Sujet Précédent Sujet Suivant

Probleme pour lancer Spybot et Malwarebyte's.

Résolu/Fermé
Alexdansdanslavallée - 11 août 2009 à 17:05
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 17 août 2009 à 23:12
Bonjour,
je suis actuellement infecté par un trojan gen (other) que je supprime mais qui reviens ainsi que Navipromo d'apres ce qu'on m'a dit...
J'essaye de lancer Malwarebytes Anti-Malware mais il ne se lance pas et quand je l'execute en tant qu'administrateur il ne dit qu'il a cessé de fonctionner...?
Meme probleme avec spybot qui ne se lance pas.....
Si quelqu'un a une idée ça serait sympa....
A voir également:

24 réponses

  • 1
  • 2
Réponse 1 / 24
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
11 août 2009 à 18:31
bien ...


/!\ N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
Si tu as un quelconque prb n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ) .
Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .



on continue ... dans l'ordre :


1- protocole à suivre pour Windows Vista :

*Désactiver le contrôle des comptes utilisateurs ou UAC (le réactiver seulement à la fin de la désinfection) :

Aller dans "démarrer" puis "panneau de configuration" :
--->Sur la droite de la fenêtre , cliques sur " affichage classique "
--->Double-Cliquer sur l'icône "Comptes d'utilisateurs"
--->Cliquer ensuite sur "Activer ou désactiver le contrôle ..." .
--->Décocher la case "utlisiser le contrôle ..." et cliquer sur OK .
--->Redémarrer le PC !

Tutos :
http://pagesperso-orange.fr/NosTools/uac_vista.html
https://forum.malekal.com/viewtopic.php?f=59&t=6517


* Important :
Pour installer ou pour lancer les outils, que tu utiliseras au court de la désinfection, fais toujours ainsi :
clique DROIT ( sur le setup d'installe ou sur l'outil ) -> choisis " Exécuter entant qu'administrateur " .
Fais ceci systématiquement ! ...


une fois ceci fait et pris en compte , enchaine .....


=====================

2- Utilsation de l'outil ZHPFix :

Rends dans ce répertoire > C:\Program files\ZHPDiag

* Là tu double-cliques sur "ZHPFix.exe" .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal ( qui est vierge ), copie/colle tout le texte qui se trouve sur cette page ( et rien d'autre ! ) :

> https://www.cjoint.com/?ilsDQTWGxo


Vérifie bien que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )

Pense à réactiver tes défenses !...


===============================

3- Infecté par Navipromo .

-------------------------------------

Pour info,
Les programmes suivants installent cette infection :
- Funky Emoticons
- Games-Attack
- Original-Solitaire
- Go-Astro
- GoRecord
- HotTVPlayer
- Live-Player
- MailSkinner
- Messenger Skinner
- Instant Access
- InternetGameBox
- Sudoplanet
- WebMediaPlayer : sauf celui provenant du site suivant > http://www.azertysite.new.fr/

---------------------------------------

Télécharge Navilog1 sur ton bureau :

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe !!

Ensuite clique droit / "éxecuter entant qu'admin..." sur navilog1.exe pour lancer l'outil .

Laisse-toi guider. Au menu principal, choisis 1 et valide .
(ne fais pas le choix 2 notre avis/accord) .

Patiente le temps du scan ...

> Si l'infection est bien détecté , il te sera peut-être demandé de redémarrer ton PC ( pour que l'outil puisse finir le nettoyage ) :
laisse l'outil le faire automatiquement . Si il ne redémarre pas de lui-même, redémarre ton PC manuellement (c'est important !) .

Note :
Si l'outil de demande d'effectuer la manipe en mode sans echec, fais le ( /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ ).


Patiente jusqu'au message :
*** Scan Terminé le ..... ***

Appuie sur une touche comme demandé, le bloc-note va s'ouvrir.
Copie-colle l'intégralité de son contenu dans ta prochaine réponse et attends la suite .

(Le rapport est en outre sauvegardé à la racine du disque "C\:cleanavi.txt" )


=========================


4- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

1
Réponse 2 / 24
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
11 août 2009 à 17:13
Salut,


fais ceci pour voir de quoi il retourne stp :


Télécharge ZHPDiag de Nicolas Coolman sur ton bureau :

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


!! déconnecte toi et ferme toutes tes applications en cours !!

> clique droit / "executer entant qu'admin..." sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir un raccourci ) .

> Lance ZHPDiag depuis le raccouci du bureau .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite ( celui avec la clé et le tournevis ) .

Une liste apparait dans l'encadré principal > clique en bas sur le bouton " Tous " et décoche la ligne 061 ( important ! ) .

> Puis clique sur le bouton de "la loupe" pour lancer le scan .


Laisses travailler l'outil ...


> Une fois terminé , le rapport s'affiche : clique sur bouton "appareil photo" pour sauvegarder le rapport obtenu ...

Enregistres bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

( Sinon rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )

Puis ferme le programme ...


> rends toi ensuite sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....



0
Alexdansdanslavallée
11 août 2009 à 17:30
Bon déja un grand merci a toi!!!!

Donc voila le lien:
http://www.cijoint.fr/cjlink.php?file=cj200908/cij7B5NDux.txt
0
Réponse 3 / 24
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
11 août 2009 à 17:44
bien ...


y a du travail ... plusieurs infections ...


commence par ceci dans l'ordre :



1- Supprime proprement Spybot S&D via paneau de config / programme et fonctionalité

tu suprimera ensuite le dossier de Spybot qui restera dans c:\programe files\

Soit tu le réinstalera une fois qu'on aura finit ensemble , soit je t'en proposerais d'autres plus performant ( gratos bien sûr )


une fois ceci fait , enchaine .

======================

2- Télécharge ToolBar S&D ( de Eric_71/Team IDN ) sur ton bureau :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

( Tuto : https://sites.google.com/site/toolbarsd/aideenimages )

!! Déconnecte toi et ferme toutes tes applications en cours le temps de la manipe !!

* clique droit / "executer entant qu'admin..." sur ToolBar SD.exe pour lancer l'outil et laisse toi guider ...
--> Tapes directement sur 2 ( option " suppression " ) puis tape sur [Entrée].

Le nettoyage commence .

! ne touche à rien lors de la suppression !

Un rapport sera généré à la fin du processus : poste son contenu dans ta prochaine réponse
pour analyse ...

( le rapport est en outre sauvegardé ici -> C:\TB.txt )


=====================

3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...


0
Alexdansdanslavallée
11 août 2009 à 18:05
donc, voila le rapport de toolbar:



-----------\\ ToolBar S&D 1.2.8 XP/Vista

Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual Core Processor 5000+ )
BIOS : BIOS Date: 12/25/08 18:47:33 Ver: 08.00.14
USER : alex ( Administrator )
BOOT : Normal boot
C:\ (Local Disk) - NTFS - Total:581 Go (Free:412 Go)
D:\ (CD or DVD)
E:\ (USB)
F:\ (USB)
G:\ (USB)
H:\ (USB)

"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
Option : [2] ( 11/08/2009|18:03 )

[ UAC => 1 ]

-----------\\ SUPPRESSION

Supprime! - [Service] ASKUpgrade
Supprime! - C:\Program Files\AskBarDis\bar
Supprime! - C:\Program Files\AskBarDis\unins000.dat
Supprime! - C:\Program Files\AskBarDis\unins000.exe
Supprime! - C:\Program Files\AskBarDis

-----------\\ Recherche de Fichiers / Dossiers ...


-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="https://www.msn.com/fr-fr/?ocid=iehp"
"Default_Page_URL"="http://homepage.packardbell.com/rdr.aspx?b=ACPW&l=040c&s=1&o=vp32&d=0109&m=imedia_a5309_fr"
"Local Page"="C:\\Windows\\system32\\blank.htm"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Bar"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Url"="https://www.msn.com/fr-fr/actualite/"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="https://www.msn.com/fr-fr/"
"Default_Page_URL"="http://homepage.packardbell.com/rdr.aspx?b=ACPW&l=040c&s=1&o=vp32&d=0109&m=imedia_a5309_fr"
"Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Local Page"="C:\\Windows\\System32\\blank.htm"


--------------------\\ Recherche d'autres infections


C:\Users\alex\AppData\Local\iaayuau.dat
C:\Users\alex\AppData\Local\iaayuau_nav.dat
C:\Users\alex\AppData\Local\iaayuau_navps.dat
[b]==> EGDACCESS <==/b



[ UAC => 1 ]


1 - "C:\ToolBar SD\TB_1.txt" - 11/08/2009|18:04 - Option : [2]

-----------\\ Fin du rapport a 18:04:02,20
0
Alexdansdanslavallée
11 août 2009 à 18:12
Et voila le lien de ZHPDiag:

http://www.cijoint.fr/cjlink.php?file=cj200908/cij4aJRGPP.txt
0
Réponse 4 / 24
Alexdansdanslavallée
11 août 2009 à 21:06
Je suis sincèrement désolé mais l'ami qui m'est venu en aide,a du parti prématuremment;hors moi je sais tout juste me servir d'un pc;encore toutes mes excuses.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 24
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
11 août 2009 à 21:33
re,


pas grave ....

tu reprendras la manipe plus tard.... en attendant , ne touche pas au PC !!!



poste moi les rapports dès que ton ami pourra revenir t'aider ....


A+


0
Alexdansdanslavallée
12 août 2009 à 16:09
Bonjour!!
Encore merci pour ton aide....
donc ça y est j'ai fais les 2 premieres étape, voila le rapport de ZHPFix:


ZHPFix v1.12.05 by Nicolas Coolman - Rapport de suppression du 12/08/2009 16:04:26
Fichier Registre :
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
C:\Windows\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job => Quarantined and Deleted successfully

Logiciel :
O42 - Logiciel: Ask Toolbar => Software not removed

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 1
Logiciel : 1
Autre : 0



End of the scan
0
Réponse 6 / 24
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
12 août 2009 à 16:16
salut,


vu ... ^^


la suite donc ...


0
Alexdansdanslavallée
12 août 2009 à 16:25
bon, comme prévu:
Nettoyage au redemarrage du pc impossible!!
Nettoyage en mode sans echec impératif.....

Désolé mais comment je redemarre en mode sans echec???
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463 > Alexdansdanslavallée
12 août 2009 à 16:32
/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

Comment aller en Mode sans échec :
1) Redémarre ton ordi .
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis la première option : Sans Échec , et valide en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).
attention : pas de connexion possible en mode sans échec , donc copie ou imprime bien la manipe pour éviter les erreurs ...


0
Alexdansdanslavallée > sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012
12 août 2009 à 16:54
ok merci:
voila le rapport de Navilog:
Je poursuit avec le scan de ZHPDiag


Fix Navipromo version 4.0.1 commencé le 12/08/2009 16:47:08,75

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 18.07.2009 à 11h00 par IL-MAFIOSO

Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual Core Processor 5000+ )
BIOS : BIOS Date: 12/25/08 18:47:33 Ver: 08.00.14
USER : alex ( Administrator )
BOOT : Fail-safe boot




C:\ (Local Disk) - NTFS - Total:581 Go (Free:413 Go)
D:\ (CD or DVD)
E:\ (USB)
F:\ (USB)
G:\ (USB)
H:\ (USB)


Recherche executée en mode sans échec

Nettoyage executé en mode sans échec


C:\Users\alex\AppData\Local\iaayuau.dat supprimé !
C:\Users\alex\AppData\Local\iaayuau_nav.dat supprimé !
C:\Users\alex\AppData\Local\iaayuau_navps.dat supprimé !


Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\alex\AppData\Local\Temp effectué !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok






*** Scan terminé 12/08/2009 16:48:36,69 ***
0
Alexdansdanslavallée > sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012
12 août 2009 à 17:01
Et voila le lien de cijoint:


http://www.cijoint.fr/cjlink.php?file=cj200908/cijuFBZ1rX.txt
0
Réponse 7 / 24
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
12 août 2009 à 17:14
bien ....



la suite dans l'ordre :


1-Va dans panneau de config ("affichage classique")/"Programmes et fonctionnalité" .
Regarde dans la liste si tu trouves un prg comme : "Ask Toolbar" ou
"Favorit" --->si ils s'y trouvent , supprime les .


================


2- Télécharge CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "français" en langue .
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm


---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )


================

3- Télécharge MalwareByte's :
ici https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
ou ici : http://www.malwarebytes.org/mbam.php

* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )

* Potasse le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebyte's .

Fais un examen dit "RAPIDE" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date) pour analyse ...


===============

4- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

0
Alexdansdanslavallée
12 août 2009 à 17:40
j'ai reussi a supprimer "Ask Toolbar" mais impossible pour "Favorit"??

par contre j'ai fais CCleaner et je passe a MalwareByte's....
0
Alexdansdanslavallée
12 août 2009 à 17:50
j'ai également un problème avec Malwarebyte's; après l'installation, m'a mis qu'il avait cessé de fonctionner... et quand je le lance pareil....
0
Réponse 8 / 24
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
12 août 2009 à 17:54
tient donc ...


on va faire autrement ....


laisse tomber Malwarebytes et ZHPdiag pour le moment et fait ceci :



Télécharge ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !):

http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clique droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape CFix et valide .

- le renommage au téléchargement est primordial pour contrer l'infection, sinon l'outil sera inutilisable -


--------------------------------- [ ! ATTENTION ! ] ------------------------------------------
!! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Note : pour XP, bien installer la Console de Récupération de Windows comme il est indiqué dans le tuto ci-dessus ...
--------------------------------------------------------------------------------------------


Ensuite :
double-clique sur "CFix.exe" ( = combofix.exe ) pour lancer l'outil .


-- Pour XP > laisse toi guider et fais l'installe de la "console de récupération" lorsque l'outil te le demandera ( important ! ).
Reconnecte toi uniquement le temps de cette manipulation. Une fois la console installée ,re-déconnecte toi avant de poursuivre --


Appuie sur la touche Y (Yes) pour démarrer le scan .

Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'annonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarrer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée ici: C:\Combofix.txt

Réactive bien tes défenses


Poste le rapport Combofix pour analyse ...


0
Alexdansdanslavallée
12 août 2009 à 18:25
Voila le rapport ComboFix:



ComboFix 09-08-10.06 - alex 12/08/2009 18:08.1.2 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.3326.2143 [GMT 1:00]
Running from: c:\users\alex\Downloads\CFix.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-1611080660-682729897-1662055390-500
c:\$recycle.bin\S-1-5-21-2615618031-1473878728-100546447-500
c:\windows\System32\drivers\ESQULcinqcsmqrcjcpmvtbxklltbswdsknodx.sys
c:\windows\System32\ESQULdpxqvbsfdxjfylbykctlimquhtgaxkhh.dll
c:\windows\system32\ESQULxiofojxeailptevpjptfvufwuwqwuqsn.dll
c:\windows\system32\ESQULzcounter


.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_ESQULserv.sys
-------\Legacy_ESQULserv.sys
-------\Service_ESQULserv.sys


((((((((((((((((((((((((( Files Created from 2009-07-12 to 2009-08-12 )))))))))))))))))))))))))))))))
.

2009-08-12 16:47 . 2009-08-03 12:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-12 16:47 . 2009-08-12 16:56 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-08-12 16:47 . 2009-08-12 16:47 -------- d-----w- c:\progra~2\Malwarebytes
2009-08-12 16:47 . 2009-08-03 12:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-12 16:28 . 2009-08-12 16:28 -------- d-----w- c:\program files\CCleaner
2009-08-12 15:48 . 2008-06-05 17:18 5737 ----a-w- c:\users\alex\AppData\Local\gnc.exe
2009-08-11 17:22 . 2009-08-11 17:22 -------- d-----w- c:\users\alex\AppData\Local\Ahead
2009-08-11 17:01 . 2009-08-11 17:04 -------- d-----w- C:\ToolBar SD
2009-08-11 16:46 . 2009-08-11 16:46 -------- d-----w- c:\program files\7-Zip
2009-08-11 16:35 . 2009-08-12 15:48 -------- d-----w- c:\program files\Navilog1
2009-08-11 16:22 . 2009-08-12 15:58 -------- d-----w- c:\program files\ZHPDiag
2009-08-06 20:09 . 2009-08-10 20:55 -------- d-----w- c:\users\alex\AppData\Roaming\dvdcss
2009-07-21 10:50 . 2009-07-21 10:50 -------- d-----w- c:\users\alex\AppData\Roaming\Nero
2009-07-18 15:25 . 2009-07-18 15:25 15240 ----a-w- c:\users\alex\AppData\Roaming\Microsoft\IdentityCRL\PROD\ppcrlconfig.dll
2009-07-18 11:26 . 2009-07-18 11:26 -------- d-----w- c:\users\Default\AppData\Local\Microsoft Help
2009-07-15 16:33 . 2009-07-15 17:09 -------- dcsh--w- c:\program files\Common Files\WindowsLiveInstaller
2009-07-15 16:33 . 2009-07-15 17:10 -------- d-----w- c:\program files\Windows Live
2009-07-15 16:33 . 2009-08-12 12:38 -------- d-----w- c:\progra~2\WLInstaller
2009-07-15 12:05 . 2009-06-15 15:24 156672 ----a-w- c:\windows\system32\t2embed.dll
2009-07-15 12:05 . 2009-06-15 15:20 72704 ----a-w- c:\windows\system32\fontsub.dll
2009-07-15 12:05 . 2009-06-15 15:20 10240 ----a-w- c:\windows\system32\dciman32.dll
2009-07-15 12:05 . 2009-06-15 12:52 289792 ----a-w- c:\windows\system32\atmfd.dll
2009-07-14 16:45 . 2009-07-14 16:45 -------- d-----w- c:\program files\AlfaDivx
2009-07-14 14:12 . 2009-07-14 14:12 -------- d-----w- c:\users\alex\AppData\Local\Apple Computer

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-12 17:14 . 2008-01-21 08:40 669328 ----a-w- c:\windows\system32\perfh00C.dat
2009-08-12 17:14 . 2008-01-21 08:40 123350 ----a-w- c:\windows\system32\perfc00C.dat
2009-08-12 17:00 . 2009-07-05 10:58 -------- d-----w- c:\users\alex\AppData\Roaming\Free Download Manager
2009-08-12 14:22 . 2009-07-05 17:05 -------- d-----w- c:\users\alex\AppData\Roaming\uTorrent
2009-08-11 14:44 . 2009-07-05 10:57 89 ----a-w- c:\users\alex\AppData\Local\saeqc.bat
2009-07-21 21:52 . 2009-07-29 12:35 915456 ----a-w- c:\windows\system32\wininet.dll
2009-07-21 21:47 . 2009-07-29 12:35 109056 ----a-w- c:\windows\system32\iesysprep.dll
2009-07-21 21:47 . 2009-07-29 12:35 71680 ----a-w- c:\windows\system32\iesetup.dll
2009-07-21 20:13 . 2009-07-29 12:35 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2009-07-18 11:27 . 2008-12-16 03:21 -------- d-----w- c:\progra~2\Microsoft Help
2009-07-16 12:26 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2009-07-16 12:26 . 2008-12-16 03:23 -------- d-----w- c:\program files\Microsoft Works
2009-07-14 17:46 . 2008-12-16 03:38 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-07-13 11:00 . 2009-07-13 11:00 -------- d-----w- c:\program files\QuickTime
2009-07-13 11:00 . 2009-07-13 11:00 -------- d-----w- c:\progra~2\Apple Computer
2009-07-13 10:58 . 2009-07-13 10:58 -------- d-----w- c:\program files\Apple Software Update
2009-07-13 10:58 . 2009-07-13 10:58 -------- d-----w- c:\progra~2\Apple
2009-07-10 11:59 . 2009-07-10 11:59 -------- d-----w- c:\progra~2\eMule
2009-07-10 11:59 . 2009-07-10 11:59 -------- d-----w- c:\program files\eMule
2009-07-09 13:40 . 2009-07-09 13:39 -------- d-----w- c:\progra~2\WinZip
2009-07-05 17:05 . 2009-07-05 17:05 -------- d-----w- c:\program files\uTorrent
2009-07-05 10:58 . 2009-07-05 10:57 -------- d-----w- c:\program files\Free Download Manager
2009-06-17 15:01 . 2009-06-17 15:01 0 ----a-w- c:\windows\nsreg.dat
2009-06-17 14:53 . 2009-06-17 14:53 -------- d-----w- c:\users\alex\AppData\Roaming\vlc
2009-06-17 14:52 . 2009-06-17 14:52 -------- d-----w- c:\program files\VideoLAN
2009-06-17 14:49 . 2009-06-17 14:48 -------- d-----w- c:\program files\SLD Codec Pack
2009-06-17 14:27 . 2008-12-16 03:46 -------- d-----w- c:\progra~2\Norton
2009-06-17 13:35 . 2009-01-13 16:07 -------- d-----w- c:\program files\Google
2009-06-17 11:51 . 2009-06-17 11:51 -------- d-----w- c:\program files\Alwil Software
2009-06-17 11:37 . 2009-06-17 11:37 -------- d-----w- c:\program files\MSXML 4.0
2009-06-10 17:20 . 2009-06-10 17:20 71256 ----a-w- c:\windows\system32\GDIPFONTCACHEV1.DAT
2009-06-10 17:12 . 2009-06-10 17:12 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-06-10 17:12 . 2009-06-10 17:12 8164 ----a-w- c:\windows\system32\ezdigsgn.dat
2009-06-10 17:12 . 2009-06-10 17:12 91136 ----a-w- c:\windows\system32\ezUninst.exe
2009-06-10 17:12 . 2009-06-10 17:12 49152 ----a-w- c:\windows\system32\ezUPBHook.dll
2009-06-10 17:12 . 2009-06-10 17:12 268288 ----a-w- c:\windows\system32\ezSetup.exe
2009-06-10 17:12 . 2009-06-10 17:12 15872 ----a-w- c:\windows\system32\ezMAPIHelper.exe
2009-06-10 17:12 . 2009-06-10 17:12 111104 ----a-w- c:\windows\system32\ezShellStart.exe
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmpcSys"="c:\program files\PACKARD BELL\SetUpMyPC\SmpSys.exe" [2008-07-07 1038136]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-06-10 68856]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" [2008-04-28 1828136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"SmpcSys"="c:\program files\Packard Bell\SetupMyPC\SmpSys.exe" [2008-07-07 1038136]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-11-12 13584928]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2009-01-13 24064]
"ANIWZCS2Service"="c:\program files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 49152]
"D-Link D-Link Wireless G DWA-110"="c:\program files\D-Link\D-Link Wireless G DWA-110\AirGCFG.exe" [2007-05-04 1662976]
"ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe" [2007-12-12 107248]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-05-26 413696]
"RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2008-03-26 5369856]

c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\Startup\
WinZip Quick Pick.lnk - c:\program files\WinZip\WZQKPICK.EXE [2009-1-20 525664]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~1\GoogleDesktopNetwork3.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{1D17A1B2-F82D-48D8-8765-1AF230282335}"= UDP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{F644351D-C165-468B-82A9-30066C4D89BB}"= TCP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{BF072197-A0A0-495C-B55A-48D48B918009}"= Disabled:UDP:c:\program files\Adobe\Photoshop Elements 6.0\AdobePhotoshopElementsMediaServer.exe:Adobe Photoshop Elements Media Server
"{6232EE71-1427-4311-8520-15799F0C8A7F}"= Disabled:TCP:c:\program files\Adobe\Photoshop Elements 6.0\AdobePhotoshopElementsMediaServer.exe:Adobe Photoshop Elements Media Server
"{D2F1FC60-DB0F-4F39-B545-8C695897917A}"= UDP:c:\program files\uTorrent\uTorrent.exe:µTorrent (TCP-In)
"{E244B63F-3859-4D47-91EF-03585D2D2DFE}"= TCP:c:\program files\uTorrent\uTorrent.exe:µTorrent (UDP-In)
"TCP Query User{90861CCB-C095-4167-A8A7-98463DC711DC}c:\\program files\\emule\\emule.exe"= UDP:c:\program files\emule\emule.exe:eMule
"UDP Query User{4E67FFBF-4AF8-4830-B8CB-332C77EFB583}c:\\program files\\emule\\emule.exe"= TCP:c:\program files\emule\emule.exe:eMule
"{CE73B193-3F9A-46CE-BC32-C2DF00987E48}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"c:\\Program Files\\OrangeHSS\\Connectivity\\ConnectivityManager.exe"= c:\program files\OrangeHSS\Connectivity\ConnectivityManager.exe:*:enabled:CSS

R1 aswSP;avast! Self Protection;c:\windows\System32\drivers\aswSP.sys [17/06/2009 12:51 114768]
R2 AdobeActiveFileMonitor6.0;Adobe Active File Monitor V6;c:\program files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe [11/09/2007 00:45 124832]
R2 aswFsBlk;aswFsBlk;c:\windows\System32\drivers\aswFsBlk.sys [17/06/2009 12:51 20560]
R2 aswMonFlt;aswMonFlt;c:\windows\System32\drivers\aswMonFlt.sys [17/06/2009 12:51 51792]
R2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe -k netsvcs [21/01/2008 03:23 21504]
S3 GoogleDesktopManager-080708-050100;Google Desktop Manager 5.7.808.7150;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [13/01/2009 17:07 24064]
S3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\System32\drivers\PCAMp50.sys [11/06/2009 19:22 28224]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ezSharedSvc

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\System32\rundll32.exe" "c:\windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
- - - - ORPHANS REMOVED - - - -

WebBrowser-{3041D03E-FD4B-44E0-B742-2D9B88305F98} - (no file)


.
------- Supplementary Scan -------
.
mWindow Title =
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Tout télécharger avec Free Download Manager - file://c:\program files\Free Download Manager\dlall.htm
IE: Télécharger avec Free Download Manager - file://c:\program files\Free Download Manager\dllink.htm
IE: Télécharger la sélection avec Free Download Manager - file://c:\program files\Free Download Manager\dlselected.htm
IE: Télécharger la vidéo avec Free Download Manager - file://c:\program files\Free Download Manager\dlfvideo.htm
Trusted Zone: mappy.com
Trusted Zone: orange.fr
Trusted Zone: weborama.fr\orange
FF - ProfilePath - c:\users\alex\AppData\Roaming\Mozilla\Firefox\Profiles\ni3zke6m.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=
FF - component: c:\program files\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll
FF - component: c:\programdata\Google\Toolbar for Firefox\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
FF - component: c:\programdata\Google\Toolbar for Firefox\{3112ca9c-de6d-4884-a869-9855de68056c}\components\metricsloader.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-12 18:15
Windows 6.0.6001 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
c:\windows\System32\nvvsvc.exe
c:\windows\System32\Ati2evxx.exe
c:\windows\System32\audiodg.exe
c:\windows\System32\rundll32.exe
c:\windows\System32\Ati2evxx.exe
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\progra~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
c:\windows\System32\HidService.exe
c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe
c:\windows\System32\IoctlSvc.exe
c:\windows\System32\WUDFHost.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\windows\System32\conime.exe
c:\program files\Alwil Software\Avast4\ashDisp.exe
c:\windows\ehome\ehmsas.exe
c:\program files\Common Files\Nero\Lib\NMIndexingService.exe
.
**************************************************************************
.
Completion time: 2009-08-12 18:18 - machine was rebooted
ComboFix-quarantined-files.txt 2009-08-12 17:18

Pre-Run: 440 677 494 784 octets libres
Post-Run: 440 371 683 328 octets libres

208 --- E O F --- 2009-08-11 12:29
0
Réponse 9 / 24
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
12 août 2009 à 18:32
Impec .... on avance bien ...


la suite :


1- Avoir accès aux fichiers cachés :

Va dans Menu Démarrer->panneau de config.("affichage classique")-> Options des dossiers
--> vas sur l'onglet " Affichage " .
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )



2- Rends toi sur ce site :

https://www.virustotal.com/gui/

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
c:\users\alex\AppData\Local\gnc.exe

Clique sur Send File ( = " Envoyer le fichier " ).

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses


Fais de même pour :

c:\users\alex\AppData\Roaming\Microsoft­\IdentityCRL\PROD\ppcrlconfig.dll
c:\users\alex\AppData\Local\saeqc.bat


Poste moi donc ces 3 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent )

0
Alexdansdanslavallée
12 août 2009 à 18:58
Donc voila pour c:\users\alex\AppData\Local\gnc.exe

Fichier gnc.exe reçu le 2009.08.12 16:51:11 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 19/41 (46.35%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 4.
L'heure estimée de démarrage est entre 70 et 100 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.12 -
AhnLab-V3 5.0.0.2 2009.08.12 Win-Trojan/Xema.variant
AntiVir 7.9.1.0 2009.08.12 -
Antiy-AVL 2.0.3.7 2009.08.12 -
Authentium 5.1.2.4 2009.08.12 W32/Heuristic-210!Eldorado
Avast 4.8.1335.0 2009.08.12 -
AVG 8.5.0.406 2009.08.12 Suspicion: unknown virus
BitDefender 7.2 2009.08.12 -
CAT-QuickHeal 10.00 2009.08.12 Trojan.Agent.IRC
ClamAV 0.94.1 2009.08.12 -
Comodo 1955 2009.08.12 TrojWare.Win32.TrojanDownloader.Tibs.1
DrWeb 5.0.0.12182 2009.08.12 -
eSafe 7.0.17.0 2009.08.11 Suspicious File
eTrust-Vet 31.6.6673 2009.08.12 -
F-Prot 4.4.4.56 2009.08.12 W32/Heuristic-210!Eldorado
F-Secure 8.0.14470.0 2009.08.12 Suspicious:W32/Malware!Gemini
Fortinet 3.120.0.0 2009.08.12 -
GData 19 2009.08.12 -
Ikarus T3.1.1.64.0 2009.08.12 -
Jiangmin 11.0.800 2009.08.12 Trojan/PSW.OnLineGames.acir
K7AntiVirus 7.10.817 2009.08.12 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.08.12 -
McAfee 5707 2009.08.12 Generic.dx
McAfee+Artemis 5706 2009.08.11 Generic.dx
McAfee-GW-Edition 6.8.5 2009.08.12 Heuristic.LooksLike.Win32.SuspiciousPE.A
Microsoft 1.4903 2009.08.12 -
NOD32 4329 2009.08.12 -
Norman 6.01.09 2009.08.12 W32/Packed_FSG.D
nProtect 2009.1.8.0 2009.08.12 -
Panda 10.0.0.14 2009.08.12 Suspicious file
PCTools 4.4.2.0 2009.08.12 Packed/FSG
Prevx 3.0 2009.08.12 -
Rising 21.42.23.00 2009.08.12 -
Sophos 4.44.0 2009.08.12 Mal/Packer
Sunbelt 3.2.1858.2 2009.08.12 -
Symantec 1.4.4.12 2009.08.12 -
TheHacker 6.3.4.3.381 2009.08.11 -
TrendMicro 8.950.0.1094 2009.08.12 Cryp_Bits
VBA32 3.12.10.9 2009.08.12 suspected of Unknown.Win32Virus
ViRobot 2009.8.12.1881 2009.08.12 -
VirusBuster 4.6.5.0 2009.08.12 -
Information additionnelle
File size: 5737 bytes
MD5...: 7fa0c6976717e19449d887ebc6fcafe5
SHA1..: 73f6326379ce1e6ba89ce707d8527f0f3619e5aa
SHA256: a70627d5cedd9795317e8fe7bfbe918ba8ac19fccd835efec9621e80c5a87f29
ssdeep: 96:Dup1/dF4gGbFALbZ4rZR6CvPi9AXSQ5DVrGyV9wUEpBWQPCBlsQ9zusYyJJuh
y:DCYgGBALbY9Hi9AXSQ5DVrGAwU8Bq9OM
PEiD..: FSG v2.0 -> bart/xt
TrID..: File type identification
Win32 Executable Generic (67.9%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Targa bitmap (Original TGA Format) (0.0%)
MS Flight Simulator Aircraft Performance Info (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x154
timedatestamp.....: 0xfeedcafeL (invalid)
machinetype.......: 0x14c (I386)

( 2 sections )
name viradd virsiz rawdsiz ntrpy md5
0x1000 0xe000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
_@ 0xf000 0x2000 0x1469 7.74 953703f2c5df847ee06d577243633736

( 1 imports )
> KERNEL32.dll: LoadLibraryA, GetProcAddress

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
packers (Kaspersky): FSG
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=7fa0c6976717e19449d887ebc6fcafe5' target='_blank'>https://www.symantec.com?md5=7fa0c6976717e19449d887ebc6fcafe5</a>
packers (F-Prot): FSG, UPX
packers (Authentium): FSG, UPX
0
Alexdansdanslavallée
12 août 2009 à 19:00
voila pour c:\users\alex\AppData\Roaming\Microsoft­\IdentityCRL\PROD\ppcrlconfig.dll :

Fichier ppcrlconfig.dll reçu le 2009.08.12 16:59:36 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/41 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 40 et 57 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.12 -
AhnLab-V3 5.0.0.2 2009.08.12 -
AntiVir 7.9.1.0 2009.08.12 -
Antiy-AVL 2.0.3.7 2009.08.12 -
Authentium 5.1.2.4 2009.08.12 -
Avast 4.8.1335.0 2009.08.12 -
AVG 8.5.0.406 2009.08.12 -
BitDefender 7.2 2009.08.12 -
CAT-QuickHeal 10.00 2009.08.12 -
ClamAV 0.94.1 2009.08.12 -
Comodo 1955 2009.08.12 -
DrWeb 5.0.0.12182 2009.08.12 -
eSafe 7.0.17.0 2009.08.11 -
eTrust-Vet 31.6.6673 2009.08.12 -
F-Prot 4.4.4.56 2009.08.12 -
F-Secure 8.0.14470.0 2009.08.12 -
Fortinet 3.120.0.0 2009.08.12 -
GData 19 2009.08.12 -
Ikarus T3.1.1.64.0 2009.08.12 -
Jiangmin 11.0.800 2009.08.12 -
K7AntiVirus 7.10.817 2009.08.12 -
Kaspersky 7.0.0.125 2009.08.12 -
McAfee 5707 2009.08.12 -
McAfee+Artemis 5707 2009.08.12 -
McAfee-GW-Edition 6.8.5 2009.08.12 -
Microsoft 1.4903 2009.08.12 -
NOD32 4329 2009.08.12 -
Norman 6.01.09 2009.08.12 -
nProtect 2009.1.8.0 2009.08.12 -
Panda 10.0.0.14 2009.08.12 -
PCTools 4.4.2.0 2009.08.12 -
Prevx 3.0 2009.08.12 -
Rising 21.42.23.00 2009.08.12 -
Sophos 4.44.0 2009.08.12 -
Sunbelt 3.2.1858.2 2009.08.12 -
Symantec 1.4.4.12 2009.08.12 -
TheHacker 6.3.4.3.381 2009.08.11 -
TrendMicro 8.950.0.1094 2009.08.12 -
VBA32 3.12.10.9 2009.08.12 -
ViRobot 2009.8.12.1881 2009.08.12 -
VirusBuster 4.6.5.0 2009.08.12 -
Information additionnelle
File size: 15240 bytes
MD5...: fdefcbd47c68b09e70245f7c7f13c391
SHA1..: 687f3a3c802fb2d2f8664b3185a8590e5d286a63
SHA256: ce69937a3392ec520d0a198e6a02f69c6df07fdf7cf3c665bc465dfd07df36a1
ssdeep: 192:hknPW0UMWUMlr5HXqYIx2QCcZ1bSl7AQKPnEtTIXXYxjaIhjro5BHB:hKW0U
MWUEr530xOcZYkLz4Z/jOHB
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x0
timedatestamp.....: 0x4a550528 (Wed Jul 08 20:44:24 2009)
machinetype.......: 0x14c (I386)

( 1 sections )
name viradd virsiz rawdsiz ntrpy md5
.rsrc 0x1000 0x2018 0x2200 5.68 0a8b35b6d226a404f1ad543b565bc4af

( 0 imports )

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
0
Alexdansdanslavallée
12 août 2009 à 19:01
et c:\users\alex\AppData\Local\saeqc.bat :

Fichier saeqc.bat reçu le 2009.08.12 17:04:36 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/41 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 9.
L'heure estimée de démarrage est entre 90 et 128 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.12 -
AhnLab-V3 5.0.0.2 2009.08.12 -
AntiVir 7.9.1.0 2009.08.12 -
Antiy-AVL 2.0.3.7 2009.08.12 -
Authentium 5.1.2.4 2009.08.12 -
Avast 4.8.1335.0 2009.08.12 -
AVG 8.5.0.406 2009.08.12 -
BitDefender 7.2 2009.08.12 -
CAT-QuickHeal 10.00 2009.08.12 -
ClamAV 0.94.1 2009.08.12 -
Comodo 1955 2009.08.12 -
DrWeb 5.0.0.12182 2009.08.12 -
eSafe 7.0.17.0 2009.08.11 -
eTrust-Vet 31.6.6673 2009.08.12 -
F-Prot 4.4.4.56 2009.08.12 -
F-Secure 8.0.14470.0 2009.08.12 -
Fortinet 3.120.0.0 2009.08.12 -
GData 19 2009.08.12 -
Ikarus T3.1.1.64.0 2009.08.12 -
Jiangmin 11.0.800 2009.08.12 -
K7AntiVirus 7.10.817 2009.08.12 -
Kaspersky 7.0.0.125 2009.08.12 -
McAfee 5707 2009.08.12 -
McAfee+Artemis 5707 2009.08.12 -
McAfee-GW-Edition 6.8.5 2009.08.12 -
Microsoft 1.4903 2009.08.12 -
NOD32 4329 2009.08.12 -
Norman 6.01.09 2009.08.12 -
nProtect 2009.1.8.0 2009.08.12 -
Panda 10.0.0.14 2009.08.12 -
PCTools 4.4.2.0 2009.08.12 -
Prevx 3.0 2009.08.12 -
Rising 21.42.23.00 2009.08.12 -
Sophos 4.44.0 2009.08.12 -
Sunbelt 3.2.1858.2 2009.08.12 -
Symantec 1.4.4.12 2009.08.12 -
TheHacker 6.3.4.3.381 2009.08.11 -
TrendMicro 8.950.0.1094 2009.08.12 -
VBA32 3.12.10.9 2009.08.12 -
ViRobot 2009.8.12.1881 2009.08.12 -
VirusBuster 4.6.5.0 2009.08.12 -
Information additionnelle
File size: 89 bytes
MD5...: 72018c422c82156501669b8cffb068b2
SHA1..: 69dbdf590c52375c5c3eb32ddc39680f51cbc0a3
SHA256: 3bed56a2759929c6dc12e7270e45c5ce4f1b1f41d3e3e1430362c052ca31b883
ssdeep: 3:mwnEsLLkuPmo4E5IsApHj:HEsLLXJasApD
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set
-
0
Réponse 10 / 24
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
12 août 2009 à 19:26
bien ...


le 1er est une salté ! ...


fais ceci :


1-Créer un doc texte sur ton bureau :
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :


File::
c:\users\alex\AppData\Local\gnc.exe



Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ...


2-Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.

Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touches à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )



================================

3- Reprends la manipe avec Malwarebytes ... il devrait fonctionner ... poste moi le rapport obtenu ...

================================


4- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

0
Alexdansdanslavallée
12 août 2009 à 19:49
le rapport ComboFix:
Je m'attaque a Malwarebyte's


ComboFix 09-08-10.06 - alex 12/08/2009 19:38.2.2 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.3326.2434 [GMT 1:00]
Running from: c:\users\alex\Desktop\CFix.exe
Command switches used :: c:\users\alex\Desktop\CFScript.txt
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((( Files Created from 2009-07-12 to 2009-08-12 )))))))))))))))))))))))))))))))
.

2009-08-12 18:42 . 2009-08-12 18:42 -------- d-----w- c:\users\Public\AppData\Local\temp
2009-08-12 18:42 . 2009-08-12 18:42 -------- d-----w- c:\users\Default\AppData\Local\temp
2009-08-12 17:14 . 2009-08-12 18:42 -------- d-----w- c:\users\alex\AppData\Local\temp
2009-08-12 16:47 . 2009-08-03 12:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-12 16:47 . 2009-08-12 16:56 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-08-12 16:47 . 2009-08-12 16:47 -------- d-----w- c:\progra~2\Malwarebytes
2009-08-12 16:47 . 2009-08-03 12:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-12 16:28 . 2009-08-12 16:28 -------- d-----w- c:\program files\CCleaner
2009-08-12 15:48 . 2008-06-05 17:18 5737 ----a-w- c:\users\alex\AppData\Local\gnc.exe
2009-08-11 17:22 . 2009-08-11 17:22 -------- d-----w- c:\users\alex\AppData\Local\Ahead
2009-08-11 17:01 . 2009-08-11 17:04 -------- d-----w- C:\ToolBar SD
2009-08-11 16:46 . 2009-08-11 16:46 -------- d-----w- c:\program files\7-Zip
2009-08-11 16:35 . 2009-08-12 15:48 -------- d-----w- c:\program files\Navilog1
2009-08-11 16:22 . 2009-08-12 15:58 -------- d-----w- c:\program files\ZHPDiag
2009-08-06 20:09 . 2009-08-10 20:55 -------- d-----w- c:\users\alex\AppData\Roaming\dvdcss
2009-07-21 10:50 . 2009-07-21 10:50 -------- d-----w- c:\users\alex\AppData\Roaming\Nero
2009-07-18 15:25 . 2009-07-18 15:25 15240 ----a-w- c:\users\alex\AppData\Roaming\Microsoft\IdentityCRL\PROD\ppcrlconfig.dll
2009-07-18 11:26 . 2009-07-18 11:26 -------- d-----w- c:\users\Default\AppData\Local\Microsoft Help
2009-07-15 16:33 . 2009-07-15 17:09 -------- dcsh--w- c:\program files\Common Files\WindowsLiveInstaller
2009-07-15 16:33 . 2009-07-15 17:10 -------- d-----w- c:\program files\Windows Live
2009-07-15 16:33 . 2009-08-12 12:38 -------- d-----w- c:\progra~2\WLInstaller
2009-07-15 12:05 . 2009-06-15 15:24 156672 ----a-w- c:\windows\system32\t2embed.dll
2009-07-15 12:05 . 2009-06-15 15:20 72704 ----a-w- c:\windows\system32\fontsub.dll
2009-07-15 12:05 . 2009-06-15 15:20 10240 ----a-w- c:\windows\system32\dciman32.dll
2009-07-15 12:05 . 2009-06-15 12:52 289792 ----a-w- c:\windows\system32\atmfd.dll
2009-07-14 16:45 . 2009-07-14 16:45 -------- d-----w- c:\program files\AlfaDivx
2009-07-14 14:12 . 2009-07-14 14:12 -------- d-----w- c:\users\alex\AppData\Local\Apple Computer

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-12 17:28 . 2008-01-21 08:40 669328 ----a-w- c:\windows\system32\perfh00C.dat
2009-08-12 17:28 . 2008-01-21 08:40 123350 ----a-w- c:\windows\system32\perfc00C.dat
2009-08-12 17:00 . 2009-07-05 10:58 -------- d-----w- c:\users\alex\AppData\Roaming\Free Download Manager
2009-08-12 14:22 . 2009-07-05 17:05 -------- d-----w- c:\users\alex\AppData\Roaming\uTorrent
2009-08-11 14:44 . 2009-07-05 10:57 89 ----a-w- c:\users\alex\AppData\Local\saeqc.bat
2009-07-21 21:52 . 2009-07-29 12:35 915456 ----a-w- c:\windows\system32\wininet.dll
2009-07-21 21:47 . 2009-07-29 12:35 109056 ----a-w- c:\windows\system32\iesysprep.dll
2009-07-21 21:47 . 2009-07-29 12:35 71680 ----a-w- c:\windows\system32\iesetup.dll
2009-07-21 20:13 . 2009-07-29 12:35 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2009-07-18 11:27 . 2008-12-16 03:21 -------- d-----w- c:\progra~2\Microsoft Help
2009-07-16 12:26 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2009-07-16 12:26 . 2008-12-16 03:23 -------- d-----w- c:\program files\Microsoft Works
2009-07-14 17:46 . 2008-12-16 03:38 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-07-13 11:00 . 2009-07-13 11:00 -------- d-----w- c:\program files\QuickTime
2009-07-13 11:00 . 2009-07-13 11:00 -------- d-----w- c:\progra~2\Apple Computer
2009-07-13 10:58 . 2009-07-13 10:58 -------- d-----w- c:\program files\Apple Software Update
2009-07-13 10:58 . 2009-07-13 10:58 -------- d-----w- c:\progra~2\Apple
2009-07-10 11:59 . 2009-07-10 11:59 -------- d-----w- c:\progra~2\eMule
2009-07-10 11:59 . 2009-07-10 11:59 -------- d-----w- c:\program files\eMule
2009-07-09 13:40 . 2009-07-09 13:39 -------- d-----w- c:\progra~2\WinZip
2009-07-05 17:05 . 2009-07-05 17:05 -------- d-----w- c:\program files\uTorrent
2009-07-05 10:58 . 2009-07-05 10:57 -------- d-----w- c:\program files\Free Download Manager
2009-06-17 15:01 . 2009-06-17 15:01 0 ----a-w- c:\windows\nsreg.dat
2009-06-17 14:53 . 2009-06-17 14:53 -------- d-----w- c:\users\alex\AppData\Roaming\vlc
2009-06-17 14:52 . 2009-06-17 14:52 -------- d-----w- c:\program files\VideoLAN
2009-06-17 14:49 . 2009-06-17 14:48 -------- d-----w- c:\program files\SLD Codec Pack
2009-06-17 14:27 . 2008-12-16 03:46 -------- d-----w- c:\progra~2\Norton
2009-06-17 13:35 . 2009-01-13 16:07 -------- d-----w- c:\program files\Google
2009-06-17 11:51 . 2009-06-17 11:51 -------- d-----w- c:\program files\Alwil Software
2009-06-17 11:37 . 2009-06-17 11:37 -------- d-----w- c:\program files\MSXML 4.0
2009-06-10 17:20 . 2009-06-10 17:20 71256 ----a-w- c:\windows\system32\GDIPFONTCACHEV1.DAT
2009-06-10 17:12 . 2009-06-10 17:12 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-06-10 17:12 . 2009-06-10 17:12 8164 ----a-w- c:\windows\system32\ezdigsgn.dat
2009-06-10 17:12 . 2009-06-10 17:12 91136 ----a-w- c:\windows\system32\ezUninst.exe
2009-06-10 17:12 . 2009-06-10 17:12 49152 ----a-w- c:\windows\system32\ezUPBHook.dll
2009-06-10 17:12 . 2009-06-10 17:12 268288 ----a-w- c:\windows\system32\ezSetup.exe
2009-06-10 17:12 . 2009-06-10 17:12 15872 ----a-w- c:\windows\system32\ezMAPIHelper.exe
2009-06-10 17:12 . 2009-06-10 17:12 111104 ----a-w- c:\windows\system32\ezShellStart.exe
.

((((((((((((((((((((((((((((( SnapShot@2009-08-12_17.15.39 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-01-21 01:58 . 2009-08-12 17:24 50144 c:\windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2006-11-02 13:05 . 2009-08-12 17:24 82676 c:\windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
+ 2009-06-10 16:00 . 2009-08-12 18:36 16384 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2009-06-10 16:00 . 2009-08-12 17:07 16384 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2009-06-10 16:00 . 2009-08-12 17:07 32768 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2009-06-10 16:00 . 2009-08-12 18:36 32768 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2009-06-10 16:00 . 2009-08-12 18:36 16384 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2009-06-10 16:00 . 2009-08-12 17:07 16384 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-06-10 17:12 . 2009-08-12 17:24 9186 c:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1611080660-682729897-1662055390-1000_UserData.bin
+ 2009-08-12 17:22 . 2009-08-12 17:22 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2009-08-12 17:22 . 2009-08-12 17:22 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2006-11-02 10:33 . 2009-08-12 17:28 586980 c:\windows\System32\perfh009.dat
- 2006-11-02 10:33 . 2009-08-12 17:14 586980 c:\windows\System32\perfh009.dat
- 2006-11-02 10:33 . 2009-08-12 17:14 101052 c:\windows\System32\perfc009.dat
+ 2006-11-02 10:33 . 2009-08-12 17:28 101052 c:\windows\System32\perfc009.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmpcSys"="c:\program files\PACKARD BELL\SetUpMyPC\SmpSys.exe" [2008-07-07 1038136]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-06-10 68856]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" [2008-04-28 1828136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"SmpcSys"="c:\program files\Packard Bell\SetupMyPC\SmpSys.exe" [2008-07-07 1038136]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-11-12 13584928]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2009-01-13 24064]
"ANIWZCS2Service"="c:\program files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 49152]
"D-Link D-Link Wireless G DWA-110"="c:\program files\D-Link\D-Link Wireless G DWA-110\AirGCFG.exe" [2007-05-04 1662976]
"ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe" [2007-12-12 107248]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-05-26 413696]
"RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2008-03-26 5369856]

c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\Startup\
WinZip Quick Pick.lnk - c:\program files\WinZip\WZQKPICK.EXE [2009-1-20 525664]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~1\GoogleDesktopNetwork3.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{1D17A1B2-F82D-48D8-8765-1AF230282335}"= UDP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{F644351D-C165-468B-82A9-30066C4D89BB}"= TCP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{BF072197-A0A0-495C-B55A-48D48B918009}"= Disabled:UDP:c:\program files\Adobe\Photoshop Elements 6.0\AdobePhotoshopElementsMediaServer.exe:Adobe Photoshop Elements Media Server
"{6232EE71-1427-4311-8520-15799F0C8A7F}"= Disabled:TCP:c:\program files\Adobe\Photoshop Elements 6.0\AdobePhotoshopElementsMediaServer.exe:Adobe Photoshop Elements Media Server
"{D2F1FC60-DB0F-4F39-B545-8C695897917A}"= UDP:c:\program files\uTorrent\uTorrent.exe:µTorrent (TCP-In)
"{E244B63F-3859-4D47-91EF-03585D2D2DFE}"= TCP:c:\program files\uTorrent\uTorrent.exe:µTorrent (UDP-In)
"TCP Query User{90861CCB-C095-4167-A8A7-98463DC711DC}c:\\program files\\emule\\emule.exe"= UDP:c:\program files\emule\emule.exe:eMule
"UDP Query User{4E67FFBF-4AF8-4830-B8CB-332C77EFB583}c:\\program files\\emule\\emule.exe"= TCP:c:\program files\emule\emule.exe:eMule
"{CE73B193-3F9A-46CE-BC32-C2DF00987E48}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"c:\\Program Files\\OrangeHSS\\Connectivity\\ConnectivityManager.exe"= c:\program files\OrangeHSS\Connectivity\ConnectivityManager.exe:*:enabled:CSS

R1 aswSP;avast! Self Protection;c:\windows\System32\drivers\aswSP.sys [17/06/2009 12:51 114768]
R2 AdobeActiveFileMonitor6.0;Adobe Active File Monitor V6;c:\program files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe [11/09/2007 00:45 124832]
R2 aswFsBlk;aswFsBlk;c:\windows\System32\drivers\aswFsBlk.sys [17/06/2009 12:51 20560]
R2 aswMonFlt;aswMonFlt;c:\windows\System32\drivers\aswMonFlt.sys [17/06/2009 12:51 51792]
R2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe -k netsvcs [21/01/2008 03:23 21504]
S3 GoogleDesktopManager-080708-050100;Google Desktop Manager 5.7.808.7150;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [13/01/2009 17:07 24064]
S3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\System32\drivers\PCAMp50.sys [11/06/2009 19:22 28224]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ezSharedSvc

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\System32\rundll32.exe" "c:\windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Supplementary Scan -------
.
mWindow Title =
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Tout télécharger avec Free Download Manager - file://c:\program files\Free Download Manager\dlall.htm
IE: Télécharger avec Free Download Manager - file://c:\program files\Free Download Manager\dllink.htm
IE: Télécharger la sélection avec Free Download Manager - file://c:\program files\Free Download Manager\dlselected.htm
IE: Télécharger la vidéo avec Free Download Manager - file://c:\program files\Free Download Manager\dlfvideo.htm
Trusted Zone: mappy.com
Trusted Zone: orange.fr
Trusted Zone: weborama.fr\orange
FF - ProfilePath - c:\users\alex\AppData\Roaming\Mozilla\Firefox\Profiles\ni3zke6m.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=
FF - component: c:\program files\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll
FF - component: c:\programdata\Google\Toolbar for Firefox\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
FF - component: c:\programdata\Google\Toolbar for Firefox\{3112ca9c-de6d-4884-a869-9855de68056c}\components\metricsloader.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-12 19:42
Windows 6.0.6001 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2009-08-12 19:43
ComboFix-quarantined-files.txt 2009-08-12 18:43
ComboFix2.txt 2009-08-12 17:18

Pre-Run: 440 388 878 336 octets libres
Post-Run: 440 354 320 384 octets libres

192 --- E O F --- 2009-08-11 12:29
0
Réponse 11 / 24
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
12 août 2009 à 19:51
re,


tu as mal fait la manipe du script avec ComboFix .... pas grave ...


fais Malwarebytes donc ; postes les rapports demandés et on avisera après ....


0
Alexdansdanslavallée
12 août 2009 à 20:01
donc voila le rapport Malwarebyte's:
Par contre c'est quoi le problème avec ComboFix, je croyais avoir fait ce que tu m'avais dit...



Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2551
Windows 6.0.6001 Service Pack 1

12/08/2009 19:56:39
mbam-log-2009-08-12 (19-56-34).txt

Type de recherche: Examen rapide
Eléments examinés: 80518
Temps écoulé: 2 minute(s), 11 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\AlfaDivx (Trojan.DNSChanger) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AlfaDivx (Trojan.DNSChanger) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\AlfaDivx (Trojan.DNSChanger) -> No action taken.
C:\Users\alex\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AlfaDivx (Trojan.DNSChanger) -> No action taken.

Fichier(s) infecté(s):
C:\Program Files\AlfaDivx\Uninstall.exe (Trojan.DNSChanger) -> No action taken.
C:\Users\alex\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AlfaDivx\Uninstall.lnk (Trojan.DNSChanger) -> No action taken.
0
Réponse 12 / 24
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
12 août 2009 à 20:09
re,


* pour malwarebytes :

regarde le rapport que tu m'as posté :

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\AlfaDivx (Trojan.DNSChanger) -> No action taken.


alors soit tu n'as pas fait la suppresion comme demandé , soit tu ne m'as pas posté le bon rapport ( celui élaboré après la suppression > dans l'onglet "rapport/log"de Malwarebytes, le dernier en date )

Donc poste moi le bon rapport ... ou si tu t'es trompé , recommence le scan , fait bien la suppression à la fin et poste le rapport de suppression ....



* Pour le script de Combofix , il va falloire recommencer !

copie bien ce qui est en gras dans le doc txt que tu crées et sauvegarde le bien en le nommant
exactement ainsi CFScript ( à la lettre et la majuscule près ! )






j'attends donc ces nouveaux rapports .... ^^



0
Alexdansdanslavallée
12 août 2009 à 20:16
Désolé j'avais pas fais attention je t'avais envoyé le mauvais rapport..
Je refais ComboFix...



Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2551
Windows 6.0.6001 Service Pack 1

12/08/2009 19:56:56
mbam-log-2009-08-12 (19-56-56).txt

Type de recherche: Examen rapide
Eléments examinés: 80518
Temps écoulé: 2 minute(s), 11 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\AlfaDivx (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AlfaDivx (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\AlfaDivx (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\Users\alex\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AlfaDivx (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Program Files\AlfaDivx\Uninstall.exe (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\Users\alex\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AlfaDivx\Uninstall.lnk (Trojan.DNSChanger) -> Quarantined and deleted successfully.
0
Alexdansdanslavallée
12 août 2009 à 20:28
et le ComboFix:


ComboFix 09-08-10.06 - alex 12/08/2009 20:20.3.2 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.3326.2425 [GMT 1:00]
Running from: c:\users\alex\Desktop\CFix.exe
Command switches used :: c:\users\alex\Desktop\CFScript.txt
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

FILE ::
"c:\users\alex\AppData\Local\gnc.exe"
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\alex\AppData\Local\gnc.exe


.
((((((((((((((((((((((((( Files Created from 2009-07-12 to 2009-08-12 )))))))))))))))))))))))))))))))
.

2009-08-12 19:24 . 2009-08-12 19:24 -------- d-----w- c:\users\Public\AppData\Local\temp
2009-08-12 19:24 . 2009-08-12 19:24 -------- d-----w- c:\users\Default\AppData\Local\temp
2009-08-12 18:49 . 2009-08-12 18:49 -------- d-----w- c:\users\alex\AppData\Roaming\Malwarebytes
2009-08-12 17:14 . 2009-08-12 19:24 -------- d-----w- c:\users\alex\AppData\Local\temp
2009-08-12 16:47 . 2009-08-03 12:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-12 16:47 . 2009-08-12 16:56 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-08-12 16:47 . 2009-08-12 16:47 -------- d-----w- c:\progra~2\Malwarebytes
2009-08-12 16:47 . 2009-08-03 12:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-12 16:28 . 2009-08-12 16:28 -------- d-----w- c:\program files\CCleaner
2009-08-11 17:22 . 2009-08-11 17:22 -------- d-----w- c:\users\alex\AppData\Local\Ahead
2009-08-11 17:01 . 2009-08-11 17:04 -------- d-----w- C:\ToolBar SD
2009-08-11 16:46 . 2009-08-11 16:46 -------- d-----w- c:\program files\7-Zip
2009-08-11 16:35 . 2009-08-12 15:48 -------- d-----w- c:\program files\Navilog1
2009-08-11 16:22 . 2009-08-12 15:58 -------- d-----w- c:\program files\ZHPDiag
2009-08-06 20:09 . 2009-08-10 20:55 -------- d-----w- c:\users\alex\AppData\Roaming\dvdcss
2009-07-21 10:50 . 2009-07-21 10:50 -------- d-----w- c:\users\alex\AppData\Roaming\Nero
2009-07-18 15:25 . 2009-07-18 15:25 15240 ----a-w- c:\users\alex\AppData\Roaming\Microsoft\IdentityCRL\PROD\ppcrlconfig.dll
2009-07-18 11:26 . 2009-07-18 11:26 -------- d-----w- c:\users\Default\AppData\Local\Microsoft Help
2009-07-15 16:33 . 2009-07-15 17:09 -------- dcsh--w- c:\program files\Common Files\WindowsLiveInstaller
2009-07-15 16:33 . 2009-07-15 17:10 -------- d-----w- c:\program files\Windows Live
2009-07-15 16:33 . 2009-08-12 12:38 -------- d-----w- c:\progra~2\WLInstaller
2009-07-15 12:05 . 2009-06-15 15:24 156672 ----a-w- c:\windows\system32\t2embed.dll
2009-07-15 12:05 . 2009-06-15 15:20 72704 ----a-w- c:\windows\system32\fontsub.dll
2009-07-15 12:05 . 2009-06-15 15:20 10240 ----a-w- c:\windows\system32\dciman32.dll
2009-07-15 12:05 . 2009-06-15 12:52 289792 ----a-w- c:\windows\system32\atmfd.dll
2009-07-14 14:12 . 2009-07-14 14:12 -------- d-----w- c:\users\alex\AppData\Local\Apple Computer

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-12 19:03 . 2008-01-21 08:40 669328 ----a-w- c:\windows\system32\perfh00C.dat
2009-08-12 19:03 . 2008-01-21 08:40 123350 ----a-w- c:\windows\system32\perfc00C.dat
2009-08-12 17:00 . 2009-07-05 10:58 -------- d-----w- c:\users\alex\AppData\Roaming\Free Download Manager
2009-08-12 14:22 . 2009-07-05 17:05 -------- d-----w- c:\users\alex\AppData\Roaming\uTorrent
2009-08-11 14:44 . 2009-07-05 10:57 89 ----a-w- c:\users\alex\AppData\Local\saeqc.bat
2009-07-21 21:52 . 2009-07-29 12:35 915456 ----a-w- c:\windows\system32\wininet.dll
2009-07-21 21:47 . 2009-07-29 12:35 109056 ----a-w- c:\windows\system32\iesysprep.dll
2009-07-21 21:47 . 2009-07-29 12:35 71680 ----a-w- c:\windows\system32\iesetup.dll
2009-07-21 20:13 . 2009-07-29 12:35 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2009-07-18 11:27 . 2008-12-16 03:21 -------- d-----w- c:\progra~2\Microsoft Help
2009-07-16 12:26 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2009-07-16 12:26 . 2008-12-16 03:23 -------- d-----w- c:\program files\Microsoft Works
2009-07-14 17:46 . 2008-12-16 03:38 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-07-13 11:00 . 2009-07-13 11:00 -------- d-----w- c:\program files\QuickTime
2009-07-13 11:00 . 2009-07-13 11:00 -------- d-----w- c:\progra~2\Apple Computer
2009-07-13 10:58 . 2009-07-13 10:58 -------- d-----w- c:\program files\Apple Software Update
2009-07-13 10:58 . 2009-07-13 10:58 -------- d-----w- c:\progra~2\Apple
2009-07-10 11:59 . 2009-07-10 11:59 -------- d-----w- c:\progra~2\eMule
2009-07-10 11:59 . 2009-07-10 11:59 -------- d-----w- c:\program files\eMule
2009-07-09 13:40 . 2009-07-09 13:39 -------- d-----w- c:\progra~2\WinZip
2009-07-05 17:05 . 2009-07-05 17:05 -------- d-----w- c:\program files\uTorrent
2009-07-05 10:58 . 2009-07-05 10:57 -------- d-----w- c:\program files\Free Download Manager
2009-06-17 15:01 . 2009-06-17 15:01 0 ----a-w- c:\windows\nsreg.dat
2009-06-17 14:53 . 2009-06-17 14:53 -------- d-----w- c:\users\alex\AppData\Roaming\vlc
2009-06-17 14:52 . 2009-06-17 14:52 -------- d-----w- c:\program files\VideoLAN
2009-06-17 14:49 . 2009-06-17 14:48 -------- d-----w- c:\program files\SLD Codec Pack
2009-06-17 14:27 . 2008-12-16 03:46 -------- d-----w- c:\progra~2\Norton
2009-06-17 13:35 . 2009-01-13 16:07 -------- d-----w- c:\program files\Google
2009-06-17 11:51 . 2009-06-17 11:51 -------- d-----w- c:\program files\Alwil Software
2009-06-17 11:37 . 2009-06-17 11:37 -------- d-----w- c:\program files\MSXML 4.0
2009-06-10 17:20 . 2009-06-10 17:20 71256 ----a-w- c:\windows\system32\GDIPFONTCACHEV1.DAT
2009-06-10 17:12 . 2009-06-10 17:12 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-06-10 17:12 . 2009-06-10 17:12 8164 ----a-w- c:\windows\system32\ezdigsgn.dat
2009-06-10 17:12 . 2009-06-10 17:12 91136 ----a-w- c:\windows\system32\ezUninst.exe
2009-06-10 17:12 . 2009-06-10 17:12 49152 ----a-w- c:\windows\system32\ezUPBHook.dll
2009-06-10 17:12 . 2009-06-10 17:12 268288 ----a-w- c:\windows\system32\ezSetup.exe
2009-06-10 17:12 . 2009-06-10 17:12 15872 ----a-w- c:\windows\system32\ezMAPIHelper.exe
2009-06-10 17:12 . 2009-06-10 17:12 111104 ----a-w- c:\windows\system32\ezShellStart.exe
.

((((((((((((((((((((((((((((( SnapShot@2009-08-12_17.15.39 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-01-21 01:58 . 2009-08-12 18:59 50184 c:\windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2006-11-02 13:05 . 2009-08-12 18:59 82786 c:\windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
+ 2009-06-10 16:00 . 2009-08-12 19:18 16384 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2009-06-10 16:00 . 2009-08-12 17:07 16384 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2009-06-10 16:00 . 2009-08-12 17:07 32768 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2009-06-10 16:00 . 2009-08-12 19:18 32768 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2009-06-10 16:00 . 2009-08-12 19:18 16384 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2009-06-10 16:00 . 2009-08-12 17:07 16384 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-06-10 17:12 . 2009-08-12 18:59 9370 c:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1611080660-682729897-1662055390-1000_UserData.bin
+ 2009-08-12 18:58 . 2009-08-12 18:58 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2009-08-12 18:58 . 2009-08-12 18:58 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2006-11-02 10:33 . 2009-08-12 19:03 586980 c:\windows\System32\perfh009.dat
- 2006-11-02 10:33 . 2009-08-12 17:14 586980 c:\windows\System32\perfh009.dat
- 2006-11-02 10:33 . 2009-08-12 17:14 101052 c:\windows\System32\perfc009.dat
+ 2006-11-02 10:33 . 2009-08-12 19:03 101052 c:\windows\System32\perfc009.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmpcSys"="c:\program files\PACKARD BELL\SetUpMyPC\SmpSys.exe" [2008-07-07 1038136]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-06-10 68856]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" [2008-04-28 1828136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"SmpcSys"="c:\program files\Packard Bell\SetupMyPC\SmpSys.exe" [2008-07-07 1038136]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-11-12 13584928]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2009-01-13 24064]
"ANIWZCS2Service"="c:\program files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 49152]
"D-Link D-Link Wireless G DWA-110"="c:\program files\D-Link\D-Link Wireless G DWA-110\AirGCFG.exe" [2007-05-04 1662976]
"ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe" [2007-12-12 107248]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-05-26 413696]
"RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2008-03-26 5369856]

c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\Startup\
WinZip Quick Pick.lnk - c:\program files\WinZip\WZQKPICK.EXE [2009-1-20 525664]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~1\GoogleDesktopNetwork3.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{1D17A1B2-F82D-48D8-8765-1AF230282335}"= UDP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{F644351D-C165-468B-82A9-30066C4D89BB}"= TCP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{BF072197-A0A0-495C-B55A-48D48B918009}"= Disabled:UDP:c:\program files\Adobe\Photoshop Elements 6.0\AdobePhotoshopElementsMediaServer.exe:Adobe Photoshop Elements Media Server
"{6232EE71-1427-4311-8520-15799F0C8A7F}"= Disabled:TCP:c:\program files\Adobe\Photoshop Elements 6.0\AdobePhotoshopElementsMediaServer.exe:Adobe Photoshop Elements Media Server
"{D2F1FC60-DB0F-4F39-B545-8C695897917A}"= UDP:c:\program files\uTorrent\uTorrent.exe:µTorrent (TCP-In)
"{E244B63F-3859-4D47-91EF-03585D2D2DFE}"= TCP:c:\program files\uTorrent\uTorrent.exe:µTorrent (UDP-In)
"TCP Query User{90861CCB-C095-4167-A8A7-98463DC711DC}c:\\program files\\emule\\emule.exe"= UDP:c:\program files\emule\emule.exe:eMule
"UDP Query User{4E67FFBF-4AF8-4830-B8CB-332C77EFB583}c:\\program files\\emule\\emule.exe"= TCP:c:\program files\emule\emule.exe:eMule
"{CE73B193-3F9A-46CE-BC32-C2DF00987E48}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"c:\\Program Files\\OrangeHSS\\Connectivity\\ConnectivityManager.exe"= c:\program files\OrangeHSS\Connectivity\ConnectivityManager.exe:*:enabled:CSS

R1 aswSP;avast! Self Protection;c:\windows\System32\drivers\aswSP.sys [17/06/2009 12:51 114768]
R2 AdobeActiveFileMonitor6.0;Adobe Active File Monitor V6;c:\program files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe [11/09/2007 00:45 124832]
R2 aswFsBlk;aswFsBlk;c:\windows\System32\drivers\aswFsBlk.sys [17/06/2009 12:51 20560]
R2 aswMonFlt;aswMonFlt;c:\windows\System32\drivers\aswMonFlt.sys [17/06/2009 12:51 51792]
R2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe -k netsvcs [21/01/2008 03:23 21504]
S3 GoogleDesktopManager-080708-050100;Google Desktop Manager 5.7.808.7150;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [13/01/2009 17:07 24064]
S3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\System32\drivers\PCAMp50.sys [11/06/2009 19:22 28224]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ezSharedSvc

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\System32\rundll32.exe" "c:\windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Supplementary Scan -------
.
mWindow Title =
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Tout télécharger avec Free Download Manager - file://c:\program files\Free Download Manager\dlall.htm
IE: Télécharger avec Free Download Manager - file://c:\program files\Free Download Manager\dllink.htm
IE: Télécharger la sélection avec Free Download Manager - file://c:\program files\Free Download Manager\dlselected.htm
IE: Télécharger la vidéo avec Free Download Manager - file://c:\program files\Free Download Manager\dlfvideo.htm
Trusted Zone: mappy.com
Trusted Zone: orange.fr
Trusted Zone: weborama.fr\orange
FF - ProfilePath - c:\users\alex\AppData\Roaming\Mozilla\Firefox\Profiles\ni3zke6m.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=
FF - component: c:\program files\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll
FF - component: c:\programdata\Google\Toolbar for Firefox\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
FF - component: c:\programdata\Google\Toolbar for Firefox\{3112ca9c-de6d-4884-a869-9855de68056c}\components\metricsloader.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-12 20:24
Windows 6.0.6001 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2009-08-12 20:25
ComboFix-quarantined-files.txt 2009-08-12 19:25
ComboFix2.txt 2009-08-12 18:43
ComboFix3.txt 2009-08-12 17:18

Pre-Run: 440 383 053 824 octets libres
Post-Run: 440 349 380 608 octets libres

198 --- E O F --- 2009-08-11 12:29
0
Réponse 13 / 24
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
12 août 2009 à 20:31
impec ! ....


Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

0
Réponse 14 / 24
Alexdansdanslavallée
12 août 2009 à 20:53
Le lien cijoint:

http://www.cijoint.fr/cjlink.php?file=cj200908/cijk9Aa48G.txt
0
Réponse 15 / 24
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
12 août 2009 à 21:02
bien .... bon travail ... on a bien avancé ...


la suite dans l'ordre :



1- analyse ce qui suit sur VirusTotal stp :


C:\Windows\system32\EZUPBH~1.DLL


poste le rapport obtenu pour contrôle ....


===============

2- Télécharge GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
http://www.genproc.com/GenProc.exe

!! ferme tes applications en cours !!


* clique droit / " executer entant qu'admin..." sur GenProc.exe pour lancer le scan et laisse faire...

* A la question "faites vous aidez sur un forum..." > clique sur " oui " .

-> poste le contenu du rapport qui s'ouvre ...


Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .


0
Alexdansdanslavallée
12 août 2009 à 21:12
Voila le rapport virus total pour C:\Windows\system32\EZUPBHOOK.DLL
Je telecharge GenProc....



Fichier ezUPBHook.dll reçu le 2009.08.12 19:17:56 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/41 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.12 -
AhnLab-V3 5.0.0.2 2009.08.12 -
AntiVir 7.9.1.1 2009.08.12 -
Antiy-AVL 2.0.3.7 2009.08.12 -
Authentium 5.1.2.4 2009.08.12 -
Avast 4.8.1335.0 2009.08.12 -
AVG 8.5.0.406 2009.08.12 -
BitDefender 7.2 2009.08.12 -
CAT-QuickHeal 10.00 2009.08.12 -
ClamAV 0.94.1 2009.08.12 -
Comodo 1957 2009.08.12 -
DrWeb 5.0.0.12182 2009.08.12 -
eSafe 7.0.17.0 2009.08.11 -
eTrust-Vet 31.6.6673 2009.08.12 -
F-Prot 4.4.4.56 2009.08.12 -
F-Secure 8.0.14470.0 2009.08.12 -
Fortinet 3.120.0.0 2009.08.12 -
GData 19 2009.08.12 -
Ikarus T3.1.1.64.0 2009.08.12 -
Jiangmin 11.0.800 2009.08.12 -
K7AntiVirus 7.10.817 2009.08.12 -
Kaspersky 7.0.0.125 2009.08.12 -
McAfee 5707 2009.08.12 -
McAfee+Artemis 5707 2009.08.12 -
McAfee-GW-Edition 6.8.5 2009.08.12 -
Microsoft 1.4903 2009.08.12 -
NOD32 4330 2009.08.12 -
Norman 6.01.09 2009.08.12 -
nProtect 2009.1.8.0 2009.08.12 -
Panda 10.0.0.14 2009.08.12 -
PCTools 4.4.2.0 2009.08.12 -
Prevx 3.0 2009.08.12 -
Rising 21.42.23.00 2009.08.12 -
Sophos 4.44.0 2009.08.12 -
Sunbelt 3.2.1858.2 2009.08.12 -
Symantec 1.4.4.12 2009.08.12 -
TheHacker 6.3.4.3.381 2009.08.11 -
TrendMicro 8.950.0.1094 2009.08.12 -
VBA32 3.12.10.9 2009.08.12 -
ViRobot 2009.8.12.1881 2009.08.12 -
VirusBuster 4.6.5.0 2009.08.12 -
Information additionnelle
File size: 49152 bytes
MD5...: 58d3fd2d16d6591ccb3448b4d899f247
SHA1..: 5354c6659a6f095b85cfcb6cadd975dc282102c1
SHA256: c815a1f6f6663b72cae6b6d418d68ac60293220f97f1f84f9cc32ca246496a5b
ssdeep: 768:frbkCehr0FHjZ2vj3xHGQoymUq1BvQg4XvES+64qoD9b/:frbkFh4FDdWq1a
g4X8SvboD9b/
PEiD..: -
TrID..: File type identification
DirectShow filter (52.6%)
Windows OCX File (32.2%)
Win32 Executable MS Visual C++ (generic) (9.8%)
Win32 Executable Generic (2.2%)
Win32 Dynamic Link Library (generic) (1.9%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3844
timedatestamp.....: 0x42068810 (Sun Feb 06 21:11:44 2005)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5c1e 0x6000 6.41 34e23ec17556b939bf89d30db154c549
.rdata 0x7000 0x17e6 0x2000 4.37 c235f30c795c1da92a4b8ec7ff42d5c7
.data 0x9000 0x13bc 0x1000 2.98 2de557ede19b4bfea5054fbea2f9e1e3
.rsrc 0xb000 0x1000 0x1000 4.40 4a4f7b086a211555c36e237864ede013
.reloc 0xc000 0xfce 0x1000 3.80 db2b111e566689988cb163440ff8c907

( 5 imports )
> KERNEL32.dll: InterlockedDecrement, LoadLibraryA, lstrcatA, GetTempPathA, GetCurrentDirectoryA, GetSystemDirectoryA, GetWindowsDirectoryA, lstrlenA, lstrcpyA, GetTickCount, lstrcmpiA, GetPrivateProfileStringA, WritePrivateProfileStructA, FileTimeToSystemTime, CompareFileTime, GetPrivateProfileStructA, GetSystemTimeAsFileTime, GetPrivateProfileIntA, FreeLibrary, GetProcAddress, CreateProcessA, lstrlenW, MultiByteToWideChar, GetShortPathNameA, GetModuleFileNameA, WideCharToMultiByte, SizeofResource, LoadResource, FindResourceA, GetLastError, LoadLibraryExA, lstrcpynA, IsDBCSLeadByte, HeapDestroy, DebugBreak, HeapReAlloc, HeapFree, EnterCriticalSection, InterlockedIncrement, LeaveCriticalSection, DeleteCriticalSection, InitializeCriticalSection, HeapCreate, GetSystemInfo, ResumeThread, CloseHandle, DisableThreadLibraryCalls, IsBadWritePtr, HeapAlloc, GetACP, WriteFile, RtlUnwind, GetCurrentThreadId, TlsSetValue, SetLastError, TlsGetValue, LCMapStringA, LCMapStringW, ExitProcess, SetUnhandledExceptionFilter, IsBadReadPtr, IsBadCodePtr, GetOEMCP, GetStringTypeW, GetCPInfo, GetStringTypeA, TerminateProcess, GetCurrentProcess, GetStdHandle
> USER32.dll: MessageBeep, CharNextA
> ADVAPI32.dll: RegEnumKeyExA, RegDeleteValueA, RegCreateKeyExA, RegDeleteKeyA, RegOpenKeyExA, RegQueryValueExA, RegCloseKey, RegSetValueExA, RegQueryInfoKeyA, RegEnumValueA
> ole32.dll: CoCreateInstance, CoTaskMemRealloc, CoTaskMemAlloc, CoTaskMemFree
> OLEAUT32.dll: -, -, -, -, -

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
PDFiD.: -
RDS...: NSRL Reference Data Set
-
0
Alexdansdanslavallée
12 août 2009 à 21:16
Et voila le GenProc:



Rapport GenProc 2.613 [1] - 12/08/2009 à 21:14:49
@ Windows Vista Service Pack 1 - Mode normal
@ Mozilla Firefox (3.0.13) [Navigateur par défaut]

~~ "C:\Windows\sed.exe" a été renommé sed.exe_RenameGenProc ~~
~~ "C:\Windows\grep.exe" a été renommé grep.exe_RenameGenProc ~~

GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante :


Poste un rapport Nod32 https://www.eset.com/ (il faut utiliser Internet Explorer)
- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :
C:\Program Files\EsetOnlineScanner\log.txt




~~~~ INFORMATION COMPLEMENTAIRE ~~~~


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:15:48, on 12/08/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\PACKARD BELL\SetUpMyPC\SmpSys.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Program Files\D-Link\D-Link Wireless G DWA-110\AirGCFG.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\Explorer.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Genproc\outil\alex_GenProc.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SmpcSys] C:\Program Files\Packard Bell\SetupMyPC\SmpSys.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [D-Link D-Link Wireless G DWA-110] C:\Program Files\D-Link\D-Link Wireless G DWA-110\AirGCFG.exe
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [SmpcSys] C:\Program Files\PACKARD BELL\SetUpMyPC\SmpSys.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O13 - Gopher Prefix:
O15 - Trusted Zone: http://*.mappy.com
O15 - Trusted Zone: http://*.orange.fr
O15 - Trusted Zone: http://orange.weborama.fr
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GoogleDesktopNetwork3.dll
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Packard Bell Services - C:\Windows\SYSTEM32\HidService.exe
O23 - Service: Google Desktop Manager 5.7.808.7150 (GoogleDesktopManager-080708-050100) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
0
Réponse 16 / 24
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
12 août 2009 à 21:28
bien ...


reste encore le prb du program "Favorit" ....



fais ceci pour voir :


1- Utilsation de l'outil ZHPFix :

Rends dans ce répertoire > C:\Program files\ZHPDiag

* Là tu double-cliques sur "ZHPFix.exe" .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal ( qui est vierge ), copie/colle ce qui est en citation ci-dessous ( et rien d'autre ! ) :


O42 - Logiciel: Favorit


Vérifie bien que la ligne que je t'ai demandé de copier (et seulement elle) est dans la fenêtre.

* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )

Pense à réactiver tes défenses !...





0
Alexdansdanslavallée
12 août 2009 à 21:35
voila le rapport:



ZHPFix v1.12.05 by Nicolas Coolman - Rapport de suppression du 12/08/2009 21:33:38
Fichier Registre :
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
(Néant)

Logiciel :
O42 - Logiciel: Favorit => Software not found

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 0
Logiciel : 1
Autre : 0



End of the scan
0
Réponse 17 / 24
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
12 août 2009 à 21:51
bon ....


fais ce qui suit dans l'ordre :


( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )


1-Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://pc-system.fr/

Déconnecte toi et ferme bien toutes tes applications en cours .

Clique droit sur le prg et choisis "éxécuter en tant que Administrateur"

*Clique sur Recherche et laisse le scan se terminer (cela peut être long).
*Clique sur Suppression pour finaliser.
*Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
--> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt .

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé .

( garde CCleaner et Malwarebytes : très utiles ! )

=====================

2- Refais un coup de CCleaner ( registre compris ) .

=====================

3- Retélécharge et réinstalle hijackthis ( car supprimé par Toolscleaner2 ) ,

Télécharge et installe le logiciel HijackThis :

ici https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment )

=====================

4- Important :
Purge de la restauration système
-->Désactive ta restauration :
Dans démarrer, clique droit sur ordinateur/propriétés/protection du système : décoche la case devant ton disk dur maitre ( pour toi -> C ) , valide, applique et OK
Redémarre ton PC ...

-->Réactive ta restauration :
Clique droit sur ordinateur/propriétés/protection du système : coche la case devant ton disk dur maitre , valide, applique et OK
Redémarre ton PC ...

( tuto : https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista )

=====================

5- Fais ce scan en ligne pour vérifier :

( ne rien faire d'autre avec le PC durant le scan ! )

Fais un scan en ligne avec " Panda " :

https://www.pandasecurity.com/?ref=www.pandasoftware.com/products/activescan

tuto :
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId237368


poste moi le rapport obtenu pour analyse ...


0
Alexdansdanslavallée
12 août 2009 à 21:56
Bon par contre désolé mais demain, je travaille très tôt... Je dois aller me coucher, donc je crois qu'il va falloir remettre ces étapes a plus tard...
Déjà un grand merci pour tout ce que tu a fais!!!
Et a plus tard si tu n'y vois pas d'inconvénients.
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463 > Alexdansdanslavallée
12 août 2009 à 22:03
no problemo ....


à demain pour les résultats de cette manipe ....

0
Alexdansdanslavallée > sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012
13 août 2009 à 15:19
Bonjour, bonjour!!!!
ça y est je suis de retour....
Bon j'ai lancé Toolscleaner mais dans le rapport il me dit: C:\Genproc\Page\GenProc[*].html: ERREUR DE SUPPRESSION !!
Je sais pas si c'est normal??? voila le rapport au cas ou...
Je poursuis avec Ccleaner....



C:\TB.txt: trouvé !
C:\GenProc: trouvé !
C:\Qoobox: trouvé !
C:\Toolbar SD: trouvé !
C:\Genproc\outil\hijackthis.log: trouvé !
C:\Genproc\outil\mbr.exe: trouvé !
C:\Genproc\Page\GenProc[*].html: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files\Navilog1\Navilog1.bat: trouvé !
C:\Program Files\Navilog1\catchme.exe: trouvé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\Users\alex\AppData\Local\VirtualStore\Program Files\ZHPDiag: trouvé !
C:\Users\alex\Desktop\Navilog1.exe: trouvé !
C:\Users\alex\Desktop\ToolBarSD.exe: trouvé !
C:\Users\alex\Desktop\hijackthis.log: trouvé !
C:\Users\alex\Downloads\Genproc.exe: trouvé !

---------------------------------
--> Suppression:

C:\Program Files\Navilog1\Navilog1.bat: supprimé !
C:\Program Files\Navilog1\catchme.exe: supprimé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
C:\Users\alex\Desktop\Navilog1.exe: supprimé !
C:\Users\alex\Desktop\ToolBarSD.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\cleannavi.txt: supprimé !
C:\TB.txt: supprimé !
C:\Genproc\outil\hijackthis.log: supprimé !
C:\Genproc\outil\mbr.exe: supprimé !
C:\Genproc\Page\GenProc[*].html: ERREUR DE SUPPRESSION !!
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\Users\alex\Desktop\hijackthis.log: supprimé !
C:\Users\alex\Downloads\Genproc.exe: supprimé !
C:\GenProc: supprimé !
C:\Qoobox: supprimé !
C:\Toolbar SD: supprimé !
C:\Program Files\Navilog1: supprimé !
C:\Program Files\ZHPDiag: supprimé !
C:\Users\alex\AppData\Local\VirtualStore\Program Files\ZHPDiag: supprimé !
0
Réponse 18 / 24
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
13 août 2009 à 15:22
salut,


pas grave pour ce message d'erreur ... la suppression à tout de même eu lieu ...


continue la manipe ... ;)


0
Alexdansdanslavallée
13 août 2009 à 16:21
Bon, c'est bon j'ai fait les étapes 2, 3, 4... je t'envoie le rapport de Panda:




;***********************************************************************************************************************************************************************************
ANALYSIS: 2009-08-13 16:18:56
PROTECTIONS: 1
MALWARE: 1
SUSPECTS: 1
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
Windows Defender 1.1.1505.0 No Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00049258 Trj/Deldir.A Virus/Trojan No 1 Yes No C:\Windows\System32\OEM\CLEANUP.CMD
;===================================================================================================================================================================================
SUSPECTS
Sent Location �ФQ`�� �9
;===================================================================================================================================================================================
No C:\Program Files\Free Download Manager\uninst.exe �ФQ`�� �9
;===================================================================================================================================================================================
VULNERABILITIES
Id Severity Description �ФQ`�� �9
;===================================================================================================================================================================================
;===================================================================================================================================================================================
0
Réponse 19 / 24
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
13 août 2009 à 17:05
re,


analyse ce fichier sur VirusTotal stp :

C:\Windows\System32\OEM\CLEANUP.CMD


poste le rapport obtenu et attends la suite ....
0
Alexdansdanslavallée
13 août 2009 à 17:14
Fichier CLEANUP.CMD reçu le 2009.08.13 15:19:08 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 1/40 (2.5%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.13 -
AhnLab-V3 5.0.0.2 2009.08.13 -
AntiVir 7.9.1.1 2009.08.13 -
Antiy-AVL 2.0.3.7 2009.08.13 -
Authentium 5.1.2.4 2009.08.13 -
Avast 4.8.1335.0 2009.08.12 -
AVG 8.5.0.406 2009.08.13 -
BitDefender 7.2 2009.08.13 -
CAT-QuickHeal 10.00 2009.08.13 -
ClamAV 0.94.1 2009.08.13 -
Comodo 1966 2009.08.13 -
DrWeb 5.0.0.12182 2009.08.13 -
eSafe 7.0.17.0 2009.08.13 -
eTrust-Vet 31.6.6675 2009.08.13 -
F-Prot 4.4.4.56 2009.08.13 -
F-Secure 8.0.14470.0 2009.08.13 -
Fortinet 3.120.0.0 2009.08.13 -
GData 19 2009.08.13 -
Ikarus T3.1.1.64.0 2009.08.13 -
Jiangmin 11.0.800 2009.08.13 -
K7AntiVirus 7.10.817 2009.08.12 -
Kaspersky 7.0.0.125 2009.08.13 -
McAfee 5707 2009.08.12 -
McAfee+Artemis 5707 2009.08.12 -
McAfee-GW-Edition 6.8.5 2009.08.13 -
Microsoft 1.4903 2009.08.13 -
Norman 6.01.09 2009.08.13 -
nProtect 2009.1.8.0 2009.08.13 -
Panda 10.0.0.14 2009.08.12 Trj/Deldir.A
PCTools 4.4.2.0 2009.08.12 -
Prevx 3.0 2009.08.13 -
Rising 21.42.34.00 2009.08.13 -
Sophos 4.44.0 2009.08.13 -
Sunbelt 3.2.1858.2 2009.08.13 -
Symantec 1.4.4.12 2009.08.13 -
TheHacker 6.3.4.3.383 2009.08.13 -
TrendMicro 8.950.0.1094 2009.08.13 -
VBA32 3.12.10.9 2009.08.13 -
ViRobot 2009.8.13.1883 2009.08.13 -
VirusBuster 4.6.5.0 2009.08.13 -
Information additionnelle
File size: 1551 bytes
MD5...: d17ffe5b879ef3d4818d99c69d68d832
SHA1..: a12924fcf845fcaec09328a42bb2d8f420386336
SHA256: e9e1b449483a60b98618118f02f766535d89a01d247fe05e12523e1c94043656
ssdeep: 48:0o+LXtvX8g8C8Dg8C8zh878Dh878GcTBcpca6pE3B:0o+2g8C8Dg8C8zh878D
h878/0
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set
-
0
Réponse 20 / 24
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
13 août 2009 à 17:22
bien ....c'est un "Faux Positif" ....



on finalise .... dans l'ordre :


1- télécharge et installe la dernière version de la console Java ici > https://www.java.com/fr/


==============

2- Mets à jours ce qui suit, c'est important ( des versions pas à jours = failles de sécurité ) :

Version Adobe Reader à jour > v 9.1.3

* Adobe Reader :
-> désinstalle avant l'ancienne version via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .
-> Note : si tu as une imprimante ,éteinds la et débranche la du PC avant de faire la mise à jour.
-> télécharge et installe la dernière version ici :
https://www.commentcamarche.net/telecharger/bureautique/2625-adobe-reader/


===============

3- Fais une mise à jours de ton Système via panneau de config / "Windows Update" :
-> fais toutes les mises à jours disponibles, surtout les dites "critiques" et "importantes" ( Vista SP2 , ect ... ).
-> tu les télécharges , puis une fois celles-ci téléchargées , lance les installations ( il te sera surement demandé de redémarrer le PC pour finir les installes ...).

Astuce ici :
https://www.commentcamarche.net/faq/273-windows-update-toutes-versions

Note :
ferme toutes applications en cours et ne fais rien d'autre avec le PC lors de la mise à jour du système .


=================

4- une fois tout ceci fait , utilise Hijackthis :

tuto pour utilisation :
Regarde ici, c'est parfaitement expliqué en images (merci balltrap34),
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
( Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement )

> !! Déconnecte toi et ferme toutes tes applications en cours !!

Clique sur le raccourci du bureau pour lancer le prg :
fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile"

---> Poste le rapport généré pour analyse ...

0
Alexdansdanslavallée
13 août 2009 à 17:53
Bon ça y est...
Voila le rapport Hijackthis:



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:52:14, on 13/08/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\PACKARD BELL\SetUpMyPC\SmpSys.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Program Files\D-Link\D-Link Wireless G DWA-110\AirGCFG.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SmpcSys] C:\Program Files\Packard Bell\SetupMyPC\SmpSys.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [D-Link D-Link Wireless G DWA-110] C:\Program Files\D-Link\D-Link Wireless G DWA-110\AirGCFG.exe
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [SmpcSys] C:\Program Files\PACKARD BELL\SetUpMyPC\SmpSys.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O13 - Gopher Prefix:
O15 - Trusted Zone: http://*.mappy.com
O15 - Trusted Zone: http://*.orange.fr
O15 - Trusted Zone: http://orange.weborama.fr
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GoogleDesktopNetwork3.dll
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Packard Bell Services - C:\Windows\SYSTEM32\HidService.exe
O23 - Service: Google Desktop Manager 5.7.808.7150 (GoogleDesktopManager-080708-050100) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
0
Alexdansdanslavallée
13 août 2009 à 18:13
Bon je viens de voir que j'avais pas mis a jour Vista SP2.... donc je fais la mise a jour et je poste Hijackthis, non??
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463 > Alexdansdanslavallée
13 août 2009 à 18:18
yes .... ^^


0

Discussions similaires

lancer un script sh
user -
Un utilisateur novice -

7 réponses
impossible de lancer l'application ce-30005-8 ps4
Walidkaddan_benattia -
kaly -

3 réponses
executer un fichier .py sous linux
lecameleon -
Pierrecastor -

10 réponses
Impossible de lancer une application java....
doudou -
ecu03 -

5 réponses
Problème replay "MYTF1" visionage vidéos
liliinfo06 -
Sandrine -

1 réponse