Spybot et Malware ne se lance plus

Résolu
laurentfr1 -  
sKe69 Messages postés 21955 Statut Contributeur sécurité -
Bonjour,

1- Plus moyen d'executer SpyBot : je l'ai réinstallé (je l'ai fait aussi en mode sans echec), quand je clique, rien ne se passe (pas de fenetre s'affiche), mais spybot apparait dans la liste des processus du gestionnaire de tâches windows...
2- Pus moyen d'executer Malware,... j'ai essayé de le réinstaller (je l'ai fait aussi en mode sans echec), ... mais je clique et rien n'apparait. D'ailleurs pour Malware, il était reste bloqué sur l'étape 'finalisation d'installation (mais semble installé),
3- Pas moyen d'activer le pare-feu Windows (par via les outils administratifs)
4- Et apparemment j'ai qq chose qui me "mange" de la bande passante , à tel point que je n'arrive plus acceder à internet ou faire des mises à jpour avast

Merci d'avance de votre aide si vous avez eu ce type de probleme

NB : J'ai lance Avast, il a rien trouvé.
Configuration: Windows XP Internet Explorer 6.0

65 réponses

  • 1
  • 2
  • 3
  • 4
Résumé de la discussion

Plusieurs outils de sécurité ne s'exécutent pas et le pare-feu Windows reste inactif, tout en constatant une consommation élevée de bande passante sur Windows XP avec Internet Explorer 6.0. Des mesures recommandées incluent la désinstallation complète de Spybot, puis l'utilisation d'outils comme ZHPDiag pour détecter les traces d'infection et générer des rapports exploitables. Ensuite, Malwarebytes est préconisé en mode Analyse rapide, puis HijackThis et RSIT pour collecter des rapports et cibler les éléments résiduels détectés et permettre leur analyse approfondie par la suite. En complément, une vérification des programmes de démarrage et des défenses actives peut s'avérer utile; il convient toutefois de sauvegarder les rapports avant toute manipulation.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Salut,

    désinstalle complètement Spybot ... cela évitera qu'il nous embète pendant la désinfection ...

    puis fait ceci pour voire ce qui se trame exactement :

    Télécharge ZHPDiag de Nicolas Coolman sur ton bureau :

    -> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
    ( version zippé -> http://www.premiumorange.com/zeb-help-process/download/ZHPDiag.zip )

    !! déconnecte toi et ferme toutes tes applications en cours !!

    > double-clique sur "ZHPDiag.exe" pour lancer l'outil .

    > une fois ZHPDiag ouvert, clique sur le bouton "option" .

    une liste apparait dans l'encadré principal > clique sur le bouton " Tous " ( important ! ).

    > puis clique sur le bouton de "la loupe" pour lancer le scan .

    Laisses travailler l'outil ...

    > Une fois terminé , le rapport s'affiche : clique sur bouton "appareil photo" pour sauvegarder le rapport obtenu ...

    Enregistres bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

    Puis ferme le programme ...

    > rends toi ensuite sur ce site : http://www.cijoint.fr/

    Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
    Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
    Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....

    1
  2. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    bien ...

    on avance ... ^^

    dans l'ordre :

    1- refais un coup de CCleaner ( registre compris ) .

    ======================

    2- On va pouvoir utilisé Malwarebytes normalement :

    Télécharge MalwareByte's :
    ici https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
    ou ici : http://www.malwarebytes.org/mbam.php

    * Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour .

    (NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )

    * Potasse le tuto pour te familiariser avec le prg :
    https://forum.pcastuces.com/sujet.asp?f=31&s=3
    ( cela dis, il est très simple d'utilisation ).

    ! Déconnecte toi et ferme toutes applications en cours !

    * Lance Malwarebyte's .

    Fais un examen dit "RAPIDE" .

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date) pour analyse ...

    =============================

    3- Télécharge et installe le logiciel HijackThis :

    ici https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
    ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
    ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

    -->Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation .
    A la fin de l'installe , le prg se lance automatiquement : ferme le en cliquant sur la croix rouge .
    Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
    "C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

    ( ne lance pas ce prg pour l'instant et fais la suite ... )

    4- Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

    -> http://images.malwareremoval.com/random/RSIT.exe

    ! Déconnecte toi et ferme toutes tes applications en cours !

    Double-clique sur " RSIT.exe " pour le lancer .

    -> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

    * Devant l'option "List files/folders created ..." , tu choisis : 2 months

    * clique ensuite sur " Continue " pour lancer l'analyse ...

    -> laisse faire le scan et ne touche pas au PC ...

    Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).

    Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

    Important : poste un rapport, puis l'autre dans la réponse suivante ...
    Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum ...

    ( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )

    1
  3. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    vu ...

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^GStartup.lnk]
    "command"=

    ! Déconnecte toi et ferme toutes tes applications en cours !

    Double clique sur "OTM.exe" pour ouvrir le prg .
    Puis copie ce qui se trouve en citation ci-dessous,

    :Reg
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^GStartup.lnk]
    "command"=-
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^GStartup.lnk]

    :Commands
    [emptytemp]
    [Reboot]


    et colle le dans le cadre de gauche de OTM :
    Paste Instructions for items to be moved.
    (ne touche à rien d'autre !)

    -> clique sur MoveIt! pour lancer la suppression.
    -> laisse travailler l'outil ...

    -> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

    Ton PC va redémarrer de lui même pour finir la suppression ...

    Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

    -->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"
    ( " xxxx2009_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).

    1
  4. laurentfr1
     
    Merci Ske69

    Voici le lien
    http://www.cijoint.fr/cjlink.php?file=cj200907/cijuZOHmr7.txt
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Bien ....

    plusieurs infections ! ....

    /!\ N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
    Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
    Si tu as un quelconque prb n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ) .
    Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .

    commence par faire ceci :

    Télécharge UsbFix ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :

    > http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe

    ! Déconnecte toi d'internet et ferme toutes applications en cours !

    --> Double-clique sur l' .exe pour lancer l'installation de l'outil ( ne touche pas aux paramètres d'installe ) .

    Impératif :
    Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

    # Double clique sur le raccourci UsbFix présent sur ton bureau pour lancer l'outil.

    # Choisis l' option 1 ( Recherche )

    # Laisse travailler l'outil et ne touche à rien pendant le scan .

    # Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

    Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note :
    "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

    0
  7. laurentfr1
     
    Ske69, voici le rapport ..... apres plus de 3h de scan
    Merci de ton support

    ############################## | UsbFix V6.011 |

    User : Propriétaire () # LAURENT
    Update on 24/07/09 by Chiquitine29 & C_XX
    Start at: 10:57:16 | 26/07/2009
    Website : http://pagesperso-orange.fr/NosTools/index.html

    AMD Sempron(tm) 2800+
    Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
    Internet Explorer 7.0.5730.11
    Windows Firewall Status : Enabled
    AV : BitDefender Internet Security v10 7.2 [ (!) Disabled | Updated ]
    AV : AVG Anti-Virus Free 8.0 [ Enabled | Updated ]
    FW : BitDefender Internet Security v10[ (!) Disabled ]7.2
    FW : Sunbelt Personal Firewall[ Enabled ]4.6.1861 T

    A:\ -> Lecteur de disquettes 3 ½ pouces
    C:\ -> Disque fixe local # 108,03 Go (23,56 Go free) [PRESARIO] # NTFS
    D:\ -> Disque fixe local # 3,76 Go (766,29 Mo free) [PRESARIO_RP] # FAT32
    E:\ -> Disque CD-ROM
    F:\ -> Disque CD-ROM
    G:\ -> Disque CD-ROM
    H:\ -> Disque fixe local # 149,05 Go (41,05 Go free) [Disque 2] # NTFS
    I:\ -> Disque fixe local # 465,76 Go (123,66 Go free) # NTFS
    N:\ -> Disque amovible # 3,76 Go (3,7 Go free) # FAT32

    ############################## | Processus actifs |

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    ################## | Fichiers # Dossiers infectieux |

    Présent ! D:\autorun.inf
    Présent ! I:\autorun.inf

    ################## | Registre # Clés Run infectieuses |

    Présent ! HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
    Présent ! HKLM\software\microsoft\security center "FirewallDisableNotify" ( 0x1 )

    ################## | Registre # Mountpoints2 |

    HKCU\..\..\Explorer\MountPoints2\D
    Shell\AutoRun\command =D:\Info.exe folder.htt 480 480

    HKCU\..\..\Explorer\MountPoints2\O
    Shell\AutoRun\command =O:\autorun.exe

    HKCU\..\..\Explorer\MountPoints2\{0bda07dc-665e-11d9-a44d-00038a000015}
    Shell\AutoRun\command =I:\ie.exe
    Shell\explore\Command =I:\ie.exe
    Shell\open\Command =I:\ie.exe

    HKCU\..\..\Explorer\MountPoints2\{4e43a20e-6e7c-11da-a23a-00112f5a1f7d}
    Shell\AutoRun\command =G:\LaunchBFII.exe

    HKCU\..\..\Explorer\MountPoints2\{6a978af1-0821-11dc-b511-00112f5a1f7d}
    Shell\AutoRun\command =pefbutr.exe
    Shell\explore\Command =pefbutr.exe
    Shell\open\Command =pefbutr.exe

    ################## | Cracks / Keygens / Serials |

    ################## | ! Fin du rapport # UsbFix V6.011 ! |
    0
  8. laurentfr1
     
    Ske69
    QQ infos suppl pour ton diag.
    J'ai essaye de renommer mbam.exe en mbamtoto.exe et la malware s'est lancé, donc il y a doit bien y avoir un virus quelque part..
    Par ailleurs, j'ai vu dans le rapport que j'ai un AV AVG enabled et un FW sunbelt enabled,... comment je les desactive, car je pensais que ca faisait longtemps qu'il ne marchait plus...

    Merci vraiment d etoute l'aide que tu peux me donner
    Laurent
    0
  9. laurentfr1
     
    NB : Par contre, je n'ai pas lancé la recherche Malware. comme je prefere suivre à tes instructions quant à la desinfection de mon PC
    0
  10. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Re,

    n'utilise pas Malwarebytes pour le moment ! ....

    la suite dans l'ordre :

    1- ! Déconnecte toi d'internet et ferme toutes applications en cours !

    Impératif :
    Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

    # Double clique sur le raccourci UsbFix présent sur ton bureau pour lancer l'outil .

    # Cette fois ci , tu choisis l' option 2 ( Suppression ) .

    > Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

    # Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

    # Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .

    ( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

    =======================

    2- Télécharge ToolBar S&D ( de Eric_71/Team IDN ) sur ton bureau :
    https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

    ( Tuto : https://sites.google.com/site/toolbarsd/aideenimages )

    !! Déconnecte toi et ferme toutes tes applications en cours le temps de la manipe !!

    * Double-clique sur ToolBar SD.exe pour lancer l'outil et laisse toi guider ...
    --> Tapes directement sur 2 ( option " suppression " ) puis tape sur [Entrée].

    Le nettoyage commence .

    ! ne touche à rien lors de la suppression !

    Un rapport sera généré à la fin du processus : poste son contenu dans ta prochaine réponse
    pour analyse et attends la suite ...

    ( le rapport est en outre sauvegardé ici -> C:\TB.txt )

    0
  11. laurentfr1
     
    Bonsoir ske69

    Voici les 2 rapports :

    UsbFix option 2

    ############################## | UsbFix V6.011 |

    User : Propriétaire () # LAURENT
    Update on 24/07/09 by Chiquitine29 & C_XX
    Start at: 18:28:17 | 26/07/2009
    Website : http://pagesperso-orange.fr/NosTools/index.html

    AMD Sempron(tm) 2800+
    Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
    Internet Explorer 7.0.5730.11
    Windows Firewall Status : Enabled
    AV : BitDefender Internet Security v10 7.2 [ (!) Disabled | Updated ]
    AV : AVG Anti-Virus Free 8.0 [ Enabled | Updated ]
    FW : BitDefender Internet Security v10[ (!) Disabled ]7.2
    FW : Sunbelt Personal Firewall[ Enabled ]4.6.1861 T

    A:\ -> Lecteur de disquettes 3 ½ pouces
    C:\ -> Disque fixe local # 108,03 Go (22,56 Go free) [PRESARIO] # NTFS
    D:\ -> Disque fixe local # 3,76 Go (766,29 Mo free) [PRESARIO_RP] # FAT32
    E:\ -> Disque CD-ROM
    F:\ -> Disque CD-ROM
    G:\ -> Disque CD-ROM
    H:\ -> Disque fixe local # 149,05 Go (41,05 Go free) [Disque 2] # NTFS
    I:\ -> Disque fixe local # 465,76 Go (123,66 Go free) # NTFS
    N:\ -> Disque amovible # 3,76 Go (3,45 Go free) # FAT32

    ############################## | Processus actifs |

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\logonui.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\userinit.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    C:\WINDOWS\system32\WgaTray.exe

    ################## | Fichiers # Dossiers infectieux |

    ################## | All Drives ... |

    Supprimé ! D:\autorun.inf
    Supprimé ! I:\autorun.inf

    ################## | Registre # Clés Run infectieuses |

    Supprimé ! HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
    # HKLM\software\microsoft\security center "FirewallDisableNotify" # -> Reset sucessfully !

    ################## | Registre # Mountpoints2 |

    Supprimé ! HKCU\...\Explorer\MountPoints2\D\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\O\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{0bda07dc-665e-11d9-a44d-00038a000015}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{4e43a20e-6e7c-11da-a23a-00112f5a1f7d}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{6a978af1-0821-11dc-b511-00112f5a1f7d}\Shell\AutoRun\Command

    ################## | Listing des fichiers présent |

    [25/06/2007 05:25|--a------|40] -> C:\Auth.prof
    [01/01/2004 09:47|--a------|0] -> C:\AUTOEXEC.BAT
    [20/10/2006 20:04|--a------|259] -> C:\bdoe.log
    [26/07/2009 01:16|-rahs----|291] -> C:\boot.ini
    [11/02/2004 23:10|-rahs----|4952] -> C:\Bootfont.bin
    [11/02/2004 22:58|-r-hs----|249136] -> C:\cmldr
    [29/07/2008 23:22|--a------|1224] -> C:\coco.png
    [01/01/2004 09:47|--a------|0] -> C:\CONFIG.SYS
    [15/11/2008 11:33|--a------|94397] -> C:\decuu.png
    [07/08/2005 11:01|--a------|145] -> C:\DelUS.bat
    [18/11/2008 10:52|--a------|3532] -> C:\drmHeader.bin
    [10/12/2004 21:01|--a------|1313] -> C:\dvdfabexpress_burn.log
    [07/07/2009 00:12|--a------|84269] -> C:\error.log
    [?|?|?] -> C:\hiberfil.sys
    [01/01/2004 09:47|-rahs----|0] -> C:\IO.SYS
    [07/05/2005 15:43|--a------|3545] -> C:\LGSInst.Log
    [27/08/2008 16:00|--a------|497728] -> C:\MoonShell_DLMS_MOON_DSLink (microSD Card).nds
    [27/08/2008 16:00|--a------|497728] -> C:\MoonShell_EWSD_MOON_Ewin2 (SD Card).nds
    [27/08/2008 16:00|--a------|497728] -> C:\MoonShell_EZ5S_MOON_EZ Flash 5 (SD Card).nds
    [27/08/2008 16:00|--a------|497728] -> C:\MoonShell_EZSD_EZ Flash 4 (SD Card).nds.bin
    [27/08/2008 16:00|--a------|498240] -> C:\MoonShell_G6FL_G6 Lite DLDI V0.15.nds
    [27/08/2008 16:00|--a------|498240] -> C:\MoonShell_M3CF_MOON_M3 Adapter (Compact Flash).nds
    [27/08/2008 16:00|--a------|498240] -> C:\MoonShell_M3SD_M3 Adapter (SD Card).nds
    [27/08/2008 16:00|--a------|497728] -> C:\MoonShell_MMCF_MOON_Max Media Dock (Compact Flash).nds
    [27/08/2008 16:00|--a------|497728] -> C:\MoonShell_MPSD_GBA Movie Player (SD Card).nds
    [27/08/2008 16:00|--a------|497728] -> C:\MoonShell_NJSD_Ninja DS (SD Card).nds
    [27/08/2008 16:00|--a------|497728] -> C:\MoonShell_NMMC_Neoflash MK2 & MK3.nds
    [27/08/2008 16:00|--a------|497728] -> C:\MoonShell_NSD2_Neo2 (SD Card).nds
    [27/08/2008 16:00|--a------|497728] -> C:\MoonShell_R4TF_M3Simply-R4DS (MicroSD Card).nds
    [27/08/2008 16:00|--a------|498240] -> C:\MoonShell_SCCF_SuperCard (Compact Flash).nds
    [27/08/2008 16:00|--a------|497728] -> C:\MoonShell_SCDS_SuperCard DS (Slot-1).nds
    [27/08/2008 16:00|--a------|498240] -> C:\MoonShell_SCLT_SuperCard Lite(TransFlash MicroSD).nds
    [27/08/2008 16:00|--a------|498240] -> C:\MoonShell_SCSD_MOON_SuperCard (SD Card).nds
    [27/08/2008 16:00|--a------|498240] -> C:\MoonShell_SCSD_SuperCard (SD Card).nds
    [07/12/2006 12:02|--a------|487264] -> C:\MOV00001.3gp
    [01/01/2004 09:47|-rahs----|0] -> C:\MSDOS.SYS
    [10/11/2004 20:51|-rahs----|47564] -> C:\NTDETECT.COM
    [23/05/2008 14:01|-rahs----|252240] -> C:\ntldr
    [01/08/2006 19:10|--a------|680] -> C:\NTRsetup.log
    [?|?|?] -> C:\pagefile.sys
    [07/01/2007 13:28|--a------|17579] -> C:\powerfootball.log
    [27/06/2007 15:44|--ah-----|268] -> C:\sqmdata00.sqm
    [28/06/2007 18:17|--ah-----|232] -> C:\sqmdata01.sqm
    [27/06/2007 15:44|--ah-----|244] -> C:\sqmnoopt00.sqm
    [28/06/2007 18:17|--ah-----|244] -> C:\sqmnoopt01.sqm
    [01/08/2006 17:50|--a------|957] -> C:\systray.log
    [29/07/2008 23:23|--ahs----|4096] -> C:\Thumbs.db
    [22/03/2009 12:27|--a------|34274] -> C:\titeuf.png
    [27/07/2009 00:14|--a------|5765] -> C:\UsbFix.txt
    [05/11/2005 20:24|--a------|26] -> C:\usm.txt
    [29/08/2008 10:35|--a------|18654] -> C:\V5_entier.png
    [07/01/2007 13:28|--a------|3320] -> C:\webdriver0.log
    [12/09/2006 22:36|--a------|174] -> C:\YServer.txt
    [27/08/2008 16:00|--a------|497728] -> C:\_BOOT_MP.NDS
    [15/09/2006 23:30|--ah-----|43959] -> C:\_NavCClt.Log
    [27/07/2001 20:07|---hs----|0] -> D:\AUTOEXEC.BAT
    [09/01/2002 09:52|---hs----|244] -> D:\BOOT.INI
    [16/08/2001 23:26|---hs----|237728] -> D:\CMLDR
    [27/07/2001 20:07|---hs----|0] -> D:\CONFIG.SYS
    [09/09/2002 13:14|---hs----|100] -> D:\Desktop.ini
    [10/09/2002 07:21|---hs----|7850] -> D:\Folder.htt
    [30/04/2001 10:16|---hs----|14] -> D:\GRAPH
    [25/01/2002 08:21|---hs----|0] -> D:\GRAPH16
    [10/09/2002 11:54|---hs----|40960] -> D:\Info.exe
    [27/07/2001 20:07|---hs----|0] -> D:\IO.SYS
    [27/07/2001 20:07|---hs----|0] -> D:\MSDOS.SYS
    [25/07/2001 12:00|---hs----|45124] -> D:\NTDETECT.COM
    [17/08/2001 05:32|---hs----|0] -> D:\NTFS
    [25/07/2001 12:00|---hs----|222880] -> D:\NTLDR
    [03/03/2003 04:46|---hs----|111377] -> D:\protect.ed
    [02/06/2004 08:12|---hs----|36] -> D:\SAVEFILE.DIR
    [30/04/2001 10:16|---hs----|14] -> D:\SVGA
    [03/03/2003 11:41|---hs----|88038] -> D:\warning.BMP
    [24/02/2004 18:38|--a------|498] -> D:\BATCH.OLD
    [02/06/2004 08:41|---hs----|26] -> D:\BLOCK.RIN
    [07/10/2004 20:49|---hs----|938] -> D:\MASTER.LOG
    [18/08/2001 05:00|---hs----|10] -> D:\WIN51
    [22/01/2001 05:00|---hs----|11] -> D:\WIN51.B2
    [25/07/2001 05:00|---hs----|11] -> D:\WIN51.RC1
    [25/07/2001 10:47|---hs----|11] -> D:\WIN51.RC2
    [18/08/2001 05:00|---hs----|10] -> D:\WIN51IC
    [20/03/2001 05:00|---hs----|11] -> D:\WIN51IC.B2
    [25/07/2001 05:00|---hs----|11] -> D:\WIN51IC.RC1
    [25/07/2001 05:00|---hs----|11] -> D:\WIN51IC.RC2
    [17/08/2001 05:00|---hs----|10] -> D:\WIN51IP
    [22/01/2001 05:00|---hs----|11] -> D:\WIN51IP.B2
    [25/07/2001 10:47|---hs----|11] -> D:\WIN51IP.RC2
    [17/08/2001 03:17|---hs----|184] -> D:\WINBOM.INI
    [02/06/2004 08:48|--ahs----|938] -> D:\USER
    [02/04/2006 18:15|--a------|250803] -> D:\dlistlogs.txt
    [02/09/2004 13:55|--ahs----|1552] -> D:\BATCH.LOG
    [27/08/2008 16:41|--a------|497728] -> D:\MoonShell_R4TF_M3Simply-R4DS (MicroSD Card).nds
    [07/10/2004 20:49|-r-hs----|0] -> D:\RCBoot.sys
    [07/10/2004 21:39|--ahs----|0] -> D:\HPCD.sys
    [20/02/2009 23:45|--a------|1070] -> H:\Hardware.ini
    [18/11/2008 02:22|--a------|57401530] -> I:\Britney Spears - Womanizer [HQ Uncensored][2008][SkidVid]_XviD.avi
    [24/04/2008 20:09|--a------|4142045] -> I:\Cindy Sander - Papillon de lumiere 3'37.mp3
    [21/04/2008 10:33|--a------|71738] -> I:\Maxtor_Desktop.ico
    [26/07/2009 00:53|--a------|5690] -> N:\firewall.reg
    [05/07/2009 18:06|--a------|1445888] -> N:\WinsockxpFix.exe
    [08/07/2009 22:44|--a------|502272] -> N:\Euler Hermes-Test Environment Management v0.10.doc
    [08/07/2009 22:44|--a------|637] -> N:\comments.txt
    [11/07/2009 00:00|--ah-----|4096] -> N:\._.Trashes
    [26/07/2009 10:28|--a------|405763] -> N:\ZHPDiag.zip
    [26/07/2009 00:15|--a------|16409960] -> N:\spybotsd162(2).exe
    [26/07/2009 01:30|--a------|3775176] -> N:\malwarebytes-anti-malware_malwarebytes_anti-malware_1.39_francais_215092.exe
    [26/07/2009 09:11|--a------|308160] -> N:\avast_home_setup.exe
    [23/07/2009 21:33|--a------|420352] -> N:\ZHPDiag.exe
    [19/07/2009 14:13|--a------|3113] -> N:\ZHPRootkit.txt
    [14/07/2009 14:28|--a------|231] -> N:\ConfigDiag.ini
    [18/07/2009 09:55|--a------|22080] -> N:\LanguesDiag.ini
    [26/07/2009 10:34|--a------|156854] -> N:\ZHPDiag.Txt
    [26/07/2009 10:54|--a------|795351] -> N:\UsbFix.exe
    [17/01/2002 13:17|--a------|588800] -> N:\Antalis-MQSI- 020117.mpp
    [11/05/2009 01:01|--a------|395776] -> N:\APEC_Projet OPERA_07-05-09 v3 LDR.mpp
    [26/07/2009 14:34|--a------|2634] -> N:\UsbFix.txt
    [13/05/2009 22:54|--a------|388096] -> N:\APEC_Projet OPERA_13-05-09 v1 LDR.mpp
    [15/05/2009 20:05|--a------|338432] -> N:\apec opera CBR-LDR 15 mai 2009 v3.mpp

    ################## | Vaccination |

    # C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
    # D:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
    # H:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
    # I:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
    # N:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

    ################## | Cracks / Keygens / Serials |

    ################## | ! Fin du rapport # UsbFix V6.011 ! |

    et toolbarSD :

    -----------\\ ToolBar S&D 1.2.8 XP/Vista

    Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
    X86-based PC ( Multiprocessor Free : AMD Sempron(tm) 2800+ )
    BIOS : Rev. 3.09
    USER : Propriétaire ( Administrator )
    BOOT : Normal boot
    Antivirus : AVG Anti-Virus Free 8.0 (Activated)
    Firewall : Sunbelt Personal Firewall 4.6.1861 T (Activated)
    A:\ (USB)
    C:\ (Local Disk) - NTFS - Total:108 Go (Free:22 Go)
    D:\ (Local Disk) - FAT32 - Total:3 Go (Free:0 Go)
    E:\ (CD or DVD)
    F:\ (CD or DVD)
    G:\ (CD or DVD)
    H:\ (Local Disk) - NTFS - Total:149 Go (Free:41 Go)
    I:\ (Local Disk) - NTFS - Total:465 Go (Free:123 Go)
    N:\ (USB) - FAT32 - Total:3848 Mo (Free:3 Go)

    "C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
    Option : [2] ( 27/07/2009| 3:39 )
    C:\WINDOWS\iun6002.exe

    -----------\\ SUPPRESSION

    Supprime! - C:\WINDOWS\iun6002.exe
    Supprime! - C:\DOCUME~1\PROPRI~4\APPLIC~1\VMNToolbar

    -----------\\ Recherche de Fichiers / Dossiers ...

    -----------\\ [..\Internet Explorer\Main]

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
    "Search Page"="http://www.detoate.home.ro"
    "Default_Page_URL"="https://www.msn.com/fr-fr?cobrand=compaq-desktop.msn.com&ocid=HPDHP&pc=CPDTDF"
    "Default_Search_URL"="http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q304&bd=presario&pf=desktop"
    "Search Bar"="https://www.orange.fr/portail"
    "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
    "Url"="http://www.microsoft.com/atwork/community/rss.xml"
    "Url"="http://www.microsoft.com/athome/community/rss.xml"

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
    "Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
    "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
    "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
    "Start Page"="https://www.msn.com/fr-fr/"
    "Search Bar"="http://www.detoate.home.ro/MAIN.htm"

    --------------------\\ Recherche d'autres infections

    --------------------\\ Cracks & Keygens ..

    C:\DOCUME~1\PROPRI~1\Application Data\uTorrent\Battlestrike.The.Road.To.Berlin complet+crack+serial [test A9 par PaCmaniak].zip.torrent

    1 - "C:\ToolBar SD\TB_1.txt" - 27/07/2009| 3:48 - Option : [2]

    -----------\\ Fin du rapport a 3:48:57,84

    Merci d'avance de ton aide
    0
  12. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Salut,

    on continue :

    1- Télécharge CCleaner :
    https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
    ou https://www.pcastuces.com/logitheque/ccleaner.htm
    Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
    Lors de l'installation:
    -choisis bien "français" en langue .
    -avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

    Un tuto ( aide ):
    http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

    ---> Utilisation:
    *Décocher dans le menu Options - sous-menu Avancé :
    Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

    ! déconnecte toi et ferme toutes applications en cours !

    * va dans "nettoyeur" : fais -analyse- puis -nettoyage-
    * va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
    ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

    ( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

    ========================

    2- Télécharge gmer sur le bureau :

    > https://www.cjoint.com/?hBiPOgPS2M

    * Double-clique sur gmer.exe sur le bureau. Si ton antivirus réagit, ne t'inquiète pas et ignore l'alerte.
    * Clique sur l'onglet "rootkit", puis clique sur scan.
    * A la fin du scan, clique sur le bouton copy.
    * Dans démarrer>programmes>accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note.
    * poste le rapport stp ...

    0
  13. laurentfr1
     
    Bonjour

    1- Manipe CCleaner faite

    2- Manipe Gmer voici le rapport

    GMER 1.0.15.14972 - http://www.gmer.net
    Rootkit scan 2009-07-27 10:31:09
    Windows 5.1.2600 Service Pack 3

    ---- System - GMER 1.0.15 ----

    INT 0x62 ? 86F54BF8
    INT 0x82 ? 86F54BF8
    INT 0x83 ? 86F54BF8
    INT 0xB1 ? 86F56F00
    INT 0xB1 ? 86F56F00
    INT 0xB1 ? 86F56F00
    INT 0xB4 ? 86CDCBF8
    INT 0xB4 ? 86CDCBF8
    INT 0xB4 ? 86CDCBF8
    INT 0xB4 ? 86CDCBF8
    INT 0xB4 ? 86CDCBF8
    INT 0xB4 ? 86CDCBF8

    Code 8642BCBE ZwEnumerateKey
    Code 8640CBEE ZwFlushInstructionCache
    Code 8642BCF5 IofCallDriver
    Code 8659CB4D IofCompleteRequest

    ---- Kernel code sections - GMER 1.0.15 ----

    .text ntoskrnl.exe!IofCallDriver 804E13A7 5 Bytes JMP 8642BCFA
    .text ntoskrnl.exe!IofCompleteRequest 804E17BD 5 Bytes JMP 8659CB52
    PAGE ntoskrnl.exe!ZwEnumerateKey 80578E14 5 Bytes JMP 8642BCC2
    PAGE ntoskrnl.exe!ZwFlushInstructionCache 80587BFB 5 Bytes JMP 8640CBF2
    ? spjh.sys Le fichier sp‚cifi‚ est introuvable. !
    .text USBPORT.SYS!DllUnload F6D408AC 5 Bytes JMP 86CDC1D8
    ? System32\Drivers\a16uwdvi.SYS Le chemin d'accŠs sp‚cifi‚ est introuvable. !
    .text ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 003C000A

    ---- User code sections - GMER 1.0.15 ----

    .text C:\WINDOWS\system32\winlogon.exe[536] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 0064000A
    .text C:\WINDOWS\system32\services.exe[588] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 003C000A
    .text C:\WINDOWS\system32\lsass.exe[600] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 0066000A
    .text C:\WINDOWS\System32\svchost.exe[1008] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 0068000A
    .text ...

    ---- Kernel IAT/EAT - GMER 1.0.15 ----

    IAT \WINDOWS\system32\hal.dll[ntoskrnl.exe!IoReadPartitionTable] [F7B000CA] MDPMGRNT.sys (Mediafour MacDrive Partition Manager/Mediafour Corporation)
    IAT \WINDOWS\system32\hal.dll[ntoskrnl.exe!IoWritePartitionTable] [F7B00D98] MDPMGRNT.sys (Mediafour MacDrive Partition Manager/Mediafour Corporation)
    IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 86F565E0
    IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F777FC4C] spjh.sys
    IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F777FCA0] spjh.sys
    IAT ftdisk.sys[ntoskrnl.exe!IoReadPartitionTableEx] [F7B00CB8] MDPMGRNT.sys (Mediafour MacDrive Partition Manager/Mediafour Corporation)
    IAT PartMgr.sys[ntoskrnl.exe!IoReadPartitionTableEx] [F7B00CB8] MDPMGRNT.sys (Mediafour MacDrive Partition Manager/Mediafour Corporation)
    IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F774F042] spjh.sys
    IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F774F13E] spjh.sys
    IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F774F0C0] spjh.sys
    IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F774F800] spjh.sys
    IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F774F6D6] spjh.sys
    IAT disk.sys[ntoskrnl.exe!IoReadPartitionTable] [F7B000CA] MDPMGRNT.sys (Mediafour MacDrive Partition Manager/Mediafour Corporation)
    IAT disk.sys[ntoskrnl.exe!IoReadPartitionTableEx] [F7B00CB8] MDPMGRNT.sys (Mediafour MacDrive Partition Manager/Mediafour Corporation)
    IAT disk.sys[ntoskrnl.exe!IoWritePartitionTableEx] [F7B00FB0] MDPMGRNT.sys (Mediafour MacDrive Partition Manager/Mediafour Corporation)
    IAT \SystemRoot\System32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 86CDC2D8
    IAT \SystemRoot\System32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F775EE9C] spjh.sys

    ---- Devices - GMER 1.0.15 ----

    Device \FileSystem\Ntfs \Ntfs 86FC11F8
    Device \FileSystem\Fastfat \FatCdrom 861451F8
    Device \Driver\sptd \Device\3140536722 spjh.sys
    Device \Driver\sptd \Device\3140849222 spjh.sys
    Device \Driver\USBSTOR \Device\0000009e 86144500
    Device \Driver\USBSTOR \Device\0000009e sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
    Device \Driver\USBSTOR \Device\0000009f 86144500
    Device \Driver\USBSTOR \Device\0000009f sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
    Device \Driver\usbuhci \Device\USBPDO-0 86DCB1F8
    Device \Driver\usbuhci \Device\USBPDO-1 86DCB1F8
    Device \Driver\usbuhci \Device\USBPDO-2 86DCB1F8
    Device \Driver\usbuhci \Device\USBPDO-3 86DCB1F8
    Device \Driver\USBSTOR \Device\000000a0 86144500
    Device \Driver\USBSTOR \Device\000000a0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
    Device \Driver\usbehci \Device\USBPDO-4 86CC51F8

    AttachedDevice \Driver\Tcpip \Device\Tcp fssfltr_tdi.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation)

    Device \Driver\USBSTOR \Device\000000a1 86144500
    Device \Driver\USBSTOR \Device\000000a1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
    Device \Driver\prodrv06 \Device\ProDrv06 E1AF14E8
    Device \Driver\Ftdisk \Device\HarddiskVolume1 86FC31F8
    Device \Driver\Ftdisk \Device\HarddiskVolume2 86FC31F8
    Device \Driver\PCI_PNP5472 \Device\00000072 spjh.sys
    Device \Driver\Ftdisk \Device\HarddiskVolume3 86FC31F8
    Device \Driver\PCI_PNP5472 \Device\00000073 spjh.sys
    Device \Driver\Ftdisk \Device\HarddiskVolume4 86FC31F8
    Device \Driver\PCI_PNP5472 \Device\00000074 spjh.sys
    Device \Driver\NetBT \Device\NetBT_Tcpip_{D8BD3439-EB85-4BEA-B5AC-415AA131C926} 863DC1F8
    Device \Driver\prohlp02 \Device\ProHlp02 E18452C8
    Device \Driver\NetBT \Device\NetBt_Wins_Export 863DC1F8
    Device \Driver\NetBT \Device\NetbiosSmb 863DC1F8
    Device \Driver\sptd \Device\3140692972 spjh.sys
    Device \Driver\usbuhci \Device\USBFDO-0 86DCB1F8
    Device \Driver\usbuhci \Device\USBFDO-1 86DCB1F8
    Device \Driver\usbuhci \Device\USBFDO-2 86DCB1F8
    Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8616C3C0
    Device \Driver\usbuhci \Device\USBFDO-3 86DCB1F8
    Device \FileSystem\MRxSmb \Device\LanmanRedirector 8616C3C0
    Device \Driver\Ftdisk \Device\FtControl 86FC31F8
    Device \Driver\usbehci \Device\USBFDO-4 86CC51F8
    Device \Driver\a22r3hp4 \Device\Scsi\a22r3hp41 86CC1500
    Device \Driver\a579sujm \Device\Scsi\a579sujm1 86C67500
    Device \Driver\a16uwdvi \Device\Scsi\a16uwdvi1Port7Path0Target0Lun0 86C601F8
    Device \Driver\a16uwdvi \Device\Scsi\a16uwdvi1Port7Path0Target0Lun0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
    Device \Driver\a16uwdvi \Device\Scsi\a16uwdvi1 86C601F8
    Device \Driver\a16uwdvi \Device\Scsi\a16uwdvi1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
    Device \FileSystem\Fastfat \Fat 861451F8

    AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

    Device \FileSystem\Cdfs \Cdfs 85C70500
    ---- Processes - GMER 1.0.15 ----

    Library \\?\globalroot\systemroot\system32\hjgruirtkdienb.dll (*** hidden *** ) @ C:\WINDOWS\system32\winlogon.exe [536] 0x10000000
    Library \\?\globalroot\systemroot\system32\hjgruirtkdienb.dll (*** hidden *** ) @ C:\WINDOWS\system32\services.exe [588] 0x10000000
    Library \\?\globalroot\systemroot\system32\hjgruirtkdienb.dll (*** hidden *** ) @ C:\WINDOWS\system32\lsass.exe [600] 0x10000000
    Library \\?\globalroot\systemroot\system32\hjgruirtkdienb.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [872] 0x10000000
    Library \\?\globalroot\systemroot\system32\hjgruirtkdienb.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [976] 0x10000000
    Library \\?\globalroot\systemroot\system32\hjgruirtkdienb.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1008] 0x10000000
    Library \\?\globalroot\systemroot\system32\hjgruirtkdienb.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1068] 0x10000000
    Library \\?\globalroot\systemroot\system32\hjgruirtkdienb.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1232] 0x10000000
    Library \\?\globalroot\systemroot\system32\hjgruirtkdienb.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [1252] 0x10000000
    Library \\?\globalroot\systemroot\system32\hjgruirtkdienb.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1364] 0x10000000
    Library \\?\globalroot\systemroot\system32\hjgruirtkdienb.dll (*** hidden *** ) @ C:\windows\system\hpsysdrv.exe [1596] 0x10000000
    Library \\?\globalroot\systemroot\system32\hjgruirtkdienb.dll (*** hidden *** ) @ C:\WINDOWS\system32\ps2.exe [1664] 0x10000000
    Library \\?\globalroot\systemroot\system32\hjgruirtkdienb.dll (*** hidden *** ) @ C:\WINDOWS\system32\ctfmon.exe [3412] 0x10000000
    Library \\?\globalroot\systemroot\system32\hjgruirtkdienb.dll (*** hidden *** ) @ C:\PROGRA~1\PRESAR~1\Presario\XPHWWRS4\plugin\bin\PCHButton.exe [3440] 0x10000000
    Library \\?\globalroot\systemroot\system32\hjgruirtkdienb.dll (*** hidden *** ) @ C:\Program Files\3M\PSNLite\PsnLite.exe [3532] 0x003E0000
    Library \\?\globalroot\systemroot\system32\hjgruirtkdienb.dll (*** hidden *** ) @ H:\TL-WN321G Wireless Utility\Installer\WINXP\TWCU.exe [3540] 0x00980000
    Library \\?\globalroot\systemroot\system32\hjgruirtkdienb.dll (*** hidden *** ) @ C:\$user\laurent\Divers\Utilitaires Mars 2009\utilitaire_gmer.exe [3576] 0x10000000
    Library \\?\globalroot\systemroot\system32\hjgruirtkdienb.dll (*** hidden *** ) @ C:\PROGRA~1\3M\PSNLite\PSNGive.exe [3608] 0x003E0000

    ---- EOF - GMER 1.0.15 ----
    0
  14. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    bien ...

    infection Tibs donc ... ^^

    fais ce qui suit :

    Télécharge ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !):
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clique droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape CFix et valide .

    - le renommage au téléchargement est primordial pour contrer l'infection, sinon l'outil sera inutilisable -

    --------------------------------- [ ! ATTENTION ! ] ------------------------------------------
    !! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe :
    en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
    --->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
    Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
    Note : pour XP, bien installer la Console de Récupération de Windows comme il est indiqué dans le tuto ci-dessus ...
    --------------------------------------------------------------------------------------------

    Ensuite :
    double-clique sur "CFix.exe" ( = combofix.exe ) pour lancer l'outil .

    -- Pour XP > laisse toi guider pour faire l'installe de la console de récupération . reconnecte toi uniquement le temps de cette manipulation . une fois le console installée ,re-déconnecte toi avant de poursuivre --

    Appuie sur la touche Y (Yes) pour démarrer le scan .

    Notes importantes :
    -> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
    -> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
    -> Si l'outil t'annonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarrer votre machine", tu acceptes ...
    -> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

    Le rapport sera crée ici: C:\Combofix.txt

    Réactive bien tes défenses

    Poste le rapport Combofix pour analyse et attends la suite ...

    0
  15. laurentfr1
     
    Bonjour

    Quelques questions avt de poursuivre :
    - j'ai bien téléchargé CFix sur mon Bureau
    - desactivation des AV/FW : comme j'ai vu dans un des rapports que :
    - le FW Sunbelt était "enabled" - comment je le desactive (en fait je pensais qu'il l'était), sachat que je n'ai plus l'id et le pw sunbelt. Je le desintalle ?
    -idem pour le AV AVG, qui est enabled. Je le desinstalle ?

    - Console de récupération XP : comment faire pour s'assurer qu'elle est installée et opérationnelle (j'ai regardé le tuto qui parle de l'installation uniqt)

    Merci d'avance
    0
  16. laurentfr1
     
    NB : j'ai regardé aussi le tuto de COMBOFIX sur la desactivation de FW et AV, mais en fait AVG et Sunbelt ont été desinstallés (car leur répertoire respectifs dans Programs files était vide)
    0
  17. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    tu n'as aucune défense active au vu du rapport ZHPdiag donc tu peux y aller ...

    pour la console de récup' , si Combo ne la détecte pas , il fera le nécessaire pour l'installer ... tu n'auras qu'à te laisser guider ...

    j'attends donc le rapport obtenu ...

    0
  18. laurentfr1
     
    Bonjour

    Voici le rapport combofix

    ComboFix 09-07-26.01 - Propriétaire 27/07/2009 13:49.1.1 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1023.720 [GMT 2:00]
    Running from: c:\documents and settings\Propriétaire\Bureau\CFix.exe
    AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
    AV: BitDefender Internet Security v10 *On-access scanning disabled* (Updated) {6C4BB89C-B0ED-4F41-A29C-4373888923BB}
    FW: BitDefender Internet Security v10 *disabled* {4055920F-2E99-48A8-A270-4243D2B8F242}
    FW: Sunbelt Personal Firewall *enabled* {82B1150E-9B37-49FC-83EB-D52197D900D0}
    .

    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\windows\desktop
    c:\windows\desktop\imode emulator\imode Emulator.exe
    c:\windows\Installer\106ca6.msp
    c:\windows\Installer\12ee3.msi
    c:\windows\Installer\14567b.msp
    c:\windows\Installer\153229a.msp
    c:\windows\Installer\23ded28.msi
    c:\windows\Installer\23f8947.msp
    c:\windows\Installer\243d5.msp
    c:\windows\Installer\2a11fc4.msp
    c:\windows\Installer\2a11fc5.msp
    c:\windows\Installer\2a11fc6.msp
    c:\windows\Installer\2a11fc7.msp
    c:\windows\Installer\2a11fc8.msp
    c:\windows\Installer\2a11fc9.msp
    c:\windows\Installer\2a11fca.msp
    c:\windows\Installer\2a11fcb.msp
    c:\windows\Installer\2a11fcc.msp
    c:\windows\Installer\2b4ef62.msp
    c:\windows\Installer\2ce90a3.msp
    c:\windows\Installer\3362295.msi
    c:\windows\Installer\34fbde9.msp
    c:\windows\Installer\3631cc6.msp
    c:\windows\Installer\36f6250.msp
    c:\windows\Installer\3760087.msp
    c:\windows\Installer\44c8343.msp
    c:\windows\Installer\5268a.msp
    c:\windows\Installer\58a07.msi
    c:\windows\Installer\63bc9ca.msp
    c:\windows\Installer\745f3.msi
    c:\windows\Installer\86124.msi
    c:\windows\Installer\a42b5.msp
    c:\windows\Installer\bcd426.msp
    c:\windows\Installer\e6657.msp
    c:\windows\patchw32.dll
    c:\windows\system32\adsldpce.exe
    c:\windows\system32\drivers\hjgruialrkjder.sys
    c:\windows\system32\drivers\MSIVXkxqhrvlwjlwrunucvlgircgnnywvnojl.sys
    c:\windows\system32\hjgruiayvbljow.dll
    c:\windows\system32\hjgruidmrxfyxe.dat
    c:\windows\system32\hjgruirtkdienb.dll
    c:\windows\system32\hjgruiycvniwwo.dat
    c:\windows\system32\MSIVXcount
    c:\windows\system32\MSIVXksmblydeswdppusghqrhwsnytvrlohbb.dll
    c:\windows\system32\MSIVXoefpfkvwsxqcnkethgioxalpuuxtrwvt.dll
    c:\windows\system32\plugin1.dat

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Service_hjgruiicbuhkrq
    -------\Service_MSIVXserv.sys
    -------\Legacy_ACTIVE_COMMON_SERVICE
    -------\Legacy_BOONTY_GAMES
    -------\Legacy_TAPISRVRPCLOCATOR
    -------\Service_Boonty Games
    -------\Service_TapiSrvRpcLocator

    ((((((((((((((((((((((((( Files Created from 2009-06-27 to 2009-07-27 )))))))))))))))))))))))))))))))
    .

    2009-07-27 01:38 . 2009-07-27 01:48 -------- d-----w- C:\ToolBar SD
    2009-07-26 16:24 . 2009-07-26 22:20 -------- d-----w- C:\UsbFix
    2009-07-26 07:38 . 2009-07-26 13:10 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2009-07-25 22:19 . 2009-07-26 07:35 -------- d-----w- c:\program files\Alwil Software
    2009-07-25 16:29 . 2009-07-25 16:29 23040 --sha-w- c:\windows\system32\3076c.dll
    2009-07-25 16:28 . 2009-07-25 19:02 1679 --s-a-w- c:\windows\system32\3178273198.dat
    2009-07-07 20:52 . 1999-09-10 11:06 5600 ----a-w- c:\windows\system\winaspi.dll
    2009-07-07 20:52 . 1999-09-10 11:06 4672 ----a-w- c:\windows\system\wowpost.exe
    2009-07-07 20:52 . 1999-09-10 11:06 45056 ----a-w- c:\windows\system32\wnaspi32.dll
    2009-07-07 20:52 . 1999-09-10 11:06 25244 ----a-w- c:\windows\system32\drivers\aspi32.sys
    2009-07-06 22:03 . 2009-07-06 22:03 -------- d-----r- c:\documents and settings\LocalService\Favoris
    2009-07-06 21:11 . 2009-07-06 21:11 -------- d-----w- c:\program files\HP
    2009-07-06 05:38 . 2009-07-06 22:02 -------- d-----w- c:\program files\ma-config.com
    2009-07-06 05:38 . 2009-07-06 22:02 -------- d-----w- c:\documents and settings\All Users\Application Data\ma-config.com
    2009-07-05 21:31 . 2009-06-29 03:28 2653048 -c----w- c:\documents and settings\All Users\Application Data\{66E2F539-12B6-4870-A500-7689CDE75C5E}\DriverScanner_Setup.exe
    2009-07-05 21:30 . 2009-07-05 22:20 -------- d-----w- c:\documents and settings\All Users\Application Data\DriverScanner
    2009-07-05 21:28 . 2009-07-05 22:20 -------- dc-h--w- c:\documents and settings\All Users\Application Data\{66E2F539-12B6-4870-A500-7689CDE75C5E}
    2009-07-05 18:13 . 2009-06-29 04:37 2568250 -c----w- c:\documents and settings\All Users\Application Data\{81D4BDA8-1F33-4633-B176-8A7E942ABDE1}\Uniblue RegistryBooster.exe
    2009-07-05 18:12 . 2009-07-06 05:35 -------- dc-h--w- c:\documents and settings\All Users\Application Data\{81D4BDA8-1F33-4633-B176-8A7E942ABDE1}
    2009-07-05 17:29 . 2009-07-05 22:18 -------- d-----w- c:\program files\RegistryFix7
    2009-07-05 15:43 . 2003-08-04 13:22 94208 ----a-w- c:\windows\system32\W32n50.dll
    2009-07-05 15:43 . 2003-08-04 13:22 16128 ------w- c:\windows\system32\PCANDIS5.SYS
    2009-07-05 09:49 . 2009-03-09 13:27 453456 ----a-w- c:\windows\system32\d3dx10_41.dll
    2009-07-05 09:49 . 2009-03-09 13:27 1846632 ----a-w- c:\windows\system32\D3DCompiler_41.dll
    2009-07-05 09:49 . 2009-03-09 13:27 4178264 ----a-w- c:\windows\system32\D3DX9_41.dll
    2009-07-05 09:49 . 2009-03-16 12:18 69448 ----a-w- c:\windows\system32\XAPOFX1_3.dll
    2009-07-05 09:49 . 2009-03-16 12:18 517448 ----a-w- c:\windows\system32\XAudio2_4.dll
    2009-07-05 09:49 . 2009-03-16 12:18 235352 ----a-w- c:\windows\system32\xactengine3_4.dll
    2009-07-05 09:49 . 2009-03-16 12:18 22360 ----a-w- c:\windows\system32\X3DAudio1_6.dll
    2009-06-29 21:34 . 2009-06-29 21:34 -------- d-----w- c:\windows\system32\AGEIA

    .
    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-07-26 22:21 . 2006-10-08 14:07 427448 ----a-w- c:\windows\system32\perfh040.dat
    2009-07-26 22:21 . 2006-10-08 14:07 55464 ----a-w- c:\windows\system32\perfc040.dat
    2009-07-26 22:21 . 2004-01-01 15:35 552840 ----a-w- c:\windows\system32\perfh00C.dat
    2009-07-26 22:21 . 2004-01-01 15:35 100314 ----a-w- c:\windows\system32\perfc00C.dat
    2009-07-26 12:35 . 2006-10-22 12:36 664 ----a-w- c:\windows\system32\d3d9caps.dat
    2009-07-25 23:51 . 2009-01-18 19:37 -------- d-----w- c:\program files\Mozilla Firefox 3.1 Beta 2
    2009-07-25 17:24 . 2006-09-18 05:57 2560 ----a-w- c:\windows\system32\BitCometRes.dll
    2009-07-13 11:36 . 2009-01-22 13:08 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2009-07-13 11:36 . 2009-01-22 13:08 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
    2009-07-11 06:19 . 2004-01-01 09:26 -------- d--h--w- c:\program files\InstallShield Installation Information
    2009-07-09 20:02 . 2006-01-15 23:19 -------- d-----w- c:\program files\BitComet
    2009-07-05 16:57 . 2006-07-29 15:24 -------- d-----w- c:\program files\Wanadoo
    2009-06-29 21:34 . 2008-04-16 08:04 -------- d-----w- c:\program files\AGEIA Technologies
    2009-06-29 21:33 . 2007-12-23 20:38 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard
    2009-06-26 21:28 . 2009-02-20 20:52 -------- d-----w- c:\program files\SystemRequirementsLab
    2009-06-26 14:10 . 2005-04-02 14:09 -------- d-----w- c:\program files\Activision Value
    2009-06-10 16:33 . 2009-06-26 22:01 457248 ----a-w- c:\windows\system32\nvudisp.exe
    2009-06-10 16:33 . 2009-06-10 16:33 9998336 ----a-w- c:\windows\system32\nvoglnt.dll
    2009-06-10 16:33 . 2009-06-10 16:33 815104 ----a-w- c:\windows\system32\nvapi.dll
    2009-06-10 16:33 . 2009-06-10 16:33 1720320 ----a-w- c:\windows\system32\nvcuda.dll
    2009-06-10 16:33 . 2009-06-10 16:33 1580550 ----a-w- c:\windows\system32\nvdata.bin
    2009-06-10 16:33 . 2009-06-10 16:33 151552 ----a-w- c:\windows\system32\nvcodins.dll
    2009-06-10 16:33 . 2009-06-10 16:33 151552 ----a-w- c:\windows\system32\nvcod.dll
    2009-06-10 16:33 . 2009-06-10 16:33 1310720 ----a-w- c:\windows\system32\nvcuvenc.dll
    2009-06-10 16:33 . 2009-02-09 12:18 671744 ----a-w- c:\windows\system32\nvcuvid.dll
    2009-06-10 16:33 . 2004-01-01 08:47 8087712 ----a-w- c:\windows\system32\drivers\nv4_mini.sys
    2009-06-10 16:33 . 2004-01-01 08:47 5908608 ----a-w- c:\windows\system32\nv4_disp.dll
    2009-06-10 06:28 . 2009-06-10 06:28 3510272 ----a-w- c:\windows\system32\nvgames.dll
    2009-06-10 06:28 . 2009-06-10 06:28 5890048 ----a-w- c:\windows\system32\nvdispsr.dll
    2009-06-10 06:28 . 2009-06-10 06:28 4022272 ----a-w- c:\windows\system32\nvdisps.dll
    2009-06-10 06:28 . 2009-06-10 06:28 86016 ----a-w- c:\windows\system32\nvmctray.dll
    2009-06-10 06:28 . 2009-06-10 06:28 168004 ----a-w- c:\windows\system32\nvsvc32.exe
    2009-06-10 06:28 . 2009-06-10 06:28 143360 ----a-w- c:\windows\system32\nvcolor.exe
    2009-06-10 06:28 . 2009-06-10 06:28 13758464 ----a-w- c:\windows\system32\nvcpl.dll
    2009-06-10 06:28 . 2009-06-10 06:28 229376 ----a-w- c:\windows\system32\nvmccs.dll
    2009-06-07 09:01 . 2006-05-25 13:55 8 ----a-w- c:\windows\system32\SDGLYBMPWSM.SYS
    2009-06-04 14:39 . 2009-06-26 22:00 457248 ----a-w- c:\windows\system32\NVUNINST.EXE
    2009-05-27 17:35 . 2003-03-31 03:15 115432 ----a-w- c:\windows\system32\OpenAL32.dll
    2009-05-15 16:10 . 2005-12-16 21:37 721904 ----a-w- c:\windows\system32\drivers\sptd.sys
    2009-05-07 15:33 . 2004-01-02 02:00 348672 ----a-w- c:\windows\system32\localspl.dll
    2009-04-29 04:45 . 2004-01-22 00:27 827392 ----a-w- c:\windows\system32\wininet.dll
    2009-04-29 04:45 . 2004-11-10 18:58 78336 ----a-w- c:\windows\system32\ieencode.dll
    2008-12-27 12:02 . 2008-12-13 14:30 170 ----a-w- c:\program files\1bomb.ini
    2008-11-01 20:07 . 2008-11-01 20:07 279888 ----a-w- c:\program files\npmusicn.dll
    2008-08-31 23:18 . 2008-12-13 16:59 1635 ----a-w- c:\program files\opp.jpg
    2008-08-31 22:52 . 2008-12-13 16:59 1956 ----a-w- c:\program files\opp.gif
    2008-03-23 00:45 . 2008-12-13 16:59 3407 ----a-w- c:\program files\License Agreement (Must read to play).txt
    2008-02-08 03:10 . 2008-12-13 16:59 328 ----a-w- c:\program files\If you have trouble run me.bat
    2008-01-12 07:07 . 2008-12-13 16:59 249974 ----a-w- c:\program files\MainMsml.bmp
    2008-01-12 07:07 . 2008-12-13 16:59 143795 ----a-w- c:\program files\Mainsml.GIF
    2008-01-12 04:45 . 2008-12-13 16:59 1158296 ----a-w- c:\program files\Main.gif
    2008-01-12 04:43 . 2008-12-13 16:59 497854 ----a-w- c:\program files\MainM.bmp
    2006-08-24 16:29 . 2006-08-24 16:23 154 ----a-w- c:\program files\laurent.txt
    2006-08-24 16:23 . 2006-08-24 09:37 8 ----a-w- c:\program files\nomutil.txt
    2008-12-06 09:45 . 2008-12-06 09:45 134656 ----a-w- c:\program files\mozilla firefox\components\brwsrcmp.dll
    2005-05-13 16:12 . 2005-05-13 16:12 217073 --sha-r- c:\windows\meta4.exe
    2004-10-07 19:39 . 2004-10-07 19:39 0 -csha-w- c:\windows\SMINST\HPCD.sys
    2008-04-14 02:33 . 2004-01-02 01:52 65024 --sha-w- c:\windows\system32\asycfilt.dll
    2005-07-14 18:31 . 2006-05-24 16:37 27648 --sha-w- c:\windows\system32\AVSredirect.dll
    2008-04-14 02:33 . 2004-01-02 01:58 617472 --sha-w- c:\windows\system32\comctl32.dll
    2005-06-26 13:32 . 2005-06-26 13:32 616448 --sha-r- c:\windows\system32\cygwin1.dll
    2005-06-21 20:37 . 2005-06-21 20:37 45568 --sha-r- c:\windows\system32\cygz.dll
    2006-05-03 09:06 . 2007-10-31 10:07 163328 --sh--r- c:\windows\system32\flvDX.dll
    2004-01-24 23:00 . 2004-01-24 23:00 70656 --sha-r- c:\windows\system32\i420vfw.dll
    2008-09-27 20:03 . 2007-06-29 21:20 11270 --sha-w- c:\windows\system32\KGyGaAvL.sys
    2008-04-14 02:33 . 2004-01-02 02:00 1028096 --sha-w- c:\windows\system32\mfc42.dll
    2004-02-12 04:10 . 2004-01-01 15:35 57344 --sha-w- c:\windows\system32\mfc42loc.dll
    2007-02-21 10:47 . 2007-10-31 10:07 31232 --sh--r- c:\windows\system32\msfDX.dll
    2008-04-14 02:33 . 2004-01-02 02:00 413696 --sha-w- c:\windows\system32\msvcp60.dll
    2008-04-14 02:33 . 2004-01-02 02:00 343040 --sha-w- c:\windows\system32\msvcrt.dll
    2004-02-11 21:36 . 2004-01-02 02:00 253952 --sha-w- c:\windows\system32\msvcrt20.dll
    2008-04-14 02:33 . 2004-01-02 02:01 551936 --sha-w- c:\windows\system32\oleaut32.dll
    2008-04-14 02:33 . 2004-01-02 02:01 84992 --sha-w- c:\windows\system32\olepro32.dll
    2008-04-14 02:33 . 2004-01-02 02:02 30749 --sha-w- c:\windows\system32\vbajet32.dll
    2005-02-28 11:16 . 2005-02-28 11:16 240128 --sha-r- c:\windows\system32\x.264.exe
    2004-01-24 23:00 . 2004-01-24 23:00 70656 --sha-r- c:\windows\system32\yv12vfw.dll
    .

    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* empty entries & legit default entries are not shown
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
    "Acme.PCHButton"="c:\progra~1\PRESAR~1\Presario\XPHWWRS4\plugin\bin\PCHButton.exe" [2004-01-01 159744]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]
    "Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2004-04-14 233472]
    "PS2"="c:\windows\system32\ps2.exe" [2003-09-12 98304]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-06-10 13758464]
    "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-06-10 1657376]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-08-24 437160]
    "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Post-it© Software Notes Lite.lnk - c:\program files\3M\PSNLite\PsnLite.exe [2004-10-15 2080768]
    TL-WN321G Wireless Utility.lnk - h:\tl-wn321g wireless utility\Installer\WINXP\TWCU.exe [2008-6-30 622592]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
    "NoSMMyPictures"= 0 (0x0)
    "NoStartMenuMyMusic"= 0 (0x0)
    "NoRecentDocsNetHood"= 0 (0x0)
    "NoSimpleStartMenu"= 0 (0x0)

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "NoSMMyPictures"= 0 (0x0)
    "NoStartMenuMyMusic"= 0 (0x0)
    "NoRecentDocsNetHood"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\MacDrive-iTunes compatibility]
    2003-11-07 09:24 61440 ----a-r- c:\program files\Fichiers communs\Mediafour\MacDriveiTunesPatch.dll

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Speed Launch.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Speed Launch.lnk
    backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^BlueSoleil.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\BlueSoleil.lnk
    backup=c:\windows\pss\BlueSoleil.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^GStartup.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\GStartup.lnk
    backup=c:\windows\pss\GStartup.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Integrity Client.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Integrity Client.lnk
    backup=c:\windows\pss\Integrity Client.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
    backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^WinZip Quick Pick.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\WinZip Quick Pick.lnk
    backup=c:\windows\pss\WinZip Quick Pick.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
    "SandraTheSrv"=3 (0x3)
    "SandraDataSrv"=3 (0x3)
    "BlueSoleil Hid Service"=2 (0x2)
    "usnsvc"=3 (0x3)
    "RoxWatch"=2 (0x2)
    "RoxUpnpServer"=2 (0x2)
    "RoxUPnPRenderer"=3 (0x3)
    "RoxMediaDB"=3 (0x3)
    "RoxLiveShare"=2 (0x2)
    "vsmon"=2 (0x2)
    "ccPwdSvc"=3 (0x3)
    "LIVESRV"=2 (0x2)
    "Nero BackItUp Scheduler 4.0"=2 (0x2)
    "avast! Mail Scanner"=3 (0x3)
    "SQLWriter"=2 (0x2)
    "SavRoam"=3 (0x3)
    "Active Common Service"=2 (0x2)
    "avg8wd"=2 (0x2)
    "usnjsvc"=3 (0x3)
    "Norton AntiVirus Server"=2 (0x2)
    "WLSetupSvc"=3 (0x3)
    "ISSVC"=2 (0x2)
    "wwEngineSvc"=2 (0x2)
    "WudfSvc"=2 (0x2)
    "WMPNetworkSvc"=3 (0x3)
    "WmdmPmSN"=3 (0x3)
    "WebClient"=2 (0x2)
    "UxTuneUp"=2 (0x2)
    "UserAccess7"=2 (0x2)
    "UleadBurningHelper"=2 (0x2)
    "TapiSrv"=3 (0x3)
    "SysmonLog"=3 (0x3)
    "SwPrv"=3 (0x3)
    "StarWindServiceAE"=2 (0x2)
    "SSScsiSV"=3 (0x3)
    "SPTISRV"=3 (0x3)
    "SPF4"=2 (0x2)
    "SolidWorks Licensing Service"=3 (0x3)
    "SeaPort"=2 (0x2)
    "SCardSvr"=3 (0x3)
    "SbPF.Launcher"=2 (0x2)
    "PACSPTISVR"=3 (0x3)
    "ose"=3 (0x3)
    "odserv"=3 (0x3)
    "MSSQL$SONY_MEDIAMGR2"=3 (0x3)
    "MSDTC"=3 (0x3)
    "mnmsrvc"=3 (0x3)
    "Microsoft Office Groove Audit Service"=3 (0x3)
    "lanmanworkstation"=2 (0x2)
    "lanmanserver"=2 (0x2)
    "iPod Service"=3 (0x3)
    "ImapiService"=3 (0x3)
    "idsvc"=3 (0x3)
    "IDriverT"=3 (0x3)
    "hkmsvc"=3 (0x3)
    "helpsvc"=2 (0x2)
    "fsssvc"=3 (0x3)
    "Fax"=3 (0x3)
    "FastUserSwitchingCompatibility"=3 (0x3)
    "Dot3svc"=3 (0x3)
    "dmserver"=3 (0x3)
    "CryptSvc"=3 (0x3)
    "COMSysApp"=3 (0x3)
    "clr_optimization_v2.0.50727_32"=3 (0x3)
    "Capture Device Service"=2 (0x2)
    "Boonty Games"=3 (0x3)
    "avast! Web Scanner"=3 (0x3)
    "AntiVirService"=2 (0x2)
    "AntiVirScheduler"=2 (0x2)
    "AdobeAlerter"=2 (0x2)
    "Adobe LM Service"=3 (0x3)
    "Themes"=2 (0x2)
    "rpcapd"=3 (0x3)
    "MSCSPTISRV"=3 (0x3)
    "LiveUpdate"=3 (0x3)
    "EventSystem"=3 (0x3)
    "EapHost"=3 (0x3)
    "dmadmin"=3 (0x3)
    "xmlprov"=3 (0x3)
    "VSS"=3 (0x3)
    "UPS"=3 (0x3)
    "TrkWks"=3 (0x3)
    "stisvc"=2 (0x2)
    "Spooler"=2 (0x2)
    "Schedule"=2 (0x2)
    "NtLmSsp"=3 (0x3)
    "Nla"=3 (0x3)
    "WZCSVC"=3 (0x3)
    "WmiApSrv"=3 (0x3)
    "RSVP"=3 (0x3)
    "ProtectedStorage"=2 (0x2)
    "MSIServer"=3 (0x3)
    "CiSvc"=3 (0x3)
    "wuauserv"=2 (0x2)
    "W32Time"=2 (0x2)
    "srservice"=2 (0x2)
    "nvsvc"=2 (0x2)

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
    "MSMSGS"="c:\program files\Messenger\msmsgs.exe" /background
    "Window Washer"=c:\program files\Webroot\Washer\wwDisp.exe
    "DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t
    "Google Update"="c:\documents and settings\Propriétaire\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
    "QuickTime Task"="c:\program files\QuickTime\qttask.exe" -atboottime
    "SunJavaUpdateSched"=c:\program files\Java\jre1.5.0_03\bin\jusched.exe
    "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    "AGRSMMSG"=AGRSMMSG.exe
    "KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
    "MSConfig"=c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe"
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    "NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
    "NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
    "nwiz"=nwiz.exe /install
    "Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
    "Mediafour Mac Volume Notifications"="c:\program files\Fichiers communs\Mediafour\MACVNTFY.EXE" /auto
    "MediafourGettingStartedWithMacDrive6"="c:\program files\Mediafour\MacDrive\MacDrive.exe" /runonce
    "MDDiskProtect.exe"=c:\program files\Mediafour\MacDrive\MDDiskProtect.exe
    "BigDogPath"=c:\windows\VM_STI.EXE VIMICRO USB PC Camera
    "USB2Check"=RUNDLL32.EXE "c:\windows\system32\PCLECoInst.dll",CheckUSBController

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=

    R0 MDPMGRNT;MDPMGRNT;c:\windows\system32\drivers\MDPMGRNT.SYS [18/10/2004 11:17 44512]
    R1 MDFSYSNT;MDFSYSNT;c:\windows\system32\drivers\MDFSYSNT.SYS [10/02/2005 11:06 206464]
    R1 SbFw;SbFw;c:\windows\system32\drivers\SbFw.sys [22/01/2009 00:03 270888]
    R1 sbhips;Sunbelt HIPS Driver;c:\windows\system32\drivers\sbhips.sys [21/06/2008 05:54 66600]
    R2 BjsPort;Canon BJ Scanner Port Driver;c:\windows\system32\drivers\BjsPort.sys [03/06/2006 16:59 14656]
    R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [21/05/2009 18:27 55152]
    R3 SBFWIMCL;Sunbelt Software Firewall NDIS IM Filter Miniport;c:\windows\system32\drivers\SbFwIm.sys [22/01/2009 00:03 65576]
    S1 hidfltr;HID Filter Driver;c:\windows\system32\drivers\MWhid.sys [03/11/2004 12:20 13332]
    S3 avpnnic;AGN Virtual Network Adapter;c:\windows\system32\drivers\avpnnic.sys [24/06/2006 18:31 13952]
    S3 LTower;LEGO USB Tower Driver;c:\windows\system32\drivers\LTower.sys [09/10/2004 18:56 36981]
    S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [02/08/2005 23:10 32512]
    S3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [19/02/2008 10:24 7808]
    S3 QCEmerald;QuickCam Web Logitech;c:\windows\system32\drivers\OVCE.sys [10/10/2004 20:40 31872]
    S3 SunkFilt62;Alcor Micro Corp - 6362;c:\windows\system32\drivers\sunkfilt62.sys [23/07/2004 15:55 46536]
    S4 AdobeAlerter;Adobe LM Service AdobeAlerter;c:\windows\TEMP\uyygmwqwei.exe service --> c:\windows\TEMP\uyygmwqwei.exe service [?]
    S4 fsssvc;Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [06/02/2009 18:08 533360]
    S4 MSSQL$SONY_MEDIAMGR2;SQL Server (SONY_MEDIAMGR2);"c:\program files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSONY_MEDIAMGR2 --> c:\program files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [?]
    S4 SbPF.Launcher;SbPF.Launcher;"c:\program files\Sunbelt Software\Personal Firewall\SbPFLnch.exe" --> c:\program files\Sunbelt Software\Personal Firewall\SbPFLnch.exe [?]
    S4 SPF4;Sunbelt Personal Firewall 4;"c:\program files\Sunbelt Software\Personal Firewall\SbPFSvc.exe" --> c:\program files\Sunbelt Software\Personal Firewall\SbPFSvc.exe [?]
    S4 wwEngineSvc;Window Washer Engine;c:\program files\Webroot\Washer\WasherSvc.exe [27/01/2008 00:41 598856]

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    UxTuneUp
    .
    Contents of the 'Scheduled Tasks' folder

    2009-07-03 c:\windows\Tasks\1-Click Maintenance.job
    - h:\tuneup utilities 2008\OneClick.exe [2007-12-21 07:59]
    .
    - - - - ORPHANS REMOVED - - - -

    ShellIconOverlayIdentifiers-Mediafour Mac Volume Icons - (no file)
    Notify-NavLogon - (no file)

    .
    ------- Supplementary Scan -------
    .
    uDefault_Search_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q304&bd=presario&pf=desktop
    mSearch Bar = hxxp://www.detoate.home.ro/MAIN.htm
    mWindow Title =
    uInternet Connection Wizard,ShellNext = iexplore
    uInternet Settings,ProxyOverride = *.local
    uSearchURL,(Default) = hxxp://detoate.home.ro
    IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
    IE: Télécharger avec &BitSpirit - c:\program files\BitSpirit\bsurl.htm
    DPF: {377FF862-62E0-4F33-B6E5-F58E0BC0F209} - hxxp://login.hanbiton.com/cab/NLSnSSO.cab
    DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan8/oscan8.cab
    DPF: {B01AAFA1-2478-44A3-8894-BE4D4C23C271} - hxxp://td.hanbiton.com/game/HLauncher.cab
    DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} - hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab
    FF - ProfilePath - c:\documents and settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\f90bqbrz.default\
    FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
    FF - prefs.js: browser.search.selectedEngine - Recherche de vidéos YouTube
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
    FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
    FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPJava11.dll
    FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPJava12.dll
    FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPJava13.dll
    FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPJava14.dll
    FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPJava32.dll
    FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPJPI150_03.dll
    FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPOJI610.dll
    FF - plugin: c:\program files\QuickTime\Plugins\npqtplugin8.dll
    FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
    FF - plugin: c:\windows\SYSTEM32\Cult3D\NPMCult3DP.dll

    ---- FIREFOX POLICIES ----
    FF - user.js: network.http.max-persistent-connections-per-server - 4
    FF - user.js: content.max.tokenizing.time - 200000
    FF - user.js: content.notify.interval - 100000
    FF - user.js: content.switch.threshold - 650000
    FF - user.js: nglayout.initialpaint.delay - 300
    c:\program files\Mozilla Firefox 3.1 Beta 2\greprefs\all.js - pref("media.enforce_same_site_origin", false);
    c:\program files\Mozilla Firefox 3.1 Beta 2\greprefs\all.js - pref("media.ogg.enabled", true);
    c:\program files\Mozilla Firefox 3.1 Beta 2\greprefs\all.js - pref("media.wave.enabled", true);
    c:\program files\Mozilla Firefox 3.1 Beta 2\greprefs\all.js - pref("media.autoplay.enabled", true);
    c:\program files\Mozilla Firefox 3.1 Beta 2\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
    c:\program files\Mozilla Firefox 3.1 Beta 2\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
    c:\program files\Mozilla Firefox 3.1 Beta 2\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
    c:\program files\Mozilla Firefox 3.1 Beta 2\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
    c:\program files\Mozilla Firefox 3.1 Beta 2\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
    c:\program files\Mozilla Firefox 3.1 Beta 2\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
    c:\program files\Mozilla Firefox 3.1 Beta 2\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
    c:\program files\Mozilla Firefox 3.1 Beta 2\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
    c:\program files\Mozilla Firefox 3.1 Beta 2\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
    c:\program files\Mozilla Firefox 3.1 Beta 2\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
    c:\program files\Mozilla Firefox 3.1 Beta 2\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
    .

    **************************************************************************

    catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-07-27 14:04
    Windows 5.1.2600 Service Pack 3 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    --------------------- LOCKED REGISTRY KEYS ---------------------

    [HKEY_USERS\S-1-5-21-1114848445-1418272414-3755337712-1003\Software\Microsoft\SystemCertificates\AddressBook*]
    @Allowed: (Read) (RestrictedCode)
    @Allowed: (Read) (RestrictedCode)

    [HKEY_USERS\S-1-5-21-1114848445-1418272414-3755337712-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
    "??"=hex:71,e3,99,ea,1e,70,01,aa,a0,8b,c0,8e,d7,a0,0c,e0,5c,fc,f2,c9,5a,e6,c8,
    94,de,d5,f2,28,e1,74,9e,ec,c2,1e,ce,f2,29,3c,d8,cc,4b,73,e4,e2,d0,8f,03,23,\
    "??"=hex:38,4d,2d,a3,ae,38,cb,eb,b3,d2,39,2c,91,96,18,51

    [HKEY_USERS\S-1-5-21-1114848445-1418272414-3755337712-1003\Software\SecuROM\License information*]
    "datasecu"=hex:33,5e,72,04,1e,30,1d,db,fb,0a,50,95,41,24,a4,32,ea,cf,df,94,6b,
    e0,e6,45,6b,b6,02,80,bd,35,f5,e8,a6,43,72,29,92,24,e3,16,26,3e,60,14,92,e5,\
    "rkeysecu"=hex:f3,a6,ca,1b,a0,96,52,b8,64,b2,02,d6,bc,d5,5c,c1

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "cd042efbbd7f7af1647644e76e06692b"=hex:e2,63,26,f1,3f,c8,ff,68,43,0f,c5,de,fd,
    f1,28,70,c8,28,51,af,b0,29,a3,98,d5,5d,ba,af,b5,3a,47,f0,e2,63,26,f1,3f,c8,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "bca643cdc5c2726b20d2ecedcc62c59b"=hex:6a,9c,d6,61,af,45,84,18,27,2c,d3,31,72,
    ee,c3,88,71,3b,04,66,8b,46,0d,96,1c,56,97,38,6f,10,70,30,6a,9c,d6,61,af,45,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "2c81e34222e8052573023a60d06dd016"=hex:7a,45,05,fd,91,e8,6f,31,4b,b3,6f,24,86,
    6c,45,d6,25,da,ec,7e,55,20,c9,26,d3,0b,31,93,cd,cb,44,58,ff,7c,85,e0,43,d4,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "2582ae41fb52324423be06337561aa48"=hex:3e,1e,9e,e0,57,5a,93,61,9e,cc,cc,07,2c,
    0a,af,39,3e,1e,9e,e0,57,5a,93,61,f7,0e,11,6a,c8,c6,cf,ee,86,8c,21,01,be,91,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "caaeda5fd7a9ed7697d9686d4b818472"=hex:cd,44,cd,b9,a6,33,6c,cd,9d,6b,4e,e8,81,
    15,5c,e2,cd,44,cd,b9,a6,33,6c,cd,49,d1,bd,eb,29,be,ea,4a,f5,1d,4d,73,a8,13,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:b0,18,ed,a7,3f,8d,37,a4,be,63,aa,91,b7,
    21,6c,6d,b0,18,ed,a7,3f,8d,37,a4,7a,20,20,a0,dc,d3,85,40,df,20,58,62,78,6b,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "4d370831d2c43cd13623e232fed27b7b"=hex:97,20,4e,9a,c7,f1,35,ee,48,a6,26,d6,53,
    aa,f0,f5,31,77,e1,ba,b1,f8,68,02,35,e1,92,77,40,2e,07,e7,fb,a7,78,e6,12,2f,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "1d68fe701cdea33e477eb204b76f993d"=hex:83,6c,56,8b,a0,85,96,ab,e5,5b,10,99,60,
    b2,76,b0,83,6c,56,8b,a0,85,96,ab,ce,f6,90,f6,08,30,04,30,01,3a,48,fc,e8,04,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "1fac81b91d8e3c5aa4b0a51804d844a3"=hex:f6,0f,4e,58,98,5b,89,c9,b9,0e,42,5e,1d,
    64,af,b0,51,fa,6e,91,28,9e,14,cc,ec,ff,a8,b9,7f,e1,7b,a3,f6,0f,4e,58,98,5b,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "f5f62a6129303efb32fbe080bb27835b"=hex:b1,cd,45,5a,a8,c4,f8,b9,aa,de,39,c1,af,
    ea,0c,62,b1,cd,45,5a,a8,c4,f8,b9,f8,38,ea,3d,d5,da,a9,64,3d,ce,ea,26,2d,45,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:e3,0e,66,d5,eb,bc,2f,6b,3c,59,1f,c8,15,
    5a,5d,3c,e3,0e,66,d5,eb,bc,2f,6b,2f,94,c7,03,a1,0b,38,88,2a,b7,cc,b5,b9,7f,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "8a8aec57dd6508a385616fbc86791ec2"=hex:fa,ea,66,7f,d4,3b,6b,70,91,63,57,cb,86,
    d3,f8,a6,fa,ea,66,7f,d4,3b,6b,70,11,7c,60,5a,1b,08,03,6c,6c,43,2d,1e,aa,22,\

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Hardware Profiles\0001\System\CurrentControlSet\Enum\Ü
    *\DirectSound\Device Presence]
    "VxD"=dword:00000001
    "WDM"=dword:00000001

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Hardware Profiles\0001\System\CurrentControlSet\Enum\Ü
    *\DirectSound\Mixer Defaults]
    "Acceleration"=dword:00000000
    .
    --------------------- DLLs Loaded Under Running Processes ---------------------

    - - - - - - - > 'winlogon.exe'(544)
    c:\program files\Fichiers communs\Mediafour\MacDriveiTunesPatch.dll

    - - - - - - - > 'explorer.exe'(192)
    c:\windows\system32\msi.dll
    c:\program files\Fichiers communs\Mediafour\MACVICON.DLL
    c:\progra~1\WINDOW~2\wmpband.dll
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    c:\windows\system32\eappprxy.dll
    .
    ------------------------ Other Running Processes ------------------------
    .
    c:\progra~1\3M\PSNLite\PSNGive.exe
    .
    **************************************************************************
    .
    Completion time: 2009-07-27 14:16 - machine was rebooted
    ComboFix-quarantined-files.txt 2009-07-27 12:16

    Pre-Run: 24 074 952 704 octets libres
    Post-Run: 23 890 874 368 octets libres

    545 --- E O F --- 2009-06-13 21:00
    0
  19. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    bien ...

    fais ceci maintenant :

    1- Avoir accès aux fichiers cachés :

    Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
    * "Afficher les fichiers et dossiers cachés" ---> coché
    * "Masquer les extensions des fichiers dont le type est connu" ---> décoché
    * "masquer les fichiers du système" ---> décoché
    -> valide la modif ( "appliquer" puis "ok" ).
    ( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )

    2- Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
    c:\windows\system32\SDGLYBMPWSM.SYS

    Clique sur Send File ( = " Envoyer le fichier " ).

    Un rapport va s'élaborer ligne à ligne.

    Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note.

    Copie le dans ta prochaine réponse ...

    ( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

    Fais de même pour :

    c:\windows\system32\3076c.dll
    c:\windows\system32\3178273198.dat


    Poste moi donc ces 3 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...

    0
  20. laurentfr1
     
    Bonjour

    Voici les 3 rapports générés (le 2eme fichier étant bien infecté..)

    Rapport 1 :

    Fichier SDGLYBMPWSM.SYS re‡u le 2009.07.27 13:37:10 (UTC)
    R‚sultat: 0/39 (0%)

    Antivirus Version DerniŠre mise … jour R‚sultat
    a-squared 4.5.0.24 2009.07.27 -
    AhnLab-V3 5.0.0.2 2009.07.27 -
    AntiVir 7.9.0.228 2009.07.27 -
    Antiy-AVL 2.0.3.7 2009.07.27 -
    Authentium 5.1.2.4 2009.07.26 -
    Avast 4.8.1335.0 2009.07.26 -
    AVG 8.5.0.387 2009.07.27 -
    BitDefender 7.2 2009.07.27 -
    CAT-QuickHeal 10.00 2009.07.27 -
    ClamAV 0.94.1 2009.07.27 -
    Comodo 1783 2009.07.27 -
    DrWeb 5.0.0.12182 2009.07.27 -
    eSafe 7.0.17.0 2009.07.26 -
    eTrust-Vet 31.6.6642 2009.07.27 -
    F-Prot 4.4.4.56 2009.07.26 -
    Fortinet 3.120.0.0 2009.07.27 -
    GData 19 2009.07.27 -
    Ikarus T3.1.1.64.0 2009.07.27 -
    Jiangmin 11.0.800 2009.07.27 -
    K7AntiVirus 7.10.803 2009.07.27 -
    Kaspersky 7.0.0.125 2009.07.27 -
    McAfee 5689 2009.07.26 -
    McAfee+Artemis 5689 2009.07.26 -
    McAfee-GW-Edition 6.8.5 2009.07.27 -
    Microsoft 1.4903 2009.07.27 -
    NOD32 4282 2009.07.27 -
    nProtect 2009.1.8.0 2009.07.27 -
    Panda 10.0.0.14 2009.07.26 -
    PCTools 4.4.2.0 2009.07.27 -
    Prevx 3.0 2009.07.27 -
    Rising 21.40.03.00 2009.07.27 -
    Sophos 4.44.0 2009.07.27 -
    Sunbelt 3.2.1858.2 2009.07.26 -
    Symantec 1.4.4.12 2009.07.27 -
    TheHacker 6.3.4.3.374 2009.07.26 -
    TrendMicro 8.950.0.1094 2009.07.27 -
    VBA32 3.12.10.9 2009.07.27 -
    ViRobot 2009.7.27.1855 2009.07.27 -
    VirusBuster 4.6.5.0 2009.07.26 -

    Information additionnelle
    File size: 8 bytes
    MD5...: 2d35499aceafd10c1702aca24b897090
    SHA1..: 671392a8068b50b4d592228f2ffe5e9ed9d1a181
    SHA256: 0f53d82521e9c830d9518e350c3acf09f75460a6dc8849af79f88504b5e59c65
    ssdeep: 3:xhf:nf<br>
    PEiD..: -
    TrID..: File type identification<br>Unknown!
    PEInfo: -
    PDFiD.: -
    RDS...: NSRL Reference Data Set<br>-

    Rapport 2

    Fichier 3076c.dll re‡u le 2009.07.27 13:44:10 (UTC)
    R‚sultat: 26/40 (65%)

    Antivirus Version DerniŠre mise … jour R‚sultat
    a-squared 4.5.0.24 2009.07.27 Backdoor.Win32.Momibot.B!IK
    AhnLab-V3 5.0.0.2 2009.07.27 Win-Trojan/Agent.23040.NY
    AntiVir 7.9.0.228 2009.07.27 TR/Vundo.Gen
    Antiy-AVL 2.0.3.7 2009.07.27 -
    Authentium 5.1.2.4 2009.07.26 -
    Avast 4.8.1335.0 2009.07.26 Win32:Trojan-gen {Other}
    AVG 8.5.0.387 2009.07.27 Win32/Heur
    BitDefender 7.2 2009.07.27 Gen:Trojan.Heur.P1058A78787
    CAT-QuickHeal 10.00 2009.07.27 Trojan.Agent.ATV
    ClamAV 0.94.1 2009.07.27 -
    Comodo 1783 2009.07.27 UnclassifiedMalware
    DrWeb 5.0.0.12182 2009.07.27 Trojan.Packed.249
    eSafe 7.0.17.0 2009.07.26 Suspicious File
    eTrust-Vet 31.6.6642 2009.07.27 -
    F-Prot 4.4.4.56 2009.07.26 -
    F-Secure 8.0.14470.0 2009.07.27 -
    Fortinet 3.120.0.0 2009.07.27 PossibleThreat
    GData 19 2009.07.27 Gen:Trojan.Heur.P1058A78787
    Ikarus T3.1.1.64.0 2009.07.27 Backdoor.Win32.Momibot.B
    Jiangmin 11.0.800 2009.07.27 Trojan/Agent.cmgm
    K7AntiVirus 7.10.803 2009.07.27 -
    Kaspersky 7.0.0.125 2009.07.27 -
    McAfee 5689 2009.07.26 Vundo!i
    McAfee+Artemis 5689 2009.07.26 Vundo!i
    McAfee-GW-Edition 6.8.5 2009.07.27 Trojan.Vundo.Gen
    Microsoft 1.4903 2009.07.27 Backdoor:Win32/Momibot.gen!C
    NOD32 4282 2009.07.27 a variant of Win32/Kryptik.QW
    Norman 6.01.09 2009.07.24 W32/Virtumonde.BHDA
    nProtect 2009.1.8.0 2009.07.27 -
    PCTools 4.4.2.0 2009.07.27 -
    Prevx 3.0 2009.07.27 High Risk Fraudulent Security Program
    Rising 21.40.03.00 2009.07.27 -
    Sophos 4.44.0 2009.07.27 Mal/Generic-A
    Sunbelt 3.2.1858.2 2009.07.26 Bulk Trojan
    Symantec 1.4.4.12 2009.07.27 Trojan Horse
    TheHacker 6.3.4.3.374 2009.07.26 -
    TrendMicro 8.950.0.1094 2009.07.27 PAK_Generic.001
    VBA32 3.12.10.9 2009.07.27 -
    ViRobot 2009.7.27.1855 2009.07.27 -
    VirusBuster 4.6.5.0 2009.07.26 Trojan.Vundo.HYY

    Information additionnelle
    File size: 23040 bytes
    MD5...: 39bfcc25f03b713a5cb8dcb23424105b
    SHA1..: c026e885555bc71aeda1c959fee2e509cfc04dec
    SHA256: 9034d81bdb543beaa94d49dcadecb3917031fb7c33df077c91a6dd2e1b00313e
    ssdeep: 384:oYnoL3455D6OMfCbtc+J5Bh7MhfezlFxsJILkExz:G342OASc+RhYgRFxmIL<br>kE<br>
    PEiD..: -
    TrID..: File type identification<br>Generic Win/DOS Executable (49.9%)<br>DOS Executable Generic (49.8%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
    PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x5000<br>timedatestamp.....: 0x495a21f3 (Tue Dec 30 13:28:19 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 4 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x2770 0x1400 7.97 76dc1370de02c5d9cc859d078facf32e<br>.rsrc 0x4000 0x10 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b<br>.jrndtbv 0x5000 0x2d81 0x3000 7.19 c2956d91e914107a4a384acfe415747e<br>.idata 0x8000 0xaa 0x1000 0.22 1be1b5d802897819fbfc53dc15e3f625<br><br>( 2 imports ) <br>> kernel32.dll: GetOEMCP, GetLastError<br>> user32.dll: DestroyMenu<br><br>( 0 exports ) <br>
    PDFiD.: -
    RDS...: NSRL Reference Data Set<br>-
    Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=E2B0118C009DD02C5A900088C796FE0050B7C46F' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=E2B0118C009DD02C5A900088C796FE0050B7C46F</a>

    Rapport 3

    Fichier 3178273198.dat re‡u le 2009.07.27 13:47:55 (UTC)
    R‚sultat: 0/41 (0%)

    Antivirus Version DerniŠre mise … jour R‚sultat
    a-squared 4.5.0.24 2009.07.27 -
    AhnLab-V3 5.0.0.2 2009.07.27 -
    AntiVir 7.9.0.228 2009.07.27 -
    Antiy-AVL 2.0.3.7 2009.07.27 -
    Authentium 5.1.2.4 2009.07.26 -
    Avast 4.8.1335.0 2009.07.26 -
    AVG 8.5.0.387 2009.07.27 -
    BitDefender 7.2 2009.07.27 -
    CAT-QuickHeal 10.00 2009.07.27 -
    ClamAV 0.94.1 2009.07.27 -
    Comodo 1783 2009.07.27 -
    DrWeb 5.0.0.12182 2009.07.27 -
    eSafe 7.0.17.0 2009.07.26 -
    eTrust-Vet 31.6.6642 2009.07.27 -
    F-Prot 4.4.4.56 2009.07.26 -
    F-Secure 8.0.14470.0 2009.07.27 -
    Fortinet 3.120.0.0 2009.07.27 -
    GData 19 2009.07.27 -
    Ikarus T3.1.1.64.0 2009.07.27 -
    Jiangmin 11.0.800 2009.07.27 -
    K7AntiVirus 7.10.803 2009.07.27 -
    Kaspersky 7.0.0.125 2009.07.27 -
    McAfee 5689 2009.07.26 -
    McAfee+Artemis 5689 2009.07.26 -
    McAfee-GW-Edition 6.8.5 2009.07.27 -
    Microsoft 1.4903 2009.07.27 -
    NOD32 4282 2009.07.27 -
    Norman 6.01.09 2009.07.24 -
    nProtect 2009.1.8.0 2009.07.27 -
    Panda 10.0.0.14 2009.07.26 -
    PCTools 4.4.2.0 2009.07.27 -
    Prevx 3.0 2009.07.27 -
    Rising 21.40.03.00 2009.07.27 -
    Sophos 4.44.0 2009.07.27 -
    Sunbelt 3.2.1858.2 2009.07.26 -
    Symantec 1.4.4.12 2009.07.27 -
    TheHacker 6.3.4.3.374 2009.07.26 -
    TrendMicro 8.950.0.1094 2009.07.27 -
    VBA32 3.12.10.9 2009.07.27 -
    ViRobot 2009.7.27.1855 2009.07.27 -
    VirusBuster 4.6.5.0 2009.07.26 -

    Information additionnelle
    File size: 1679 bytes
    MD5...: 13910e04a799d59d9c9d5148d53b9f13
    SHA1..: b5edee14138b27f0459135ffc073e306328c7fcc
    SHA256: fcfad6bedc0921c4c16a57dbacdd730042227228633985481905450e3f7994d5
    ssdeep: 24:jgFVZyikVr04ep3BkiMC3p3BkQp3BkiLpzmk3HKpVkf0tpVkeKKp6ODkiMQr:<br>jUqZ8mgbX9HKUMLKKEi<br>
    PEiD..: -
    TrID..: File type identification<br>Unknown!
    PEInfo: -
    PDFiD.: -
    RDS...: NSRL Reference Data Set<br>-
    0
  21. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    bien ...

    la suite :

    1-Créer un doc texte sur ton bureau :
    pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

    Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :

    File::
    c:\windows\TEMP\uyygmwqwei.exe service
    c:\windows\system32\3076c.dll
    c:\windows\system32\3178273198.dat

    Driver::
    AdobeAlerter


    Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
    CFScript puis valide ...

    2-Nettoyage :

    !! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

    --->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

    (Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

    Cette manipulation va relancer combofix .
    --> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.

    Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

    !! Ne touches à rien tant que le scan n'est pas terminé !!

    Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    Une fois le scan achevé, un rapport va s'afficher : poste le accompagné pour analyse et attends la suite ...

    ( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

    0
  • 1
  • 2
  • 3
  • 4