer". 

Dans la colonne de gauche, coche C:\Fixed Drive. 

Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan" 

Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan. 

A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK. 

Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next". 

Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes. 

Pour recopier les informations sur le forum, fais ceci : 

- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS. 
- Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ". 
- Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log. 

- Le rapport va s'ouvrir dans ton éditeur de texte par défaut. 

- Copie son contenu dans ta réponse. 


Regarde bien le tuto SUPERAntiSpyware il est très bien expliqué.

tobor · Answer

Merci.
Voici le rapport.
SUPERAntiSpyware Scan Log
https://www.superantispyware.com/

Generated 07/28/2009 at 07:29 PM

Application Version : 4.27.1000

Core Rules Database Version : 4024
Trace Rules Database Version: 1964

Scan type       : Complete Scan
Total Scan Time : 00:33:40

Memory items scanned      : 500
Memory threats detected   : 0
Registry items scanned    : 4677
Registry threats detected : 0
File items scanned        : 46539
File threats detected     : 34

Adware.Tracking Cookie
	C:\Documents and Settings\Administrateur\Cookies\administrateur@partypoker[1].txt
	C:\Documents and Settings\Administrateur\Cookies\administrateur@lfstmedia[2].txt
	C:\Documents and Settings\Administrateur\Cookies\administrateur@couponmountain[1].txt
	C:\Documents and Settings\Administrateur\Cookies\administrateur@estat[1].txt
	C:\Documents and Settings\Administrateur\Cookies\administrateur@bs.serving-sys[2].txt
	C:\Documents and Settings\Administrateur\Cookies\administrateur@track.oainternetservices[1].txt
	C:\Documents and Settings\Administrateur\Cookies\administrateur@serving-sys[2].txt
	C:\Documents and Settings\Administrateur\Cookies\administrateur@rcmcaprod.122.2o7[1].txt
	C:\Documents and Settings\Administrateur\Cookies\administrateur@networldmedia[2].txt
	C:\Documents and Settings\Administrateur\Cookies\administrateur@ads.networldmedia[3].txt
	C:\Documents and Settings\Administrateur\Cookies\administrateur@xml.trafficengine[2].txt
	C:\Documents and Settings\Administrateur\Cookies\administrateur@atdmt[2].txt
	C:\Documents and Settings\Administrateur\Cookies\administrateur@vitamine.networldmedia[2].txt
	C:\Documents and Settings\Administrateur\Cookies\administrateur@www.pillsexpert[2].txt
	C:\Documents and Settings\Administrateur\Cookies\administrateur@xiti[1].txt
	C:\Documents and Settings\Administrateur\Cookies\administrateur@myroitracking[1].txt
	C:\Documents and Settings\Administrateur\Cookies\administrateur@content.yieldmanager.edgesuite[1].txt
	C:\Documents and Settings\Administrateur\Cookies\administrateur@shopica[1].txt
	C:\Documents and Settings\Administrateur\Cookies\administrateur@stopzilla[2].txt
	C:\Documents and Settings\Administrateur\Cookies\administrateur@videoegg.adbureau[2].txt
	C:\Documents and Settings\Administrateur\Cookies\administrateur@content.yieldmanager[3].txt
	C:\Documents and Settings\Administrateur\Cookies\administrateur@ads.rncmedia[2].txt
	C:\Documents and Settings\Administrateur\Cookies\administrateur@clicksor[2].txt
	C:\Documents and Settings\Administrateur\Cookies\administrateur@ads.radiox[1].txt
	C:\Documents and Settings\Administrateur\Cookies\administrateur@www.stopzilla[1].txt
	C:\Documents and Settings\Administrateur\Cookies\administrateur@content.yieldmanager[1].txt
	C:\Documents and Settings\Administrateur\Cookies\administrateur@pro-market[2].txt
	C:\Documents and Settings\Administrateur\Cookies\administrateur@canoe.112.2o7[1].txt
	C:\Documents and Settings\Administrateur\Cookies\administrateur@2o7[2].txt
	C:\Documents and Settings\Administrateur\Cookies\administrateur@ads.networldmedia[1].txt
	C:\Documents and Settings\Administrateur\Cookies\administrateur@bellcan.adbureau[2].txt
	C:\Documents and Settings\Administrateur\Cookies\administrateur@ad2.yieldmanager[1].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@ads.xapads[2].txt
	C:\WINDOWS\system32\config\systemprofile\Cookies\system@invitemedia[1].txt

gen-hackman · Answer

tu joues au poker en ligne ?

tobor · Answer

Je ne sais pas c'est l'ordi de mon chum.
Il serais mieux de ne plus le faire.

gen-hackman · Answer

C:\Documents and Settings\Administrateur\Cookies\administrateur@partypoker[1]­.txt 

oui de plus il joue sur un site infectieux

tobor · Answer

Merci je vais lui dire.
Es-que son ordi est ok.

gen-hackman · Answer

sinon tout à l'air ok , le menage : Télécharge :ATF Cleaner par Atribune Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected a NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus. __________________________________________________ Tu peux garder ATF pour d'eventuels netttoyages un peu plus poussés __________________________________________________ https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/ ---> Télécharge ToolsCleaner2 sur ton Bureau. * Double-clique sur ToolsCleaner2.exe pour le lancer. * Clique sur Recherche et laisse le scan agir. * Clique sur Suppression pour finaliser. * Tu peux, si tu le souhaites, te servir des Options Facultatives. * Clique sur Quitter pour obtenir le rapport. * Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). ________________________________________________ Tu peux supprimer ToolCleaner _________________________________________________ ---> Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : * Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... * Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. * Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse * Veille a ce que dans les options le reglage soit au demarrage de windows et réglé sur "effacement securisé" 35 passes (guttman) __________________________________________________ Attention : ne pas toucher au PC pendant qu'il travaille ! B-Nettoyage et Défragmentation de tes Disques *Nettoyage : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général" Cliques sur le bouton "nettoyage de disque", OK tu le fais pour chacun de tes disques ________________________________________________ *Vérifications des erreurs : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ________________________________________________ ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK tu le fais pour chacun de tes disques _______________________________________________ Note : si tu as un utilitaire pour défragmenter , utilises le à la place pour ce faire Defraggler est proposé _________________________________________________ > Peux-tu vérifier Console Java ? : et installer la nouvelle version si besoin est (dans ce cas désinstalle avant l'ancienne version). Tuto voici pour desinstaller : JavaRa Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). * Double-clique sur le répertoire JavaRa. * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). * Choisis Français puis clique sur Select. * Clique sur Recherche de mises à jour. * Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. * Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. * L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. * Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. * Ferme l'application. Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. _________________________________________________ > Mets à jour Adobe Reader si ce n'est pas le cas (désinstalle avant la version antérieure) __________________________________________________ Je te conseille si tu n en as pas , afin de mieux securiser ton pc , d'installer un parefeu : Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO https://www.commentcamarche.net/telecharger/securite/16545-online-armor-personal-firewall/ https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html https://forum.pcastuces.com/sujet.asp?f=25&s=35606 https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html https://manuelsdaide.com/contact/ http://www.open-files.com/forum/index.php?showtopic=29277 https://www.commentcamarche.net/telecharger/securite/24863-zonealarm/ ___________________________________________________ > Tu peux aussi vider ta corbeille,quoi que Ccleaner le fasse tout seul _____________________________________________________ > Si nous avons utilisé MalwareByte's Anti-Malware : vide sa quarantaine. - Lance le programme puis clique sur . - Sélectionne tous les éléments puis clique sur . - Quitte le programme. ______________________________________________________ >si tu as installé Antivir : Configuration ________________________________________________________ > Idem pour ton antivirus : vide sa quarantaine si ce n'est pas déjà fait ______________________________________________________ > Désactive et réactive la restauration de système, pour cela : suis les instructions du lien : Lien XP Lien Vista Sitôt fait , recrées un point de restoration dit "sain" pour parer à quelques eventuels problêmes dans le futur ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Quelques conseils et recommandations pour l'avenir : > Passe un coup de MalwareByte's Anti-Malware de temps en temps (1 fois par semaine , suivant l'utilisation que tu fais de ton PC. - Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser. - Pense aussi à faire une défragmentation de tes disques durs de temps en temps (garde suffisamment d'espace sur C:\ (1/3 de libre pour être à l'aise)) _____________ > Pour bien protéger ton PC : [1 seul Antivirus] + [1 seul Pare feu (/!\ les routeurs et box en possèdent un)] + [Un bon Antispyware avec immunisation] + [Mises à Jour récentes Windows et Logiciels de Protection] + [Utilisation de Firefox -ou autres- (Internet Explorer présente des failles de sécurité qui mettent longtemps avant d'être corrigées mais il faut absolument le conserver pour les mises à jour Windows et Windows live Messenger)] Je te conseille d'installer cette extension pour Firefox pour securiser ton surf : WOT PS : En fait la meilleure des protections c'est toi même : ce que tu fais avec ton PC : où tu surfes, télécharges...ect.... Les virus utilisent les failles de ton PC pour infecter un système dans le souhait de vouloir desinstaller un antivirus au profit d'un autre , voici quelques liens : Desinstaller Avast Desinstaller BitDefender Desinstaller Norton Desinstaller Kaspersky Desinstaller AVG ou tout en un : Désinstallation Antivirus , Parefeu , Antispyware _____________ >lien utile >SpywareBlaster = petit logiciel qui bloque l'installation d'activeX nuisibles au PC.(Fonctionne en arrière plan) ____________ Si tu as Vista n'oublie pas de réactiver le controle des comptes des utilisateurs(UAC) ___________ Si tu as Spybot S&D et que nous avons desactive le "Tea-timer" tu peux le réactiver ___________ si nous avons affiché les fichiers cachés , n'oublies pas de les remettre en attribut "caché" ____________ Voila, Bonne lecture, à bientot,une fois tout ceci fait tu peux mettre le topic en resolu

tobor · Answer

Voici le rapport toolscleaner.
[ Rapport ToolsCleaner version 2.3.9 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\Qoobox: trouvé !
C:\WORT: trouvé !
C:\Documents and Settings\Administrateur\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Administrateur\Bureau\WareOut Removal Tool.bat: trouvé !
C:\Documents and Settings\Administrateur\Bureau\catchme.log: trouvé !
C:\Documents and Settings\Administrateur\Bureau\WORT: trouvé !
C:\Documents and Settings\Administrateur\Bureau\WORT\catchme.exe: trouvé !
C:\Documents and Settings\Administrateur\Mes documents\Téléchargements\HJTInstall.exe: trouvé !
C:\Documents and Settings\Administrateur\Mes documents\Téléchargements\UsbFix.exe: trouvé !
C:\Documents and Settings\Administrateur\Recent\UsbFix.lnk: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\Administrateur\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Administrateur\Bureau\WareOut Removal Tool.bat: supprimé !
C:\Documents and Settings\Administrateur\Bureau\WORT\catchme.exe: supprimé !
C:\Documents and Settings\Administrateur\Mes documents\Téléchargements\HJTInstall.exe: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\Administrateur\Bureau\catchme.log: supprimé !
C:\Documents and Settings\Administrateur\Mes documents\Téléchargements\UsbFix.exe: supprimé !
C:\Documents and Settings\Administrateur\Recent\UsbFix.lnk: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\Qoobox: supprimé !
C:\WORT: supprimé !
C:\Documents and Settings\Administrateur\Bureau\WORT: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Corbeille vidée!
Fichiers temporaires nettoyés !
Sauvegarde du registre crée !

Utilisateur anonyme · Answer

salut, c'est tou seul qui peux mettre le message comme résolu

bon surf et à+

gen-hackman · Answer

non il n'est pas inscrit

Utilisateur anonyme · Answer

re,
décidement, tu es de partout :-)
je te laisse finir celui ci et les autres, je file bosser ;-)

@+

gen-hackman · Answer

;)

Utilisateur anonyme · Answer

merci ;-)

Virus empeche d'ouvrir HijackThis

87 réponses

Votre réponse

Discussions similaires

Newsletters