problème spyware ou malware ou virus ! ! !Résolu/Fermé

Question

Bonjour,

voila j'ai eu des petits soucis de spywara malware me réduisant ma connection ou lorsque je chercher des
choses sur google sa me transferait sur ebay , 12finder ou encore la page était inaccessible et j'ai 
donc utilisé spybot et meme malwarebyte tout comme le controle system intégral de avira antivirs
et je crois que j'ai un bon gros virus !
 avant sa j'ai detecté qqc  sur le disque c sous window32.tdss.rtk !

serai til celui si qui gène mon pc ?
en tt cas désolé de lecriture mais  je fait rapidement ...

 la  aprs le scan avira sa ma demandé de redemaré , lancé tt seule un logiciel de netoyage qui nétai pas instalé...
et me met sa en fond decran ( image nomé virus en jpg) :
 
https://imageshack.com/

merci d'avance de repondre rapidement ! ! ! 

 que faire ? ? ? ?

sickboy. · Answer

voici le rapport avira :

Avira AntiVir Personal
Date de création du fichier de rapport : vendredi 7 août 2009 13:12

La recherche porte sur 1616128 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : 116767770312

Informations de version :
BUILD.DAT : 9.0.0.66 17958 Bytes 17/06/2009 14:44:00
AVSCAN.EXE : 9.0.3.6 466689 Bytes 21/04/2009 12:20:54
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24/06/2009 12:38:20
ANTIVIR2.VDF : 7.1.5.60 2235904 Bytes 03/08/2009 22:33:07
ANTIVIR3.VDF : 7.1.5.81 395776 Bytes 06/08/2009 22:33:05
Version du moteur : 8.2.0.246
AEVDF.DLL : 8.1.1.1 106868 Bytes 03/07/2009 12:38:27
AESCRIPT.DLL : 8.1.2.23 455033 Bytes 06/08/2009 22:33:07
AESCN.DLL : 8.1.2.4 127348 Bytes 24/07/2009 09:29:19
AERDL.DLL : 8.1.2.4 430452 Bytes 15/07/2009 15:49:01
AEPACK.DLL : 8.1.3.18 401783 Bytes 03/07/2009 12:38:25
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 03/07/2009 12:38:25
AEHEUR.DLL : 8.1.0.153 1917303 Bytes 06/08/2009 22:33:07
AEHELP.DLL : 8.1.5.3 233846 Bytes 24/07/2009 09:29:05
AEGEN.DLL : 8.1.1.55 356723 Bytes 06/08/2009 22:33:06
AEEMU.DLL : 8.1.0.9 393588 Bytes 09/10/2008 13:32:40
AECORE.DLL : 8.1.7.6 184694 Bytes 24/07/2009 09:28:42
AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.0.1 43777 Bytes 03/12/2008 10:39:26
AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 13/07/2009 15:48:46
RCTEXT.DLL : 9.0.37.0 88321 Bytes 15/04/2009 09:07:05

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : vendredi 7 août 2009 13:12

La recherche d'objets cachés commence.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SKYNETxjiyebyu\main
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SKYNETxjiyebyu\modules
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SKYNETxjiyebyu\start
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SKYNETxjiyebyu\type
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SKYNETxjiyebyu\group
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SKYNETxjiyebyu\imagepath
[INFO] L'entrée d'enregistrement n'est pas visible.
'8985' objets ont été contrôlés, '6' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'OPXPApp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dllhost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mcrdsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ULCDRSvr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'OmniServ.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PresentationFontCache.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehSched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehrecvr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AOLacsd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nmxtyexepm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nmxtyexepm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'39' processus ont été contrôlés avec '39' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD2
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD3
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD4
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '60' fichiers).

La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <HDD>
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\WINDOWS\system32\adsntt.dll
[RESULTAT] Contient le cheval de Troie TR/Vundo.Gen
C:\WINDOWS\system32\advapi32u.exe
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\WINDOWS\system32\drivers\sptd.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\WINDOWS\Temp\mwbvnstrpo.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen
C:\WINDOWS\Temp\utqixuofyo.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen
Recherche débutant dans 'D:\' <DATA>
D:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MegaUploadToolbar2.zip
[RESULTAT] Contient le code suspect GEN/PwdZIP

Début de la désinfection :
C:\WINDOWS\system32\adsntt.dll
[RESULTAT] Contient le cheval de Troie TR/Vundo.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4aef3752.qua' !
C:\WINDOWS\Temp\mwbvnstrpo.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ade3765.qua' !
C:\WINDOWS\Temp\utqixuofyo.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003
[AVERTISSEMENT] Impossible de supprimer le fichier !
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[AVERTISSEMENT] Erreur dans la bibliothèque ARK
[REMARQUE] Le fichier a été repéré pour une suppression après un redémarrage.
D:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MegaUploadToolbar2.zip
[RESULTAT] Contient le code suspect GEN/PwdZIP
[REMARQUE] Le résultat positif a été classé comme suspect.
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ae3377a.qua' !

Fin de la recherche : vendredi 7 août 2009 16:15
Temps nécessaire: 33:35 Minute(s)

La recherche a été effectuée intégralement

14360 Les répertoires ont été contrôlés
332564 Des fichiers ont été contrôlés
3 Des virus ou programmes indésirables ont été trouvés
1 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
3 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
3 Impossible de contrôler des fichiers
332557 Fichiers non infectés
11790 Les archives ont été contrôlées
4 Avertissements
5 Consignes
8985 Des objets ont été contrôlés lors du Rootkitscan
6 Des objets cachés ont été trouvés

sickboy. · Answer

rapport malwarebyte :

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2573
Windows 5.1.2600 Service Pack 3

07/08/2009 16:38:31
mbam-log-2009-08-07 (16-38-28).txt

Type de recherche: Examen rapide
Eléments examinés: 100226
Temps écoulé: 3 minute(s), 29 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
\?\globalroot\systemroot\system32\SKYNETihdokeip.dll (Trojan.TDSS) -> No action taken.

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\17572034 (Rogue.Multiple.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RList (Malware.Trace) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\MyID (Malware.Trace) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
D:\Documents and Settings\All Users\Application Data\17572034 (Rogue.Multiple.H) -> No action taken.

Fichier(s) infecté(s):
D:\Documents and Settings\All Users\Application Data\17572034\17572034 (Rogue.Multiple.H) -> No action taken.
D:\Documents and Settings\All Users\Application Data\17572034\17572034.exe (Rogue.Multiple.H) -> No action taken.
\?\globalroot\systemroot\system32\SKYNETihdokeip.dll (Trojan.TDSS) -> No action taken.
C:\WINDOWS\Temp\_ex-68.exe (Trojan.Dropper) -> No action taken.

gen-hackman · Answer

salut , efffectivement il est joli celui là

/!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\

▶ Surtout , penses à l'enregistrement à renommer Combofix en "ton prenom.exe"

_________________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================</gras>

▶ On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Avant d'utiliser ComboFix :
______________________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

>> Reviens sur le forum, et

▶ copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

sickboy. · Answer

combofix a fini et je v mettre le rapport juste après mais  apres le reboot il y a un une verif de didsque window chdsk et j'ai du reboot manuelement car le probleme verification de l'index $0 du fichier 25 fesait que de s'afficher sans s'arrété !  que faire pour cela et est dangereux pr lordi ?

voici le rapport combofix :

ComboFix 09-08-06.01 - mickael 07/08/2009 17:30.1.2 - NTFSx86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.1023.674 [GMT 2:00]
Running from: d:\documents and settings\mickael.116767770312\Bureau\mickael.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:ecycler\S-1-5-21-1504777218-2647206443-1393157120-500
c:\windows\Installer\WMEncoder.msi
c:\windows\system32\drivers\SKYNETuprhxnxj.sys
c:\windows\system32\SKYNETaldnmapp.dll
c:\windows\system32\SKYNETihdokeip.dll
c:\windows\system32\SKYNETitvnklvm.dat
c:\windows\system32\SKYNETqowktplv.dat
d:\documents and settings\parents.116767770312\Hamlet outils stylos Tours ...tif
D:\install.exe

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_SKYNETxjiyebyu
-------\Legacy_SKYNETxjiyebyu
-------\Legacy_MSISERVERFONTCACHE3.0.0.0
-------\Service_MSIServerFontCache3.0.0.0


(((((((((((((((((((((((((   Files Created from 2009-07-07 to 2009-08-07  )))))))))))))))))))))))))))))))
.

2009-08-07 12:15 . 2009-08-07 12:15	--------	d-----r-	d:\documents and settings\LocalService\Favoris
2009-08-07 10:58 . 2009-08-07 10:58	--------	d-----w-	d:\documents and settings\mickael.116767770312\Application Data\Malwarebytes
2009-08-07 10:58 . 2009-08-03 11:36	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-07 10:58 . 2009-08-03 11:36	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-08-02 11:27 . 2009-03-19 14:32	23400	----a-w-	c:\windows\system32\drivers\GEARAspiWDM.sys
2009-08-02 11:27 . 2008-04-17 10:12	107368	----a-w-	c:\windows\system32\GEARAspi.dll
2009-08-02 11:27 . 2009-08-02 11:27	--------	d-----w-	c:\program files\iPod
2009-08-02 11:27 . 2009-08-02 11:27	--------	d-----w-	c:\program files\iTunes
2009-08-02 11:27 . 2009-08-02 11:27	--------	d-----w-	c:\program files\Bonjour
2009-08-02 11:26 . 2009-08-02 11:27	--------	d-----w-	c:\program files\Fichiers communs\Apple
2009-08-01 17:17 . 2009-08-01 17:17	--------	d-sh--w-	d:\documents and settings\NetworkService\IETldCache
2009-07-30 11:06 . 2009-07-30 11:06	--------	d-sh--w-	d:\documents and settings\LocalService\IETldCache
2009-07-28 22:21 . 2009-07-03 16:57	55296	------w-	c:\windows\system32\dllcache\msfeedsbs.dll
2009-07-28 22:21 . 2009-07-03 16:57	594432	------w-	c:\windows\system32\dllcache\msfeeds.dll
2009-07-26 14:40 . 2009-07-26 14:40	--------	d-sh--w-	d:\documents and settings\mickael.116767770312\IECompatCache
2009-07-24 09:46 . 2009-07-24 09:46	--------	d-----w-	d:\documents and settings\parents.116767770312\Application Data\Canon
2009-07-24 09:45 . 2009-07-24 09:45	--------	d-----w-	d:\documents and settings\parents.116767770312\Application Data\Ulead Systems
2009-07-20 22:39 . 2009-08-07 14:31	3028	--s-a-w-	c:\windows\system32\296160613.dat
2009-07-15 14:07 . 2009-07-15 14:07	0	----a-w-	c:\windows\ativpsrm.bin
2009-07-15 14:04 . 2009-04-27 19:20	593920	------w-	c:\windows\system32\ati2sgag.exe
2009-07-15 14:03 . 2009-07-15 14:03	--------	d-----w-	C:\ATI
2009-07-15 13:38 . 2009-07-15 13:39	--------	d--h--w-	C:\CanonMP
2009-07-15 13:04 . 2009-07-15 13:04	--------	d-----w-	c:\program files\ma-config.com
2009-07-15 13:04 . 2009-07-15 13:04	--------	d-----w-	d:\documents and settings\All Users\Application Data\ma-config.com
2009-07-12 20:51 . 2009-07-12 20:51	--------	d-----w-	d:\documents and settings\mickael.116767770312\Application Data\Ventrilo
2009-07-12 20:50 . 2009-07-12 20:50	--------	d-----w-	d:\documents and settings\mickael.116767770312\Application Data	eamspeak2
2009-07-11 23:32 . 2008-09-05 00:22	447752	----a-w-	c:\windows\system32\vp6vfw.dll
2009-07-11 23:32 . 2009-07-11 23:32	--------	d-----w-	c:\program files\Microsoft WSE
2009-07-11 23:31 . 2006-09-28 14:05	2414360	----a-w-	c:\windows\system32\d3dx9_31.dll
2009-07-11 23:31 . 2009-07-11 23:31	--------	d-----w-	c:\windows\Logs

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-07 15:34 . 2009-07-05 11:06	427272	----a-w-	d:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
2009-08-02 17:03 . 2009-07-04 13:17	--------	d-----w-	d:\documents and settings\mickael.116767770312\Application Data\dvdcss
2009-08-02 11:27 . 2009-07-03 13:58	--------	d-----w-	d:\documents and settings\mickael.116767770312\Application Data\Apple Computer
2009-07-29 18:47 . 2009-07-03 13:59	--------	d-----w-	d:\documents and settings\mickael.116767770312\Application Data\Mumble
2009-07-29 14:44 . 2008-12-05 22:59	--------	d-----w-	d:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-07-24 09:28 . 2009-07-03 14:55	143224	----a-w-	d:\documents and settings\parents.116767770312\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-07-15 14:08 . 2009-07-03 12:10	--------	d-----w-	d:\documents and settings\mickael.116767770312\Application Data\ATI
2009-07-15 14:05 . 2009-07-03 20:28	--------	d-----w-	c:\program files\ATI Technologies
2009-07-15 14:04 . 2009-07-03 20:28	--------	d--h--w-	c:\program files\InstallShield Installation Information
2009-07-14 16:16 . 2009-07-03 12:10	143224	----a-w-	d:\documents and settings\mickael.116767770312\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-07-12 16:41 . 2008-04-22 21:53	--------	d-----w-	d:\documents and settings\All Users\Application Data\TrackMania
2009-07-07 12:56 . 2004-09-23 16:12	85396	----a-w-	c:\windows\system32\perfc00C.dat
2009-07-07 12:56 . 2004-09-23 16:12	511874	----a-w-	c:\windows\system32\perfh00C.dat
2009-07-07 12:51 . 2009-07-07 12:51	--------	d--h--w-	d:\documents and settings\All Users\Application Data\CanonBJ
2009-07-06 15:03 . 2009-07-03 20:28	--------	d-----w-	c:\program files\Fichiers communs\Adobe
2009-07-06 14:59 . 2009-07-06 14:59	--------	d-----w-	d:\documents and settings\mickael.116767770312\Application Data\AdobeUM
2009-07-05 10:42 . 2009-07-05 10:42	--------	d-----w-	d:\documents and settings\All Users\Application Data\Magix
2009-07-05 10:41 . 2009-07-05 10:41	--------	d-----w-	d:\documents and settings\mickael.116767770312\Application Data\MAGIX
2009-07-05 10:41 . 2009-07-05 10:41	--------	d-----w-	c:\program files\Fichiers communs\Xara
2009-07-05 10:40 . 2009-07-05 10:40	--------	d-----w-	d:\documents and settings\All Users\Application Data\Xara
2009-07-05 10:40 . 2009-07-03 20:37	--------	d-----w-	c:\program files\Xara
2009-07-05 10:40 . 2009-07-05 10:40	--------	d-----w-	c:\program files\WMV9_VCM
2009-07-03 20:35 . 2009-07-03 14:55	--------	d-----w-	d:\documents and settings\parents.116767770312\Application Data\You've Got Pictures Screensaver
2009-07-03 20:35 . 2009-07-03 14:55	--------	d-----w-	d:\documents and settings\parents.116767770312\Application Data\Symantec
2009-07-03 20:35 . 2009-07-03 14:55	--------	d-----w-	d:\documents and settings\parents.116767770312\Application Data\ATI
2009-07-03 20:35 . 2009-07-03 12:10	--------	d-----w-	d:\documents and settings\mickael.116767770312\Application Data\You've Got Pictures Screensaver
2009-07-03 20:35 . 2009-07-03 11:48	--------	d-----w-	c:\windows\system32\config\systemprofile\Application Data\You've Got Pictures Screensaver
2009-07-03 20:35 . 2009-07-03 11:48	--------	d-----w-	c:\windows\system32\config\systemprofile\Application Data\Symantec
2009-07-03 20:35 . 2009-07-03 11:48	--------	d-----w-	c:\windows\system32\config\systemprofile\Application Data\ATI
2009-07-03 20:34 . 2009-07-03 16:24	--------	d-----w-	c:\program files\Windows Live
2009-07-03 20:31 . 2009-07-03 20:28	--------	d-----w-	c:\program files\ShowTime
2009-07-03 20:31 . 2009-07-03 20:28	--------	d-----w-	c:\program files\Services en ligne
2009-07-03 20:31 . 2009-07-03 20:28	--------	d-----w-	c:\program files\Realtek AC97
2009-07-03 20:31 . 2009-07-03 20:28	--------	d-----w-	c:\program files\Fichiers communs\SureThing Shared
2009-07-03 20:31 . 2009-07-03 20:28	--------	d-----w-	c:\program files\Fichiers communs\Sonic Shared
2009-07-03 20:31 . 2009-07-03 20:28	--------	d-----w-	c:\program files\Fichiers communs\aolshare
2009-07-03 20:31 . 2009-07-03 20:28	--------	d-----w-	c:\program files\Fichiers communs\AOL
2009-07-03 16:59 . 2009-07-03 16:59	--------	d-----w-	c:\program files\Fichiers communs\Adobe Systems Shared
2009-07-03 16:57 . 2004-09-23 16:11	915456	----a-w-	c:\windows\system32\wininet.dll
2009-07-03 16:37 . 2009-07-03 16:37	--------	d-----w-	c:\program files\Common Files
2009-07-03 16:25 . 2009-07-03 16:24	--------	dcsh--w-	c:\program files\Fichiers communs\WindowsLiveInstaller
2009-07-03 16:24 . 2008-02-26 14:42	--------	d-----w-	d:\documents and settings\All Users\Application Data\WLInstaller
2009-07-03 16:21 . 2009-07-03 15:51	--------	d-----w-	d:\documents and settings\mickael.116767770312\Application Data\DAEMON Tools Lite
2009-07-03 16:20 . 2009-07-03 16:20	--------	d-----w-	d:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2009-07-03 16:20 . 2009-07-03 16:20	--------	d-----w-	c:\program files\DAEMON Tools Toolbar
2009-07-03 16:12 . 2009-07-03 16:12	--------	d-----w-	c:\program files\MSBuild
2009-07-03 16:12 . 2009-07-03 16:12	--------	d-----w-	c:\program files\Reference Assemblies
2009-07-03 16:04 . 2009-07-03 16:04	--------	d-----w-	c:\program files\MSXML 4.0
2009-07-03 16:00 . 2009-07-03 16:00	--------	d-----w-	c:\program files\Microsoft CAPICOM 2.1.0.2
2009-07-03 15:51 . 2009-07-03 15:51	721904	----a-w-	c:\windows\system32\drivers\sptd.sys
2009-07-03 15:41 . 2004-09-23 17:10	86815	----a-w-	c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-07-03 14:55 . 2009-07-03 14:55	143	----a-w-	d:\documents and settings\parents.116767770312\Local Settings\Application Data\fusioncache.dat
2009-07-03 14:43 . 2009-07-03 14:43	--------	d-----w-	d:\documents and settings\mickael.116767770312\Application Data\Inkscape
2009-07-03 14:36 . 2009-07-03 14:36	355584	----a-w-	c:\windows\system32\TuneUpDefragService.exe
2009-07-03 14:35 . 2009-07-03 14:35	--------	d-----w-	c:\program files\Fichiers communs\Wise Installation Wizard
2009-07-03 14:32 . 2009-07-03 14:32	--------	d-----w-	d:\documents and settings\mickael.116767770312\Application Data\Sonic
2009-07-03 14:32 . 2009-07-03 14:32	--------	d-----w-	d:\documents and settings\mickael.116767770312\Application Data\Leadertech
2009-07-03 13:54 . 2009-07-03 13:54	--------	d-----w-	c:\program files\Apple Software Update
2009-07-03 13:26 . 2009-07-03 13:25	--------	d-----w-	d:\documents and settings\mickael.116767770312\Application Data\Skype
2009-07-03 13:19 . 2009-07-03 13:19	--------	d-----w-	d:\documents and settings\mickael.116767770312\Application Data\vlc
2009-07-03 12:55 . 2009-07-03 12:55	--------	d-----w-	d:\documents and settings\mickael.116767770312\Application Data\OD2
2009-07-03 12:54 . 2009-07-03 12:54	--------	d-----w-	d:\documents and settings\mickael.116767770312\Application Data\TuneUp Software
2009-07-03 12:32 . 2009-07-03 12:32	--------	d-----w-	c:\program files\Avira
2009-07-03 12:29 . 2009-07-03 20:28	--------	d-----w-	c:\program files\Fichiers communs\Symantec Shared
2009-07-03 12:29 . 2006-06-15 17:53	--------	d-----w-	d:\documents and settings\All Users\Application Data\Symantec
2009-07-03 12:12 . 2006-06-15 17:53	--------	d-----w-	d:\documents and settings\All Users\Application Data\AOL
2009-07-03 12:10 . 2009-07-03 12:10	143	----a-w-	d:\documents and settings\mickael.116767770312\Local Settings\Application Data\fusioncache.dat
2009-06-19 12:45 . 2009-03-02 04:06	--------	d-----w-	d:\documents and settings\All Users\Application Data\Apple Computer
2009-06-16 14:40 . 2004-09-23 16:11	119808	----a-w-	c:\windows\system32	2embed.dll
2009-06-16 14:40 . 2004-09-23 16:10	81920	----a-w-	c:\windows\system32\fontsub.dll
2009-06-09 10:01 . 2009-07-14 15:03	421924	----a-w-	c:\windows\Fonts\electricfeel.otf
2009-06-09 09:37 . 2009-07-14 15:03	62248	----a-w-	c:\windows\Fonts\Bobblebod.ttf
2009-06-09 09:03 . 2009-07-14 15:03	11680	----a-w-	c:\windows\Fonts\crazy_diamond.otf
2009-06-03 19:10 . 2004-09-23 16:11	1297408	----a-w-	c:\windows\system32\quartz.dll
2009-05-18 13:52 . 2009-07-14 15:04	102448	----a-w-	c:\windows\Fonts\Skin & Bones.ttf
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="d:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\OPXPGina]
2006-01-30 06:53	49152	----a-w-	c:\apps\Softex\OmniPass\OPXPGina.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\APPS\skype\phone\Skype.exe"=
"d:\Program Files\BitComet\BitComet.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Messenger\livecall.exe"=
"d:\Program Files\Steam\SteamApps\leonard57\day of defeat source\hl2.exe"=
"d:\Program Files\Steam\Steam.exe"=
"d:\Program Files\Steam\SteamApps\leonard57\source sdk base\hl2.exe"=
"d:\Program Files\Steam\SteamApps\leonard57\counter-strike source\hl2.exe"=
"d:\Program Files\Steam\SteamApps\common\trackmania nations forever\TmForever.exe"=
"d:\Program Files\Steam\SteamApps\common\trackmania nations forever\TmForeverLauncher.exe"=
"d:\metin2.bin"=
"d:\Program Files\Steam\SteamApps\bastsource\day of defeat source\hl2.exe"=
"d:\Program Files\Steam\SteamApps\bastsource\source sdk base\hl2.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"18558:TCP"= 18558:TCP:BitComet 18558 TCP
"18558:UDP"= 18558:UDP:BitComet 18558 UDP
"53:UDP"= 53:UDP:Promo

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [03/07/2009 14:32 108289]
S2 AdobeAdobeAdobeAlerter;Adobe LM Service AdobeAdobeAdobeAlerter;c:\windows\TEMP
mxtyexepm.exe service --> c:\windows\TEMP
mxtyexepm.exe service [?]
S2 AdobeAdobeAlerter;Adobe LM Service AdobeAdobeAlerter;c:\windows\TEMP\mwbvnstrpo.exe service --> c:\windows\TEMP\mwbvnstrpo.exe service [?]
S2 khxqma;khxqma;\??\c:\windows\system32\drivers\zxpavfyhjjrp.sys --> c:\windows\system32\drivers\zxpavfyhjjrp.sys [?]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [29/05/2009 17:13 234864]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32undll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Contents of the 'Scheduled Tasks' folder

2009-08-01 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2009-08-07 c:\windows\Tasks\Maintenance en 1 clic.job
- d:\program files\TuneUp Utilities 2008\OneClickStarter.exe [2008-06-20 07:23]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
IE: Tout télécharger avec BitComet - d:\program files\BitComet\BitComet.exe/AddAllLink.htm
IE: Télécharger avec BitComet - d:\program files\BitComet\BitComet.exe/AddLink.htm
IE: Télécharger toutes les vidéos avec BitComet - d:\program files\BitComet\BitComet.exe/AddVideo.htm
FF - ProfilePath - d:\documents and settings\mickael.116767770312\Application Data\Mozilla\Firefox\Profiles\d32nu55e.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPJava11.dll
FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPJava12.dll
FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPJava13.dll
FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPJava14.dll
FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPJava32.dll
FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPJPI150_04.dll
FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPOJI610.dll
FF - plugin: c:\program files\ma-config.com
phardwaredetection.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
p-mswmp.dll
FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology
pViewpoint.dll
FF - plugin: d:\program files\Adobe\Reader 9.0\Reader\browser
ppdf32.dll
FF - plugin: d:\program files\QuickTime\Plugins
pqtplugin.dll
FF - plugin: d:\program files\QuickTime\Plugins
pqtplugin2.dll
FF - plugin: d:\program files\QuickTime\Plugins
pqtplugin3.dll
FF - plugin: d:\program files\QuickTime\Plugins
pqtplugin4.dll
FF - plugin: d:\program files\QuickTime\Plugins
pqtplugin5.dll
FF - plugin: d:\program files\QuickTime\Plugins
pqtplugin6.dll
FF - plugin: d:\program files\QuickTime\Plugins
pqtplugin7.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX POLICIES ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.notify.interval - 600000
FF - user.js: content.switch.threshold - 1000000
FF - user.js: nglayout.initialpaint.delay - 600
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota",      5120);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history",     true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata",    true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords",   false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads",   true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies",     true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache",       true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions",    true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history",                 true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata",                true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords",               false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads",               true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies",                 true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache",                   true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions",                true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps",             false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings",            false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs",    false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-07 17:36
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...  

scanning hidden autostart entries ... 

scanning hidden files ...  

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(596)
c:\windows\system32\Ati2evxx.dll
c:\apps\Softex\OmniPass\opxpgina.dll

- - - - - - - > 'explorer.exe'(1936)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\progra~1\FICHIE~1\AOL\ACS\AOLacsd.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\ehome\ehrecvr.exe
c:\windows\ehome\ehSched.exe
c:\windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
c:\apps\Softex\OmniPass\OmniServ.exe
c:\program files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
c:\windows\ehome\mcrdsvc.exe
c:\apps\Softex\OmniPass\OPXPApp.exe
c:\windows\system32\dllhost.exe
.
**************************************************************************
.
Completion time: 2009-08-07 17:38 - machine was rebooted
ComboFix-quarantined-files.txt  2009-08-07 15:37

Pre-Run: 22 125 981 696 octets libres
Post-Run: 21 998 411 776 octets libres

310	--- E O F ---	2009-07-28 23:19

gen-hackman · Answer

__________________________________________________________
=>/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement cet ordinateur,<=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=====|
---------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
File::
c:\windows\system32\296160613.dat

Driver::
AdobeAdobeAdobeAlerter
nmxtyexepm
AdobeAdobeAlerter
mwbvnstrpo
khxqma
zxpavfyhjjrp
------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) Comme ceci

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

sickboy. · Answer

toujours le meme problème au niveaux de chdsk !
sinon voici le rapport :

ComboFix 09-08-06.01 - mickael 07/08/2009 17:54.2.2 - NTFSx86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.1023.627 [GMT 2:00]
Running from: d:\documents and settings\mickael.116767770312\Bureau\mickael.exe
Command switches used :: d:\documents and settings\mickael.116767770312\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\windows\system32\296160613.dat"
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\296160613.dat

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ADOBEADOBEADOBEALERTER
-------\Legacy_ADOBEADOBEALERTER
-------\Legacy_KHXQMA
-------\Service_AdobeAdobeAdobeAlerter
-------\Service_AdobeAdobeAlerter
-------\Service_khxqma


(((((((((((((((((((((((((   Files Created from 2009-07-07 to 2009-08-07  )))))))))))))))))))))))))))))))
.

2009-08-07 12:15 . 2009-08-07 12:15	--------	d-----r-	d:\documents and settings\LocalService\Favoris
2009-08-07 10:58 . 2009-08-07 10:58	--------	d-----w-	d:\documents and settings\mickael.116767770312\Application Data\Malwarebytes
2009-08-07 10:58 . 2009-08-03 11:36	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-07 10:58 . 2009-08-03 11:36	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-08-02 11:27 . 2009-03-19 14:32	23400	----a-w-	c:\windows\system32\drivers\GEARAspiWDM.sys
2009-08-02 11:27 . 2008-04-17 10:12	107368	----a-w-	c:\windows\system32\GEARAspi.dll
2009-08-02 11:27 . 2009-08-02 11:27	--------	d-----w-	c:\program files\iPod
2009-08-02 11:27 . 2009-08-02 11:27	--------	d-----w-	c:\program files\iTunes
2009-08-02 11:27 . 2009-08-02 11:27	--------	d-----w-	c:\program files\Bonjour
2009-08-02 11:26 . 2009-08-02 11:27	--------	d-----w-	c:\program files\Fichiers communs\Apple
2009-08-01 17:17 . 2009-08-01 17:17	--------	d-sh--w-	d:\documents and settings\NetworkService\IETldCache
2009-07-30 11:06 . 2009-07-30 11:06	--------	d-sh--w-	d:\documents and settings\LocalService\IETldCache
2009-07-28 22:21 . 2009-07-03 16:57	55296	------w-	c:\windows\system32\dllcache\msfeedsbs.dll
2009-07-28 22:21 . 2009-07-03 16:57	594432	------w-	c:\windows\system32\dllcache\msfeeds.dll
2009-07-26 14:40 . 2009-07-26 14:40	--------	d-sh--w-	d:\documents and settings\mickael.116767770312\IECompatCache
2009-07-24 09:46 . 2009-07-24 09:46	--------	d-----w-	d:\documents and settings\parents.116767770312\Application Data\Canon
2009-07-24 09:45 . 2009-07-24 09:45	--------	d-----w-	d:\documents and settings\parents.116767770312\Application Data\Ulead Systems
2009-07-15 14:07 . 2009-07-15 14:07	0	----a-w-	c:\windows\ativpsrm.bin
2009-07-15 14:04 . 2009-04-27 19:20	593920	------w-	c:\windows\system32\ati2sgag.exe
2009-07-15 14:03 . 2009-07-15 14:03	--------	d-----w-	C:\ATI
2009-07-15 13:38 . 2009-07-15 13:39	--------	d--h--w-	C:\CanonMP
2009-07-15 13:04 . 2009-07-15 13:04	--------	d-----w-	c:\program files\ma-config.com
2009-07-15 13:04 . 2009-07-15 13:04	--------	d-----w-	d:\documents and settings\All Users\Application Data\ma-config.com
2009-07-12 20:51 . 2009-07-12 20:51	--------	d-----w-	d:\documents and settings\mickael.116767770312\Application Data\Ventrilo
2009-07-12 20:50 . 2009-07-12 20:50	--------	d-----w-	d:\documents and settings\mickael.116767770312\Application Data	eamspeak2
2009-07-11 23:32 . 2008-09-05 00:22	447752	----a-w-	c:\windows\system32\vp6vfw.dll
2009-07-11 23:32 . 2009-07-11 23:32	--------	d-----w-	c:\program files\Microsoft WSE
2009-07-11 23:31 . 2006-09-28 14:05	2414360	----a-w-	c:\windows\system32\d3dx9_31.dll
2009-07-11 23:31 . 2009-07-11 23:31	--------	d-----w-	c:\windows\Logs

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-07 15:57 . 2009-07-05 11:06	427272	----a-w-	d:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
2009-08-02 17:03 . 2009-07-04 13:17	--------	d-----w-	d:\documents and settings\mickael.116767770312\Application Data\dvdcss
2009-08-02 11:27 . 2009-07-03 13:58	--------	d-----w-	d:\documents and settings\mickael.116767770312\Application Data\Apple Computer
2009-07-29 18:47 . 2009-07-03 13:59	--------	d-----w-	d:\documents and settings\mickael.116767770312\Application Data\Mumble
2009-07-29 14:44 . 2008-12-05 22:59	--------	d-----w-	d:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-07-24 09:28 . 2009-07-03 14:55	143224	----a-w-	d:\documents and settings\parents.116767770312\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-07-15 14:08 . 2009-07-03 12:10	--------	d-----w-	d:\documents and settings\mickael.116767770312\Application Data\ATI
2009-07-15 14:05 . 2009-07-03 20:28	--------	d-----w-	c:\program files\ATI Technologies
2009-07-15 14:04 . 2009-07-03 20:28	--------	d--h--w-	c:\program files\InstallShield Installation Information
2009-07-14 16:16 . 2009-07-03 12:10	143224	----a-w-	d:\documents and settings\mickael.116767770312\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-07-12 16:41 . 2008-04-22 21:53	--------	d-----w-	d:\documents and settings\All Users\Application Data\TrackMania
2009-07-07 12:56 . 2004-09-23 16:12	85396	----a-w-	c:\windows\system32\perfc00C.dat
2009-07-07 12:56 . 2004-09-23 16:12	511874	----a-w-	c:\windows\system32\perfh00C.dat
2009-07-07 12:51 . 2009-07-07 12:51	--------	d--h--w-	d:\documents and settings\All Users\Application Data\CanonBJ
2009-07-06 15:03 . 2009-07-03 20:28	--------	d-----w-	c:\program files\Fichiers communs\Adobe
2009-07-06 14:59 . 2009-07-06 14:59	--------	d-----w-	d:\documents and settings\mickael.116767770312\Application Data\AdobeUM
2009-07-05 10:42 . 2009-07-05 10:42	--------	d-----w-	d:\documents and settings\All Users\Application Data\Magix
2009-07-05 10:41 . 2009-07-05 10:41	--------	d-----w-	d:\documents and settings\mickael.116767770312\Application Data\MAGIX
2009-07-05 10:41 . 2009-07-05 10:41	--------	d-----w-	c:\program files\Fichiers communs\Xara
2009-07-05 10:40 . 2009-07-05 10:40	--------	d-----w-	d:\documents and settings\All Users\Application Data\Xara
2009-07-05 10:40 . 2009-07-03 20:37	--------	d-----w-	c:\program files\Xara
2009-07-05 10:40 . 2009-07-05 10:40	--------	d-----w-	c:\program files\WMV9_VCM
2009-07-03 20:35 . 2009-07-03 14:55	--------	d-----w-	d:\documents and settings\parents.116767770312\Application Data\You've Got Pictures Screensaver
2009-07-03 20:35 . 2009-07-03 14:55	--------	d-----w-	d:\documents and settings\parents.116767770312\Application Data\Symantec
2009-07-03 20:35 . 2009-07-03 14:55	--------	d-----w-	d:\documents and settings\parents.116767770312\Application Data\ATI
2009-07-03 20:35 . 2009-07-03 12:10	--------	d-----w-	d:\documents and settings\mickael.116767770312\Application Data\You've Got Pictures Screensaver
2009-07-03 20:35 . 2009-07-03 11:48	--------	d-----w-	c:\windows\system32\config\systemprofile\Application Data\You've Got Pictures Screensaver
2009-07-03 20:35 . 2009-07-03 11:48	--------	d-----w-	c:\windows\system32\config\systemprofile\Application Data\Symantec
2009-07-03 20:35 . 2009-07-03 11:48	--------	d-----w-	c:\windows\system32\config\systemprofile\Application Data\ATI
2009-07-03 20:34 . 2009-07-03 16:24	--------	d-----w-	c:\program files\Windows Live
2009-07-03 20:31 . 2009-07-03 20:28	--------	d-----w-	c:\program files\ShowTime
2009-07-03 20:31 . 2009-07-03 20:28	--------	d-----w-	c:\program files\Services en ligne
2009-07-03 20:31 . 2009-07-03 20:28	--------	d-----w-	c:\program files\Realtek AC97
2009-07-03 20:31 . 2009-07-03 20:28	--------	d-----w-	c:\program files\Fichiers communs\SureThing Shared
2009-07-03 20:31 . 2009-07-03 20:28	--------	d-----w-	c:\program files\Fichiers communs\Sonic Shared
2009-07-03 20:31 . 2009-07-03 20:28	--------	d-----w-	c:\program files\Fichiers communs\aolshare
2009-07-03 20:31 . 2009-07-03 20:28	--------	d-----w-	c:\program files\Fichiers communs\AOL
2009-07-03 16:59 . 2009-07-03 16:59	--------	d-----w-	c:\program files\Fichiers communs\Adobe Systems Shared
2009-07-03 16:57 . 2004-09-23 16:11	915456	----a-w-	c:\windows\system32\wininet.dll
2009-07-03 16:37 . 2009-07-03 16:37	--------	d-----w-	c:\program files\Common Files
2009-07-03 16:25 . 2009-07-03 16:24	--------	dcsh--w-	c:\program files\Fichiers communs\WindowsLiveInstaller
2009-07-03 16:24 . 2008-02-26 14:42	--------	d-----w-	d:\documents and settings\All Users\Application Data\WLInstaller
2009-07-03 16:21 . 2009-07-03 15:51	--------	d-----w-	d:\documents and settings\mickael.116767770312\Application Data\DAEMON Tools Lite
2009-07-03 16:20 . 2009-07-03 16:20	--------	d-----w-	d:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2009-07-03 16:20 . 2009-07-03 16:20	--------	d-----w-	c:\program files\DAEMON Tools Toolbar
2009-07-03 16:12 . 2009-07-03 16:12	--------	d-----w-	c:\program files\MSBuild
2009-07-03 16:12 . 2009-07-03 16:12	--------	d-----w-	c:\program files\Reference Assemblies
2009-07-03 16:04 . 2009-07-03 16:04	--------	d-----w-	c:\program files\MSXML 4.0
2009-07-03 16:00 . 2009-07-03 16:00	--------	d-----w-	c:\program files\Microsoft CAPICOM 2.1.0.2
2009-07-03 15:51 . 2009-07-03 15:51	721904	----a-w-	c:\windows\system32\drivers\sptd.sys
2009-07-03 15:41 . 2004-09-23 17:10	86815	----a-w-	c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-07-03 14:55 . 2009-07-03 14:55	143	----a-w-	d:\documents and settings\parents.116767770312\Local Settings\Application Data\fusioncache.dat
2009-07-03 14:43 . 2009-07-03 14:43	--------	d-----w-	d:\documents and settings\mickael.116767770312\Application Data\Inkscape
2009-07-03 14:36 . 2009-07-03 14:36	355584	----a-w-	c:\windows\system32\TuneUpDefragService.exe
2009-07-03 14:35 . 2009-07-03 14:35	--------	d-----w-	c:\program files\Fichiers communs\Wise Installation Wizard
2009-07-03 14:32 . 2009-07-03 14:32	--------	d-----w-	d:\documents and settings\mickael.116767770312\Application Data\Sonic
2009-07-03 14:32 . 2009-07-03 14:32	--------	d-----w-	d:\documents and settings\mickael.116767770312\Application Data\Leadertech
2009-07-03 13:54 . 2009-07-03 13:54	--------	d-----w-	c:\program files\Apple Software Update
2009-07-03 13:26 . 2009-07-03 13:25	--------	d-----w-	d:\documents and settings\mickael.116767770312\Application Data\Skype
2009-07-03 13:19 . 2009-07-03 13:19	--------	d-----w-	d:\documents and settings\mickael.116767770312\Application Data\vlc
2009-07-03 12:55 . 2009-07-03 12:55	--------	d-----w-	d:\documents and settings\mickael.116767770312\Application Data\OD2
2009-07-03 12:54 . 2009-07-03 12:54	--------	d-----w-	d:\documents and settings\mickael.116767770312\Application Data\TuneUp Software
2009-07-03 12:32 . 2009-07-03 12:32	--------	d-----w-	c:\program files\Avira
2009-07-03 12:29 . 2009-07-03 20:28	--------	d-----w-	c:\program files\Fichiers communs\Symantec Shared
2009-07-03 12:29 . 2006-06-15 17:53	--------	d-----w-	d:\documents and settings\All Users\Application Data\Symantec
2009-07-03 12:12 . 2006-06-15 17:53	--------	d-----w-	d:\documents and settings\All Users\Application Data\AOL
2009-07-03 12:10 . 2009-07-03 12:10	143	----a-w-	d:\documents and settings\mickael.116767770312\Local Settings\Application Data\fusioncache.dat
2009-06-19 12:45 . 2009-03-02 04:06	--------	d-----w-	d:\documents and settings\All Users\Application Data\Apple Computer
2009-06-16 14:40 . 2004-09-23 16:11	119808	----a-w-	c:\windows\system32	2embed.dll
2009-06-16 14:40 . 2004-09-23 16:10	81920	----a-w-	c:\windows\system32\fontsub.dll
2009-06-09 10:01 . 2009-07-14 15:03	421924	----a-w-	c:\windows\Fonts\electricfeel.otf
2009-06-09 09:37 . 2009-07-14 15:03	62248	----a-w-	c:\windows\Fonts\Bobblebod.ttf
2009-06-09 09:03 . 2009-07-14 15:03	11680	----a-w-	c:\windows\Fonts\crazy_diamond.otf
2009-06-03 19:10 . 2004-09-23 16:11	1297408	----a-w-	c:\windows\system32\quartz.dll
2009-05-18 13:52 . 2009-07-14 15:04	102448	----a-w-	c:\windows\Fonts\Skin & Bones.ttf
.

(((((((((((((((((((((((((((((   SnapShot@2009-08-07_15.36.12   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-08-07 15:35 . 2009-08-07 15:58	32768              c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
- 2009-08-07 15:35 . 2009-08-07 15:35	32768              c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2006-06-14 15:31 . 2009-08-07 15:58	32768              c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2006-06-14 15:31 . 2009-08-07 15:35	32768              c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2006-06-14 15:31 . 2009-08-07 15:58	32768              c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2006-06-14 15:31 . 2009-08-07 15:35	32768              c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2009-07-03 16:19 . 2009-08-07 15:58	245760              c:\windows\system32\config\systemprofile\IETldCache\index.dat
- 2009-07-03 16:19 . 2009-08-07 15:35	245760              c:\windows\system32\config\systemprofile\IETldCache\index.dat
.
(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="d:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\OPXPGina]
2006-01-30 06:53	49152	----a-w-	c:\apps\Softex\OmniPass\OPXPGina.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\APPS\skype\phone\Skype.exe"=
"d:\Program Files\BitComet\BitComet.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Messenger\livecall.exe"=
"d:\Program Files\Steam\SteamApps\leonard57\day of defeat source\hl2.exe"=
"d:\Program Files\Steam\Steam.exe"=
"d:\Program Files\Steam\SteamApps\leonard57\source sdk base\hl2.exe"=
"d:\Program Files\Steam\SteamApps\leonard57\counter-strike source\hl2.exe"=
"d:\Program Files\Steam\SteamApps\common\trackmania nations forever\TmForever.exe"=
"d:\Program Files\Steam\SteamApps\common\trackmania nations forever\TmForeverLauncher.exe"=
"d:\metin2.bin"=
"d:\Program Files\Steam\SteamApps\bastsource\day of defeat source\hl2.exe"=
"d:\Program Files\Steam\SteamApps\bastsource\source sdk base\hl2.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"18558:TCP"= 18558:TCP:BitComet 18558 TCP
"18558:UDP"= 18558:UDP:BitComet 18558 UDP
"53:UDP"= 53:UDP:Promo

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [03/07/2009 14:32 108289]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [29/05/2009 17:13 234864]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32undll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Contents of the 'Scheduled Tasks' folder

2009-08-01 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2009-08-07 c:\windows\Tasks\Maintenance en 1 clic.job
- d:\program files\TuneUp Utilities 2008\OneClickStarter.exe [2008-06-20 07:23]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
IE: Tout télécharger avec BitComet - d:\program files\BitComet\BitComet.exe/AddAllLink.htm
IE: Télécharger avec BitComet - d:\program files\BitComet\BitComet.exe/AddLink.htm
IE: Télécharger toutes les vidéos avec BitComet - d:\program files\BitComet\BitComet.exe/AddVideo.htm
FF - ProfilePath - d:\documents and settings\mickael.116767770312\Application Data\Mozilla\Firefox\Profiles\d32nu55e.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPJava11.dll
FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPJava12.dll
FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPJava13.dll
FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPJava14.dll
FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPJava32.dll
FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPJPI150_04.dll
FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPOJI610.dll
FF - plugin: c:\program files\ma-config.com
phardwaredetection.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
p-mswmp.dll
FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology
pViewpoint.dll
FF - plugin: d:\program files\Adobe\Reader 9.0\Reader\browser
ppdf32.dll
FF - plugin: d:\program files\QuickTime\Plugins
pqtplugin.dll
FF - plugin: d:\program files\QuickTime\Plugins
pqtplugin2.dll
FF - plugin: d:\program files\QuickTime\Plugins
pqtplugin3.dll
FF - plugin: d:\program files\QuickTime\Plugins
pqtplugin4.dll
FF - plugin: d:\program files\QuickTime\Plugins
pqtplugin5.dll
FF - plugin: d:\program files\QuickTime\Plugins
pqtplugin6.dll
FF - plugin: d:\program files\QuickTime\Plugins
pqtplugin7.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX POLICIES ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.notify.interval - 600000
FF - user.js: content.switch.threshold - 1000000
FF - user.js: nglayout.initialpaint.delay - 600
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota",      5120);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history",     true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata",    true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords",   false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads",   true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies",     true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache",       true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions",    true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history",                 true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata",                true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords",               false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads",               true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies",                 true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache",                   true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions",                true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps",             false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings",            false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs",    false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-07 18:00
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...  

scanning hidden autostart entries ... 

scanning hidden files ...  

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(596)
c:\windows\system32\Ati2evxx.dll
c:\apps\Softex\OmniPass\opxpgina.dll

- - - - - - - > 'explorer.exe'(2068)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\progra~1\FICHIE~1\AOL\ACS\AOLacsd.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\ehome\ehrecvr.exe
c:\windows\ehome\ehSched.exe
c:\windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
c:\apps\Softex\OmniPass\OmniServ.exe
c:\program files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
c:\windows\ehome\mcrdsvc.exe
c:\windows\system32\dllhost.exe
c:\apps\Softex\OmniPass\OPXPApp.exe
.
**************************************************************************
.
Completion time: 2009-08-07 18:01 - machine was rebooted
ComboFix-quarantined-files.txt  2009-08-07 16:01
ComboFix2.txt  2009-08-07 15:38

Pre-Run: 22 010 687 488 octets libres
Post-Run: 21 973 262 336 octets libres

314	--- E O F ---	2009-07-28 23:19

gen-hackman · Answer

bien :

&#9654 Télécharge TOOLBAR S&D ( de Eric_71/Team IDN ) sur ton bureau : 


!! Déconnecte toi,desactive tes protections résidentes, et ferme toutes tes applications en cours le temps de la manip. !! 

&#9654 Double-clique sur ToolBar SD.exe pour lancer l'outil et laisse toi guider ...
 
&#9654 option recherche puis [Entrée].  

Un rapport sera généré à la fin du processus : poste son contenu dans ta prochaine réponse 

( le rapport est en outre sauvegardé ici -> C:\TB.txt ) 

Tutoriel

sickboy. · Answer

voici le rapport :


   -----------\  ToolBar S&D 1.2.8   XP/Vista

   Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
   X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual Core Processor 4200+ )
   BIOS : BIOS Date: 04/18/06 17:38:25 Ver: 08.00.12
   USER : mickael ( Administrator )
   BOOT : Normal boot
   Antivirus : AntiVir Desktop 9.0.1.30 (Not Activated)
   C:\ (Local Disk) - NTFS - Total:29 Go (Free:20 Go)
   D:\ (Local Disk) - NTFS - Total:195 Go (Free:84 Go)
   E:\ (CD or DVD)
   F:\ (USB)
   G:\ (USB)
   H:\ (USB)
   I:\ (USB)
   J:\ (CD or DVD)

   "C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
   Option : [1] ( 07/08/2009|18:23 )

   -----------\  Recherche de Fichiers / Dossiers ...

   C:\Program Files\DAEMON Tools Toolbar

   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\WINDOWS\system32\blank.htm"
   "Start Page"="https://www.google.fr/?gws_rd=ssl"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
   "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Local Page"="C:\WINDOWS\system32\blank.htm"
   "Start Page"="https://www.msn.com/fr-fr/?ocid=iehp"


   --------------------\  Recherche d'autres infections

   --------------------\  Cracks & Keygens ..

   D:\DOCUME~1\MICKAE~1.116\Bureau\Crack sims 3
   D:\DOCUME~1\MICKAE~1.116\Bureau\Crack sims 3ld-sim3.exe
   D:\DOCUME~1\MICKAE~1.116\Bureau\Crack sims 3\TS3.exe



   1 - "C:\ToolBar SD\TB_1.txt" - 07/08/2009|18:24 - Option : [1]

   -----------\  Fin du rapport a 18:24:10,62

gen-hackman · Answer

&#9654 Relance Toolbar-S&D en double-cliquant sur le raccourci
 
&#9654 Tape sur "2" puis valide en appuyant sur "Entrée".
 
! Ne ferme pas la fenêtre lors de la suppression !
 
Un rapport sera généré, 

&#9654 poste son contenu ici. 

NOTE : Si ton Bureau ne réapparait pas, appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches. 
Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..." 
Tape explorer puis valide.

sickboy. · Answer

vila :


   -----------\  ToolBar S&D 1.2.8   XP/Vista

   Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
   X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual Core Processor 4200+ )
   BIOS : BIOS Date: 04/18/06 17:38:25 Ver: 08.00.12
   USER : mickael ( Administrator )
   BOOT : Normal boot
   Antivirus : AntiVir Desktop 9.0.1.30 (Activated)
   C:\ (Local Disk) - NTFS - Total:29 Go (Free:20 Go)
   D:\ (Local Disk) - NTFS - Total:195 Go (Free:84 Go)
   E:\ (CD or DVD)
   F:\ (USB)
   G:\ (USB)
   H:\ (USB)
   I:\ (USB)
   J:\ (CD or DVD)

   "C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
   Option : [2] ( 07/08/2009|18:30 )

   -----------\ SUPPRESSION

   Supprime! - C:\Program Files\DAEMON Tools Toolbar

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\WINDOWS\system32\blank.htm"
   "Start Page"="https://www.google.fr/?gws_rd=ssl"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
   "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Local Page"="C:\WINDOWS\system32\blank.htm"
   "Start Page"="https://www.msn.com/fr-fr/"


   --------------------\  Recherche d'autres infections

   --------------------\  Cracks & Keygens ..

   D:\DOCUME~1\MICKAE~1.116\Bureau\Crack sims 3
   D:\DOCUME~1\MICKAE~1.116\Bureau\Crack sims 3ld-sim3.exe
   D:\DOCUME~1\MICKAE~1.116\Bureau\Crack sims 3\TS3.exe



   1 - "C:\ToolBar SD\TB_1.txt" - 07/08/2009|18:24 - Option : [1]
   2 - "C:\ToolBar SD\TB_2.txt" - 07/08/2009|18:31 - Option : [2]

   -----------\  Fin du rapport a 18:31:23,42

Krapsman · Answer

Bonjour à vous deux!

Juste pour suivre, ca s'annonce intéressant!

++

sickboy. · Answer

bonjour et pour moi ce n'est pas vraiment intéressant mais plutôt chiant d'avoir chopper ces merdes xD

Krapsman · Answer

:D

gen-hackman · Answer

Télécharge OTL de OLDTimer

&#9654 enregistre le sur ton Bureau.

&#9654 Double clic sur OTL.exe pour le lancer.

&#9654 Coche les 2 cases Lop et Purity

&#9654 Coche la case devant scan all users

&#9654 règle-le sur "60 Days"

&#9654Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

Tu feras la meme chose avec le "Extra.txt".

sickboy. · Answer

le 1er : http://www.cijoint.fr/cjlink.php?file=cj200908/cijK4GUp5R.txt

et le second  :) : http://www.cijoint.fr/cjlink.php?file=cj200908/cijfluu9eu.txt

gen-hackman · Answer

&#9654 Télécharge Zeb-Restoreet enregistre ce fichier sur le bureau. 

&#9654-Clic droit Zeb-Restore.zip ==> Extraire tout choisis comme lieu d'enregistrement le bureau.
 
&#9654-Ouvre le dossier ZR_1.0.0.37 ==> double clic sur Zeb-Restore.exe 

&#9654- Coche la case devant :sites de confiance

&#9654- Ne coche aucune autre case 

&#9654-Clique sur Restaurer 

&#9654-Redémarre ton PC

ensuite :

&#9654 Double clic sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous Customs Scans/Fixes :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:services
catchme

:OTL
O3 - HKU\S-1-5-21-1864574637-3803932411-2799400565-1005\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O3 - HKU\S-1-5-21-1864574637-3803932411-2799400565-1005\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O8 - Extra context menu item: Télécharger avec BitComet - D:\Program Files\BitComet\BitComet.exe (www.BitComet.com)
O8 - Extra context menu item: Télécharger toutes les vidéos avec BitComet - D:\Program Files\BitComet\BitComet.exe (www.BitComet.com)
O8 - Extra context menu item: Tout télécharger avec BitComet - D:\Program Files\BitComet\BitComet.exe (www.BitComet.com)
O9 - Extra 'Tools' menuitem : Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin
pjpi150_04.dll (Sun Microsystems, Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab (Java Plug-in 1.5.0_04)
O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab (Java Plug-in 1.5.0_04)
O18 - Protocol\Handler\ipp - No CLSID value found
O18 - Protocol\Handler\msdaipp - No CLSID value found
O34 - HKLM BootExecute: (autocheck) -  File not found
O34 - HKLM BootExecute: (*) -  File not found

:files
C:\WINDOWS\PEV.exe
D:\Documents and Settings\mickael.116767770312\Bureau\mickael.exe
%Homedrive%\*.sqm
D:\Documents and Settings\mickael.116767770312\Local Settings\Application Data\{3248F0A6-6813-11D6-A77B-00B0D0150040}
D:\Documents and Settings\All Users\Application Data\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}


:commands
[emptytemp]
[reboot]


&#9654 Clique sur RunFix pour lancer la suppression.


&#9654 Poste le rapport.

sickboy. · Answer

voila c fait : 

All processes killed
========== PROCESSES ==========
Process explorer.exe killed successfully!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
Process Teatimer.exe killed successfully!
========== SERVICES/DRIVERS ==========

Service\Driver catchme deleted successfully.
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-1864574637-3803932411-2799400565-1005\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\{C4069E3A-68F1-403E-B40E-20066696354B} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C4069E3A-68F1-403E-B40E-20066696354B}\ not found.
Registry value HKEY_USERS\S-1-5-21-1864574637-3803932411-2799400565-1005\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7}\ not found.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Télécharger avec BitComet\ deleted successfully.
D:\Program Files\BitComet\BitComet.exe moved successfully.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Télécharger toutes les vidéos avec BitComet\ deleted successfully.
File D:\Program Files\BitComet\BitComet.exe not found.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Tout télécharger avec BitComet\ deleted successfully.
File D:\Program Files\BitComet\BitComet.exe not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ deleted successfully.
C:\Program Files\Java\jre1.5.0_04\bin
pjpi150_04.dll unregistered successfully.
C:\Program Files\Java\jre1.5.0_04\bin
pjpi150_04.dll moved successfully.
Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\ipp\ deleted successfully.
File Protocol\Handler\ipp - No CLSID value found not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\msdaipp\ deleted successfully.
File Protocol\Handler\msdaipp - No CLSID value found not found.
Registry delete failed. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session manager\BootExecute:autocheck scheduled to be deleted on reboot.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session manager\BootExecute:* deleted successfully.
========== FILES ==========
C:\WINDOWS\PEV.exe moved successfully.
D:\Documents and Settings\mickael.116767770312\Bureau\mickael.exe moved successfully.
D:\sqmdata00.sqm moved successfully.
D:\sqmdata01.sqm moved successfully.
D:\sqmdata02.sqm moved successfully.
D:\sqmdata03.sqm moved successfully.
D:\sqmdata04.sqm moved successfully.
D:\sqmdata05.sqm moved successfully.
D:\sqmdata06.sqm moved successfully.
D:\sqmdata07.sqm moved successfully.
D:\sqmdata08.sqm moved successfully.
D:\sqmdata09.sqm moved successfully.
D:\sqmdata10.sqm moved successfully.
D:\sqmdata11.sqm moved successfully.
D:\sqmdata12.sqm moved successfully.
D:\sqmdata13.sqm moved successfully.
D:\sqmdata14.sqm moved successfully.
D:\sqmdata15.sqm moved successfully.
D:\sqmdata16.sqm moved successfully.
D:\sqmdata17.sqm moved successfully.
D:\sqmdata18.sqm moved successfully.
D:\sqmdata19.sqm moved successfully.
D:\sqmnoopt00.sqm moved successfully.
D:\sqmnoopt01.sqm moved successfully.
D:\sqmnoopt02.sqm moved successfully.
D:\sqmnoopt03.sqm moved successfully.
D:\sqmnoopt04.sqm moved successfully.
D:\sqmnoopt05.sqm moved successfully.
D:\sqmnoopt06.sqm moved successfully.
D:\sqmnoopt07.sqm moved successfully.
D:\sqmnoopt08.sqm moved successfully.
D:\sqmnoopt09.sqm moved successfully.
D:\sqmnoopt10.sqm moved successfully.
D:\sqmnoopt11.sqm moved successfully.
D:\sqmnoopt12.sqm moved successfully.
D:\sqmnoopt13.sqm moved successfully.
D:\sqmnoopt14.sqm moved successfully.
D:\sqmnoopt15.sqm moved successfully.
D:\sqmnoopt16.sqm moved successfully.
D:\sqmnoopt17.sqm moved successfully.
D:\sqmnoopt18.sqm moved successfully.
D:\sqmnoopt19.sqm moved successfully.
D:\Documents and Settings\mickael.116767770312\Local Settings\Application Data\{3248F0A6-6813-11D6-A77B-00B0D0150040} moved successfully.
D:\Documents and Settings\All Users\Application Data\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}\x86\x86 moved successfully.
D:\Documents and Settings\All Users\Application Data\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}\x86 moved successfully.
D:\Documents and Settings\All Users\Application Data\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906} moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes
 
User: LocalService
File delete failed. D:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. D:\Documents and Settings\LocalService\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. D:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat scheduled to be deleted on reboot.
->Temp folder emptied: 65748 bytes
->Temporary Internet Files folder emptied: 16786 bytes
 
User: Mickael
 
User: mickael.116767770312
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 359111 bytes
->Java cache emptied: 846 bytes
->FireFox cache emptied: 46561994 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: parents.116767770312
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->FireFox cache emptied: 82979737 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 124,00 mb
 
 
OTL by OldTimer - Version 3.0.10.4 log created on 08072009_192254

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
Registry delete failed. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session manager\BootExecute:autocheck scheduled to be deleted on reboot.

sickboy. · Answer

je crois que j'ai merdé pour le copier collé si tel est le cas envoie mois ou pouvoir trouver le rapport et je te le renverrais sinon  je vais mangé et pense revenir d'ici 20h30 voir même 40 !
je te remercie de ton aide , bonne appétit et a toute a l'heure !

gen-hackman · Answer

non c'est bon


Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.



&#9654 Télécharge :

Malwarebytes  

ou  :

Malwarebytes

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

&#9654 Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

sickboy. · Answer

c fait mais par contre mtn j'ai un petit problème certain dossier ont une apparence transparentre limite grisé est ce normal ? 
sinon voici le rapport :

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2575
Windows 5.1.2600 Service Pack 3

07/08/2009 21:36:14
mbam-log-2009-08-07 (21-36-14).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 205552
Temps écoulé: 37 minute(s), 48 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Qoobox\Quarantine\C\WINDOWS\system32\SKYNETihdokeip.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B3BF5352-B406-412E-936E-A9436F19C528}\RP3\A0000002.dll (Trojan.TDSS) -> Quarantined and deleted successfully.

gen-hackman · Answer

c'est bon les fichiers cachés à remettre cachés ▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage * - décoche Afficher les fichiers et dossiers cachés * - coche Masquer les extensions des fichiers dont le type est connu * - coche Masquer les fichiers protégés du système d'exploitation (recommandé) valide par ok ▶ Télécharge :ATF Cleaner par Atribune Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected a NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus. __________________________________________________ ▶ Tu peux garder ATF pour d'eventuels netttoyages un peu plus poussés __________________________________________________ ▶---> Télécharge ToolsCleaner2sur ton Bureau. * Double-clique sur ToolsCleaner2.exe pour le lancer. * Clique sur Recherche et laisse le scan agir. * Clique sur Suppression pour finaliser. * Tu peux, si tu le souhaites, te servir des Options Facultatives. * Clique sur Quitter pour obtenir le rapport. * Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). ________________________________________________ ▶ Tu peux supprimer ToolCleaner _________________________________________________ ▶ Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : * Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... * Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. * Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse * Veille a ce que dans les options le reglage soit au demarrage de windows et réglé sur "effacement securisé" 35 passes (guttman) __________________________________________________ Attention : ne pas toucher au PC pendant qu'il travaille ! ▶ Nettoyage et Défragmentation de tes Disques *Nettoyage : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général" Cliques sur le bouton "nettoyage de disque", OK tu le fais pour chacun de tes disques ________________________________________________ *Vérifications des erreurs : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ________________________________________________ ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK tu le fais pour chacun de tes disques _______________________________________________ Note : si tu as un utilitaire pour défragmenter , utilises le à la place pour ce faire Defraggler est proposé _________________________________________________ ▶ Peux-tu vérifier ta Console Java ? : et installer la nouvelle version si besoin est (dans ce cas désinstalle avant l'ancienne version). voici pour desinstaller : JavaRa Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). * Double-clique sur le répertoire JavaRa. * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). * Choisis Français puis clique sur Select. * Clique sur Recherche de mises à jour. * Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. * Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. * L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. * Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. * Ferme l'application. Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. _________________________________________________ ▶ Mets à jour Adobe Reader si ce n'est pas le cas (désinstalle avant la version antérieure) __________________________________________________ ▶ Je te conseille si tu n en as pas , afin de mieux securiser ton pc , d'installer un parefeu : Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO https://www.commentcamarche.net/telecharger/securite/16545-online-armor-personal-firewall/ https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html https://forum.pcastuces.com/sujet.asp?f=25&s=35606 https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html https://manuelsdaide.com/contact/ http://www.open-files.com/forum/index.php?showtopic=29277 https://www.commentcamarche.net/telecharger/securite/24863-zonealarm/ ___________________________________________________ ▶ Tu peux aussi vider ta corbeille,quoi que Ccleaner le fasse tout seul _____________________________________________________ ▶ Si nous avons utilisé MalwareByte's Anti-Malware , vide sa quarantaine : * Lance le programme puis clique sur . * Sélectionne tous les éléments puis clique sur . * Quitte le programme. ______________________________________________________ ▶ si tu as installé Antivir : Configuration ________________________________________________________ ▶ Idem pour ton antivirus : vide sa quarantaine si ce n'est pas déjà fait ______________________________________________________ ▶ Désactive et réactive la restauration de système, pour cela : suis les instructions du lien : Lien XP Lien Vista ▶ Sitôt fait , recrées un point de restoration dit "sain" pour parer à quelques eventuels problêmes dans le futur ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Quelques conseils et recommandations pour l'avenir : ▶ Passe un coup de MalwareByte's Anti-Malware de temps en temps (1 fois par semaine , suivant l'utilisation que tu fais de ton PC. ▶ Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser. * Pense aussi à faire une défragmentation de tes disques durs de temps en temps (garde suffisamment d'espace sur C:\ (1/3 de libre pour être à l'aise)) _____________ ▶ Pour bien protéger ton PC : [1 seul Antivirus] + [1 seul Pare feu] + [Un bon Antispyware avec immunisation] + [Mises à Jour récentes Windows et Logiciels de Protection] + [Utilisation de Firefox -ou autres- (Internet Explorer présente des failles de sécurité qui mettent longtemps avant d'être corrigées mais il faut absolument le conserver pour les mises à jour Windows et Windows live Messenger)] Je te conseille d'installer cette extension pour Firefox pour securiser ton surf : WOT Je te conseille d'installer cette extension pour Internet Explorer pour securiser ton surf : WOT PS : En fait la meilleure des protections c'est toi même : ce que tu fais avec ton PC : où tu surfes, télécharges...ect.... Les virus utilisent les failles de ton PC pour infecter un système ▶ dans le souhait de vouloir desinstaller un antivirus au profit d'un autre , voici quelques liens : Desinstaller Avast Desinstaller BitDefender Desinstaller Norton Desinstaller Kaspersky Desinstaller AVG ou tout en un : Désinstallation Antivirus , Parefeu , Antispyware _____________ ▶ SpywareBlaster = petit logiciel qui bloque l'installation d'activeX nuisibles au PC.(Fonctionne en arrière plan) ____________ ▶ Si tu as Vista n'oublie pas de réactiver le controle des comptes des utilisateurs(UAC) ___________ ▶ Si tu as Spybot S&D et que nous avons desactive le "Tea-timer" tu peux le réactiver ___________ ▶ si nous avons affiché les fichiers cachés , n'oublies pas de les remettre en attribut "caché" ____________ Voila, Bonne lecture, à bientot , une fois tout ceci fait, tu peux mettre le topic en resolu Bonne continuation et surtout , prudence et bon surf :)

Utilisateur anonyme · Answer

Salut posséde tu un Pare-feu ?

gen-hackman · Answer

je lui en propose dans ce canned final

Krapsman · Answer

Mmmh,

Très impressionnant tes canned Gen-Hackman!

Mon préféré c'est celui de combo fix !!DANGER-DANGER-DANGER NE PANIQUEZ PAS!!

lol

++

gen-hackman · Answer

;)

sickboy. · Answer

I. 

le rapport atf est pas présent sinon celui de javaRa est le suivant : 

JavaRa 1.15 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Fri Aug 07 22:25:05 2009

Found and removed: Software\JavaSoft\Java2D\1.5.0_04

Found and removed: SOFTWARE\Classes\Installer\Features\8A0F842331866D117AB7000B0D510004

Found and removed: SOFTWARE\Classes\Installer\Products\8A0F842331866D117AB7000B0D510004

Found and removed: SOFTWARE\Classes\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D510004

Found and removed: SOFTWARE\Classes\JavaWebStart.isInstalled.1.5.0.0

Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.5.0_04

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.5

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.5.0_04

Found and removed: SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ACBB9B2318A96D117A58000B0D510004

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\8A0F842331866D117AB7000B0D510004

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0150040}

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.5.0_04

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_02

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_03

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_04

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2.0_01

Found and removed: SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.5.0_04\

------------------------------------

Finished reporting.



II. 

j'utilise tune up pour le system de defragmentation je prefer a celui incorporé a window ! 

III.

sinon pour le parefeu est ce vmt utile autre que celui  de window  si je fait vraiment attention et utilise les logiciels anti malware etc etc ... ??? 


 enfin bref tkt pas je fait attention mais je pense sa doit être du a un keygen ou crack fin qqc du genre et je m'en cache pas  , chaqu'un a ces default et je suis conscient de certain risque et j assume !
donc je serais plus vigilant a l'avenir !

 en tout cas merci pour tout , d'avoir suivis et mit peu de temps a repondre et m'aider !
sur ce a la prochaine en espérant il n'y en est pas  :) 

bonne fin de soirée , bye bye 
 ?

gen-hackman · Answer

ok ben surf :)

ce sont des conseils et non des obligations :)

sickboy. · Answer

- sinon j'ai tjrs le problème de verification du disque au lancement de window :

problème lors de la suppression d'index de l'index $0 du fichier 25

- ma connection internet est lente ... le test connection depass a peine  500ko/s alors que gt en moyene a 1200ko/s

comment je peut arranger cela ? 

  le temps de réponse est peu important mtn  car je vais moccuper de mon amie mais j'aimerais savoir comment je peu réglé ce soucis !
bonne soirée nuit bye bye

gen-hackman · Answer

il est vieux le pc ?

sickboy. · Answer

ouep assez il doit avoir au moins 5 ans mais bon avant c petit soucis pc ma connection étant béton !
28mega dc ma vitesse de telechargement arriver facilement a 2mo/s assez souvent dc je ne comprend pas pourquoi  sa me ferait sa mtn non ?
d'habitude je reboot ma alicebox et sa revient niquel mais la rien a faire

gen-hackman · Answer

peut etre que ton FAI t'a bridé parce que tu telecharges trop

peut etre que ton disque dur va pas tarder à lâcher

sickboy. · Answer

d(accord xD

les deux sont très encouageant  !  lol

fin merci de la réponse et si jamais j'ai un petit soucis je serais a qui madresser !

 bye bye

gen-hackman · Answer

ok bon courage

pose quand meme la question à ton FAI

Problème spyware ou malware ou virus ! ! !

33 réponses

Discussions similaires

Newsletters