Cheval de troie? Résolu

Question

Bonjour,
aujourd'hui je démarre mon pc, fait un petit tour sur internet & je me rend compte que mon antivirus (antivir) est désactivé...
Puis d'un seul coup, j'entend le son d'une vidéo pornographique pendant 10 sec, puis plus rien, puis après une musique qui ne m'appartient pas :|
Je lance la mise à jour d'antivir & débranche mon cable éthernet & je lance un scan, 2 virus trouvés.
je veux lancer spybot search & destroy, impossible, installer malwarebyte, impossible, ils ne se démarrent pas...
J'ai trouvé a.exe b.exe & c.exe dans TEMP qui ont été supprimé par CleanUp!
Quelqu'un peut-il m'aider à nettoyer mon pc? :)
Merci d'avance.

geoffrey5 · Answer

Bonsoir,

&#x25B6; Télécharge Random's System Information Tool (RSIT).

&#x25B6; Un tutoriel sera à ta disposition sur mon site web pour l'installer et l'utiliser correctement.

&#x25B6; Double clique sur RSIT.exe pour lancer l'outil.

&#x25B6; Clique sur 'Continue' à l'écran Disclaimer.

&#x25B6; Si l'outil Hijackthis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

&#x25B6; Une fois le scan fini , 2 rapports vont apparaitre. Poste le contenu des 2 rapports.

( C:\RSIT\log.txt et C:\RSIT\info.txt )

CTRL A pour sélectionner tout, CTRL C pour copier et puis CTRL V pour coller

Comment héberger les rapports trop longs de RSIT ??

Cobaycool · Answer

faut aller sur des site X ou ya pas tros de virus hein ^^ 

non sans deconner tu as essayer de lancer tes programme anti-malawere en mode sans echec ??

alexandre_kom · Answer

oui j'ai tout essayé en mode sans echec
j'essaye ce que tu m'as dit geoffrey5.

Cobaycool · Answer

et bettement une restauration sytem?

alexandre_kom · Answer

J'y avais pensé mais plus aucun points de restaurations :o
J'ai oublié de le préciser :s

geoffrey5 · Answer

Une restauration ne servira à rien... Ton PC est infecté

Cobaycool · Answer

pas d accord geoffrey , un virus c est quoi ===> un programme indesirable 

certain virus parte en faissant une restauration sytem , j en ai fait partir certain comme sa ^^

geoffrey5 · Answer

En voyant les infections qu'il a, une restauration ne servira à rien ;)

alexandre_kom · Answer

http://ww38.toofiles.com/fr/oip/documents/txt/331_log.html
voilà le rapport

geoffrey5 · Answer

&#x25B6; télécharge smitfraudfix et enregistre le sur le bureau 
 
&#x25B6; Sous XP : Double clique sur smitfraudfix puis exécuter

&#x25B6; sous vista : Clic-droit sur SmitfraudFix présent sur le bureau et choisis "Exécuter en tant qu'administrateur"

&#x25B6; Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.

(attention : N utilises pas l option 2 si je ne te l ai pas demandé !!)

&#x25B6; copier/coller le rapport dans la réponse.


Voici un tutoriel sonore et animé en cas de problème d'utilisation



(Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool". 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.)

alexandre_kom · Answer

SmitFraudFix v2.423

Rapport fait à  0:18:12,07, 11/08/2009
Executé à partir de C:\Documents and Settings\andre\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\andre\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Documents and Settings\andre\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\andre\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\andre\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\andre\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\config.ini PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\msxml71.dll PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\andre


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\andre\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\andre\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\andre\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.54.252
DNS Server Search Order: 212.27.53.252

HKLM\SYSTEM\CCS\Services\Tcpip\..\{CD6262F2-313E-4CE6-A8EF-32C5250530D3}: NameServer=212.27.54.252,212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{CD6262F2-313E-4CE6-A8EF-32C5250530D3}: NameServer=212.27.54.252,212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{CD6262F2-313E-4CE6-A8EF-32C5250530D3}: NameServer=212.27.54.252,212.27.53.252
HKLM\SYSTEM\CS3\Services\Tcpip\..\{CD6262F2-313E-4CE6-A8EF-32C5250530D3}: NameServer=212.27.54.252,212.27.53.252


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

geoffrey5 · Answer

Très bien... Maintenant fais ceci stp :

Option 2 - Nettoyage :


&#x25B6; Prends bien notes de ce qu'il faut faire car tu n'auras pas accès à internet en mode sans échec !!

&#x25B6; redémarre le PC en mode sans échec

&#x25B6; Relance smitfraudfix

&#x25B6; Sélectionner 2 pour supprimer les fichiers responsables de l'infection.

&#x25B6; A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

&#x25B6; Enregistre le rapport sur ton bureau


&#x25B6; Redémarrer en mode normal et poster le rapport.

geoffrey5 · Answer

Pourquoi as-tu lancé l'option 1 en mode sans échec ??  :s

alexandre_kom · Answer

Arf excuses moi, j'ai pas fait attention, j'étais en mode sans échec depuis le début.
Tu veux que je recommence les scan?

geoffrey5 · Answer

Non ça va... mais tu dois impérativement faire l'option 2 en mode sans échec  ;-)

alexandre_kom · Answer

https://imageshack.com/
maintenant quand je démarre SmitfraudFix.exe j'ai ce message, que je sois en mode normal ou sans échec ...

geoffrey5 · Answer

Supprime-le et réinstalle-le sur le bureau stp.

Et lance directement l'option 2 en mode sans échec

alexandre_kom · Answer

j'ai le même message d'erreur :s

geoffrey5 · Answer

&#x25B6; Télécharge CCleaner

&#x25B6; Tu auras un tutoriel pour l'installer et l'utiliser correctement.

&#x25B6; Fais le nettoyage et recherche les erreurs du registre comme expliqué en bas du tutoriel.

alexandre_kom · Answer

Toujours le même problème...
Je vais me coucher, je suis crevé.
Merci pour ton aide, à demain je l'espère.

geoffrey5 · Answer

Ok bonne nuit ;)

A ton retour, tu pourras faire ceci :

&#x25B6; Télécharge OTM (de Old_Timer) sur ton Bureau 
 
&#x25B6; Double-clique sur OTM.exe pour le lancer.

&#x25B6; Assure toi que la case Unregister Dll's and Ocx's soit bien cochée. 

&#x25B6; Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous "Paste instructions for item to be moved". 


:processes
explorer.exe 

:files
c:\windows\system32\msxml71.dll
c:\documents and settings\andre\locals~1	emp\b.exe
c:\windows\msa.exe
c:\program files\enigma software group\spyhunter\uninstall.exe

:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{500BCA15-57A7-4eaf-8143-8C619470B13D}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{500BCA15-57A7-4eaf-8143-8C619470B13D}]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Monopod"=-


:commands
[purity]
[emptytemp]
[start explorer]
[reboot] 
 


&#x25B6; clique sur MoveIt! pour lancer la suppression. 

&#x25B6; Le résultat apparaitra dans le cadre "Results". 

&#x25B6; Clique sur Exit pour fermer. 

&#x25B6; Poste le rapport situé dans C:\_OTMoveIt\MovedFiles. 

&#x25B6; Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

alexandre_kom · Answer

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
c:\windows\system32\msxml71.dll unregistered successfully.
c:\windows\system32\msxml71.dll moved successfully.
File/Folder c:\documents and settings\andre\locals~1	emp\b.exe not found.
c:\windows\msa.exe moved successfully.
c:\program files\enigma software group\spyhunter\Uninstall.exe moved successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{500BCA15-57A7-4eaf-8143-8C619470B13D}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{500BCA15-57A7-4eaf-8143-8C619470B13D}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{500BCA15-57A7-4eaf-8143-8C619470B13D}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{500BCA15-57A7-4eaf-8143-8C619470B13D}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Monopod not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 402 bytes
 
User: All Users
 
User: andre
->Temp folder emptied: 10455402 bytes
->Temporary Internet Files folder emptied: 2685459 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 26114072 bytes
->Google Chrome cache emptied: 104486259 bytes
->Apple Safari cache emptied: 48964273 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 469 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 469 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 469 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
Windows Temp folder emptied: 664 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 183,78 mb
 
 
OTM by OldTimer - Version 3.0.0.6 log created on 08112009_112421

Files moved on Reboot...

Registry entries deleted on Reboot...
--------------------------------------------------------------------------------------------------

Voilà c'est effectué!
J'ai regardé un peu mes processus, j'ai 2 "iexplorer.exe" alors qu'il n'est pas en fonctionnement...
J'oubliais, il m'est impossible de faire la mise à jour d'antivir, ça reste à 0 octet téléchargé. Du coup je l'ai fait manuellement....
Que faire maintenant?

alexandre_kom · Answer

Je n'arrive pas à démarrer spybot search & destroy non plus, il se lance dans les processus mais ne démarre pas.
Quelqu'un peut m'aider?
Merci d'avance

geoffrey5 · Answer

Bonjour,

désinstalle Malwarebytes et retélécharge-le stp :

&#x25B6; Télécharge malwarebyte's anti-malware 

&#x25B6; Un tutoriel sera à ta disposition pour l'installer et l'utiliser correctement.
 
&#x25B6; Fais la mise à jour du logiciel (elle se fait normalement à l'installation) 

&#x25B6; Lance une analyse complète en cliquant sur "Exécuter un examen complet"

&#x25B6; Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"

&#x25B6; L'analyse peut durer un bon moment.....

&#x25B6; Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"

&#x25B6; Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"

&#x25B6; Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum


* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... 
Faites le en cliquant sur "oui" à la question posée

alexandre_kom · Answer

Je n'arrive plus à l'installer
Je double clique sur le setup, j'attends & rien ne se passe.
Il est pourtant bien présent dans le processus...

geoffrey5 · Answer

T'as essayé aussi en mode sans échec ??

&#x25B6; Télécharge Rooter (créé par l'équipe IDN) sur ton bureau.

&#x25B6; /!\ Déconnecte toi d'internet et ferme toutes les applications en cours /!\

&#x25B6; Exécute Rooter et laisse le travailler jusqu'à l'apparition du rapport dans le bloc note

&#x25B6; Ensuite poste le rapport dans ta prochaine réponse

alexandre_kom · Answer

Rooter.exe (v1.0.2) by Eric_71
.
SeDebugPrivilege granted successfully ...
.
Windows XP Home Edition (5.1.2600) Service Pack 3
[32_bits] - x86 Family 15 Model 2 Stepping 9, GenuineIntel
.
[wscsvc] STOPPED (state:1) : Security Center -> Disabled !
[SharedAccess] RUNNING (state:4)
Windows Firewall -> Enabled
.
Internet Explorer 8.0.6001.18702
Mozilla Firefox 3.0.13 (fr)
.
A:\  [Removable]
C:\  [Fixed-NTFS] .. ( Total:78 Go - Free:8 Go )
D:\  [CD_Rom]
E:\  [CD_Rom]
F:\  [Fixed-NTFS] .. ( Total:70 Go - Free:4 Go )
I:\  [Removable]
J:\  [Removable]
K:\  [CD_Rom]
L:\  [Removable]
M:\  [Removable]
.
Scan : 13:23.13
Path : C:\Documents and Settings\andre\Mes documents\Downloads\Rooter.exe
User : andre ( Administrator -> YES )
.
----------------------\ Processes
.
Locked [System Process] (0)
______ System (4)
______ \SystemRoot\System32\smss.exe (540)
______ \??\C:\WINDOWS\system32\csrss.exe (600)
______ \??\C:\WINDOWS\system32\winlogon.exe (624)
______ C:\WINDOWS\system32\services.exe (672)
______ C:\WINDOWS\system32\lsass.exe (684)
______ C:\WINDOWS\system32\svchost.exe (876)
______ C:\WINDOWS\system32\svchost.exe (948)
______ C:\WINDOWS\System32\svchost.exe (1016)
______ C:\WINDOWS\system32\svchost.exe (1064)
______ C:\WINDOWS\System32\svchost.exe (1140)
______ C:\WINDOWS\System32\svchost.exe (1168)
______ C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe (1276)
______ C:\WINDOWS\Explorer.EXE (1492)
______ C:\Program Files\Microsoft IntelliPoint\ipoint.exe (1656)
______ C:\Program Files\NetDrive
etdrive.exe (1676)
______ C:\WINDOWS\system32\RUNDLL32.EXE (1692)
______ C:\Program Files\Java\jre6\bin\jusched.exe (1704)
______ C:\Program Files\iTunes\iTunesHelper.exe (1736)
______ C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (1756)
______ C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter3.exe (1776)
______ C:\WINDOWS\system32\ctfmon.exe (1792)
______ C:\Program Files\Microsoft IntelliPoint\dpupdchk.exe (1816)
______ C:\WINDOWS\system32\spoolsv.exe (412)
______ C:\Program Files\Avira\AntiVir Desktop\sched.exe (460)
______ C:\Program Files\a-squared Free\a2service.exe (1668)
______ C:\Program Files\Avira\AntiVir Desktop\avguard.exe (240)
______ C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (384)
______ C:\Program Files\Bonjour\mDNSResponder.exe (160)
______ C:\Program Files\Java\jre6\bin\jqs.exe (932)
______ C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe (1132)
______ C:\WINDOWS\system32
vsvc32.exe (1320)
______ C:\WINDOWS\System32\svchost.exe (1884)
______ C:\WINDOWS\System32\TUProgSt.exe (2112)
______ C:\Program Files\NetDrive\wdService.exe (2188)
______ C:\Program Files\iPod\bin\iPodService.exe (2532)
______ C:\WINDOWS\system32\wbem\wmiprvse.exe (3016)
______ C:\WINDOWS\System32\alg.exe (3044)
______ C:\WINDOWS\system32\wuauclt.exe (3908)
______ C:\Documents and Settings\andre\Mes documents\Downloads\Rooter.exe (472)
.
----------------------\ Device\Harddisk0\
.
\Device\Harddisk0 [Sectors : 1 x 512 Bytes]
.
\Device\Harddisk0\Partition1 --[ MBR ]-- (Start_Offset:32256 | Length:83808797184)
\Device\Harddisk0\Partition0 (Start_Offset:83808829440 | Length:76229959680)
\Device\Harddisk0\Partition2 (Start_Offset:83808861696 | Length:76229927424)
.
----------------------\ Scheduled Tasks
.
C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
C:\WINDOWS\Tasks\desktop.ini
C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-1644491937-152049171-725345543-1004Core.job
C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-1644491937-152049171-725345543-1004UA.job
C:\WINDOWS\Tasks\Maintenance en 1 clic.job
C:\WINDOWS\Tasks\SA.DAT
C:\WINDOWS\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job
C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job
.
----------------------\ Registry
.
.
----------------------\ Files & Folders
.
C:\DOCUME~1\andre\Bureau\Appz\PhotoshopTryout\Adobe_photoshop_cs2_crack.zip
C:\DOCUME~1\andre\Bureau\Appz\PhotoshopTryout\crack_photoshop_cs2.exe
[b]==> Cracks & Keygens <==/b
.
----------------------\ Scan completed at 13:25.30
.
C:\Rooter$\Rooter_2.txt - (11/08/2009 | 13:25.30).c

geoffrey5 · Answer

Je vois que tu télécharges des cracks :

C:\DOCUME~1\andre\Bureau\Appz\PhotoshopTryout\Adobe_photoshop_cs2_crack.zip
C:\DOCUME~1\andre\Bureau\Appz\PhotoshopTryout\crack_photoshop_cs2.exe 

le danger des cracks

Bagle/Beagle


Fais ceci stp :

&#x25B6; Le scan va s'éffectuer en Mode sans échec : comme tu n'auras pas accès à Internet, je te conseille d'imprimer cette procédure.

&#x25B6; Télécharge Dr.Web CureIt! sur ton bureau.

&#x25B6; Redémarre le PC en mode sans échec

&#x25B6; Double-clique sur drweb-cureit.exe et clique sur Commencer le scan.

&#x25B6; Si il trouve des processus infectés, clique sur le bouton Oui pour Tout à l'invite.

&#x25B6; Lorsque le scan rapide est terminé, clique sur Options > Changer la configuration.

&#x25B6; Choisis l'onglet Scanner, et décoche Analyse heuristique.

&#x25B6; De retour à la fenêtre principale : choisis Analyse complète.

&#x25B6; Clique la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, ferme-la.

&#x25B6; Clique Oui pour Tout si un fichier est détecté.

&#x25B6; A la fin du scan, si des infections sont trouvées, clique sur Tout sélectionner, puis sur Désinfecter.

&#x25B6; Si la désinfection est impossible, clique sur Quarantaine.

&#x25B6; Au menu principal de l'outil, en haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport.

&#x25B6; Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv.

&#x25B6; Ferme Dr.Web CureIt!  

&#x25B6; /!\ Important /!\ Redémarre ton ordinateur car certains fichiers peuvent être déplacés/réparés au redémarrage. 

&#x25B6; Après le redémarrage, fais un copié/collé du rapport dans ta prochaine réponse

alexandre_kom · Answer

Après plus de 5h de scan voilà le rapport :)


SmitfraudFix.exe\SmitfraudFix\Process.exe	C:\Documents and Settings\andre\Bureau\SmitfraudFix.exe	Tool.Prockill	
SmitfraudFix.exe\SmitfraudFix\restart.exe	C:\Documents and Settings\andre\Bureau\SmitfraudFix.exe	Tool.ShutDown.14	
SmitfraudFix.exe	C:\Documents and Settings\andre\Bureau	L'archive contient des éléments infectés	Quarantaine.
Process.exe	C:\Documents and Settings\andre\Bureau\SmitfraudFix	Tool.Prockill	Irréparable.Quarantaine.
restart.exe	C:\Documents and Settings\andre\Bureau\SmitfraudFix	Tool.ShutDown.14	Irréparable.Quarantaine.
ADSLAutoconnect206F7.exe	C:\Documents and Settings\andre\Mes documents\Sauvegarde	Trojan.MulDrop.31895	Supprimé.
Process.exe	C:\WINDOWS\system32	Tool.Prockill	Irréparable.Quarantaine.
UACvttjcdajgw.dll	C:\WINDOWS\system32	BackDoor.Tdss.49	Supprimé.

geoffrey5 · Answer

Re,

ok maintenant :

&#x25B6; Le scan va s'éffectuer en Mode sans échec : comme tu n'auras pas accès à Internet, je te conseille d'imprimer cette procédure.


&#x25B6; Télécharge le scanner portable AVPTool sur ton bureau.


&#x25B6; Ensuite redémarre le PC en mode sans échec


&#x25B6; Choisis ta session habituelle

&#x25B6; Lance l'exécutable intitulé setup_7.0xxxxx en double-cliquant dessus.

&#x25B6; Réponds Oui à la question Do you want to continue installation ? 

&#x25B6; Clique sur Next pour les deux fenêtres suivantes.

&#x25B6; AVPTool s'installe sur ton Bureau dans un dossier nommé Kaspersky Lab Tool.

&#x25B6; L'outil se lance tout seul : coche toutes les cases dans l'onglet Automatic Scan.

&#x25B6; Clique maintenant sur Scan.

&#x25B6; Le scan commence, une nouvelle fenêtre s'ouvre indiquant la progression du balayage en pourcentage. 

&#x25B6; A la fin du scan, AVPTool signale les objets infectés par l'intermédiaire d'un pop-up.

&#x25B6; Coche alors Apply to all et clique sur Disinfect ou sur Delete selon ce que propose la fenêtre.

&#x25B6; Une fois les infections traitées par l'intermédiaire des pop-ups, il se peut que des fichiers malsains n'aient pas été supprimés.

&#x25B6; Ils apparaissent en rouge dans la liste : clique alors sur le bouton Neutralize all de la fenêtre de progression du scan.

&#x25B6; Si une pop-up indique qu'il faut redémarrer, accepte en cliquant sur OK. 

&#x25B6; Rends-toi maintenant dans l'onglet Events de la fenêtre de progression du scan et décoche Show all events. 

&#x25B6; Clique enfin sur Reports puis Save to file et enregistre le rapport sur ton Bureau sous le nom Rapport AVPTool. 

&#x25B6; Ferme les fenêtres d'AVPTool : un message apparaît proposant de désinstaller le logiciel

&#x25B6; choisis Yes. 

&#x25B6; Un message d'alerte indique que le PC doit être redémarré pour finir la désinstallation. À la question Would you like to restart now, réponds Oui et laisse ton ordinateur redémarrer en Mode normal. 

&#x25B6; Ensuite poste le rapport dans ta prochaine réponse

alexandre_kom · Answer

sais-tu si le scan sera aussi long que le précédent?
Si oui je le démarrerai demain matin.
Merci pour tous tes conseils

geoffrey5 · Answer

Oui cela peut durer longtemps mais j'ignore exactement combien de temps...

Tu peux le faire demain, c'est comme tu veux  ;-)

alexandre_kom · Answer

En éteignant mon pc j'ai eu 11 maj windows
au redémarrage il m'a dit que j'avais des logiciels malveillants, & a supprimé un cheval de troie quelque chose /Bagle

geoffrey5 · Answer

Tu as fais AVPtool ??

alexandre_kom · Answer

je l'ai démarré, mais ça & l'air d'être long.
Donc je le lance demain matin en me levant & je poste dès que c'est fini le rapport.

geoffrey5 · Answer

Ok pas de problème  ;-)

Après tu pourras faire ceci stp :

&#x25B6; Telecharge FindyKill sur ton bureau

&#x25B6; tutoriel installation

&#x25B6; tutoriel recherche

/!\ Ne fait pas le nettoyage tout dessuite /!\

&#x25B6; Lance l installation avec les parametres par default

&#x25B6; Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

&#x25B6; Double clic sur le raccourci FindyKill sur ton bureau

&#x25B6; Au menu principal,choisi l option 1 (Recherche)

&#x25B6; Post le rapport FindyKill.txt

 * Note : le rapport FindyKill.txt est sauvegardé a la racine du disque 


A demain  ;-)

alexandre_kom · Answer

Merci pour ton aide précieuse :)
A demain!

alexandre_kom · Answer

Le scan avec AVPtool est terminé... 27h :o 
Maintenant la mise à jour d'antivir s'effectue correctement :), on progresse :)
Voilà le rapport : Scan
----
Scanned:	1692426
Detected:	3
Untreated:	0
Start time:	12/08/2009 10:04:30
Duration:	1 days 03:10:24
Finish time:	13/08/2009 13:14:54


Detected
--------
Status	Object
------	------
deleted: Trojan program Backdoor.JS.Agent.a	File: C:\Documents and Settings\andre\Mes documents\Mes fichiers reçus\Pcontact.rar/Pirater contact\A envoyer à la victime\Voir contacts qui t'ont bloquer.plsc/huhu_ctrl.js
disinfected: Trojan program Backdoor.JS.Agent.a	File: C:\Documents and Settings\andre\Mes documents\Mes fichiers reçus\Pcontact\Pirater contact\A envoyer à la victime\msn blocked.plsc/huhu_ctrl.js
disinfected: Trojan program Backdoor.JS.Agent.a	File: C:\Documents and Settings\andre\Mes documents\Mes fichiers reçus\Pcontact\Pirater contact\A envoyer à la victime\msn blocked.plsc


Events
------
Time	Name	Status	Reason
----	----	------	------
12/08/2009 11:40:24	File: C:\Documents and Settings\andre\Mes documents\Mes fichiers reçus\Pcontact.rar/Pirater contact\A envoyer à la victime\Voir contacts qui t'ont bloquer.plsc/huhu_ctrl.js	detected Trojan program 'Backdoor.JS.Agent.a'	
12/08/2009 11:40:24	File: C:\Documents and Settings\andre\Mes documents\Mes fichiers reçus\Pcontact.rar/Pirater contact\A envoyer à la victime\Voir contacts qui t'ont bloquer.plsc/huhu_ctrl.js	not disinfected	postponed
12/08/2009 11:41:42	File: C:\Documents and Settings\andre\Mes documents\Mes fichiers reçus\Pcontact\Pirater contact\A envoyer à la victime\msn blocked.plsc/huhu_ctrl.js	detected Trojan program 'Backdoor.JS.Agent.a'	
12/08/2009 11:41:42	File: C:\Documents and Settings\andre\Mes documents\Mes fichiers reçus\Pcontact\Pirater contact\A envoyer à la victime\msn blocked.plsc/huhu_ctrl.js	not disinfected	postponed
12/08/2009 13:22:18	File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumonde.zip/sbRecovery.reg	password protected	
12/08/2009 13:22:18	File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumonde.zip/sbRecovery.ini	password protected	
12/08/2009 13:22:18	File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WarezPP.zip/sbRecovery.reg	password protected	
12/08/2009 13:22:18	File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WarezPP.zip/sbRecovery.ini	password protected	
12/08/2009 13:22:18	File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Warz.zip/sbRecovery.ini	password protected	
12/08/2009 13:22:18	File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Warz1.zip/sbRecovery.reg	password protected	
12/08/2009 13:22:18	File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Warz1.zip/sbRecovery.ini	password protected	
12/08/2009 13:22:18	File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Warz2.zip/sbRecovery.reg	password protected	
12/08/2009 13:22:18	File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Warz2.zip/sbRecovery.ini	password protected	
12/08/2009 18:55:18	File: C:\Documents and Settings\andre\Mes documents\Mes fichiers reçus\Pcontact.rar/Pirater contact\A envoyer à la victime\Voir contacts qui t'ont bloquer.plsc/huhu_ctrl.js	detected Trojan program 'Backdoor.JS.Agent.a'	
12/08/2009 18:55:18	File: C:\Documents and Settings\andre\Mes documents\Mes fichiers reçus\Pcontact.rar/Pirater contact\A envoyer à la victime\Voir contacts qui t'ont bloquer.plsc/huhu_ctrl.js	not disinfected	postponed
12/08/2009 18:56:32	File: C:\Documents and Settings\andre\Mes documents\Mes fichiers reçus\Pcontact\Pirater contact\A envoyer à la victime\msn blocked.plsc/huhu_ctrl.js	detected Trojan program 'Backdoor.JS.Agent.a'	
12/08/2009 18:56:32	File: C:\Documents and Settings\andre\Mes documents\Mes fichiers reçus\Pcontact\Pirater contact\A envoyer à la victime\msn blocked.plsc/huhu_ctrl.js	not disinfected	postponed
12/08/2009 21:50:47	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/Ad-Aware SE Default.skn	password protected	
12/08/2009 21:50:47	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/arrow1.bmp	password protected	
12/08/2009 21:50:47	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/arrow2.bmp	password protected	
12/08/2009 21:50:47	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/bck1.bmp	password protected	
12/08/2009 21:50:47	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/bt11.bmp	password protected	
12/08/2009 21:50:47	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/bt12.bmp	password protected	
12/08/2009 21:50:47	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/bt13.bmp	password protected	
12/08/2009 21:50:47	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/bt21.bmp	password protected	
12/08/2009 21:50:47	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/bt22.bmp	password protected	
12/08/2009 21:50:47	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/bt23.bmp	password protected	
12/08/2009 21:50:47	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/bt31.bmp	password protected	
12/08/2009 21:50:47	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/bt32.bmp	password protected	
12/08/2009 21:50:47	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/bt33.bmp	password protected	
12/08/2009 21:50:47	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/bt41.bmp	password protected	
12/08/2009 21:50:47	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/bt42.bmp	password protected	
12/08/2009 21:50:47	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/bt43.bmp	password protected	
12/08/2009 21:50:47	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/bt51.bmp	password protected	
12/08/2009 21:50:47	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/bt52.bmp	password protected	
12/08/2009 21:50:47	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/bt53.bmp	password protected	
12/08/2009 21:50:47	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/bt61.bmp	password protected	
12/08/2009 21:50:47	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/bt62.bmp	password protected	
12/08/2009 21:50:47	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/checkbox1.bmp	password protected	
12/08/2009 21:50:47	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/checkbox2.bmp	password protected	
12/08/2009 21:50:47	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/checkbox3.bmp	password protected	
12/08/2009 21:50:47	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/checkbox4.bmp	password protected	
12/08/2009 21:50:47	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/defbtn1.bmp	password protected	
12/08/2009 21:50:47	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/defbtn2.bmp	password protected	
12/08/2009 21:50:47	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/defbtn3.bmp	password protected	
12/08/2009 21:50:47	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/glyph1.bmp	password protected	
12/08/2009 21:50:47	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/glyph2.bmp	password protected	
12/08/2009 21:50:47	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/glyph3.bmp	password protected	
12/08/2009 21:50:47	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/glyph4.bmp	password protected	
12/08/2009 21:50:47	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/glyph5.bmp	password protected	
12/08/2009 21:50:47	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/glyph6.bmp	password protected	
12/08/2009 21:50:47	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/glyph7.bmp	password protected	
12/08/2009 21:50:47	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/main.bmp	password protected	
12/08/2009 21:50:47	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/preview.bmp	password protected	
12/08/2009 21:50:47	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/sprite1.bmp	password protected	
13/08/2009 01:41:05	File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumonde.zip/sbRecovery.reg	password protected	
13/08/2009 01:41:05	File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumonde.zip/sbRecovery.ini	password protected	
13/08/2009 01:41:05	File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WarezPP.zip/sbRecovery.reg	password protected	
13/08/2009 01:41:05	File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WarezPP.zip/sbRecovery.ini	password protected	
13/08/2009 01:41:06	File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Warz.zip/sbRecovery.ini	password protected	
13/08/2009 01:41:06	File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Warz1.zip/sbRecovery.reg	password protected	
13/08/2009 01:41:06	File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Warz1.zip/sbRecovery.ini	password protected	
13/08/2009 01:41:06	File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Warz2.zip/sbRecovery.reg	password protected	
13/08/2009 01:41:06	File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Warz2.zip/sbRecovery.ini	password protected	
13/08/2009 06:58:40	File: C:\Documents and Settings\andre\Mes documents\Mes fichiers reçus\Pcontact.rar/Pirater contact\A envoyer à la victime\Voir contacts qui t'ont bloquer.plsc/huhu_ctrl.js	detected Trojan program 'Backdoor.JS.Agent.a'	
13/08/2009 06:58:40	File: C:\Documents and Settings\andre\Mes documents\Mes fichiers reçus\Pcontact.rar/Pirater contact\A envoyer à la victime\Voir contacts qui t'ont bloquer.plsc/huhu_ctrl.js	not disinfected	postponed
13/08/2009 06:59:53	File: C:\Documents and Settings\andre\Mes documents\Mes fichiers reçus\Pcontact\Pirater contact\A envoyer à la victime\msn blocked.plsc/huhu_ctrl.js	detected Trojan program 'Backdoor.JS.Agent.a'	
13/08/2009 06:59:53	File: C:\Documents and Settings\andre\Mes documents\Mes fichiers reçus\Pcontact\Pirater contact\A envoyer à la victime\msn blocked.plsc/huhu_ctrl.js	not disinfected	postponed
13/08/2009 09:52:26	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/Ad-Aware SE Default.skn	password protected	
13/08/2009 09:52:26	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/arrow1.bmp	password protected	
13/08/2009 09:52:26	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/arrow2.bmp	password protected	
13/08/2009 09:52:26	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/bck1.bmp	password protected	
13/08/2009 09:52:26	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/bt11.bmp	password protected	
13/08/2009 09:52:26	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/bt12.bmp	password protected	
13/08/2009 09:52:26	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/bt13.bmp	password protected	
13/08/2009 09:52:26	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/bt21.bmp	password protected	
13/08/2009 09:52:26	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/bt22.bmp	password protected	
13/08/2009 09:52:26	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/bt23.bmp	password protected	
13/08/2009 09:52:26	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/bt31.bmp	password protected	
13/08/2009 09:52:26	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/bt32.bmp	password protected	
13/08/2009 09:52:26	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/bt33.bmp	password protected	
13/08/2009 09:52:26	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/bt41.bmp	password protected	
13/08/2009 09:52:26	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/bt42.bmp	password protected	
13/08/2009 09:52:26	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/bt43.bmp	password protected	
13/08/2009 09:52:26	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/bt51.bmp	password protected	
13/08/2009 09:52:26	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/bt52.bmp	password protected	
13/08/2009 09:52:26	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/bt53.bmp	password protected	
13/08/2009 09:52:26	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/bt61.bmp	password protected	
13/08/2009 09:52:26	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/bt62.bmp	password protected	
13/08/2009 09:52:26	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/checkbox1.bmp	password protected	
13/08/2009 09:52:26	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/checkbox2.bmp	password protected	
13/08/2009 09:52:26	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/checkbox3.bmp	password protected	
13/08/2009 09:52:26	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/checkbox4.bmp	password protected	
13/08/2009 09:52:26	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/defbtn1.bmp	password protected	
13/08/2009 09:52:26	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/defbtn2.bmp	password protected	
13/08/2009 09:52:26	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/defbtn3.bmp	password protected	
13/08/2009 09:52:26	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/glyph1.bmp	password protected	
13/08/2009 09:52:26	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/glyph2.bmp	password protected	
13/08/2009 09:52:26	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/glyph3.bmp	password protected	
13/08/2009 09:52:26	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/glyph4.bmp	password protected	
13/08/2009 09:52:26	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/glyph5.bmp	password protected	
13/08/2009 09:52:26	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/glyph6.bmp	password protected	
13/08/2009 09:52:26	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/glyph7.bmp	password protected	
13/08/2009 09:52:26	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/main.bmp	password protected	
13/08/2009 09:52:26	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/preview.bmp	password protected	
13/08/2009 09:52:26	File: C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask/sprite1.bmp	password protected	
13/08/2009 12:55:12	File: c:\documents and settings\andre\mes documents\mes fichiers reçus\pcontact.rar/Pirater contact\A envoyer à la victime\Voir contacts qui t'ont bloquer.plsc/huhu_ctrl.js	detected Trojan program 'Backdoor.JS.Agent.a'	
13/08/2009 13:14:54	File: c:\documents and settings\andre\mes documents\mes fichiers reçus\pcontact.rar/Pirater contact\A envoyer à la victime\Voir contacts qui t'ont bloquer.plsc/huhu_ctrl.js	deleted	
13/08/2009 13:14:54	File: c:\documents and settings\andre\mes documents\mes fichiers reçus\pcontact\pirater contact\a envoyer à la victime\msn blocked.plsc	detected Trojan program 'Backdoor.JS.Agent.a'	by hash
13/08/2009 13:14:54	File: c:\documents and settings\andre\mes documents\mes fichiers reçus\pcontact\pirater contact\a envoyer à la victime\msn blocked.plsc	overwritten with previously disinfected copy	


Statistics
----------
Object	Scanned	Detected	Untreated	Deleted	Moved to Quarantine	Archives	Packed files	Password protected	Corrupted
------	-------	--------	---------	-------	-------------------	--------	------------	------------------	---------
All objects	397652	2	2	0	0	13097	3695	9	1
System memory	1374	0	0	0	0	1	1	0	0
Startup objects	908	0	0	0	0	0	163	0	0
Disk boot sectors	3	0	0	0	0	0	0	0	0
Mes documents	182407	2	2	0	0	4975	1723	0	0
Mail databases	2	0	0	0	0	1	0	0	0
Poste de travail	212958	0	0	0	0	8120	1808	9	1
Disquette 3.5 (A:)	0	0	0	0	0	0	0	0	0
Disque local (C:)	0	0	0	0	0	0	0	0	0
Lecteur CD (D:)	0	0	0	0	0	0	0	0	0
Lecteur CD (E:)	0	0	0	0	0	0	0	0	0
Disque local (F:)	0	0	0	0	0	0	0	0	0
Disque amovible (I:)	0	0	0	0	0	0	0	0	0
Disque amovible (J:)	0	0	0	0	0	0	0	0	0
Lecteur CD (K:)	0	0	0	0	0	0	0	0	0
Disque amovible (L:)	0	0	0	0	0	0	0	0	0
Disque amovible (M:)	0	0	0	0	0	0	0	0	0


Settings
--------
Parameter	Value
---------	-----
Security Level	Recommended
Action	Prompt for action when the scan is complete
Run mode	Manually
File types	Scan all files
Scan only new and changed files	No
Scan archives	All
Scan embedded OLE objects	All
Skip if object is larger than	No
Skip if scan takes longer than	No
Parse email formats	No
Scan password-protected archives	No
Enable iChecker technology	No
Enable iSwift technology	No
Show detected threats on "Detected" tab	Yes
Rootkits search	Yes
Deep rootkits search	No
Use heuristic analyzer	Yes


Quarantine
----------
Status	Object	Size	Added
------	------	----	-----


Backup
------
Status	Object	Size
------	------	----

Je fais maintenant faire le scan avec findykill :)
Atout de suite je l'espère!

alexandre_kom · Answer

Voilà le rapport de findykill : 

############################## | FindyKill V5.005 |

# User : andre (Administrateurs) # ANDRE-PFN7JQXZ8
# Update on 27/07/09 by Chiquitine29
# Start at: 13:42:32 | 13/08/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

#               Intel(R) Pentium(R) 4 CPU 3.20GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.26 [ (!) Disabled | (!) Outdated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 78,05 Go (7,92 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque CD-ROM
# F:\ # Disque fixe local # 70,99 Go (4,19 Go free) # NTFS
# K:\ # Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\NetDrive
etdrive.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Microsoft IntelliPoint\dpupdchk.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Program Files\NetDrive\wdService.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\Documents and Settings\andre\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\andre\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\andre\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\PROGRA~1\MICROS~2\Office12\OUTLOOK.EXE
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | C: |


################## | C:\WINDOWS |


################## | C:\WINDOWS\system32 |


################## | C:\WINDOWS\system32\drivers |


################## | C:\Documents and Settings\andre\Application Data |


################## | C:\Documents and Settings\andre\Temporary Internet Files |


################## | Registre / Clés infectieuses |


################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK
 
# Mode sans echec : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 ) 
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )  


################## | Cracks / Keygens / Serials |

"C:\Documents and Settings\andre\Bureau\Adobe Photoshop CS3 Extended + Patch FR\Crack\"Photoshop.exe""  
18/04/2007 01:24 |Size 44814336 |Crc32 8d075606 |Md5 d450729171238e2ea26b74099327d7aa  
 
"C:\Documents and Settings\andre\Bureau\Appz\PhotoshopTryout\"crack_photoshop_cs2.exe""  
15/10/2005 16:48 |Size 499712 |Crc32 d311f550 |Md5 b9d2beb341e3a7d0ca916c7ca6b9cb28  
 

################## | ! Fin du rapport # FindyKill V5.005 ! |

geoffrey5 · Answer

Bonjour,

ok maintenant fais ceci stp :

&#x25B6; Télécharge Toolscleaner sur ton Bureau  


&#x25B6; Double-clique sur ToolsCleaner2.exe et laisse le travailler 
&#x25B6; Clique sur Recherche et laisse le scan se terminer. 
&#x25B6; Clique sur Suppression pour finaliser. 
&#x25B6; Tu peux, si tu le souhaites, te servir des Options facultatives. 
&#x25B6; Clique sur Quitter, pour que le rapport puisse se créer. 
&#x25B6; Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse


Ensuite nous allons retenter SmitfraudFix :

Option 1 - Recherche en mode normal :


&#x25B6; télécharge smitfraudfix et enregistre le sur le bureau 
 
&#x25B6; Sous XP : Double clique sur smitfraudfix puis exécuter

&#x25B6; sous vista : Clic-droit sur SmitfraudFix présent sur le bureau et choisis "Exécuter en tant qu'administrateur"

&#x25B6; Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.

(attention : N utilises pas l option 2 si je ne te l ai pas demandé !!)

&#x25B6; copier/coller le rapport dans la réponse.


Voici un tutoriel sonore et animé en cas de problème d'utilisation



(Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool". 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.)

alexandre_kom · Answer

[ Rapport ToolsCleaner version 2.3.10 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\FindyKill.txt: trouvé !
C:\_OTM: trouvé !
C:\FindyKill: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\andre\Bureau\OTM.exe: trouvé !
C:\Documents and Settings\andre\Bureau\Rsit.exe: trouvé !
C:\Documents and Settings\andre\Bureau\SmitFraudfix: trouvé !
C:\Documents and Settings\andre\DoctorWeb\Quarantine\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\andre\Menu Démarrer\Programmes\FindyKill: trouvé !
C:\Documents and Settings\andre\Mes documents\Downloads\HijackThis.exe: trouvé !
C:\Documents and Settings\andre\Mes documents\Downloads\hijackthis.log: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\andre\Bureau\OTM.exe: supprimé !
C:\Documents and Settings\andre\DoctorWeb\Quarantine\SmitFraudFix.exe: supprimé !
C:\Documents and Settings\andre\Mes documents\Downloads\HijackThis.exe: supprimé !
C:\FindyKill.txt: supprimé !
C:\Documents and Settings\andre\Bureau\Rsit.exe: supprimé !
C:\Documents and Settings\andre\Mes documents\Downloads\hijackthis.log: supprimé !
C:\_OTM: supprimé !
C:\FindyKill: ERREUR DE SUPPRESSION !!
C:\Rsit: supprimé !
C:\Documents and Settings\andre\Bureau\SmitFraudfix: supprimé !
C:\Documents and Settings\andre\Menu Démarrer\Programmes\FindyKill: supprimé !

alexandre_kom · Answer

smitfraudfix plante toujours, j'ai le message "envoyer le rapport" "ne pas envoyer"

geoffrey5 · Answer

Refais Malwarebytes comme expliqué ici stp

alexandre_kom · Answer

Je l'ai téléchargé sur le bureau, mais une fois que je double clique le petit sablier se met & c'est tout, dans il est pourtant bien des les processus "mbam-setup.exe"

geoffrey5 · Answer

Bonsoir,

et quand tu vas dans les processus et que tu cliques sur "basculer vers", ça ne fait rien ??

alexandre_kom · Answer

Je ne peux pas, il est dans le processus mais application il n'y a rien ....

sKe69 · Answer

Salut,


pour donner un coup de paluche à goeffrey5 .... infection Tibs ! ... ( TDSS variante UAC ... )



fais exactement ceci :


Télécharge ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !): 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clique droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape CFix et valide . 

- le renommage au téléchargement est primordial pour contrer l'infection, sinon l'outil sera inutilisable - 


--------------------------------- [ ! ATTENTION ! ] ------------------------------------------
!! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe : 
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après  !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
--------------------------------------------------------------------------------------------

Ensuite :
> Double-clique sur l'icône "Combofix.exe" pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


-- Pour  XP, l' installation de la Console de Récupération  sera demandé :
* Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gif
*Reconnecte toi avant de cliquer sur "yes", et uniquement le temps de cette manipulation. 
*Une fois la console installée,
image > http://img.photobucket.com/albums/v706/ried7/whatnext.png  
re-déconnecte toi avant de cliquer sur "yes" pour lancer le scan -- 


Notes importantes : 
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'annonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarrer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un moment  : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... ) 

Le rapport sera crée ici: C:\Combofix.txt 

Réactive bien tes défenses

 
Poste le rapport Combofix pour analyse et attends la suite ...

alexandre_kom · Answer

L'analyse s'est bien effectué mais avec l'antivirus en fonctionnement...
Je n'ai pas eu le choix, combofix a redémarré le PC avant le scan pour présence de Rootkit &  l'antivirus s'est activé au redémarrage.
Merci pour ton aide
---------------------------------------------------------
Voilà le rapport : 

ComboFix 09-08-18.01 - andre 19/08/2009 10:25.1.2 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1023.582 [GMT 2:00]
Running from: c:\documents and settings\andre\Bureau\CFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
 * Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\andre\Application Data\inst.exe
c:\program files\INSTALL.LOG
c:\windows\config.ini
c:\windows\Installer\16b7f4c.msp
c:\windows\Installer\44fb3d.msi
c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\drivers\UACqpsbiyxfmm.sys
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32	mp.reg
c:\windows\system32\uacinit.dll
c:\windows\system32\UAClnxxvvmfyy.dll
c:\windows\system32\UACphlstlyyxe.dll
c:\windows\system32\UACtkcputuhab.dat
c:\windows\system32\UACupyatmyjek.dll
c:\windows\system32\UACvksefkfrxq.dll
c:\windows\system32\UACvttjcdajgw.dll
c:\windows\system32\UACwaosucrutf.db
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe

Infected copy of c:\windows\system32\mspmsnsv.dll was found and disinfected 
Restored copy from - c:\windows\system32\dllcache\mspmsnsv.dll 

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_UACd.sys
-------\Legacy_UACd.sys


(((((((((((((((((((((((((   Files Created from 2009-07-19 to 2009-08-19  )))))))))))))))))))))))))))))))
.

2009-08-19 07:10 . 2009-08-19 07:15	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2009-08-18 21:50 . 2009-08-18 21:50	--------	d-----w-	c:\documents and settings\andre\Application Data\Malwarebytes
2009-08-18 21:35 . 2004-08-05 13:58	65536	----a-w-	c:\windows\system32\NeroCo.dll
2009-08-18 21:35 . 2004-08-04 12:19	2031616	------w-	c:\windows\UNNeroBurnRights.exe
2009-08-18 21:11 . 2009-08-03 11:36	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-18 21:11 . 2009-08-18 21:50	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-08-18 21:11 . 2009-08-18 21:11	--------	d-----w-	c:\docume~1\ALLUSE~1\APPLIC~1\Malwarebytes
2009-08-18 21:11 . 2009-08-03 11:36	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-08-17 17:13 . 2009-07-03 14:49	15688	----a-w-	c:\windows\system32\lsdelete.exe
2009-08-17 15:17 . 2009-07-03 14:49	64160	----a-w-	c:\windows\system32\drivers\Lbd.sys
2009-08-17 15:16 . 2009-08-17 15:16	--------	dc-h--w-	c:\docume~1\ALLUSE~1\APPLIC~1\{EF63305C-BAD7-4144-9208-D65528260864}
2009-08-17 14:41 . 2008-06-19 15:24	28544	----a-w-	c:\windows\system32\drivers\pavboot.sys
2009-08-17 14:41 . 2009-08-17 14:41	--------	d-----w-	c:\program files\Panda Security
2009-08-17 14:19 . 2009-08-17 14:19	--------	d-----w-	c:\program files\Windows Defender
2009-08-17 08:13 . 2009-08-17 08:18	--------	d-----w-	C:\ToolBar SD
2009-08-13 21:13 . 2009-08-13 21:13	1037824	-c--a-w-	c:\windows\system32\dllcache\explorer.exe
2009-08-13 21:13 . 2009-08-13 21:13	1037824	----a-w-	c:\windows\Explorer.EXE
2009-08-13 11:41 . 2009-08-13 11:49	--------	d-----w-	C:\FindyKill
2009-08-11 11:54 . 2009-08-11 13:12	--------	d-----w-	c:\documents and settings\andre\DoctorWeb
2009-08-11 11:08 . 2009-08-11 11:25	--------	d-----w-	C:\Rooter$
2009-08-11 10:26 . 2009-08-11 10:26	--------	d-----w-	c:\documents and settings\LocalService\Bureau
2009-08-10 21:28 . 2009-08-10 21:28	--------	d-----w-	c:\windows\McAfee.com
2009-08-10 21:18 . 2009-08-10 21:18	--------	d-----w-	c:\program files\ESET
2009-08-10 21:17 . 2009-08-10 21:17	--------	d-----w-	c:\program files\Enigma Software Group
2009-08-10 20:16 . 2009-03-30 08:32	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2009-08-10 20:16 . 2009-02-13 10:28	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2009-08-10 20:16 . 2009-02-13 10:17	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2009-08-10 20:16 . 2009-08-10 20:16	--------	d-----w-	c:\docume~1\ALLUSE~1\APPLIC~1\Avira
2009-08-10 14:09 . 2009-08-10 14:09	--------	dc-h--w-	c:\docume~1\ALLUSE~1\APPLIC~1\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-08-10 13:50 . 2009-08-10 13:50	--------	d-----w-	c:\docume~1\ALLUSE~1\APPLIC~1\MSN6
2009-08-10 13:50 . 2009-08-10 13:50	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\MSN6
2009-08-10 13:22 . 2009-08-10 13:22	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\Sony Ericsson
2009-08-10 13:22 . 2009-08-10 21:14	--------	d-sh--w-	c:\documents and settings\Administrateur\PrivacIE
2009-08-02 16:48 . 2009-08-02 16:49	--------	d-----w-	c:\program files\Microsoft Office Outlook Connector
2009-08-02 16:48 . 2009-08-02 16:48	--------	d-----w-	c:\program files\MSECache
2009-07-25 10:17 . 2009-07-25 10:17	--------	d-----w-	c:\program files\iPod
2009-07-20 20:46 . 2009-08-04 16:45	--------	d-----w-	c:\documents and settings\andre\Local Settings\Application Data\Temp

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-19 07:10 . 2007-03-09 20:16	--------	d-----w-	c:\docume~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2009-08-18 21:35 . 2006-11-03 16:50	--------	d-----w-	c:\program files\Ahead
2009-08-18 09:42 . 2009-04-29 08:07	55656	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-08-17 15:16 . 2007-03-09 16:25	--------	d-----w-	c:\program files\Lavasoft
2009-08-16 23:49 . 2006-11-12 20:26	--------	d-----w-	c:\program files\Java
2009-08-13 21:11 . 2007-06-18 14:35	--------	d-----w-	c:\program files\a-squared Free
2009-08-11 20:15 . 2008-06-29 23:44	--------	d-----w-	c:\docume~1\ALLUSE~1\APPLIC~1\Microsoft Help
2009-08-05 09:00 . 2002-08-30 12:00	205312	----a-w-	c:\windows\system32\mswebdvd.dll
2009-08-01 08:42 . 2007-09-14 16:38	--------	d-----w-	c:\program files\Microsoft Silverlight
2009-07-25 10:20 . 2008-02-18 21:07	--------	d-----w-	c:\program files\Safari
2009-07-25 10:18 . 2008-09-09 22:00	--------	d-----w-	c:\program files\iTunes
2009-07-25 10:17 . 2007-08-31 10:38	--------	d-----w-	c:\program files\Fichiers communs\Apple
2009-07-17 19:03 . 2002-08-30 12:00	58880	----a-w-	c:\windows\system32\atl.dll
2009-07-14 13:01 . 2008-01-21 15:59	1324	----a-w-	c:\windows\system32\d3d9caps.dat
2009-07-13 21:43 . 2006-11-03 11:13	286208	----a-w-	c:\windows\system32\wmpdxm.dll
2009-07-13 09:05 . 2009-07-13 09:05	--------	d-----w-	c:\program files\Samsung
2009-07-13 09:05 . 2006-11-03 16:17	--------	d--h--w-	c:\program files\InstallShield Installation Information
2009-07-13 09:04 . 2009-07-13 09:04	--------	d-----w-	c:\documents and settings\andre\Application Data\InstallShield
2009-07-03 16:57 . 2002-08-30 12:00	915456	----a-w-	c:\windows\system32\wininet.dll
2009-07-01 19:48 . 2006-12-10 13:39	--------	d-----w-	c:\program files\Tunatic
2009-06-25 08:26 . 2002-08-30 12:00	736768	----a-w-	c:\windows\system32\lsasrv.dll
2009-06-25 08:26 . 2002-08-30 12:00	56832	----a-w-	c:\windows\system32\secur32.dll
2009-06-25 08:26 . 2002-08-30 12:00	54272	----a-w-	c:\windows\system32\wdigest.dll
2009-06-25 08:26 . 2002-08-30 12:00	147456	----a-w-	c:\windows\system32\schannel.dll
2009-06-25 08:26 . 2002-08-30 12:00	136192	----a-w-	c:\windows\system32\msv1_0.dll
2009-06-25 08:26 . 2002-08-30 12:00	301568	----a-w-	c:\windows\system32\kerberos.dll
2009-06-24 11:18 . 2002-08-30 12:00	92928	----a-w-	c:\windows\system32\drivers\ksecdd.sys
2009-06-22 17:27 . 2007-11-01 23:29	--------	d-----w-	c:\documents and settings\andre\Application Data\Sites
2009-06-22 17:27 . 2007-11-01 23:29	--------	d-----w-	c:\documents and settings\andre\Application Data\Classes de site
2009-06-16 14:40 . 2002-08-30 12:00	81920	----a-w-	c:\windows\system32\fontsub.dll
2009-06-16 14:40 . 2002-08-30 12:00	119808	----a-w-	c:\windows\system32	2embed.dll
2009-06-15 10:44 . 2002-08-30 12:00	78848	----a-w-	c:\windows\system32	elnet.exe
2009-06-10 14:14 . 2002-08-30 12:00	85504	----a-w-	c:\windows\system32\avifil32.dll
2009-06-10 07:21 . 2006-11-03 10:31	2066432	----a-w-	c:\windows\system32\mstscax.dll
2009-06-10 06:15 . 2002-08-30 12:00	132096	----a-w-	c:\windows\system32\wkssvc.dll
2009-06-05 16:06 . 2006-11-03 11:27	84360	-c--a-w-	c:\documents and settings\andre\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-06-03 19:10 . 2002-08-30 12:00	1297408	----a-w-	c:\windows\system32\quartz.dll
2009-06-02 18:51 . 2009-06-02 18:51	854139	----a-w-	c:\documents and settings\andre\Application Data\Hide IP NG\hideipng-update.exe
2009-05-29 11:36 . 2008-09-09 21:56	2060288	----a-w-	c:\windows\system32\usbaaplrc.dll
2009-05-29 11:36 . 2007-11-18 01:41	39424	----a-w-	c:\windows\system32\drivers\usbaapl.sys
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]
"Google Update"="c:\documents and settings\andre\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2009-04-18 133104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IntelliPoint"="c:\program files\Microsoft IntelliPoint\ipoint.exe" [2007-08-31 1037736]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088]
"WebDriveTray"="c:\program files\NetDrive
etdrive.exe" [2003-06-04 294912]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-03 86016]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-05-26 413696]
"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-05-13 177472]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-07-13 292128]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SpyHunter Security Suite"="c:\program files\Enigma Software Group\SpyHunter\SpyHunter3.exe" [2009-04-02 868352]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2006-11-03 866584]
"nwiz"="nwiz.exe" - c:\windows\system32
wiz.exe [2008-05-03 1630208]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^andre^Menu Démarrer^Programmes^Démarrage^Adobe Gamma.lnk]
path=c:\documents and settings\andre\Menu Démarrer\Programmes\Démarrage\Adobe Gamma.lnk
backup=c:\windows\pss\Adobe Gamma.lnkStartup

[HKEY_CURRENT_USER\software\microsoft\windows\currentversionun-]
"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun-]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe"
"nwiz"=nwiz.exe /install
"NeroFilterCheck"=c:\windows\system32\NeroCheck.exe
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" -atboottime

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\WINDOWS\PCHealth\HelpCtr\Binaries\helpctr.exe"=
"c:\Program Files\LimeWire\LimeWire.exe"=
"c:\Program Files\DNA\btdna.exe"=
"c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"=
"f:\Program Files\Steam\steamapps\alex_chamalow\counter-strike source\hl2.exe"=
"c:\Program Files\eMule\emule.exe"=
"c:\Program Files\adslTV\adsltv.exe"=
"c:\Program Files\TmNationsForever\TmForever.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"f:\Program Files\Steam\steamapps\alex_chamalow\source dedicated server\srcds.exe"=
"c:\Program Files\HLSW\hlsw.exe"=
"c:\Program Files\adslTV\vlc.exe"=
"c:\Program Files\iTunes\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"20449:TCP"= 20449:TCP:BitComet 20449 TCP
"20449:UDP"= 20449:UDP:BitComet 20449 UDP

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [17/08/2009 17:17 64160]
R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [17/08/2009 16:41 28544]
R2 713xTVCard;SAA7134 PCI TV Card;c:\windows\system32\drivers\Cap7134.sys [03/11/2006 18:33 340448]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [10/08/2009 22:16 108289]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [03/07/2009 16:49 1029456]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [23/12/2008 00:53 603904]
R2 WebDriveFSD;WebDrive File System Driver;c:\program files\NetDriveffsd.sys [22/05/2008 20:47 67032]
R2 WinDefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [03/11/2006 19:19 13592]
S2 713xTVTuner;SAA713x PCI TV Card - TV Tuner;c:\windows\system32\drivers\PhTVTune.sys [03/11/2006 18:33 26368]
S2 duxppkq;duxppkq;c:\windows\system32\drivers\jbuqh.sys --> c:\windows\system32\drivers\jbuqh.sys [?]
S2 stgtebfg;stgtebfg;c:\windows\system32\drivers\vjcqr.sys --> c:\windows\system32\drivers\vjcqr.sys [?]
S3 FILESpy;FILESpy;\??\c:\program files\Softwin\BitDefender9\filespy.sys --> c:\program files\Softwin\BitDefender9\filespy.sys [?]
S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [28/01/2008 23:08 13352]
S4 RFNP32;WebDrive Provider; [x]

--- Other Services/Drivers In Memory ---

*NewlyCreated* - MCHINJDRV
*Deregistered* - mchInjDrv

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32undll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
- - - - ORPHANS REMOVED - - - -

Notify-AtiExtEvent - (no file)


.
------- Supplementary Scan -------
.
uStart Page = www.google.fr/
mWindow Title = 
uInternet Settings,ProxyOverride = plimus.com,www.plimus.com,regnow.com,www.regnow.com,
uInternet Settings,ProxyServer = socks=
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {CD6262F2-313E-4CE6-A8EF-32C5250530D3} = 212.27.54.252,212.27.53.252
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\docume~1\andre\APPLIC~1\Mozilla\Firefox\Profiles
aw1oyaa.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?mkt=fr-fr&FORM=MIMWA1&q=
FF - plugin: c:\documents and settings\andre\Local Settings\Application Data\Google\Update\1.2.183.7
pGoogleOneClick8.dll
FF - plugin: c:\program files\ma-config.com
phardwaredetection.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
pyaxmpb.dll
FF - plugin: c:\program files\Neuf\TV_PC\VLC
pvlc.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-19 10:41
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...  

scanning hidden autostart entries ... 

scanning hidden files ...  

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(624)
c:\windows\system32\RFNP32.DLL
c:\windows\system32\RFHelper.dll
c:\windows\system32fhres.dll

- - - - - - - > 'explorer.exe'(2108)
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\RFNP32.DLL
c:\windows\system32\RFHelper.dll
c:\windows\system32fhres.dll
.
------------------------ Other Running Processes ------------------------
.
c:\program files\a-squared Free\a2service.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
c:\windows\system32
vsvc32.exe
c:\windows\system32undll32.exe
c:\program files\Microsoft IntelliPoint\dpupdchk.exe
c:\program files\NetDrive\wdService.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\system32\wscntfy.exe
c:\program files\Lavasoft\Ad-Aware\AAWTray.exe
.
**************************************************************************
.
Completion time: 2009-08-19 10:58 - machine was rebooted
ComboFix-quarantined-files.txt  2009-08-19 08:57

Pre-Run: 8 462 979 072 octets libres
Post-Run: 9 467 891 712 octets libres

284	--- E O F ---	2009-08-16 19:19

sKe69 · Answer

re,


tu n'as pas fait l'installe de la console de réupération avec ComboFix ! c'est poutant bien spécifier de le faire ...



dans l'ordre :


1- Avoir accès aux fichiers cachés :
 
Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage 
* "Afficher les fichiers et dossiers cachés" ---> coché 
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché 
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... ) 


2- https://www.virustotal.com/gui/ 

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé )  : 
c:\windows\system32\mspmsnsv.dll 

Clique sur Send File ( = " Envoyer le fichier " ). 

Un rapport va s'élaborer ligne à ligne. 

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta prochaine réponse ... 

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses


Fais de même pour :

c:\windows\system32\dllcache\mspmsnsv.dll 

Poste moi donc ces 2 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et fais la suite ...


=============================

3- ! Déconnecte toi et ferme toutes tes applications en cours !
 
Double clique sur "OTM.exe" pour ouvrir le prg . 
Puis copie ce qui se trouve en citation ci-dessous,
 

:Files
c:\windows\system32\drivers\jbuqh.sys
c:\windows\system32\drivers\vjcqr.sys

:Services
duxppkq
stgtebfg

:Commands
[purity]
[emptytemp]
[Reboot]


et colle le dans le cadre de gauche de OTM : 
Paste Instructions for items to be moved.
(ne touche à rien d'autre !) 
 
-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ... 

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"  
( " xxxx2009_xxxxxx.log "  où les "x" correspondent au jour et à l'heure de l'utilisation  ).


=======================

4- Tu devrais pouvoir fair Malwarebytes maintenant :

Télécharge MalwareByte's : 
ici https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
ou ici : http://www.malwarebytes.org/mbam.php
 
* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour . 

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )

* Potasse le tuto pour te familiariser avec le prg : 
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi et ferme toutes applications en cours ! 

* Lance Malwarebyte's .

Fais un examen dit "Rapide" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur "résultat" . 
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date), 
accompagné d'un nouveau rapport RSIT ( log.txt ) pour analyse ...

geoffrey5 · Answer

Bonjour vous deux,

@Alexandre : Je vois que ça a avancé depuis mon absence :) Désolé pour le retard mais je n'ai pas beaucoup de temps libre en ce moment (déménagement)

@Ske69 : Je te remercie pour le gros coup de paluche en mon absence :D

Je vois que tu l'as bien avancé... Est-ce que tu veux terminer ??

geoffrey5 · Answer

Ok comme tu veux ;-)

Merci @+

alexandre_kom · Answer

Hey! Pas grave Geoffrey5, ton déménagement s'est bien passé j'espère? ^^
Voilà les rapports : 
Antivirus Version Dernière mise à jour Résultat 
a-squared 4.5.0.24 2009.08.19 - 
AhnLab-V3 5.0.0.2 2009.08.19 - 
AntiVir 7.9.1.3 2009.08.19 - 
Antiy-AVL 2.0.3.7 2009.08.18 - 
Authentium 5.1.2.4 2009.08.18 - 
Avast 4.8.1335.0 2009.08.18 - 
AVG 8.5.0.406 2009.08.19 - 
BitDefender 7.2 2009.08.19 - 
CAT-QuickHeal 10.00 2009.08.19 - 
ClamAV 0.94.1 2009.08.19 - 
Comodo 2021 2009.08.19 - 
DrWeb 5.0.0.12182 2009.08.19 - 
eSafe 7.0.17.0 2009.08.18 - 
eTrust-Vet 31.6.6687 2009.08.19 - 
F-Prot 4.4.4.56 2009.08.18 - 
F-Secure 8.0.14470.0 2009.08.19 - 
Fortinet 3.120.0.0 2009.08.19 - 
GData 19 2009.08.19 - 
Ikarus T3.1.1.68.0 2009.08.19 - 
Jiangmin 11.0.800 2009.08.19 - 
K7AntiVirus 7.10.821 2009.08.18 - 
Kaspersky 7.0.0.125 2009.08.19 - 
McAfee 5713 2009.08.18 - 
McAfee+Artemis 5713 2009.08.18 - 
McAfee-GW-Edition 6.8.5 2009.08.19 - 
Microsoft 1.4903 2009.08.19 - 
NOD32 4347 2009.08.19 - 
Norman 6.01.09 2009.08.18 - 
nProtect 2009.1.8.0 2009.08.19 - 
Panda 10.0.0.14 2009.08.18 - 
PCTools 4.4.2.0 2009.08.18 - 
Prevx 3.0 2009.08.19 - 
Rising 21.43.21.00 2009.08.19 - 
Sophos 4.44.0 2009.08.19 - 
Sunbelt 3.2.1858.2 2009.08.19 - 
Symantec 1.4.4.12 2009.08.19 - 
TheHacker 6.3.4.3.383 2009.08.13 - 
TrendMicro 8.950.0.1094 2009.08.19 - 
VBA32 3.12.10.9 2009.08.19 - 
ViRobot 2009.8.19.1891 2009.08.19 - 
VirusBuster 4.6.5.0 2009.08.18 - 
Information additionnelle 
File size: 27136 bytes 
MD5...: c51b4a5c05a5475708e3c81c7765b71d 
SHA1..: c61095f51df41e64b3f034458958c918f0d6f8a8 
SHA256: f776d2680bd3407307b7072626f78460361fc5bc38623c9e16f394d300ab25de 
ssdeep: 768:DQrdsm8STScNCFnyXESZ9AAWng/WVRf+TSp+C:DQrdsm8STSXFncyAyoM+T9
C
-------------------------------------------------------------------------------------
info.txt logfile of random's system information tool 1.06 2009-08-19 19:17:54

======Uninstall list======

-->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {BEE75E01-DD3F-4D5F-B96C-609E6538D419}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-0015-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-0016-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-0018-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-0019-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001A-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001B-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001F-0401-0000-0000000FF1CE} /uninstall {5A2F65A4-808F-4A1E-973E-92E17824982D}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001F-0407-0000-0000000FF1CE} /uninstall {2AB528A5-BB1B-4EBE-8E51-AD0C4CD33CA9}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001F-0409-0000-0000000FF1CE} /uninstall {3EC77D26-799B-4CD8-914F-C1565E796173}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001F-040C-0000-0000000FF1CE} /uninstall {430971B1-C31E-45DA-81E0-72C095BAB72C}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001F-0413-0000-0000000FF1CE} /uninstall {B3F4DC34-7F60-4B7C-A79F-1C13012D99D4}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001F-0C0A-0000-0000000FF1CE} /uninstall {F7A31780-33C4-4E39-951A-5EC9B91D7BF1}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-0044-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7}
Ad-Aware-->"C:\Documents and Settings\All Users\Application Data\{EF63305C-BAD7-4144-9208-D65528260864}\Ad-AwareAE.exe" REMOVE=TRUE MODIFY=FALSE
Ad-Aware-->C:\Documents and Settings\All Users\Application Data\{EF63305C-BAD7-4144-9208-D65528260864}\Ad-AwareAE.exe
Adobe Anchor Service CS3-->MsiExec.exe /I{90176341-0A8B-4CCC-A78D-F862228A6B95}
Adobe Asset Services CS3-->MsiExec.exe /I{6FF5DD7A-FE28-4439-B8CF-1E9AF4EA0A61}
Adobe Bridge CS3-->MsiExec.exe /I{9C9824D9-9000-4373-A6A5-D0E5D4831394}
Adobe Bridge Start Meeting-->MsiExec.exe /I{08B32819-6EEF-4057-AEDA-5AB681A36A23}
Adobe Camera Raw 4.0-->MsiExec.exe /I{B3BF6689-A81D-40D8-9A86-4AC4ACD9FC1C}
Adobe CMaps-->MsiExec.exe /I{A2B242BD-FF8D-4840-9DAA-9170EABEC59C}
Adobe Color - Photoshop Specific-->MsiExec.exe /I{A2D81E70-2A98-4A08-A628-94388B063C5E}
Adobe Color Common Settings-->MsiExec.exe /I{DADD7B8A-BCB0-44F5-967A-ECB6B4F2ECD9}
Adobe Color EU Recommended Settings-->MsiExec.exe /I{73B5D990-04EA-4751-B10F-5534770B91F2}
Adobe Color JA Extra Settings-->MsiExec.exe /I{DD7DB3C5-6FA3-4FA3-8A71-C2F2940EB029}
Adobe Color NA Extra Settings-->MsiExec.exe /I{FF29A7E2-FF40-4D07-B7E4-2093DE59E10A}
Adobe Default Language CS3-->MsiExec.exe /I{B9B35331-B7E4-4E5C-BF4C-7BC87856124D}
Adobe Device Central CS3-->MsiExec.exe /I{8D2BA474-F406-4710-9AE4-D4F22D21F0DD}
Adobe ExtendScript Toolkit 2-->MsiExec.exe /I{C2D69781-F392-4118-A5A7-C7E9C38DBFC2}
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Fonts All-->MsiExec.exe /I{6ABE0BEE-D572-4FE8-B434-9E72A289431B}
Adobe Help Viewer CS3-->MsiExec.exe /I{04AF207D-9A77-465A-8B76-991F6AB66245}
Adobe Integrated Runtime (AIR)-->C:\Program Files\Fichiers communs\Adobe AIR\Versions\1.0.5\Adobe AIR Setup.exe -arp:uninstall
Adobe Integrated Runtime (AIR)-->MsiExec.exe /I{199FC15D-2E06-47BE-B3EA-CA086FCB94CF}
Adobe Linguistics CS3-->MsiExec.exe /I{54793AA1-5001-42F4-ABB6-C364617C6078}
Adobe PDF Library Files-->MsiExec.exe /I{D2559B88-CC9D-4B48-81BB-F492BAA9C48C}
Adobe Photoshop CS3-->C:\Program Files\Fichiers communs\Adobe\Installers\32e9033392a51340b32fdc6ad893ab7\Setup.exe
Adobe Photoshop CS3-->MsiExec.exe /I{BF794769-8875-4E01-B7BE-E00104604F4A}
Adobe Reader 7.0.7 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A70700000002}
Adobe Setup-->MsiExec.exe /I{926DEB4E-2B0A-4C5C-AE4A-BF6C06949702}
Adobe Shockwave Player 11-->C:\WINDOWS\system32\adobe\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Adobe\SHOCKW~1\Install.log
Adobe Stock Photos CS3-->MsiExec.exe /I{29E5EA97-5F74-4A57-B8B2-D4F169117183}
Adobe Type Support-->MsiExec.exe /I{8E6808E2-613D-4FCD-81A2-6C8FA8E03312}
Adobe Update Manager CS3-->MsiExec.exe /I{E69AE897-9E0B-485C-8552-7841F48D42D8}
Adobe Version Cue CS3 Client-->MsiExec.exe /I{D0DFF92A-492E-4C40-B862-A74A173C25C5}
Adobe WinSoft Linguistics Plugin-->MsiExec.exe /I{184CE391-7E0E-4C63-9935-D7A10EDFD3C6}
Adobe XMP Panels CS3-->MsiExec.exe /I{802771A9-A856-4A41-ACF7-1450E523C923}
adsl TV-->C:\Program Files\adslTV\Uninstal.exe
Agfa ScanWise 1.10-->C:\WINDOWS\IsUn040c.exe -f"C:\Program Files\Agfa\ScanWise 1_10\uninst.isu"
Apple Mobile Device Support-->MsiExec.exe /I{C337BDAF-CB4E-47E2-BE1A-CB31BB7DD0E3}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
a-squared Free 4.5-->"C:\Program Files\a-squared Free\unins000.exe"
AusLogics Disk Defrag 1.1-->"C:\Program Files\AusLogics Disk Defrag\unins000.exe"
Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B}
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}
CleanUp!-->C:\Program Files\CleanUp!\uninstall.exe
Correctif pour Windows Internet Explorer 7 (KB947864)-->"C:\WINDOWS\ie7updates\KB947864-IE7\spuninst\spuninst.exe"
Counter-Strike: Source-->"F:\Program Files\Steam\steam.exe" steam://uninstall/240
Counter-Strike-->"F:\Program Files\Steam\steam.exe" steam://uninstall/10
DiskAid 1.5-->"C:\Program Files\DigiDNA\DiskAid\unins000.exe"
DivX Codec-->C:\Program Files\DivX\DivXCodecUninstall.exe /CODEC
DivX Converter-->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player-->C:\Program Files\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Plus DirectShow Filters-->C:\Program Files\DivX\DivXDSFiltersUninstall.exe /DSFILTERS
DivX Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
DVD Shrink 3.2-->"C:\Program Files\DVD Shrink\unins000.exe"
EasyRecovery Professional-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{A8BB9906-E618-406A-B161-7383AFF46C39} /l1036 
Elasto Mania-->C:\PROGRA~1\ELASTO~1\UNWISE.EXE C:\PROGRA~1\ELASTO~1\INSTALL.LOG
eMule-->"C:\Program Files\eMule\Uninstall.exe"
ESET Online Scanner v3-->C:\Program Files\ESET\ESET Online Scanner\OnlineScannerUninstaller.exe
Freeplayer-->C:\Program Files\Freeplayer\Uninstall.exe
FTP Expert 3-->"C:\Program Files\Visicom Media\FTP Expert 3\uninst-ftp.exe"
Galerie de photos Windows Live-->MsiExec.exe /X{44E54A81-9D91-4AA1-9417-80AFF134F5FF}
Google Earth-->MsiExec.exe /I{97C0EA4A-1A0B-4C53-ACEB-49984DA79C90}
HijackThis 2.0.2-->"C:\Program Files	rend micro\HijackThis.exe" /uninstall
HLSW v1.1.5-->"C:\Program Files\HLSW\unins000.exe"
Ink-->MsiExec.exe /I{9FCB2876-554D-491D-A2CD-58F8252D6C64}
Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{7370DF47-B4F9-4279-BFC3-3F09919F720D}
iTunes-->MsiExec.exe /I{99ECF41F-5CCA-42BD-B8B8-A8333E2E2944}
J2SE Runtime Environment 5.0 Update 11-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150110}
Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216010FF}
K-Lite Codec Pack 2.25 Full-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"
Lecteur Windows Media 11-->"C:\Program Files\Windows Media Player\Setup_wm.exe" /Uninstall
LimeWire PRO 4.12.6-->"C:\Program Files\LimeWire\uninstall.exe"
Ma-Config.com plugin-->MsiExec.exe /I{D2D7529F-6B55-4C1C-BC9C-D6F1BCC066B6}
Macromedia Dreamweaver 8-->MsiExec.exe /I{5FD788ED-1A37-4496-9BDD-463F493B27FA}
Macromedia Extension Manager-->MsiExec.exe /I{3C8C9FB3-5FDF-40B4-B314-EAD722728C76}
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Messenger Plus! Live-->"C:\Program Files\Messenger Plus! Live\Uninstall.exe"
Microsoft .NET Framework 1.1 French Language Pack-->MsiExec.exe /X{9A394342-4A68-4EBA-85A6-55B559F4E700}
Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Service Pack 1-->MsiExec.exe /I{B508B3F1-A24A-32C0-B310-85786919EF28}
Microsoft .NET Framework 3.0 French Language Pack-->MsiExec.exe /X{E3C080B0-23F5-49AF-89F8-8E8DBC89E659}
Microsoft .NET Framework 3.0-->C:\WINDOWS\Microsoft.NET\Framework\v3.0\Microsoft .NET Framework 3.0\setup.exe
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5-->"C:\WINDOWS\$NtUninstallWdf01005$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office Access MUI (French) 2007-->MsiExec.exe /X{90120000-0015-040C-0000-0000000FF1CE}
Microsoft Office Excel MUI (French) 2007-->MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (French) 2007-->MsiExec.exe /X{90120000-0044-040C-0000-0000000FF1CE}
Microsoft Office Language Pack 2007 Service Pack 1 (SP1)-->msiexec /package {90120000-006E-040C-0000-0000000FF1CE} /uninstall {EC50B538-CBE1-42E6-B7FE-87AA540AADFB}
Microsoft Office Outlook Connector-->MsiExec.exe /I{95120000-0122-040C-0000-0000000FF1CE}
Microsoft Office Outlook MUI (French) 2007-->MsiExec.exe /X{90120000-001A-040C-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (French) 2007-->MsiExec.exe /X{90120000-0018-040C-0000-0000000FF1CE}
Microsoft Office Professional Plus 2007-->"C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall PROPLUS /dll OSETUP.DLL
Microsoft Office Professional Plus 2007-->MsiExec.exe /X{90120000-0011-0000-0000-0000000FF1CE}
Microsoft Office Proof (Arabic) 2007-->MsiExec.exe /X{90120000-001F-0401-0000-0000000FF1CE}
Microsoft Office Proof (Dutch) 2007-->MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
Microsoft Office Proofing (French) 2007-->MsiExec.exe /X{90120000-002C-040C-0000-0000000FF1CE}
Microsoft Office Publisher MUI (French) 2007-->MsiExec.exe /X{90120000-0019-040C-0000-0000000FF1CE}
Microsoft Office Shared MUI (French) 2007-->MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}
Microsoft Office Word MUI (French) 2007-->MsiExec.exe /X{90120000-001B-040C-0000-0000000FF1CE}
Microsoft Office XP Professional avec FrontPage-->MsiExec.exe /I{9028040C-6000-11D3-8CFE-0050048383C9}
Microsoft Silverlight-->MsiExec.exe /I{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mise à jour de sécurité pour Lecteur Windows Media (KB973540)-->"C:\WINDOWS\$NtUninstallKB973540_WM9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB937143)-->"C:\WINDOWS\ie7updates\KB937143-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127)-->"C:\WINDOWS\ie7updates\KB938127-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB939653)-->"C:\WINDOWS\ie7updates\KB939653-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB942615)-->"C:\WINDOWS\ie7updates\KB942615-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB944533)-->"C:\WINDOWS\ie7updates\KB944533-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB950759)-->"C:\WINDOWS\ie7updates\KB950759-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 8 (KB969897)-->"C:\WINDOWS\ie8updates\KB969897-IE8\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 8 (KB972260)-->"C:\WINDOWS\ie8updates\KB972260-IE8\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956744)-->"C:\WINDOWS\$NtUninstallKB956744$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960859)-->"C:\WINDOWS\$NtUninstallKB960859$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971557)-->"C:\WINDOWS\$NtUninstallKB971557$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971657)-->"C:\WINDOWS\$NtUninstallKB971657$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973354)-->"C:\WINDOWS\$NtUninstallKB973354$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973507)-->"C:\WINDOWS\$NtUninstallKB973507$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973869)-->"C:\WINDOWS\$NtUninstallKB973869$\spuninst\spuninst.exe"
Mise à jour pour Windows Internet Explorer 8 (KB968220)-->"C:\WINDOWS\ie8updates\KB968220-IE8\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB968389)-->"C:\WINDOWS\$NtUninstallKB968389$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB973815)-->"C:\WINDOWS\$NtUninstallKB973815$\spuninst\spuninst.exe"
MobileMe Control Panel-->MsiExec.exe /I{DDBB28C8-B2AA-45A1-8DCE-059A798509FB}
Module de prise en charge linguistique de Microsoft .NET Framework 2.0 - FRA-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0 Language Pack - FRA\install.exe
Module de prise en charge linguistique du français de Microsoft .NET Framework 3.0-->C:\WINDOWS\Microsoft.NET\Framework\v3.0\Microsoft .NET Framework 3.0 French Language Pack\setup.exe
Movies2iPhone .74b-->C:\Program Files\Movies2iPhone\uninst.exe
Mozilla Firefox (3.0.13)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 6.0 Parser (KB933579)-->MsiExec.exe /I{0A869A65-8C94-4F7C-A5C7-972D3C8CED9E}
Nero 6 Ultra Edition-->C:\Program Files\Ahead
ero\uninstall\UNNERO.exe /UNINSTALL
Nero BurnRights-->C:\WINDOWS\UNNeroBurnRights.exe /UNINSTALL
Nero Digital-->C:\WINDOWS\UNNeroVision.exe /UNINSTALL
Notepad++-->C:\Program Files\Notepad++\uninstall.exe
NVIDIA Drivers-->C:\WINDOWS\system32
vuninst.exe UninstallGUI
Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Package de base Microsoft de service de chiffrement pour cartes à puce-->"C:\WINDOWS\$NtUninstallbasecsp$\spuninst\spuninst.exe"
Panda ActiveScan 2.0-->C:\Program Files\Panda Security\ActiveScan 2.0\as2uninst.exe
Party Pro Demo-->MsiExec.exe /I{4846CA28-D615-4AE7-9B41-7884377F4830}
PDF Settings-->MsiExec.exe /I{AC5B0C19-D851-42F4-BDA0-410ECF7F70A5}
Pro Evolution Soccer 6-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{EBB794ED-D282-4334-92FB-254481EFF514} /l1036 
QuickTime-->MsiExec.exe /I{C78EAC6F-7A73-452E-8134-DBB2165C5A68}
Readiris Pro 11 Corporate Edition-->MsiExec.exe /I{CA03B355-9C1D-4AB2-AA88-02AAD523BA66}
Realtek AC'97 Audio-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" -l0x40c  -removeonly
Safari-->MsiExec.exe /I{2D6ED011-055B-4041-B198-BB903827EBFB}
Samsung Master-->C:\Program Files\InstallShield Installation Information\{AEC0CEBC-0FC7-4716-8222-1C4A742719B1}\Setup.exe -runfromtemp -l0x040c -removeonly
Security Update for 2007 Microsoft Office System (KB951550)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {B243E9A5-ED77-4F1B-B338-2486FD82DC85}
Security Update for 2007 Microsoft Office System (KB951944)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {797AE457-BA17-4BBC-B501-25FB3A0103C7}
Security Update for 2007 Microsoft Office System (KB969559)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {69F52148-9BF6-4CDC-BF76-103DEAF3DD08}
Security Update for 2007 Microsoft Office System (KB969679)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {C66E4A6C-6E07-4C63-8CCD-2493B5087C73}
Security Update for Microsoft Office Excel 2007 (KB969682)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {C03803BD-745A-46F8-8557-817DED578780}
Security Update for Microsoft Office PowerPoint 2007 (KB957789)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {7559E742-FF9F-4FAE-B279-008ED296CB4D}
Security Update for Microsoft Office Publisher 2007 (KB969693)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {7BE67088-1EB3-4569-8E75-DDAFBF61BC4E}
Security Update for Microsoft Office system 2007 (KB954326)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {5F7F6FFF-395D-480E-8450-64F385D82C5F}
Security Update for Microsoft Office system 2007 (KB969613)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {5ECEB317-CBE9-4E08-AB10-756CB6F0FB6C}
Security Update for Microsoft Office Word 2007 (KB969604)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {CF3D6499-709C-43D0-8908-BC5652656050}
Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}
Sony Ericsson Device Data-->MsiExec.exe /I{C92E7DF1-624A-4D95-A4C4-18CB491B44A4}
Sony Ericsson PC Suite-->MsiExec.exe /I{64632AD2-E3AA-4262-A010-F9F9B58C2CC2}
Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
Steam-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3}
Switch Off-->"C:\Program Files\Switch Off\uninstall.exe"
System Requirements Lab-->C:\Program Files\SystemRequirementsLab\Uninstall.exe
TmNationsForever-->"C:\Program Files\TmNationsForever\unins000.exe"
Tunatic-->"C:\WINDOWS\lsb_un20.exe" /C=UC /N=Tunatic
TuneUp Utilities 2009-->MsiExec.exe /I{55A29068-F2CE-456C-9148-C869879E2357}
TV sur PC-->C:\Program Files\Neuf\TV_PC\uninstall.exe
Update for 2007 Microsoft Office System (KB967642)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {C444285D-5E4F-48A4-91DD-47AAAA68E92D}
Update for Microsoft Office Outlook 2007 (KB969907)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {74F98B24-AFBD-4800-9BD6-87D349B5C462}
Update for Outlook 2007 Junk Email Filter (kb972691)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {AA020E6E-E2FB-45EF-B732-2400E2296742}
VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B}
VideoLAN VLC media player 0.8.5-freehd-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Windows Communication Foundation-->MsiExec.exe /X{491DD792-AD81-429C-9EB4-86DD3D22E333}
Windows Defender-->MsiExec.exe /I{A06275F4-324B-4E85-95E6-87B2CD729401}
Windows Imaging Component-->"C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"
Windows Internet Explorer 8-->"C:\WINDOWS\ie8\spuninst\spuninst.exe"
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Messenger-->MsiExec.exe /X{059C042E-796A-4ACC-A81A-ECC2010BB78C}
Windows Live OneCare safety scanner-->RunDll32.exe "C:\Program Files\Windows Live Safety Center\wlscCore.dll",UninstallFunction WLSC_SCANNER_PRODUCT
Windows Live Sync-->MsiExec.exe /X{9C5EB781-0D37-44B8-9A58-77B3E4BF5F5E}
Windows Media Format 11 runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows Presentation Foundation Language Pack (FRA)-->MsiExec.exe /X{6901DD22-527A-41EF-9059-E81FEDE9E494}
Windows Presentation Foundation-->MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840}
Windows Workflow Foundation FR Language Pack-->MsiExec.exe /I{B84C141C-9A13-44BE-9A69-301D7B11D836}
Windows Workflow Foundation-->MsiExec.exe /I{7D1B85BD-AA07-48B8-808D-67A4067FC6BD}
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
XML Paper Specification Shared Components Language Pack 1.0-->"C:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"

======Hosts File======

127.0.0.1 	localhost

======Security center information======

AV: AntiVir Desktop

======System event log======

Computer Name: ANDRE-PFN7JQXZ8
Event Code: 7023
Message: Le service Gestion d'applications s'est arrêté avec l'erreur : 
Le module spécifié est introuvable.


Record Number: 79878
Source Name: Service Control Manager
Time Written: 20090817014839.000000+120
Event Type: erreur
User: 

Computer Name: ANDRE-PFN7JQXZ8
Event Code: 7036
Message: Le service Gestion d'applications est entré dans l'état : arrêté.

Record Number: 79877
Source Name: Service Control Manager
Time Written: 20090817014839.000000+120
Event Type: Informations
User: 

Computer Name: ANDRE-PFN7JQXZ8
Event Code: 7035
Message: Un contrôle Démarrer a correctement été envoyé au service Gestion d'applications.

Record Number: 79876
Source Name: Service Control Manager
Time Written: 20090817014839.000000+120
Event Type: Informations
User: ANDRE-PFN7JQXZ8\andre

Computer Name: ANDRE-PFN7JQXZ8
Event Code: 7023
Message: Le service Gestion d'applications s'est arrêté avec l'erreur : 
Le module spécifié est introuvable.


Record Number: 79875
Source Name: Service Control Manager
Time Written: 20090817014839.000000+120
Event Type: erreur
User: 

Computer Name: ANDRE-PFN7JQXZ8
Event Code: 7036
Message: Le service Gestion d'applications est entré dans l'état : arrêté.

Record Number: 79874
Source Name: Service Control Manager
Time Written: 20090817014839.000000+120
Event Type: Informations
User: 

=====Application event log=====

Computer Name: ANDRE-PFN7JQXZ8
Event Code: 3
Message: 
Record Number: 74186
Source Name: Adobe Version Cue CS3
Time Written: 20090428234810.000000+120
Event Type: erreur
User: 

Computer Name: ANDRE-PFN7JQXZ8
Event Code: 3
Message: 
Record Number: 74185
Source Name: Adobe Version Cue CS3
Time Written: 20090428234810.000000+120
Event Type: erreur
User: 

Computer Name: ANDRE-PFN7JQXZ8
Event Code: 3
Message: 
Record Number: 74184
Source Name: Adobe Version Cue CS3
Time Written: 20090428234810.000000+120
Event Type: erreur
User: 

Computer Name: ANDRE-PFN7JQXZ8
Event Code: 3
Message: 
Record Number: 74183
Source Name: Adobe Version Cue CS3
Time Written: 20090428234810.000000+120
Event Type: erreur
User: 

Computer Name: ANDRE-PFN7JQXZ8
Event Code: 3
Message: 
Record Number: 74182
Source Name: Adobe Version Cue CS3
Time Written: 20090428234810.000000+120
Event Type: erreur
User: 

=====Security event log=====

Computer Name: ANDRE-PFN7JQXZ8
Event Code: 849
Message: Une application générait une erreur d'exception lorsque le Pare-feu Windows a démarré.



Origine de la stratégie : Stratégie locale

Profil utilisé : Standard

Nom : iTunes

Chemin d'accès : C:\Program Files\iTunes\iTunes.exe

État : Activé

Étendue : Tous les sous-réseaux

Record Number: 176845
Source Name: Security
Time Written: 20090817100036.000000+120
Event Type: Succès de l'audit
User: AUTORITE NT\SYSTEM

Computer Name: ANDRE-PFN7JQXZ8
Event Code: 849
Message: Une application générait une erreur d'exception lorsque le Pare-feu Windows a démarré.



Origine de la stratégie : Stratégie locale

Profil utilisé : Standard

Nom : Internet Explorer

Chemin d'accès : C:\Program Files\Internet Explorer\iexplore.exe

État : Activé

Étendue : Tous les sous-réseaux

Record Number: 176844
Source Name: Security
Time Written: 20090817100036.000000+120
Event Type: Succès de l'audit
User: AUTORITE NT\SYSTEM

Computer Name: ANDRE-PFN7JQXZ8
Event Code: 849
Message: Une application générait une erreur d'exception lorsque le Pare-feu Windows a démarré.



Origine de la stratégie : Stratégie locale

Profil utilisé : Standard

Nom : hlsw

Chemin d'accès : C:\Program Files\HLSW\hlsw.exe

État : Activé

Étendue : Tous les sous-réseaux

Record Number: 176843
Source Name: Security
Time Written: 20090817100036.000000+120
Event Type: Succès de l'audit
User: AUTORITE NT\SYSTEM

Computer Name: ANDRE-PFN7JQXZ8
Event Code: 849
Message: Une application générait une erreur d'exception lorsque le Pare-feu Windows a démarré.



Origine de la stratégie : Stratégie locale

Profil utilisé : Standard

Nom : eMule

Chemin d'accès : C:\Program Files\eMule\emule.exe

État : Activé

Étendue : Tous les sous-réseaux

Record Number: 176842
Source Name: Security
Time Written: 20090817100036.000000+120
Event Type: Succès de l'audit
User: AUTORITE NT\SYSTEM

Computer Name: ANDRE-PFN7JQXZ8
Event Code: 849
Message: Une application générait une erreur d'exception lorsque le Pare-feu Windows a démarré.



Origine de la stratégie : Stratégie locale

Profil utilisé : Standard

Nom : DNA

Chemin d'accès : C:\Program Files\DNA\btdna.exe

État : Activé

Étendue : Tous les sous-réseaux

Record Number: 176841
Source Name: Security
Time Written: 20090817100036.000000+120
Event Type: Succès de l'audit
User: AUTORITE NT\SYSTEM

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Program Files\Fichiers communs\GTK\2.0\bin;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files\Fichiers communs\Teleca Shared;C:\Program Files\QuickTime\QTSystem
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 2 Stepping 9, GenuineIntel
"PROCESSOR_REVISION"=0209
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"FP_NO_HOST_CHECK"=NO
"LANG"=fr
"sourcesdk"=f:\program files\steam\steamapps\alex_chamalow\sourcesdk
"CLASSPATH"=.;C:\Program Files\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre6\lib\ext\QTJava.zip

-----------------EOF-----------------
------------------------------------------------------------------------------------
Logfile of random's system information tool 1.06 (written by random/random)
Run by andre at 2009-08-19 19:17:43
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 9 GB (12%) free of 80 GB
Total RAM: 1023 MB (52% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:17:51, on 19/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\NetDrive\wdService.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\NetDrive
etdrive.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Documents and Settings\andre\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft IntelliPoint\dpupdchk.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\andre\Mes documents\Downloads\RSIT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files	rend micro\andre.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks=
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = plimus.com,www.plimus.com,regnow.com,www.regnow.com,
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WebDriveTray] C:\Program Files\NetDrive
etdrive.exe /trayicon
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\andre\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5705/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD6262F2-313E-4CE6-A8EF-32C5250530D3}: NameServer = 212.27.54.252,212.27.53.252
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: WebDrive Service (WebDriveService) - Unknown owner - C:\Program Files\NetDrive\wdService.exe

geoffrey5 · Answer

As-tu exécuté le script OTM comme demandé par ske69 ?? Si oui, poste le rapport stp

As-tu réessayé Malwarebytes ??

alexandre_kom · Answer

All processes killed
========== FILES ==========
File/Folder c:\windows\system32\drivers\jbuqh.sys not found.
File/Folder c:\windows\system32\drivers\vjcqr.sys not found.
========== SERVICES/DRIVERS ==========

Service\Driver duxppkq deleted successfully.

Service\Driver stgtebfg deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: All Users
 
User: andre
->Temp folder emptied: 5 bytes
File delete failed. C:\Documents and Settings\andre\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 1746268 bytes
->Java cache emptied: 26551010 bytes
->FireFox cache emptied: 91415975 bytes
->Google Chrome cache emptied: 69246036 bytes
->Apple Safari cache emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 904 bytes
->Temporary Internet Files folder emptied: 32835 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
Windows Temp folder emptied: 816 bytes
RecycleBin emptied: 4298457 bytes
 
Total Files Cleaned = 184,37 mb
 
 
OTM by OldTimer - Version 3.0.0.6 log created on 08192009_143503

Files moved on Reboot...

Registry entries deleted on Reboot...




Et oui maintenant Malwarebyte fonctionne & spybot aussi :)

alexandre_kom · Answer

J'utilise comme Fire wall celui de XP, ça ne serait pas mieux que j'installe un Firewall gratuit type Kerio?

geoffrey5 · Answer

Bonjour,

tu pourrais installer PC Tools Firewall Plus

Voici un tutoriel pour t'aider à le paramétrer.

Ensuite fais une analyse complète avec Malwarebytes et poste son rapport stp.

tutoriel Malwarebytes

alexandre_kom · Answer

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2651
Windows 5.1.2600 Service Pack 3 (Safe Mode)

20/08/2009 13:04:17
mbam-log-2009-08-20 (13-04-17).txt

Type de recherche: Examen complet (C:\|F:\|)
Eléments examinés: 267913
Temps écoulé: 47 minute(s), 33 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 6
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
\?\globalroot\systemroot\system32\UAClnxxvvmfyy.dll (Trojan.TDSS) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntiVirus) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Monopod (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\UAC (Rootkit.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
\?\globalroot\systemroot\system32\UAClnxxvvmfyy.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\meta4.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\uacinit.dll (Trojan.Agent) -> Delete on reboot.

geoffrey5 · Answer

Re,

as-tu bien redémarré ton PC quand Malwarebytes te l'as demandé pour terminer la suppression ??

Vas vider la quarantaine de Malwarebytes et ensuite réessaye une recherche (option 1) avec SmitfraudFix stp

alexandre_kom · Answer

SmitFraudFix v2.423

Rapport fait à 14:34:42,89, 20/08/2009
Executé à partir de C:\Documents and Settings\andre\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\NetDrive
etdrive.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Documents and Settings\andre\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft IntelliPoint\dpupdchk.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Program Files\NetDrive\wdService.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\andre\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\andre\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Documents and Settings\andre\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\andre\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\andre\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\andre


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\andre\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\andre\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\andre\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.54.252
DNS Server Search Order: 212.27.53.252

HKLM\SYSTEM\CCS\Services\Tcpip\..\{CD6262F2-313E-4CE6-A8EF-32C5250530D3}: NameServer=212.27.54.252,212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{CD6262F2-313E-4CE6-A8EF-32C5250530D3}: NameServer=212.27.54.252,212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{CD6262F2-313E-4CE6-A8EF-32C5250530D3}: NameServer=212.27.54.252,212.27.53.252
HKLM\SYSTEM\CS3\Services\Tcpip\..\{CD6262F2-313E-4CE6-A8EF-32C5250530D3}: NameServer=212.27.54.252,212.27.53.252


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

geoffrey5 · Answer

Ok maintenant refais un nouveau rapport RSIT stp

@+

alexandre_kom · Answer

Logfile of random's system information tool 1.06 (written by random/random)
Run by andre at 2009-08-20 14:44:13
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 10 GB (13%) free of 80 GB
Total RAM: 1023 MB (41% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:44:22, on 20/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\NetDrive
etdrive.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Documents and Settings\andre\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft IntelliPoint\dpupdchk.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Program Files\NetDrive\wdService.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\andre\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\andre\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Documents and Settings\andre\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\andre\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\andre\Mes documents\Downloads\RSIT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files	rend micro\andre.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks=
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = plimus.com,www.plimus.com,regnow.com,www.regnow.com,
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WebDriveTray] C:\Program Files\NetDrive
etdrive.exe /trayicon
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\andre\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5705/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD6262F2-313E-4CE6-A8EF-32C5250530D3}: NameServer = 212.27.54.252,212.27.53.252
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: WebDrive Service (WebDriveService) - Unknown owner - C:\Program Files\NetDrive\wdService.exe

geoffrey5 · Answer

Re,

&#x25B6; Télécharge CCleaner

&#x25B6; Tu auras un tutoriel pour l'installer et l'utiliser correctement.

&#x25B6; Fais le nettoyage et recherche les erreurs du registre comme expliqué en bas du tutoriel.

Est-ce que tu as encore des problèmes ??

alexandre_kom · Answer

Voilà le scan CCleaner est fait, il a corrigé les erreurs.
Oui il n'y a plus aucun problème, je te remercie énormement, ainsi que Ske69.
Donc pour le Firewall tu me conseilles PC Tools Firewall Plus, est-il léger & simple d'utilisation?
Je peux maintenant supprimer & désinstaller tous les .exe du genre OTM, RSIT?

geoffrey5 · Answer

Bonjour,

oui il est simple d'utilisation et te protègera mieux que le pare-feu de Windows  ;-)

Tu as un tutoriel pour t'aider ;)

Tu peux maintenant faire ceci pour terminer stp, c'est important :

Voici un excellent petit logiciel très utile qui te permettra de savoir les nouvelles mises à jour disponibles pour les différents logiciels installés sur ton PC :

&#x25B6; Télécharge Update Checker

&#x25B6; Installe le avec les paramètres par défaut en cliquant chaques fois sur Suivant.

&#x25B6; Une fois installé, patiente quelques secondes et tu verras apparaître une icône verte dans ta barre des tâches te signalant qu'il y a des mises à jour disponibles.

&#x25B6; Double-cliques sur l'icône pour être redirrigé sur le site de téléchargement des mises à jour.

&#x25B6; Un conseil : n'installe pas les BETA qui sont listées en dessous.

&#x25B6; Tu installes les mises à jour que tu désires, les plus importantes sont :

&#9679; Java

&#9679; Adobe Reader

&#9679; Adobe Flash Player

&#9679; Internet explorer


Ensuite :


Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques :  

&#x25B6; Télécharge Toolscleaner sur ton Bureau  


&#x25B6; Double-clique sur ToolsCleaner2.exe et laisse le travailler 
&#x25B6; Clique sur Recherche et laisse le scan se terminer. 
&#x25B6; Clique sur Suppression pour finaliser. 
&#x25B6; Tu peux, si tu le souhaites, te servir des Options facultatives. 
&#x25B6; Clique sur Quitter, pour que le rapport puisse se créer. 
&#x25B6; Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse


Ensuite :


Désactive et réactive la Restauration du système :


Le fait de faire cette manipulation va supprimer tous les virus qui auraient pu se loger dans les
points de restauration que tu avais créé auparavant.. Il est donc recommandé de la faire : 

 
1 Dans la barre des tâches de Windows, clique sur Démarrer.
 
2 Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.
 
3 Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"

4 Clique sur Appliquer.
  
5 Ensuite décoche "Désactiver la restauration du systeme"

6 clique sur appliquer puis ok

7 vas créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires =>

outils systeme => restauration du systeme => créer un point de restauration => tu mets un nom

(exemple : après désinfection sur CCM) puis tu valides.


Tu peux mettre ton problème résolu !! Comment mettre résolu ??


IMPORTANT : lire les quelques liens pour la prévention et la sécurité de votre PC qui se trouvent en bas de la page !!


WOT - Extension pour ton navigateur internet :

Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :


Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/

Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp


==informations importantes==


Si tu n'as pas regardé l'envoyé spécial diffusé sur France2, voici les vidéos parlant des hackers :


&#x25B6; https://www.dailymotion.com/video/x97v8f

&#x25B6; https://www.dailymotion.com/video/x982wr

&#x25B6; https://www.dailymotion.com/video/x97v6o

alexandre_kom · Answer

[ Rapport ToolsCleaner version 2.3.10 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\TB.txt: trouvé !
C:\Qoobox: trouvé !
C:\_OTM: trouvé !
C:\Toolbar SD: trouvé !
C:\FindyKill: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\andre\Bureau\OTM.exe: trouvé !
C:\Documents and Settings\andre\Bureau\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\andre\Bureau\SmitFraudfix: trouvé !
C:\Documents and Settings\andre\Mes documents\Downloads\ToolBarSD.exe: trouvé !
C:\Documents and Settings\andre\Mes documents\Downloads\Rsit.exe: trouvé !
C:\Program Files	rend micro\HijackThis.exe: trouvé !
C:\Program Files	rend micro\hijackthis.log: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\andre\Bureau\OTM.exe: supprimé !
C:\Documents and Settings\andre\Bureau\SmitFraudFix.exe: supprimé !
C:\Documents and Settings\andre\Mes documents\Downloads\ToolBarSD.exe: supprimé !
C:\Program Files	rend micro\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\TB.txt: supprimé !
C:\Documents and Settings\andre\Mes documents\Downloads\Rsit.exe: supprimé !
C:\Program Files	rend micro\hijackthis.log: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\Qoobox: supprimé !
C:\_OTM: supprimé !
C:\Toolbar SD: supprimé !
C:\FindyKill: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\andre\Bureau\SmitFraudfix: supprimé !

Merci pour tout :)
Mon pc tourne de nouveau parfaitement bien :)
A bientôt!

geoffrey5 · Answer

Bonjour,

mais de rien, je t'ai aidé avec plaisir  ;-)

Fais bien tout le message précédent, c'est très important..

Bonne journée @+

Cheval de troie?

66 réponses

Votre réponse

Discussions similaires

Newsletters