virus : blocage d'avast antivirusRésolu/Fermé

Question

Bonjour,
J'ai un virus sur mon Pc, peut être de type "sircam". Il me bloque mon antivirus, impossible de le réinstaller.
Vous avez une solution. 
Merci d'avance

sKe69 · Answer

Salut,


fais ceci pour voir de quoi il retourne exactement :


Télécharge ZHPDiag de Nicolas Coolman sur ton bureau :

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


!! déconnecte toi et ferme toutes tes applications en cours !! 

> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir un raccourci ) . 

> Lance ZHPDiag depuis le raccouci du bureau .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite ( celui avec la clé et le tournevis ) .

Une liste apparait dans l'encadré principal > clique en bas sur le bouton " Tous " et décoche la ligne 061 ( important ! ) .

> Puis clique sur le bouton de "la loupe" pour lancer le scan .


Laisses travailler l'outil ...


> Une fois terminé , le rapport s'affiche : clique sur bouton "appareil photo" pour sauvegarder le rapport obtenu ...

Enregistres bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

( Sinon rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )

Puis ferme le programme ...


> rends toi ensuite sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....

zeeonlyone · Answer

Merci pour votre aide, voici le lien du rapport 

http://www.cijoint.fr/cjlink.php?file=cj200908/cijSCksPHT.txt

sKe69 · Answer

Re,


plusieurs infections ! ... dont Bagle ! ...


/!\ N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
Si tu as un quelconque prb n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ) .
Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .



fais ce qui suit dans l'ordre pour commencer :



1- Télécharge ToolBar S&D ( de Eric_71/Team IDN ) sur ton bureau  :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

( Tuto : https://sites.google.com/site/toolbarsd/aideenimages )

!! Déconnecte toi et ferme toutes tes applications en cours le temps de la manipe !! 

* Double-clique sur ToolBar SD.exe pour lancer l'outil et laisse toi guider ...  
--> Tapes directement sur 2 ( option " suppression " ) puis tape sur [Entrée]. 

Le nettoyage commence .

! ne touche à rien lors de la suppression ! 

Un rapport sera généré à la fin du processus : poste son contenu dans ta prochaine réponse
pour analyse et fait la suite ... 

( le rapport est en outre sauvegardé ici -> C:\TB.txt )


================

2-IMPORTANT : 
je rappelle que bagle est amené par un crack et qu'il se relance dès que tu te sers de celui ci; même si tu ne sers pas, il peut se relancer de lui même au démarrage de ton PC . En claire : 
Essaye surtout de te rappeler si récemment tu n'as pas cliquer sur un "patch" ou un "keygen" pour installer un logiciel, un jeu cracké ou avoir une version complète d'un soft , et qu'il ne se soit rien passé de particulier ... C'est la que les bagles s'infiltrent ! Si tu retrouves ce crack en particulier ,scratch tout ( le crack, le soft ou encore les zip concernés). Si tu ne te rappelles plus trop , je te conseille fortement de supprimer tous les cracks qui sont sur ton PC ... ;)



3- Télécharge FindyKill ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :

> http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

 Si tu as le prg Elibagla sur ton PC , supprime le ( risque de conflit entre les deux outils ) .


! Déconnecte toi d'internet, désactives ton antivirus et ferme toutes applications en cours !

--> Double-clique sur l' .exe pour lancer l'installation de l'outil ( ne touche pas aux paramètres d'installe ) .


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) . 


# Double clique sur le raccourci FindyKill présent sur ton bureau pour lancer l'outil.

( sur la 1er fenêtre , tapes f puis [entrèe] pour la version en français ). 

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport FindyKill.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\FindyKill.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 


Note : 
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/findykill.html

zeeonlyone · Answer

Voici le premier rapport, je fais le suite de vos instructions -----------\ ToolBar S&D 1.2.8 XP/Vista Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2 X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz ) BIOS : BIOS Date: 10/30/07 20:44:12 Ver: 08.00.12 USER : Propriétaire ( Administrator ) BOOT : Normal boot A:\ (USB) C:\ (Local Disk) - NTFS - Total:298 Go (Free:248 Go) D:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go) E:\ (Local Disk) - NTFS - Total:279 Go (Free:56 Go) F:\ (Local Disk) - NTFS - Total:465 Go (Free:341 Go) G:\ (CD or DVD) "C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 ) Option : [2] ( 2009-08-13|14:59 ) C:\WINDOWS\iun6002.exe -----------\ SUPPRESSION Supprime! - C:\DOCUME~1\PROPRI~1\APPLIC~1\Search Settings\kb127 Supprime! - C:\Program Files\Search Settings\kb127 Supprime! - C:\Program Files\Search Settings\SearchSettings.exe Supprime! - C:\WINDOWS\iun6002.exe Supprime! - C:\DOCUME~1\PROPRI~1\APPLIC~1\Search Settings Supprime! - C:\Program Files\Search Settings -----------\ Recherche de Fichiers / Dossiers ... -----------\ Extensions (Propriétaire) - {33A8946C-B859-4f7d-8382-ADAB29623DEE} => chrome (Propriétaire) - {b9db16a4-6edc-47ec-a1f4-b86292ed211d} => dwhelper -----------\ [..\Internet Explorer\Main] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Local Page"="C:\WINDOWS\system32\blank.htm" "Start Page"="http://lo.st#" "Search Page"="https://www.google.com/?gws_rd=ssl" "Search Bar"="http://www.google.com/toolbar/ie8/sidebar.html" "Default_Search_URL"="http://www.google.com/toolbar/ie8/sidebar.html" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome" "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" "Start Page"="https://www.msn.com/fr-fr/" "Search Bar"="https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchasst.htm" --------------------\ Recherche d'autres infections C:\WINDOWS\system32\MTttCcdd.ini C:\WINDOWS\system32\MTttCcdd.ini2 C:\WINDOWS\system32\opWycccf.ini C:\WINDOWS\system32\opWycccf.ini2 [b]==> VUNDO <==/b C:\WINDOWS\system32\ban_list.txt C:\WINDOWS\system32\drivers\down [b]==> BAGLE <==/b --------------------\ Cracks & Keygens .. C:\DOCUME~1\PROPRI~1\Application Data\uTorrent\Applied.Acoustics.Lounge.Lizard.VSTi.DXi.RTAS.v3.10.Incl.Keygen-AiR.torrent C:\DOCUME~1\PROPRI~1\Application Data\uTorrent\Arturia.Arp2600.V.VSTi.RTAS.v1.2.incl.Keygen.torrent C:\DOCUME~1\PROPRI~1\Application Data\uTorrent\Cubase Studio 4 iso mac-pc -no crack-.torrent C:\DOCUME~1\PROPRI~1\Application Data\uTorrent\D16.Devastor.VST.v1.0.Incl.Keygen-AiR.1.torrent C:\DOCUME~1\PROPRI~1\Application Data\uTorrent\D16.Devastor.VST.v1.0.Incl.Keygen-AiR.2.torrent C:\DOCUME~1\PROPRI~1\Application Data\uTorrent\D16.Devastor.VST.v1.0.Incl.Keygen-AiR.torrent C:\DOCUME~1\PROPRI~1\Application Data\uTorrent\D16.Group.Collection.VST.VSTi.Incl.Keygen-AiR.torrent C:\DOCUME~1\PROPRI~1\Application Data\uTorrent\D16.Group.Decimort.VST.v1.0.Incl.Keygen-AiR.torrent C:\DOCUME~1\PROPRI~1\Application Data\uTorrent\D16.Group.Fazortan.VST.v1.0.Incl.Keygen-AiR.1.torrent C:\DOCUME~1\PROPRI~1\Application Data\uTorrent\D16.Group.Fazortan.VST.v1.0.Incl.Keygen-AiR.2.torrent C:\DOCUME~1\PROPRI~1\Application Data\uTorrent\D16.Group.Fazortan.VST.v1.0.Incl.Keygen-AiR.3.torrent C:\DOCUME~1\PROPRI~1\Application Data\uTorrent\D16.Group.Fazortan.VST.v1.0.Incl.Keygen-AiR.torrent C:\DOCUME~1\PROPRI~1\Application Data\uTorrent\D16.Group.Nithonat.VSTi.v1.0.3.Incl.Keygen-AiR.torrent C:\DOCUME~1\PROPRI~1\Application Data\uTorrent\D16.Group.Redoptor.VST.v1.0.Incl.Keygen-AiR.torrent C:\DOCUME~1\PROPRI~1\Application Data\uTorrent\D16_Devastor_1.0+KeyGen_AU_VST_MACOSX_UB(AIR).zip.torrent C:\DOCUME~1\PROPRI~1\Application Data\uTorrent\Devine.Machine.Lucifer.VST.v2.1.incl.Keygen-AiR.torrent C:\DOCUME~1\PROPRI~1\Application Data\uTorrent\GForce.The.Oddity.VSTi.RTAS.v1.15.incl.Keygen-AiR.torrent C:\DOCUME~1\PROPRI~1\Application Data\uTorrent\IK.Multimedia.Ampeg.SVX.VST.RTAS.v1.1.1.incl.Keygen-AiR.torrent C:\DOCUME~1\PROPRI~1\Application Data\uTorrent\IK.Multimedia.AmpliTube.VST.RTAS.v2.1.2.incl.Keygen-AiR.torrent C:\DOCUME~1\PROPRI~1\Application Data\uTorrent\IK.Multimedia.Amplitube.VST.RTAS.v2.1.2b.Incl.Keygen-AiR.torrent C:\DOCUME~1\PROPRI~1\Application Data\uTorrent\IK.Multimedia.T-RackS.Deluxe.v.3.1.1.VST.RTAS.Incl.KeyGen-DYNAMiCS.torrent C:\DOCUME~1\PROPRI~1\Application Data\uTorrent\IK.Multimedia.T-Racks.Deluxe.VST.RTAS.v3.0.1.Incl.Keygen-AiR.torrent C:\DOCUME~1\PROPRI~1\Application Data\uTorrent\IK.Multimedia.T-Racks.Deluxe.VST.RTAS.v3.0.1b.Incl.Keygen-AiR.torrent C:\DOCUME~1\PROPRI~1\Application Data\uTorrent\QuikQuak.RaySpace.VST.v2.90.incl.Keygen-AiR.torrent C:\DOCUME~1\PROPRI~1\Application Data\uTorrent\QuikQuak.RaySpace.VST.v2.91.incl.KeyGen.WIN-NEMESiS.torrent C:\DOCUME~1\PROPRI~1\Application Data\uTorrent\Rob.Papen.Predator.VSTi.v1.1.Incl.Keygen-AiR.rar.torrent C:\DOCUME~1\PROPRI~1\Application Data\uTorrent\Sonalksis.All.Plugins.Bundle.VST.DX.RTAS.v3.0.0.Incl.Keygen-AiR.rar.torrent C:\DOCUME~1\PROPRI~1\Application Data\uTorrent\WavePurity.Professional.v6.40.Incl.Keygen-Lz0.torrent C:\DOCUME~1\PROPRI~1\Application Data\uTorrent\WavePurity.RIAA.Plugin.v6.40.Incl.Keygen-Lz0.torrent C:\DOCUME~1\PROPRI~1\Application Data\uTorrent\[VSTi] Spectrasonics Trilogy Keygen.zip.torrent C:\DOCUME~1\PROPRI~1\Mes documents\Ableton\Live8Library\Presets\Audio Effects\Vinyl Distortion\Crack.adv C:\DOCUME~1\ALLUSE~1\Application Data\AraldFX\DKS\Random\Noise crack.xml C:\DOCUME~1\ALLUSE~1\Menu Démarrer\Programmes\VST\Native Instruments\Kontakt\Keygen.lnk 1 - "C:\ToolBar SD\TB_1.txt" - 2009-08-13|15:06 - Option : [2] -----------\ Fin du rapport a 15:06:23.06

zeeonlyone · Answer

voici le deuxieme rapport

############################## | FindyKill V5.005 |

# User : Propriétaire (Administrateurs) # BUREAU1
# Update on 27/07/09 by Chiquitine29
# Start at: 15:11:46 | 2009-08-13
# Website : http://pagesperso-orange.fr/NosTools/index.html

# Intel(R) Core(TM)2 Duo CPU     E6750  @ 2.66GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Enabled

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 298.09 Go (248.16 Go free) [PROGRAMMES] # NTFS
# D:\ # Disque CD-ROM # 574.05 Mo (0 Mo free) [VX2HOEM_FR] # CDFS
# E:\ # Disque fixe local # 279.47 Go (56.29 Go free) [SON ] # NTFS
# F:\ # Disque fixe local # 465.76 Go (341.61 Go free) [DOC] # NTFS
# G:\ # Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\EasyBox\Apache\Apache.exe
C:\WINDOWS\system32\gearsec.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\M-Audio\M-Audio Series II MIDI\MA_CMIDI_Inst.exe
C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\EasyBox\Apache\Apache.exe
C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIEDE.EXE
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Documents and Settings\Propriétaire\Application Data\drivers\winupgro.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Documents and Settings\Propriétaire\Application Data\m\flec006.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FAMTEDE.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FARNEDE.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
 
############################## | Processus infectieux stoppés  | 

"C:\Documents and Settings\Propriétaire\Application Data\drivers\winupgro.exe"  (2072)
"C:\Documents and Settings\Propriétaire\Application Data\m\flec006.exe"  (3160)
"C:\WINDOWS\system32\wintems.exe"  (3080)

################## | C: |

Présent ! D:\autorun.inf  

################## | C:\WINDOWS |

Présent ! C:\WINDOWS\Prefetch\KEYGEN.EXE-131AAB0D.pf  

################## | C:\WINDOWS\system32 |

Présent ! C:\WINDOWS\system32\ban_list.txt  
Présent ! C:\WINDOWS\system32\mdelk.exe  
Présent ! C:\WINDOWS\system32\wintems.exe  

################## | C:\WINDOWS\system32\drivers |

Présent ! C:\WINDOWS\system32\drivers\down  

################## | C:\Documents and Settings\Propriétaire\Application Data |

Présent ! C:\Documents and Settings\Propriétaire\Application Data\drivers  
Présent ! C:\Documents and Settings\Propriétaire\Application Data\drivers\111wfs1intwq.sys  
Présent ! C:\Documents and Settings\Propriétaire\Application Data\drivers\11s11ro1s1a2.sys  
Présent ! C:\Documents and Settings\Propriétaire\Application Data\drivers\downld  
Présent ! C:\Documents and Settings\Propriétaire\Application Data\drivers\winupgro.exe  
Présent ! C:\Documents and Settings\Propriétaire\Application Data\m  
Présent ! C:\Documents and Settings\Propriétaire\Application Data\m\data.oct  
Présent ! C:\Documents and Settings\Propriétaire\Application Data\m\flec006.exe  
Présent ! C:\Documents and Settings\Propriétaire\Application Data\m\list.oct  
Présent ! C:\Documents and Settings\Propriétaire\Application Data\m\srvlist.oct  
Présent ! C:\Documents and Settings\Propriétaire\Application Data\m\shared  

################## | C:\Documents and Settings\Propriétaire\Temporary Internet Files |

Présent ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\2GX86A3L\b64[1].jpg  
Présent ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\2GX86A3L\b64[2].jpg  
Présent ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\2GX86A3L\b64[3].jpg  
Présent ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\2GX86A3L\b64[4].jpg  
Présent ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\2GX86A3L\b64_1[1].jpg  
Présent ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\2GX86A3L\b64_3[1].jpg  
Présent ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\2GX86A3L\b64_3[2].jpg  
Présent ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\2GX86A3L\b64_3[3].jpg  
Présent ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\2GX86A3L\ieps[1].jpg  
Présent ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\BMN7GDLE\b64[1].jpg  
Présent ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\BMN7GDLE\b64[2].jpg  
Présent ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\BMN7GDLE\b64_3[1].jpg  
Présent ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\BMN7GDLE\b64_3[2].jpg  
Présent ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\BMN7GDLE\b64_3[3].jpg  
Présent ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\BMN7GDLE\b64_3[4].jpg  
Présent ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\BMN7GDLE\b64_3[5].jpg  
Présent ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\BMN7GDLE\b64_3[6].jpg  
Présent ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\QSFFQB9Z\b64[1].jpg  
Présent ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\QSFFQB9Z\b64[2].jpg  
Présent ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\QSFFQB9Z\b64[3].jpg  
Présent ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\QSFFQB9Z\b64_3[1].jpg  
Présent ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\QSFFQB9Z\b64_3[2].jpg  
Présent ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\QSFFQB9Z\b64_3[3].jpg  
Présent ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\QSFFQB9Z\b64_3[4].jpg  
Présent ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\QSFFQB9Z\b64_6[1].jpg  
Présent ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\WL0XZ7GT\b64[1].jpg  
Présent ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\WL0XZ7GT\b64[2].jpg  
Présent ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\WL0XZ7GT\b64_1[1].jpg  
Présent ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\WL0XZ7GT\b64_1[2].jpg  
Présent ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\WL0XZ7GT\b64_3[1].jpg  
Présent ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\WL0XZ7GT\b64_3[2].jpg  
Présent ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\WL0XZ7GT\b64_3[3].jpg  
Présent ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\WL0XZ7GT\b64_3[4].jpg  
Présent ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\WL0XZ7GT\file[1].txt  

################## | Registre / Clés infectieuses |

Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\111111s1ro1s1a]  
Présent ! [HKLM\SYSTEM\ControlSet001\Services\111111s1ro1s1a]  
Présent ! [HKLM\SYSTEM\ControlSet003\Services\111111s1ro1s1a]  
Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\sK9Ou0s]  
Présent ! [HKLM\SYSTEM\ControlSet001\Services\sK9Ou0s]  
Présent ! [HKLM\SYSTEM\ControlSet003\Services\sK9Ou0s]  
Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_111111s1ro1s1a]  
Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_111111s1ro1s1a]  
Présent ! [HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_111111s1ro1s1a]  
Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]  
Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]  
Présent ! [HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S]  
Présent ! [HKCU\Software\bisoft]  
Présent ! [HKCU\Software\DateTime4]  
Présent ! [HKCU\Software\MuleAppData]  
Présent ! [HKCU\Software\Microsoft\Windows\UI] "KEY540534"  
Présent ! [HKU\S-1-5-21-854245398-776561741-839522115-1003\Software\Microsoft\Windows\UI] "KEY540534"  
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"  
Présent ! [HKU\S-1-5-21-854245398-776561741-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"  
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"  
Présent ! [HKU\S-1-5-21-854245398-776561741-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"  
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"  
Présent ! [HKU\S-1-5-21-854245398-776561741-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"  
Présent ! [HKU\S-1-5-21-854245398-776561741-839522115-1003\Software\bisoft]  
Présent ! [HKU\S-1-5-21-854245398-776561741-839522115-1003\Software\DateTime4]  
Présent ! [HKU\S-1-5-21-854245398-776561741-839522115-1003\Software\FFC]  
Présent ! [HKU\S-1-5-21-854245398-776561741-839522115-1003\Software\MuleAppData]  
Présent ! [HKCU\Software\Local AppWizard-Generated Applications\key_gen]  
Présent ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]  
Présent ! [HKU\S-1-5-21-854245398-776561741-839522115-1003\Software\Local AppWizard-Generated Applications\key_gen]  
Présent ! [HKU\S-1-5-21-854245398-776561741-839522115-1003\Software\Local AppWizard-Generated Applications\winupgro]  
Présent ! [HKLM\software\microsoft\security center] "FirewallDisableNotify" 0x1  

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK
 
Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !  
 
# (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )  
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 ) 
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )  
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )  
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )  
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )  


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # FindyKill V5.005 ! |

sKe69 · Answer

et bien ...


Vundo en plus ! ... t'es vraiment gavé ... y a du boulot ...


la suite dans l'ordre :


1- ! Déconnecte toi d'internet, désactives ton antivirus et ferme toutes applications en cours !


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) . 

# Double clique sur le raccourci FindyKill présent sur ton bureau pour lancer l'outil .

# Cette fois ci , tu choisis l' option 2 ( Suppression ) .

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Au redémarrage , Findykill scannera ton pc , laisse travailler l'outil et ne touche à rien .

# Une fois terminé,  poste le nouveau rapport Findykill.txt qui apparaitra avec le bureau .

( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\Findykill.txt ).

Note :
 Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
tape explorer.exe et valide .


======================


2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse ...

Ne touche à rien et attends la suite ...

zeeonlyone · Answer

Le nouveau rapport

http://www.cijoint.fr/cjlink.php?file=cj200908/cijaDM6ade.txt

sKe69 · Answer

re,


il me faut absolument le rapport de nettoyge de Findykill comme je te l'ai demandé !.... c'est ce rapport >  C:\FindyKill.txt 




une fois ce rappport posté , tu enchaines :



1- Télécharge CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre . 
Lors de l'installation: 
-choisis bien "français" en langue . 
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières. 

Un tuto ( aide ): 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 


---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé : 
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage- 
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs- 
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) . 

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... ) 


===================

2- Télécharge UsbFix ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :

> http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe

! Déconnecte toi d'internet et ferme toutes applications en cours !

--> Double-clique sur l' .exe pour lancer l'installation de l'outil ( ne touche pas aux paramètres d'installe ) .


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) . 


# Double clique sur le raccourci UsbFix présent sur ton bureau pour lancer l'outil.

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 


Note : 
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

zeeonlyone · Answer

Le rapport findykill


############################## | FindyKill V5.005 |

# User : Propriétaire (Administrateurs) # BUREAU1
# Update on 27/07/09 by Chiquitine29
# Start at: 15:27:10 | 2009-08-13
# Website : http://pagesperso-orange.fr/NosTools/index.html

# Intel(R) Core(TM)2 Duo CPU     E6750  @ 2.66GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Enabled

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 298.09 Go (248.16 Go free) [PROGRAMMES] # NTFS
# D:\ # Disque CD-ROM # 574.05 Mo (0 Mo free) [VX2HOEM_FR] # CDFS
# E:\ # Disque fixe local # 279.47 Go (56.29 Go free) [SON ] # NTFS
# F:\ # Disque fixe local # 465.76 Go (341.61 Go free) [DOC] # NTFS
# G:\ # Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\EasyBox\Apache\Apache.exe
C:\WINDOWS\system32\gearsec.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\M-Audio\M-Audio Series II MIDI\MA_CMIDI_Inst.exe
C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\EasyBox\Apache\Apache.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | C: |

(!) Non supprimé ! D:\autorun.inf 

################## | C:\WINDOWS |

Supprimé ! C:\WINDOWS\Prefetch\KEYGEN.EXE-131AAB0D.pf  

################## | C:\WINDOWS\system32 |

Supprimé ! C:\WINDOWS\system32\ban_list.txt  
Supprimé ! C:\WINDOWS\system32\mdelk.exe  
Supprimé ! C:\WINDOWS\system32\wintems.exe  

################## | C:\WINDOWS\system32\drivers |

Supprimé ! C:\WINDOWS\system32\drivers\down  

################## | C:\Documents and Settings\Propriétaire\Application Data |

Supprimé ! C:\Documents and Settings\Propriétaire\Application Data\drivers\111wfs1intwq.sys  
Supprimé ! C:\Documents and Settings\Propriétaire\Application Data\drivers\11s11ro1s1a2.sys  
Supprimé ! C:\Documents and Settings\Propriétaire\Application Data\drivers\winupgro.exe  
Supprimé ! C:\Documents and Settings\Propriétaire\Application Data\m\data.oct  
Supprimé ! C:\Documents and Settings\Propriétaire\Application Data\m\flec006.exe  
Supprimé ! C:\Documents and Settings\Propriétaire\Application Data\m\list.oct  
Supprimé ! C:\Documents and Settings\Propriétaire\Application Data\m\srvlist.oct  
Supprimé ! C:\Documents and Settings\Propriétaire\Application Data\drivers\downld  
Supprimé ! C:\Documents and Settings\Propriétaire\Application Data\drivers  
Supprimé ! C:\Documents and Settings\Propriétaire\Application Data\m\shared  
Supprimé ! C:\Documents and Settings\Propriétaire\Application Data\m  

################## | Autres ... |

# Références de comparaison Bagle MD5 : 

File : C:\Documents and Settings\Propriétaire\Application Data\drivers\winupgro.exe
-> Crc32 : e019570f | Md5 : f5f3f170188dbbb1f35b89310d060b92  
 
Supprimé ! "C:\Program Files\EasyBox\EasyBox.exe" 
-> Size : 856064 | Crc32 : e019570f | Md5 : f5f3f170188dbbb1f35b89310d060b92 


################## | Temporary Internet Files |

Supprimé ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\2GX86A3L\b64[1].jpg  
Supprimé ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\2GX86A3L\b64[2].jpg  
Supprimé ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\2GX86A3L\b64[3].jpg  
Supprimé ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\2GX86A3L\b64[4].jpg  
Supprimé ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\2GX86A3L\b64_1[1].jpg  
Supprimé ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\2GX86A3L\b64_3[1].jpg  
Supprimé ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\2GX86A3L\b64_3[2].jpg  
Supprimé ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\2GX86A3L\b64_3[3].jpg  
Supprimé ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\2GX86A3L\ieps[1].jpg  
Supprimé ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\BMN7GDLE\b64[1].jpg  
Supprimé ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\BMN7GDLE\b64[2].jpg  
Supprimé ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\BMN7GDLE\b64_3[1].jpg  
Supprimé ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\BMN7GDLE\b64_3[2].jpg  
Supprimé ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\BMN7GDLE\b64_3[3].jpg  
Supprimé ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\BMN7GDLE\b64_3[4].jpg  
Supprimé ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\BMN7GDLE\b64_3[5].jpg  
Supprimé ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\BMN7GDLE\b64_3[6].jpg  
Supprimé ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\QSFFQB9Z\b64[1].jpg  
Supprimé ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\QSFFQB9Z\b64[2].jpg  
Supprimé ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\QSFFQB9Z\b64[3].jpg  
Supprimé ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\QSFFQB9Z\b64_3[1].jpg  
Supprimé ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\QSFFQB9Z\b64_3[2].jpg  
Supprimé ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\QSFFQB9Z\b64_3[3].jpg  
Supprimé ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\QSFFQB9Z\b64_3[4].jpg  
Supprimé ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\QSFFQB9Z\b64_6[1].jpg  
Supprimé ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\WL0XZ7GT\b64[1].jpg  
Supprimé ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\WL0XZ7GT\b64[2].jpg  
Supprimé ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\WL0XZ7GT\b64_1[1].jpg  
Supprimé ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\WL0XZ7GT\b64_1[2].jpg  
Supprimé ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\WL0XZ7GT\b64_3[1].jpg  
Supprimé ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\WL0XZ7GT\b64_3[2].jpg  
Supprimé ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\WL0XZ7GT\b64_3[3].jpg  
Supprimé ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\WL0XZ7GT\b64_3[4].jpg  
Supprimé ! C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\WL0XZ7GT\file[1].txt  

################## | Registre / Clés infectieuses | 

Supprimé ! [HKCU\Software\bisoft]  
Supprimé ! [HKCU\Software\DateTime4]  
Supprimé ! [HKCU\Software\MuleAppData]  
Supprimé ! [HKCU\Software\Microsoft\Windows\UI] "KEY540534"  
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"  
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"  
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"  
Supprimé ! [HKU\S-1-5-21-854245398-776561741-839522115-1003\Software\FFC]  
Supprimé ! [HKCU\Software\Local AppWizard-Generated Applications\key_gen]  
Supprimé ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]  
Value ! [HKLM\software\microsoft\security center] "FirewallDisableNotify" -> Reset sucessfully !  

################## | Etat / Services / Informations |

# Mode sans echec restauré ! 

# Affichage des fichiers cachés : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 ) 
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 


################## | PEH ... |

Corrompu : C:\Program Files\Alwil Software\Avast4\ashAvast.exe
[Offset = 0000011C - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\ashChest.exe
[Offset = 0000010C - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\ashDisp.exe
[Offset = 00000124 - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\ashLogV.exe
[Offset = 0000010C - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
[Offset = 0000010C - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\ashPopWz.exe
[Offset = 0000011C - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\ashQuick.exe
[Offset = 0000011C - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\ashServ.exe
[Offset = 00000124 - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\ashSimp2.exe
[Offset = 0000011C - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
[Offset = 0000011C - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\ashSkPcc.exe
[Offset = 00000104 - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\ashSkPck.exe
[Offset = 00000114 - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\ashUpd.exe
[Offset = 00000104 - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
[Offset = 00000114 - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\aswRegSvr.exe
[Offset = 000000D4 - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
[Offset = 00000114 - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\sched.exe
[Offset = 000000FC - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\VisthLic.exe
[Offset = 0000010C - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\VisthUpd.exe
[Offset = 000000F4 - Valeur = 0x0001]

Corrompu : C:\WINDOWS\system32\dllcacheegister.exe
[Offset = 000000E4 - Valeur = 0x0001]

Tentative de réparation... 
Sauvegarde : register.exe.REN
[Offset = 000000E4 - Nouvelle valeur = 0x4C01]
Fichier réparé avec succès. 



################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # FindyKill V5.005 ! |

zeeonlyone · Answer

Le rapport usbfix


############################## | UsbFix V6.017 |

User : Propriétaire (Administrateurs) # BUREAU1
Update on 12/08/09 by Chiquitine29 & C_XX
Start at: 17:38:07 | 2009-08-13
Website : http://pagesperso-orange.fr/NosTools/index.html

Intel(R) Core(TM)2 Duo CPU     E6750  @ 2.66GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 298.09 Go (250.78 Go free) [PROGRAMMES] # NTFS
D:\ -> Disque CD-ROM # 574.05 Mo (0 Mo free) [VX2HOEM_FR] # CDFS
E:\ -> Disque fixe local # 279.47 Go (58.49 Go free) [SON ] # NTFS
F:\ -> Disque fixe local # 465.76 Go (341.61 Go free) [DOC] # NTFS
G:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\EasyBox\Apache\Apache.exe
C:\WINDOWS\system32\gearsec.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\M-Audio\M-Audio Series II MIDI\MA_CMIDI_Inst.exe
C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\EasyBox\Apache\Apache.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

Présent ! D:\autorun.inf  
Présent ! E:\msvcr71.dll  

################## | Suspect ! ... | https://www.virustotal.com/gui/ |

D:\DOTNETFX\DOTNETFX.EXE  

################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{0de3649b-84df-11dd-8185-001e8c56554a}
Shell\Auto\command =AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{8eb811b9-1668-11de-8d30-001e8c56554a}
Shell\AutoRun\command =G:\Autorun.exe 

################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.017 ! |

sKe69 · Answer

bien ....



la suite dans l'ordre :


1- ! Déconnecte toi d'internet et ferme toutes applications en cours !

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) . 

# Double clique sur le raccourci UsbFix présent sur ton bureau pour lancer l'outil .

# Cette fois ci , tu choisis l' option 2 ( Suppression ) .

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

# Une fois terminé,  poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .


( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).


=================


2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

zeeonlyone · Answer

Voilà pour usbfix option 2
Je refais donc un scan ZHP et je vous envoie le résultat de suite 


############################## | UsbFix V6.017 |

User : Propriétaire (Administrateurs) # BUREAU1
Update on 12/08/09 by Chiquitine29 & C_XX
Start at: 18:17:48 | 2009-08-13
Website : http://pagesperso-orange.fr/NosTools/index.html

Intel(R) Core(TM)2 Duo CPU     E6750  @ 2.66GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 298.09 Go (250.72 Go free) [PROGRAMMES] # NTFS
D:\ -> Disque CD-ROM # 574.05 Mo (0 Mo free) [VX2HOEM_FR] # CDFS
E:\ -> Disque fixe local # 279.47 Go (58.49 Go free) [SON ] # NTFS
F:\ -> Disque fixe local # 465.76 Go (341.61 Go free) [DOC] # NTFS
G:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\EasyBox\Apache\Apache.exe
C:\WINDOWS\system32\gearsec.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\EasyBox\Apache\Apache.exe
C:\Program Files\M-Audio\M-Audio Series II MIDI\MA_CMIDI_Inst.exe
C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wscntfy.exe

################## | Fichiers # Dossiers infectieux |

Non supprimé ! D:\autorun.inf 
Supprimé ! E:\msvcr71.dll 

################## | Autres |


################## | Suspect ! ... | https://www.virustotal.com/gui/ |

D:\DOTNETFX\DOTNETFX.EXE  

################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{0de3649b-84df-11dd-8185-001e8c56554a}\Shell\Auto\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{8eb811b9-1668-11de-8d30-001e8c56554a}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[2007-10-02 17:36|--a------|0] -> C:\AUTOEXEC.BAT 
[2009-01-13 18:08|---hs----|399] -> C:\boot.ini 
[2006-03-02 14:00|-rahs----|4952] -> C:\Bootfont.bin 
[2007-10-02 17:36|--a------|0] -> C:\CONFIG.SYS 
[2009-08-13 16:40|--a------|11685] -> C:\FindyKill.txt 
[?|?|?] -> C:\hiberfil.sys 
[2007-10-02 17:36|-rahs----|0] -> C:\IO.SYS 
[2007-10-02 17:36|-rahs----|0] -> C:\MSDOS.SYS 
[2004-08-05 14:00|-rahs----|47564] -> C:\NTDETECT.COM 
[2008-09-03 18:30|-rahs----|252240] -> C:
tldr 
[?|?|?] -> C:\pagefile.sys 
[2009-08-13 15:06|--a------|6153] -> C:\TB.txt 
[2009-08-13 18:22|--a------|3198] -> C:\UsbFix.txt 
[2006-03-02 14:00|-r-------|112] -> D:\AUTORUN.INF 
[2006-03-02 14:00|-r-------|4952] -> D:\BOOTFONT.BIN 
[2006-03-02 14:00|-r-------|37874] -> D:\LISEZMOI.HTM 
[2006-03-02 14:00|-r-------|2584576] -> D:\SETUP.EXE 
[2006-03-02 14:00|-r-------|105053] -> D:\SETUPXP.HTM 
[2006-03-02 14:00|-r-------|10] -> D:\WIN51 
[2006-03-02 14:00|-r-------|10] -> D:\WIN51IC 
[2006-03-02 14:00|-r-------|10] -> D:\WIN51IC.SP2 

################## | Cracks / Keygens / Serials |


################## | Upload | 

Veuillez envoyer le fichier : C:\DOCUME~1\PROPRI~1\Bureau\UsbFix_Upload_Me_BUREAU1.zip : https://www.androidworld.fr/ 
Merci pour votre contribution . 

################## | ! Fin du rapport # UsbFix V6.017 ! |

zeeonlyone · Answer

et voilà le nouveau rapport ZHP

http://www.cijoint.fr/cjlink.php?file=cj200908/cijd3z7uk2.txt

sKe69 · Answer

bien,


dans l'ordre :


1- rends toi sur cette page > https://www.androidworld.fr/

clique sur parcourrir et va jusqu'au fichier UsbFix_Upload_Me_BUREAU1.zip  qui est sur ton bureau ...

clique sur "envoyer le fichier" ...


================

2- Télécharge MalwareByte's : 
ici https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
ou ici : http://www.malwarebytes.org/mbam.php
 
* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour . 

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )

* Potasse le tuto pour te familiariser avec le prg : 
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi et ferme toutes applications en cours ! 

* Lance Malwarebyte's .

Fais un examen dit "Rapide" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur "résultat" . 
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date) pour analyse ...


====================


3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

zeeonlyone · Answer

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2615
Windows 5.1.2600 Service Pack 2

2009-08-13 19:10:57
mbam-log-2009-08-13 (19-10-57).txt

Type de recherche: Examen rapide
Eléments examinés: 85828
Temps écoulé: 2 minute(s), 18 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 13
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 4
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a34fa88d-8437-4634-8a60-e913011ef2e5} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\{5222008a-dd62-49c7-a735-7bd18ecc7350} (Rogue.VirusRemover) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logons (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\System\CurrentControlSet\Services\iTunesMusic (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\System\CurrentControlSet\Servicesdriv (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER	ypelib (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoftdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\virusremover2008 (Rogue.VirusRemove) -> Quarantined and deleted successfully.
Le rapport de malware, la suite après le redémarage du PC 


Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel\Homepage (Hijack.Homepage) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\WINDOWS\system32\smp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

zeeonlyone · Answer

Le dernier rapport ZHP
On est bientôt à la fin ?

http://www.cijoint.fr/cjlink.php?file=cj200908/cijFSYl6V6.txt

sKe69 · Answer

re,


On est bientôt à la fin ? 


-> non ... encore du travail ... ton PC est bien pourri ! ... ^^



dans l'ordre :


1- Télécharge Ad-remover ( de C_XX ) sur ton bureau : 

http://sd-1.archive-host.com/membres/up/16506160323759868/AD-R.exe

! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) ! 

• Double clique sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut . 

• Double-clique sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
• Au menu principal choisis cette fois l'option "L" et tape sur [entrée] .

• Le nettoyage débute >  Laisse travailler l'outil et ne touche à rien !... 

/!\ l'outil donne l'impression qu'il a planté et qu'il ne se passe rien , mais ce n'est pas le cas ! ( le scan est très discret et assez long , donc patience ... ) 


--> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ...

( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 


Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus :
(AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


Aides en images (Installation)   : http://pagesperso-orange.fr/NosTools/tuto_ad_r1.html
Aides en images (Recherche)    : http://pagesperso-orange.fr/NosTools/tuto_ad_r2.html


======================

2- refais un coup de CCleaner ( registre compris ) .

======================


3- Télécharge ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !): 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 


--------------------------------- [ ! ATTENTION ! ] ------------------------------------------
!! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe : 
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après  !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Note : pour XP, bien installer la Console de Récupération de Windows comme il est indiqué dans le tuto ci-dessus ...
--------------------------------------------------------------------------------------------


Ensuite :
double-clique sur l'icône "combofix.exe" pour lancer l'outil .

 
-- Pour  XP > laisse toi guider et fais l'installe de la "console de récupération" lorsque l'outil te le demandera ( important ! ).
Reconnecte toi uniquement le temps de cette manipulation. Une fois la console installée ,re-déconnecte toi avant de poursuivre -- 

Appuie sur la touche Y (Yes) pour démarrer le scan . 

Notes importantes : 
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment  : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... ) 

Le rapport sera crée ici : C:\Combofix.txt 

Réactive bien tes défenses .

 
Poste le rapport Combofix pour analyse ...

=================


4- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

zeeonlyone · Answer

Le rapport de ad remover, je continue le reste de la démarche : 

.
======= RAPPORT D'AD-REMOVER 1.1.4.5_O | UNIQUEMENT XP/VISTA/SEVEN =======
.
Mit à jour par C_XX le 24/06/2009 à 7:10 PM
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 19:48:47, 2009-08-13 | Mode Normal | Option: CLEAN
Exécuté de: C:\Program Files\Ad-remover\
Système d'exploitation: Microsoft® Windows XP™  Service Pack 2 v5.1.2600
Nom du PC: BUREAU1 | Utilisateur actuel: Propri‚taire
.
Administrateur: Administrateur 
N'est pas administrateur: ASPNET 
N'est pas administrateur: HelpAssistant *Desactive* 
N'est pas administrateur: Invité *Desactive* 
Administrateur: Propriétaire 
N'est pas administrateur: SUPPORT_388945a0 *Desactive* 
. 
============== ÉLÉMENT(S) NEUTRALISÉ(S) ============== 
.
.
HKCU\Software\EoRezo
HKCU\Software\Titan Poker
HKLM\Software\Titan Poker
.
C:\DOCUME~1\PROPRI~1\APPLIC~1\EoRezo\cmhost.cyp 
C:\DOCUME~1\PROPRI~1\APPLIC~1\EoRezo\ConfMedia.cyp 
C:\DOCUME~1\PROPRI~1\APPLIC~1\EoRezo\db 
C:\DOCUME~1\PROPRI~1\APPLIC~1\EoRezo\eoDesktop 
C:\DOCUME~1\PROPRI~1\APPLIC~1\EoRezo\eoStats 
C:\DOCUME~1\PROPRI~1\APPLIC~1\EoRezo\host.cyp 
C:\DOCUME~1\PROPRI~1\APPLIC~1\EoRezo\user.cyp 
C:\DOCUME~1\PROPRI~1\APPLIC~1\EoRezo\db\cat.cyp 
C:\DOCUME~1\PROPRI~1\APPLIC~1\EoRezo\eoDesktop\config.xml 
C:\DOCUME~1\PROPRI~1\APPLIC~1\EoRezo\eoDesktop\eoDesktop.html 
C:\DOCUME~1\PROPRI~1\APPLIC~1\EoRezo\eoDesktop\userConfig.xml 
C:\DOCUME~1\PROPRI~1\APPLIC~1\EoRezo 
C:\WINDOWS\Installer\1141c45.msi 

(!) -- Fichiers temporaires supprimés.

.
============== Scan additionnel ==============
.

* Mozilla FireFox Version 3.0.13 *

 Nom du profil: mwe3odw1.default (Propri‚taire)
.
(Prefs.js) user_pref("browser.search.defaultenginename", "Winamp Search"); 
(Prefs.js) user_pref("browser.search.selectedEngine", "Google"); 
(Prefs.js) user_pref("browser.search.defaulturl", "hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query="); 
(Prefs.js) user_pref("browser.startup.homepage", "hxxp://fr.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official"); 
(Prefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.9.0.13"); 
(Invalidprefs.js) user_pref("browser.startup.homepage", "hxxp://lo.st"); 
(Invalidprefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.9.0.4"); 
.
. 

* Internet Explorer Version 6.0.2900.2180 *

[HKEY_CURRENT_USER\..\Internet Explorer\Main]

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Search Page: hxxp://www.google.com
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]

   Tabs: res://ieframe.dll/tabswelcome.htm

============== Suspect (Cracks, Serials ... ) ==============

. 
C:\Documents and Settings\Propri‚taire\Application Data\uTorrent\[VSTi] Spectrasonics Trilogy Keygen.zip.torrent 
C:\Documents and Settings\Propri‚taire\Application Data\uTorrent\Applied.Acoustics.Lounge.Lizard.VSTi.DXi.RTAS.v3.10.Incl.Keygen-AiR.torrent 
C:\Documents and Settings\Propri‚taire\Application Data\uTorrent\Arturia.Arp2600.V.VSTi.RTAS.v1.2.incl.Keygen.torrent 
C:\Documents and Settings\Propri‚taire\Application Data\uTorrent\Cubase Studio 4 iso mac-pc -no crack-.torrent 
C:\Documents and Settings\Propri‚taire\Application Data\uTorrent\D16.Devastor.VST.v1.0.Incl.Keygen-AiR.1.torrent 
C:\Documents and Settings\Propri‚taire\Application Data\uTorrent\D16.Devastor.VST.v1.0.Incl.Keygen-AiR.2.torrent 
C:\Documents and Settings\Propri‚taire\Application Data\uTorrent\D16.Devastor.VST.v1.0.Incl.Keygen-AiR.torrent 
C:\Documents and Settings\Propri‚taire\Application Data\uTorrent\D16.Group.Collection.VST.VSTi.Incl.Keygen-AiR.torrent 
C:\Documents and Settings\Propri‚taire\Application Data\uTorrent\D16.Group.Decimort.VST.v1.0.Incl.Keygen-AiR.torrent 
C:\Documents and Settings\Propri‚taire\Application Data\uTorrent\D16.Group.Fazortan.VST.v1.0.Incl.Keygen-AiR.1.torrent 
C:\Documents and Settings\Propri‚taire\Application Data\uTorrent\D16.Group.Fazortan.VST.v1.0.Incl.Keygen-AiR.2.torrent 
C:\Documents and Settings\Propri‚taire\Application Data\uTorrent\D16.Group.Fazortan.VST.v1.0.Incl.Keygen-AiR.3.torrent 
C:\Documents and Settings\Propri‚taire\Application Data\uTorrent\D16.Group.Fazortan.VST.v1.0.Incl.Keygen-AiR.torrent 
C:\Documents and Settings\Propri‚taire\Application Data\uTorrent\D16.Group.Nithonat.VSTi.v1.0.3.Incl.Keygen-AiR.torrent 
C:\Documents and Settings\Propri‚taire\Application Data\uTorrent\D16.Group.Redoptor.VST.v1.0.Incl.Keygen-AiR.torrent 
C:\Documents and Settings\Propri‚taire\Application Data\uTorrent\D16_Devastor_1.0+KeyGen_AU_VST_MACOSX_UB(AIR).zip.torrent 
C:\Documents and Settings\Propri‚taire\Application Data\uTorrent\Devine.Machine.Lucifer.VST.v2.1.incl.Keygen-AiR.torrent 
C:\Documents and Settings\Propri‚taire\Application Data\uTorrent\GForce.The.Oddity.VSTi.RTAS.v1.15.incl.Keygen-AiR.torrent 
C:\Documents and Settings\Propri‚taire\Application Data\uTorrent\IK.Multimedia.Ampeg.SVX.VST.RTAS.v1.1.1.incl.Keygen-AiR.torrent 
C:\Documents and Settings\Propri‚taire\Application Data\uTorrent\IK.Multimedia.AmpliTube.VST.RTAS.v2.1.2.incl.Keygen-AiR.torrent 
C:\Documents and Settings\Propri‚taire\Application Data\uTorrent\IK.Multimedia.Amplitube.VST.RTAS.v2.1.2b.Incl.Keygen-AiR.torrent 
C:\Documents and Settings\Propri‚taire\Application Data\uTorrent\IK.Multimedia.T-RackS.Deluxe.v.3.1.1.VST.RTAS.Incl.KeyGen-DYNAMiCS.torrent 
C:\Documents and Settings\Propri‚taire\Application Data\uTorrent\IK.Multimedia.T-Racks.Deluxe.VST.RTAS.v3.0.1.Incl.Keygen-AiR.torrent 
C:\Documents and Settings\Propri‚taire\Application Data\uTorrent\IK.Multimedia.T-Racks.Deluxe.VST.RTAS.v3.0.1b.Incl.Keygen-AiR.torrent 
C:\Documents and Settings\Propri‚taire\Application Data\uTorrent\QuikQuak.RaySpace.VST.v2.90.incl.Keygen-AiR.torrent 
C:\Documents and Settings\Propri‚taire\Application Data\uTorrent\QuikQuak.RaySpace.VST.v2.91.incl.KeyGen.WIN-NEMESiS.torrent 
C:\Documents and Settings\Propri‚taire\Application Data\uTorrent\Rob.Papen.Predator.VSTi.v1.1.Incl.Keygen-AiR.rar.torrent 
C:\Documents and Settings\Propri‚taire\Application Data\uTorrent\Sonalksis.All.Plugins.Bundle.VST.DX.RTAS.v3.0.0.Incl.Keygen-AiR.rar.torrent 
C:\Documents and Settings\Propri‚taire\Application Data\uTorrent\Steinberg myMP3PRO v5.0 Precracked [h33t] [CaZoR].torrent 
C:\Documents and Settings\Propri‚taire\Application Data\uTorrent\WavePurity.Professional.v6.40.Incl.Keygen-Lz0.torrent 
C:\Documents and Settings\Propri‚taire\Application Data\uTorrent\WavePurity.RIAA.Plugin.v6.40.Incl.Keygen-Lz0.torrent 
.
===================================
.
7284 Octet(s) - C:\Ad-Report-CLEAN.log 
.
0 Fichier(s) - C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp 
2 Fichier(s) - C:\WINDOWS\Temp 
.
20 Fichier(s) - C:\Program Files\Ad-remover\BACKUP
9 Fichier(s) - C:\Program Files\Ad-remover\QUARANTINE
.
Fin à: 22:22:36 | 2009-08-13
.
============== E.O.F ==============
.

zeeonlyone · Answer

Combo fix

ComboFix 09-08-10.06 - Propriétaire 2009-08-13 22:33.1.2 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.2.1252.1.1036.18.2047.1653 [GMT 2:00]
Running from: c:\documents and settings\Propriétaire\Bureau\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Propriétaire\Application Data\Adobe\Player.exe.bak
c:\windows\system32\badxamrg.ini
c:\windows\system32\cfpthdnw.ini
c:\windows\system32\hvrmylre.ini
c:\windows\system32\lsprst7.dll
c:\windows\system32\mlrepatr.ini
c:\windows\system32\msvcsv60.dll
c:\windows\system32\MTttCcdd.ini
c:\windows\system32\MTttCcdd.ini2
c:\windows\system32\onemvqxm.ini
c:\windows\system32\opWycccf.ini
c:\windows\system32\opWycccf.ini2
c:\windows\system32\slibeh.dll
c:\windows\system32\solegeh.dll
c:\windows\system32\solekuy.dll
c:\windows\system32\sslibddf.dll
c:\windows\system32\sslibff.dll
c:\windows\system32\sslibgs.dll
c:\windows\system32\sslibmmn.dll
c:\windows\system32\sslibqqe.dll
c:\windows\system32\sslibram.dll
c:\windows\system32\sslibsd.dll
c:\windows\system32\sslibtth.dll
c:\windows\system32\ssolefw.dll
c:\windows\system32\ssprs.dll
c:\windows\system32\ubesvhmn.ini
c:\windows\system32\ucfmlwny.ini
c:\windows\system32\uikairkl.ini
c:\windows\system32\yadmqelp.ini


.
(((((((((((((((((((((((((   Files Created from 2009-07-13 to 2009-08-13  )))))))))))))))))))))))))))))))
.

2009-08-13 17:48 . 2009-08-13 20:22	--------	d-----w-	c:\program files\Ad-remover
2009-08-13 16:56 . 2009-08-03 11:36	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-13 16:56 . 2009-08-13 16:56	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-08-13 16:56 . 2009-08-13 16:56	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2009-08-13 16:56 . 2009-08-03 11:36	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-08-13 15:37 . 2009-08-13 16:26	--------	d-----w-	C:\UsbFix
2009-08-13 15:29 . 2009-08-13 15:29	--------	d-----w-	c:\program files\CCleaner
2009-08-13 14:39 . 2009-08-13 11:40	15360	-c--a-w-	c:\windows\system32\dllcacheegister.exe.REN
2009-08-13 13:11 . 2009-08-13 14:40	--------	d-----w-	C:\FindyKill
2009-08-13 12:58 . 2009-08-13 13:06	--------	d-----w-	C:\ToolBar SD
2009-08-13 12:20 . 2009-08-13 12:21	--------	d-----w-	c:\program files\ZHPDiag
2009-08-13 11:21 . 2009-02-05 20:04	97480	----a-w-	c:\windows\system32\AvastSS.scr
2009-08-13 11:21 . 2009-02-05 20:08	93296	----a-w-	c:\windows\system32\drivers\aswmon.sys
2009-08-13 11:21 . 2009-02-05 20:11	1256296	----a-w-	c:\windows\system32\aswBoot.exe
2009-08-13 10:14 . 2002-01-05 10:16	737280	----a-w-	c:\windows\system32\msvcp70d.dll
2009-08-13 10:14 . 2002-01-05 10:16	536576	----a-w-	c:\windows\system32\msvcr70d.dll
2009-07-29 07:33 . 2009-07-29 07:33	--------	d-----w-	c:\program files\DAEMON Tools Lite
2009-07-27 22:29 . 2009-07-27 22:29	--------	d-----w-	c:\program files\Activision
2009-07-24 21:51 . 2009-07-24 21:51	--------	d-----w-	c:\program files\XLN Audio
2009-07-24 11:23 . 2009-07-24 11:23	--------	d-----w-	c:\documents and settings\All Users\Application Data\AraldFX
2009-07-24 11:23 . 2009-07-24 11:22	691481	----a-w-	c:\documents and settings\All Users\Application Data\AraldFX\DKS\unins000.exe
2009-07-22 17:56 . 2009-07-22 17:56	--------	d-----w-	c:\program files\Zero-G
2009-07-22 17:39 . 2009-07-22 17:39	--------	d-----w-	c:\program files\MagicISO
2009-07-22 14:14 . 2009-07-22 14:14	--------	d-----w-	c:\program files\Jingle Palette

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-13 17:22 . 2008-09-03 15:46	--------	d-----w-	c:\program files\Mozilla Thunderbird
2009-08-13 13:32 . 2009-06-09 07:43	--------	d-----w-	c:\program files\EasyBox
2009-08-13 10:19 . 2008-11-05 13:44	--------	d-----w-	c:\program files\Arturia
2009-08-10 17:25 . 2008-09-11 22:32	--------	d-----w-	c:\program files\Steinberg
2009-08-08 23:25 . 2008-10-10 14:50	224	----a-w-	c:\windows\msocreg32.dat
2009-08-05 07:46 . 2007-10-02 15:56	--------	d--h--w-	c:\program files\InstallShield Installation Information
2009-08-05 07:46 . 2008-10-10 14:49	--------	d-----w-	c:\program files\IK Multimedia
2009-08-03 21:26 . 2009-03-11 04:12	--------	d-----w-	c:\program files\Full Tilt Poker
2009-07-21 21:51 . 2009-07-21 21:50	8869	----a-w-	c:\windows\Fonts\ice_age_font.zip
2009-07-01 16:11 . 2009-06-30 10:33	--------	d-----w-	c:\program files\FairUse Wizard 2
2009-06-30 10:24 . 2009-06-30 10:24	--------	d-----w-	c:\program files\DVD Decrypter
2009-06-29 17:28 . 2004-08-05 12:00	92880	----a-w-	c:\windows\system32\perfc00C.dat
2009-06-29 17:28 . 2004-08-05 12:00	528120	----a-w-	c:\windows\system32\perfh00C.dat
2009-06-26 16:18 . 2006-03-02 12:00	663552	----a-w-	c:\windows\system32\wininet.dll
2009-06-26 16:18 . 2006-03-02 12:00	81920	----a-w-	c:\windows\system32\ieencode.dll
2009-06-16 14:54 . 2006-03-02 12:00	82432	----a-w-	c:\windows\system32\fontsub.dll
2009-06-16 14:54 . 2006-03-02 12:00	119808	----a-w-	c:\windows\system32	2embed.dll
2009-06-09 08:35 . 2009-07-21 21:53	20640	----a-w-	c:\windows\Fonts\ICE_AGE.ttf
2009-06-03 19:27 . 2006-03-02 12:00	1296896	----a-w-	c:\windows\system32\quartz.dll
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-04-01 486856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-01-05 413696]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"H2O"="c:\program files\SyncroSoft\Pos\H2O\cledx.exe" [2005-12-18 307200]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-08-13 81000]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-02 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi2"=ma_cmidn.dll
"midi5"=ma_cmidn.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0sprestrt

[HKLM\~\startupfolder\C:^Documents and Settings^Propriétaire^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.3.lnk]
path=c:\documents and settings\Propriétaire\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.3.lnk
backup=c:\windows\pss\OpenOffice.org 2.3.lnkStartup

[HKEY_CURRENT_USER\software\microsoft\windows\currentversionun-]
"ctfmon.exe"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun-]
"M-Audio Taskbar Icon"=c:\windows\System32\M-AudioTaskBarIcon.exe
"nwiz"=nwiz.exe /install
"SearchSettings"=c:\program files\Search Settings\SearchSettings.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\eMule\emule.exe"=
"c:\Program Files\uTorrent\uTorrent.exe"=
"c:\Program Files\Easybox\apache\apache.exe"=
"c:\Program Files\Orb Networks\Orb\bin\Orb.exe"=
"c:\Program Files\EasyBox\vlc\vlc.exe"=

R2 EasyBoxApache;EasyBoxApache;c:\program files\EasyBox\apache\apache.exe [2009-06-09 20537]
R2 gearsec;gearsec;c:\windows\system32\gearsec.exe [2003-12-02 53248]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2009-02-23 603904]
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\atl01_xp.sys [2007-10-02 38656]
R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [2008-09-12 33792]
S1 aswSP;avast! Self Protection; [x]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys --> c:\windows\system32\DRIVERS\aswFsBlk.sys [?]
S3 DELTAII;Service for M-Audio Delta Driver (WDM);c:\windows\system32\DRIVERS\deltaII.sys --> c:\windows\system32\DRIVERS\deltaII.sys [?]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers
mwcdnsu.sys [2009-05-07 136704]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers
mwcdnsuc.sys [2009-05-07 8320]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:
tglm7x.sys --> d:\NTGLM7X.sys [?]
S3 SynasUSB;SynasUSB;c:\windows\system32\drivers\synasUSB.sys [2009-04-16 16896]
.
Contents of the 'Scheduled Tasks' folder

2009-08-13 c:\windows\Tasks\1-Click Maintenance.job
- c:\program files\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-11 20:36]
.
.
------- Supplementary Scan -------
.
mWindow Title = 
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
FF - ProfilePath - c:\documents and settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\mwe3odw1.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://fr.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
FF - prefs.js: keyword.URL - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=

---- FIREFOX POLICIES ----
FF - user.js: yahoo.homepage.dontask - true
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-13 22:37
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...  

scanning hidden autostart entries ... 

scanning hidden files ...  

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'explorer.exe'(2156)
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\browselc.dll
c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
c:\program files\WIBU-SYSTEMS\System\WibuShellExt.dll
c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
.
------------------------ Other Running Processes ------------------------
.
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\LightScribe\LSSrvc.exe
c:\program files\M-Audio\M-Audio Series II MIDI\MA_CMIDI_Inst.exe
c:\program files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe
c:\windows\system32
vsvc32.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 2009-08-13 22:40 - machine was rebooted
ComboFix-quarantined-files.txt  2009-08-13 20:39

Pre-Run: 269,113,700,352 octets libres
Post-Run: 268,986,585,088 octets libres

200	--- E O F ---	2009-07-29 01:01

zeeonlyone · Answer

Et le dernier rapport via cijoint : 
c'est super long !!! je tiens le coup !!!!!!!!!

http://www.cijoint.fr/cjlink.php?file=cj200908/cijJLTM8Dk.txt

sKe69 · Answer

Re,

c'est super long !!! je tiens le coup !!!!!!!!! 

> tu t'en sort pas mal vu l'empleur des dégats ... arrète les cracks et les keygens , cela t'évitera de devoir recommencer tous les mois ! .... ^^
Avec tes conneries un jour le PC plantera serieux et addieux tes compos de zic  ! ... ;) 




reste encore du boulot :



1-Créer un doc texte sur ton bureau : 
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" . 

* Rends toi sur cette page > https://www.cjoint.com/?inxw0haHGF

* copie/colle tout le texte qui s'y trouve ( et rien d'autre!) dans le fichier texte que tu viens de créer : 

* Pour sauvegarder, va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : 
CFScript puis valide ... ( sauvegarde le bien sur le bureau )
 

2-Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après )  !! 

--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe . 

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide. 

Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!) 

!! Ne touches à rien tant que le scan n'est pas terminé !! 

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse et attends la suite ...


( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

zeeonlyone · Answer

En effet, tu as raison, vu la galère dans laquelle je suis je vais freiner ça. bref... le dernier rapport de combo fix.

ComboFix 09-08-10.06 - Propriétaire 2009-08-13 23:31.2.2 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.2.1252.1.1036.18.2047.1671 [GMT 2:00]
Running from: c:\documents and settings\Propriétaire\Bureau\ComboFix.exe
Command switches used :: c:\documents and settings\Propriétaire\Bureau\CFScript.txt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
"c:\program files\Search Settings\SearchSettings.exe"
.

(((((((((((((((((((((((((   Files Created from 2009-07-13 to 2009-08-13  )))))))))))))))))))))))))))))))
.

2009-08-13 17:48 . 2009-08-13 20:22	--------	d-----w-	c:\program files\Ad-remover
2009-08-13 16:56 . 2009-08-03 11:36	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-13 16:56 . 2009-08-13 16:56	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-08-13 16:56 . 2009-08-13 16:56	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2009-08-13 16:56 . 2009-08-03 11:36	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-08-13 15:37 . 2009-08-13 16:26	--------	d-----w-	C:\UsbFix
2009-08-13 15:29 . 2009-08-13 15:29	--------	d-----w-	c:\program files\CCleaner
2009-08-13 14:39 . 2009-08-13 11:40	15360	-c--a-w-	c:\windows\system32\dllcacheegister.exe.REN
2009-08-13 13:11 . 2009-08-13 14:40	--------	d-----w-	C:\FindyKill
2009-08-13 12:58 . 2009-08-13 13:06	--------	d-----w-	C:\ToolBar SD
2009-08-13 12:20 . 2009-08-13 12:21	--------	d-----w-	c:\program files\ZHPDiag
2009-08-13 11:21 . 2009-02-05 20:04	97480	----a-w-	c:\windows\system32\AvastSS.scr
2009-08-13 11:21 . 2009-02-05 20:08	93296	----a-w-	c:\windows\system32\drivers\aswmon.sys
2009-08-13 11:21 . 2009-02-05 20:11	1256296	----a-w-	c:\windows\system32\aswBoot.exe
2009-08-13 10:14 . 2002-01-05 10:16	737280	----a-w-	c:\windows\system32\msvcp70d.dll
2009-08-13 10:14 . 2002-01-05 10:16	536576	----a-w-	c:\windows\system32\msvcr70d.dll
2009-07-29 07:33 . 2009-07-29 07:33	--------	d-----w-	c:\program files\DAEMON Tools Lite
2009-07-27 22:29 . 2009-07-27 22:29	--------	d-----w-	c:\program files\Activision
2009-07-24 21:51 . 2009-07-24 21:51	--------	d-----w-	c:\program files\XLN Audio
2009-07-24 11:23 . 2009-07-24 11:23	--------	d-----w-	c:\documents and settings\All Users\Application Data\AraldFX
2009-07-24 11:23 . 2009-07-24 11:22	691481	----a-w-	c:\documents and settings\All Users\Application Data\AraldFX\DKS\unins000.exe
2009-07-22 17:56 . 2009-07-22 17:56	--------	d-----w-	c:\program files\Zero-G
2009-07-22 17:39 . 2009-07-22 17:39	--------	d-----w-	c:\program files\MagicISO
2009-07-22 14:14 . 2009-07-22 14:14	--------	d-----w-	c:\program files\Jingle Palette

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-13 20:49 . 2008-09-03 15:46	--------	d-----w-	c:\program files\Mozilla Thunderbird
2009-08-13 13:32 . 2009-06-09 07:43	--------	d-----w-	c:\program files\EasyBox
2009-08-13 10:19 . 2008-11-05 13:44	--------	d-----w-	c:\program files\Arturia
2009-08-10 17:25 . 2008-09-11 22:32	--------	d-----w-	c:\program files\Steinberg
2009-08-08 23:25 . 2008-10-10 14:50	224	----a-w-	c:\windows\msocreg32.dat
2009-08-05 07:46 . 2007-10-02 15:56	--------	d--h--w-	c:\program files\InstallShield Installation Information
2009-08-05 07:46 . 2008-10-10 14:49	--------	d-----w-	c:\program files\IK Multimedia
2009-08-03 21:26 . 2009-03-11 04:12	--------	d-----w-	c:\program files\Full Tilt Poker
2009-07-21 21:51 . 2009-07-21 21:50	8869	----a-w-	c:\windows\Fonts\ice_age_font.zip
2009-07-01 16:11 . 2009-06-30 10:33	--------	d-----w-	c:\program files\FairUse Wizard 2
2009-06-30 10:24 . 2009-06-30 10:24	--------	d-----w-	c:\program files\DVD Decrypter
2009-06-29 17:28 . 2004-08-05 12:00	92880	----a-w-	c:\windows\system32\perfc00C.dat
2009-06-29 17:28 . 2004-08-05 12:00	528120	----a-w-	c:\windows\system32\perfh00C.dat
2009-06-26 16:18 . 2006-03-02 12:00	663552	----a-w-	c:\windows\system32\wininet.dll
2009-06-26 16:18 . 2006-03-02 12:00	81920	----a-w-	c:\windows\system32\ieencode.dll
2009-06-16 14:54 . 2006-03-02 12:00	82432	----a-w-	c:\windows\system32\fontsub.dll
2009-06-16 14:54 . 2006-03-02 12:00	119808	----a-w-	c:\windows\system32	2embed.dll
2009-06-09 08:35 . 2009-07-21 21:53	20640	----a-w-	c:\windows\Fonts\ICE_AGE.ttf
2009-06-03 19:27 . 2006-03-02 12:00	1296896	----a-w-	c:\windows\system32\quartz.dll
.

(((((((((((((((((((((((((((((   SnapShot@2009-08-13_20.37.23   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-08-13 21:23 . 2009-08-13 21:23	16384              c:\windows\Temp\Perflib_Perfdata_670.dat
+ 2009-08-13 21:23 . 2009-08-13 21:23	16384              c:\windows\Temp\Perflib_Perfdata_100.dat
.
(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-04-01 486856]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-12-23 143360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088]
"H2O"="c:\program files\SyncroSoft\Pos\H2O\cledx.exe" [2005-12-18 307200]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-08-13 81000]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-03 86016]
"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864]
"DeltaIITaskbarApp"="c:\windows\system32\DeltaIITray.exe" [2008-03-03 236040]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2007-03-21 1953792]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-03-21 16126464]
"nwiz"="nwiz.exe" - c:\windows\system32
wiz.exe [2008-05-03 1630208]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-02 15360]

c:\documents and settings\Propri‚taire\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 2.3.lnk - c:\program files\OpenOffice.org 2.3\program\quickstart.exe [2007-8-17 393216]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi2"=ma_cmidn.dll
"midi5"=ma_cmidn.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0sprestrt

[HKEY_CURRENT_USER\software\microsoft\windows\currentversionun-]
"ctfmon.exe"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun-]
"M-Audio Taskbar Icon"=c:\windows\System32\M-AudioTaskBarIcon.exe
"nwiz"=nwiz.exe /install
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" -atboottime

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\eMule\emule.exe"=
"c:\Program Files\uTorrent\uTorrent.exe"=
"c:\Program Files\Easybox\apache\apache.exe"=
"c:\Program Files\Orb Networks\Orb\bin\Orb.exe"=
"c:\Program Files\EasyBox\vlc\vlc.exe"=

R2 EasyBoxApache;EasyBoxApache;c:\program files\EasyBox\apache\apache.exe [2009-06-09 20537]
R2 gearsec;gearsec;c:\windows\system32\gearsec.exe [2003-12-02 53248]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2009-02-23 603904]
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\atl01_xp.sys [2007-10-02 38656]
R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [2008-09-12 33792]
S1 aswSP;avast! Self Protection; [x]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys --> c:\windows\system32\DRIVERS\aswFsBlk.sys [?]
S3 DELTAII;Service for M-Audio Delta Driver (WDM);c:\windows\system32\DRIVERS\deltaII.sys --> c:\windows\system32\DRIVERS\deltaII.sys [?]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers
mwcdnsu.sys [2009-05-07 136704]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers
mwcdnsuc.sys [2009-05-07 8320]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:
tglm7x.sys --> d:\NTGLM7X.sys [?]
S3 SynasUSB;SynasUSB;c:\windows\system32\drivers\synasUSB.sys [2009-04-16 16896]
.
Contents of the 'Scheduled Tasks' folder

2009-08-13 c:\windows\Tasks\1-Click Maintenance.job
- c:\program files\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-11 20:36]
.
.
------- Supplementary Scan -------
.
mWindow Title = 
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
FF - ProfilePath - c:\documents and settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\mwe3odw1.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://fr.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
FF - prefs.js: keyword.URL - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=

---- FIREFOX POLICIES ----
FF - user.js: yahoo.homepage.dontask - true
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-13 23:35
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...  

scanning hidden autostart entries ... 

scanning hidden files ...  

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'explorer.exe'(548)
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\browselc.dll
c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
c:\program files\WIBU-SYSTEMS\System\WibuShellExt.dll
c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
.
Completion time: 2009-08-13 23:36
ComboFix-quarantined-files.txt  2009-08-13 21:36
ComboFix2.txt  2009-08-13 20:40

Pre-Run: 268,969,275,392 octets libres
Post-Run: 268,954,722,304 octets libres

170	--- E O F ---	2009-07-29 01:01

sKe69 · Answer

on a bien avancé là ... ^^


la suite dans l'ordre :


1- Supprimes tout ce qui se trouve dans la quarantaine de Malwarebytes .


=============

2- refais un coup de CCleaner ( registre compris )


=============

3- Télécharge GenProc  (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
http://www.genproc.com/GenProc.exe 

!! ferme tes applications en cours !!


* double-clique sur GenProc.exe pour lancer le scan et laisse faire ...

* A la question "faites vous aidez sur un forum..." > clique sur " oui " .

-> poste le contenu du rapport qui s'ouvre ... 


Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
 
IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .

zeeonlyone · Answer

Le rapport en question : 

Rapport GenProc 2.613 [1] - 2009-08-14 à 0:07:13 
@ Windows XP Service Pack 2 - Mode normal
@ Mozilla Firefox (3.0.13) [Navigateur par défaut]

~~ "C:\WINDOWS\sed.exe" a été renommé sed.exe_RenameGenProc ~~
~~ "C:\WINDOWS\grep.exe" a été renommé grep.exe_RenameGenProc ~~
 
GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante : 


Poste un rapport Nod32 https://www.eset.com/ (il faut utiliser Internet Explorer)
- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :  
C:\Program Files\EsetOnlineScanner\log.txt

 


~~~~ INFORMATION COMPLEMENTAIRE ~~~~
 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:08, on 2009-08-14
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\EasyBox\Apache\Apache.exe
C:\WINDOWS\system32\gearsec.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\M-Audio\M-Audio Series II MIDI\MA_CMIDI_Inst.exe
C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Program Files\EasyBox\Apache\Apache.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\cmd.exe
C:\Genproc\outil\Propriétaire_GenProc.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: Loader Class - {F880A4A8-C436-4AC4-AFD1-AA0BDC9552DD} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [DeltaIITaskbarApp] C:\WINDOWS\system32\DeltaIITray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - https://www.touslesdrivers.com/index.php?v_page=29
O23 - Service: EasyBoxApache - Apache Software Foundation - C:\Program Files\EasyBox\Apache\Apache.exe
O23 - Service: gearsec - GEAR Software - C:\WINDOWS\system32\gearsec.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: M-Audio Series II MIDI Installer (MA_CMIDI_InstallerService) - Unknown owner - C:\Program Files\M-Audio\M-Audio Series II MIDI\MA_CMIDI_Inst.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Nokia\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

sKe69 · Answer

Bien ...


Supprime  Avast proprement  car définitivement shooter par Bagle ....

je vais te donner en plus un autre anti-virus plus léger et plus performant ( gratos bien sûr )....




Une fois Avast désinstallé , fais ce qui suit dans l'ordre : 



( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )


A-Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau. 
http://pc-system.fr/

Déconnecte toi et ferme bien toutes tes applications en cours .

Lances le . 
*Clique sur Recherche et laisse le scan se terminer (cela peut être long). 
*Clique sur Suppression pour finaliser. 
*Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
--> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt . 

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé . 

( garde CCleaner et Malwarebytes : très utiles ! )

======================================

B- Refais un coup de CCleaner ( registre compris ) .

======================================

C- Télécharge et installe le logiciel HijackThis : 

ici https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation . 
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge . 
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : 
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

(n'utilise pas cet outil, ne fais pas de scan pour le moment ) 

======================================

D- IMPORTANT :
Purge de la restauration système 
*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK 
---> Redémarre ton PC ...

*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK 
--->Redémarre ton PC ...

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).


======================================

E- Ton nouvel anti-virus ,

Télécharge AntiVir Personal Edition  ici :
http://www.commentcamarche.net/telecharger/telecharger-55-antivir
ou ici :
http://dl1.avgate.net/down/windows/antivir_workstation_winu_fr_h.exe
ou ici :
http://www.free-av.com/fr/telecharger/1/avira_antivir_personal_free_antivirus.html

Anti-virus gratuit . 

Installe le et mets le à jour si besoin .

Aide AntiVir : https://www.malekal.com/avira-free-security-antivirus-gratuit/
TUTO installation : http://www.forum-vista.net/forum/topic5704.html

( Si jamais tu as un problème avec la mise à jour , regarde ici :
https://www.commentcamarche.net/faq/8622-mise-a-jour-d-antivir-impossible  )


Impératif > faire ce réglage supplémentaire :

***************************************
Une fois AntiVir ouvert, clique sur "configuration" et coche bien la case " mode expert " : 

* mets toi sur "scanner"/"recherche" (à gauche) -> dans "fichiers", coche tous les fichiers et en dessous dans priorité scanner= élevé  .
coche aussi : autorisé l'arrêt , comme cela tu peux faire une pause pendant le scan si tu le desir. 
* toujours dans "recherche" -> " Autres réglages ", coche les cases suivantes : 
>secteur d'amorçage lecteurs de rech. 
>Contrôler secteurs d'amorçage maître 
>Suivre les liens symboliques 
>Rech.Rootkit au dém. de la recherche 
et décoche : 
ignorer les fichiers hors ligne 

* mets toi sur "scanner"/"recherche"/ "heuristique" -> Heuristique macrovirus= coché, et en dessous coche activer AHeADet coche la case degré d'identification élevé ...
* mets toi sur "scanner"/"recherche"/ "action en cas de résultat positif" -> coche " interactif" et choisis le mode "individuel" .

* mets toi sur "Guard"/"recherche"/ "heuristique" -> Heuristique macrovirus= coché, et en dessous coche activer AHeADet coche la case degré d'identification moyen ...


---> clique sur "OK" pour valider le réglage ...
****************************************

Une fois fait , 
Impératif : Démarrer en mode sans echec .

 /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ 

Comment aller en Mode sans échec :
1) Redémarre ton ordi .
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage . 
4) Choisis la première option : Sans Échec , et valide en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ). 
attention : pas de connexion possible en mode sans échec , donc copie ou imprime bien la manipe pour éviter les erreurs ...

Lance un scan complet de ton PC , mets tout ce qu'il peut trouver en "quarantaine" ... 
Redémarre ton PC et poste moi le rapport obtenu ... Aide toi bien du tuto ;) 

( PS : Si AntiVir s'affolle dès la fin de son installe , ainsi qu'au redémarrage du PC , mets tout en quarantaine et poste moi tous les rapports ... )

zeeonlyone · Answer

[ Rapport ToolsCleaner version 2.3.10 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\TB.txt: trouvé !
C:\FindyKill.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\GenProc: trouvé !
C:\Qoobox: trouvé !
C:\Toolbar SD: trouvé !
C:\UsbFix: trouvé !
C:\FindyKill: trouvé !
C:\Documents and Settings\Propriétaire\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\Propriétaire\Bureau\Ad-remover.lnk: trouvé !
C:\Documents and Settings\Propriétaire\Bureau\ToolBarSD.exe: trouvé !
C:\Documents and Settings\Propriétaire\Bureau\UsbFix.lnk: trouvé !
C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\UsbFix: trouvé !
C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\FindyKill: trouvé !
C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\Ad-remover: trouvé !
C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: trouvé !
C:\Genproc\outil\hijackthis.log: trouvé !
C:\Genproc\outil\mbr.exe: trouvé !
C:\Genproc\Page\GenProc[*].html: trouvé !
C:\Program Files\Ad-remover: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files\Ad-remover\BACKUP\Ad-R.exe: trouvé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\Propriétaire\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\Propriétaire\Bureau\Ad-remover.lnk: supprimé !
C:\Documents and Settings\Propriétaire\Bureau\ToolBarSD.exe: supprimé !
C:\Program Files\Ad-remover\BACKUP\Ad-R.exe: supprimé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\TB.txt: supprimé !
C:\FindyKill.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\Propriétaire\Bureau\UsbFix.lnk: supprimé !
C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: supprimé !
C:\Genproc\outil\hijackthis.log: supprimé !
C:\Genproc\outil\mbr.exe: supprimé !
C:\Genproc\Page\GenProc[*].html: ERREUR DE SUPPRESSION !!
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\GenProc: supprimé !
C:\Qoobox: supprimé !
C:\Toolbar SD: supprimé !
C:\UsbFix: supprimé !
C:\FindyKill: supprimé !
C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\UsbFix: supprimé !
C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\FindyKill: supprimé !
C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\Ad-remover: supprimé !
C:\Program Files\Ad-remover: supprimé !
C:\Program Files\ZHPDiag: supprimé !

sKe69 · Answer

re,

 tu supprimeras ComboFix qui est sur ton bureau manuellement ....

continue ...


Ps : finit la manipe , poste le rapport d' AntiVir et je regarderai cela demain ... ;)


Bonne nuitée et à demain pour la suite ...

threepwood06 · Answer

Je pense avoir affaire à plus experts que moi, je vais peut-être dire une énormité, mais tu as essayé de programmer une analyse antivirus avant le démarrage de Windows ? Avast fait ça très bien...

threepwood06 · Answer

Mais une question toute conne comme ça: pourquoi tu perds du temps avec ça, plutôt que de réinstaller vite fait Windows? Moi je le fais très régulièrement, tu sauvegardes tes documents quelque part au chaud dans une autre partition, tu réinstalles Windows + la petite 10ène de programmes essentiels pour ton usage (dont un bon Antivirus!!) et ça te prend une bonne soirée, pas plus. Et finis les problème, tu est certain de repartir sur de bonnes bases...

sKe69 · Answer

re,


et beh ... tu as un paquet de cracks et keygens bien pourraves !...



supprimes tout ce qui se trouve dans la quarantaine d' AntiVir ....


Si tu n'as plus de soucis , on finalise :



1- Mets à jours ce qui suit, c'est important ( des versions pas à jours = failles de sécurité ) :

Version Console Java à jour > 6 Update 15
Version Adobe Reader à jour > v 9.1.3


* pour la console Java :
-> désinstalle toutes les versions antérieurs  via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .
-> Puis télécharge et installe la dernière version ici :
https://www.commentcamarche.net/telecharger/developpement/12917-java-runtime-environment/
ou https://www.java.com/fr/

( Autre astuce pour faire cette maj ainsi que la suppression des anciennes versions 
avec l'outil Javara : https://www.commentcamarche.net/faq/15645-supprimer-les-anciennes-versions-de-java-avec-javara )

-> Enfin contrôle ceci : 
Démarrer > Panneau de configuration > Icône Java > onglet Mise à jour > cocher la case "Automatiser la détection des mises à jour".


* Adobe Reader :
-> désinstalle avant l'ancienne version via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .
-> Note : si tu as une imprimante ,éteinds la et débranche la du PC avant de faire la mise à jour.
-> télécharge et installe la dernière version ici : 
https://www.commentcamarche.net/telecharger/bureautique/2625-adobe-reader/



===============================

2- Fais une mise à jours de ton Système via panneau de config / "Windows Update" : 
-> fais toutes les mises à jours disponibles, surtout les dites "critiques" et "importantes" ( XP SP3 , Internet Explorer 8, ect ... ).
-> tu les télécharges , puis une fois celles-ci téléchargées , lance les installations ( il te sera surement demandé de redémarrer le PC pour finir les installes ...).

Astuce ici :
https://www.commentcamarche.net/faq/273-windows-update-toutes-versions

Note : 
ferme toutes applications en cours et ne fais rien d'autre avec le PC lors de la mise à jour du système .


==============================

3- une fois tout ceci fais , utlise Hijackthis :

tuto pour utilisation :
Regarde ici, c'est parfaitement expliqué en images (merci balltrap34), 
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm 
( Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement )

>  !! Déconnecte toi et ferme toutes tes applications en cours !! 

Clique sur le raccourci du bureau pour lancer le prg : 
fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile" 

---> Poste le rapport généré pour analyse ...

zeeonlyone · Answer

La mise à j<gras>our SP3 ne veut pas se faire !!!
Voilà ce qu'on me dit : 

Échec de l'installation 

Code d'erreur: 0x8007F0CC  
Essayez de réinstaller la mise à jour ou recherchez de l'aide auprès de l'une des sources suivantes. 

Options d'aide sans assistance :

Forum Aux Questions 
Trouver des solutions 
Groupe de discussion de Windows Update 

Options de support assisté :


Support assisté en ligne Microsoft

sKe69 · Answer

re, 



redémarre le PC et ré-essaye encore une fois pour voir ....


question : ta version de Windows est légitime ?

zeeonlyone · Answer

Ma version est légitime (XP familial)
Je redémarre et je donne des nouvelles

zeeonlyone · Answer

Toujours pas. 
Mais je n'ai pas essayé en mode sans echec car je ne trouve pas sur le site de téléchargement de windows la version du SP3 qui m'est indiquée via windows update , à savoir : Windows XP Service Pack 3 (KB936929)

sKe69 · Answer

re,


fais ceci :


Télécharge Dial-a-Fix ici : 

https://www.commentcamarche.net/telecharger/utilitaires/7253-dial-a-fix/


Décompresse l'archive ( = extraire tout ) sur ton bureau .

! Déconnecte toi et ferme toutes applications en cour ( navigateur compris ) !


ouvre le dossier "Dial-a-fix v..." et double clique sur Dial-a-fix.exe pour lancer l'outil .


> une fois le prg ouvert :
* dans l'encadré MSI , tu coches tout !
* dans l'encadré WU/WUAU, tu coches tout !

ensuite tu cliques sur le bouton [Flush SoftwareDistribution] .


Et enfin , tu cliques sur le bouton [GO] pour lancer la réparation ... 
laisse toi guider et laisse l'outil travailler ...


Tuto : https://www.malekal.com/tutorial-dial-a-fix/



une fois ceci fait , retente la mise à jour vers le SP3 .... poste un nouvel Hijackthis si cela a fonctionné ...

zeeonlyone · Answer

non plus, ni en mode sans echec (nouveau message erreur : le systeme de fichiers de base (noyau) utilisé pour démarrer cet ordi n'est pas 1 fichier windows) 
et si je tente une réparation à partir du CD windows ?

sKe69 · Answer

re,


et si je tente une réparation à partir du CD windows ?


on va essayer ... fais comme ceci > https://www.pcastuces.com/newsletter/adj/1340.htm


Dis moi ce que cela à donné ( si il y a eu des répartions à faire ) ....


puis retentes la mise à niveau vers le SP3 ....

zeeonlyone · Answer

ça ne fonctionne toujours pas, on m'a demandé d'inserer le cd windows, ce que j'ai fait. l'opération s'est terminée mais le SP3 ne veut pas s'installer

zeeonlyone · Answer

Je vais repeter l'opération une fois, dans le bénéfice du doute, en attendant ta réponse.
C'est frustrant quand ça marche pas !!!

sKe69 · Answer

re,


 mais le SP3 ne veut pas s'installer


c'est quoi le message exactement ...

zeeonlyone · Answer

J'ai téléchargé ce fichier : WindowsXP-KB936929-SP3-x86-FRA.exe
Je l'installe et un message d'erreur : "Le systeme de fichiers de base (noyau)utilisé pour démarrer cet ordinateur n'est pas un fichier microsoft windows. Le service pack ne sera pas installé. Pour obtenir plus d'informations, consultez l'article Q327101 de la base de connaissances à l'adresse https://support.microsoft.com/en-us"

zeeonlyone · Answer

Ok le sp3 est installé. J'avais mis une image au démarrage de windows avec tune up utilities, c'est peut être ça qui merdait. J'ai changé le boot.ini comme dans le tuto de microsoft. Maintenant ça marche. 
Je fais un hijack et je l'envoie.

zeeonlyone · Answer

Voilà le rapport 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:20, on 2009-08-14
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\gearsec.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\M-Audio\M-Audio Series II MIDI\MA_CMIDI_Inst.exe
C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\DeltaIITray.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\TuneUpDefragService.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: Loader Class - {F880A4A8-C436-4AC4-AFD1-AA0BDC9552DD} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [DeltaIITaskbarApp] C:\WINDOWS\system32\DeltaIITray.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - https://www.touslesdrivers.com/index.php?v_page=29
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: EasyBoxApache - Apache Software Foundation - C:\Program Files\EasyBox\Apache\Apache.exe
O23 - Service: gearsec - GEAR Software - C:\WINDOWS\system32\gearsec.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: M-Audio Series II MIDI Installer (MA_CMIDI_InstallerService) - Unknown owner - C:\Program Files\M-Audio\M-Audio Series II MIDI\MA_CMIDI_Inst.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Nokia\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

sKe69 · Answer

re,


pour les mise à jour , on y est presque ! 



il faut mettre à jour IE ! ( t'as la version 6 et on en est à la 8 ) ... et même si tu ne l'utilise pas !

* Internet Explorer :
Même si tu utilises un autre Navigateur , il faut tenir IE à jours ! ( sinon faille de sécurité ) .
->Télécharge le ici : https://support.microsoft.com/fr-fr/allproducts
ou ici : https://www.commentcamarche.net/telecharger/web-internet/12477-internet-explorer-11/

http://www.microsoft.com/downloads/details.aspx?familyid=9AE91EBE-3385-447C-8A30-081805B2F90B&displaylang=fr

 ! Ferme toutes applications en cours ( navigateurs compris ), désactive toutes tes défenses ( antivirus , pare feu , guarde anti-spyware ...), et en restant connecté !

> puis lance l'installe de IE8 et laisse toi guider ...( regarde bien le du tuto ci-dessous )

->Pourquoi mettre à jours IE et tuto ici :
https://forum.malekal.com/viewtopic.php?f=45&t=12405



Met aussi à jour FireFox ! ta version est obselette .... télécharge et installe la 3.5 ici > https://www.commentcamarche.net/telecharger/web-internet/9879-securite-firefox-deux-failles-graves-corrigees-en-urgence/




une fois tout ceci fait , reposte un nouvel hijack de contrôle et attends la suite ....

zeeonlyone · Answer

le rapport 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:48, on 2009-08-14
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\gearsec.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\M-Audio\M-Audio Series II MIDI\MA_CMIDI_Inst.exe
C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\DeltaIITray.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: Loader Class - {F880A4A8-C436-4AC4-AFD1-AA0BDC9552DD} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [DeltaIITaskbarApp] C:\WINDOWS\system32\DeltaIITray.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - https://www.touslesdrivers.com/index.php?v_page=29
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: EasyBoxApache - Apache Software Foundation - C:\Program Files\EasyBox\Apache\Apache.exe
O23 - Service: gearsec - GEAR Software - C:\WINDOWS\system32\gearsec.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: M-Audio Series II MIDI Installer (MA_CMIDI_InstallerService) - Unknown owner - C:\Program Files\M-Audio\M-Audio Series II MIDI\MA_CMIDI_Inst.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Nokia\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

sKe69 · Answer

la suite :


1- Ferme toutes tes applications ( navigateur compris ) et déconnecte toi .

Relance Hijackthis mais click sur " Do a scan only " 
Tu vois donc apparaitre le résultat du scan : une multitudes de lignes ,chacunes précédées d'un carré vide . 
Tu vas cliquer sur les carrés des lignes suivantes : 


O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe 
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" 
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" 
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe 
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') 
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') 
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe 



Tu cliques en bas sur le bouton FIX CHECKED et valides .



2- Redémarre l'ordi .
( important pour que certaines modifs faites avec hijakthis soient prises en compte ) 


Puis teste ton PC ainsi que ta navigation sur internet ... Si tout est Ok pour toi , on peut passer à la dernière étape ....
Poste aussi un dernier rapport Hijackthis de contrôle ...

zeeonlyone · Answer

Que doi-je garder ?
c cleaner 
malwarebytes
tools clean
hijack this
dial a fix 

Mon ordi se remettra à jour automatiquement ?

Encore un rapport 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:17, on 2009-08-14
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\gearsec.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\M-Audio\M-Audio Series II MIDI\MA_CMIDI_Inst.exe
C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\DeltaIITray.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: Loader Class - {F880A4A8-C436-4AC4-AFD1-AA0BDC9552DD} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [DeltaIITaskbarApp] C:\WINDOWS\system32\DeltaIITray.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - https://www.touslesdrivers.com/index.php?v_page=29
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: EasyBoxApache - Apache Software Foundation - C:\Program Files\EasyBox\Apache\Apache.exe
O23 - Service: gearsec - GEAR Software - C:\WINDOWS\system32\gearsec.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: M-Audio Series II MIDI Installer (MA_CMIDI_InstallerService) - Unknown owner - C:\Program Files\M-Audio\M-Audio Series II MIDI\MA_CMIDI_Inst.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Nokia\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

sKe69 · Answer

bien ... suite et fin dans l'ordre : 1- Déconnecte toi et ferme bien toutes tes applications en cours . Lance Toolscleaner2 . *Clique sur Recherche et laisse le scan se terminer (cela peut être long). *Clique sur Suppression pour finaliser. *Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) : ---> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt . Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection ( tu n'en as plus besion ! ) . Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé . Puis enfin supprime Toolscleaner2 ... ( garde uniquement CCLeaner et Malwarebytes ! ) ================= 2- Refais un coup de CCleaner ( registre compris ) . ================= 3- Fais ce check-up pour finir : A-Purge de la restauration système *Désactive ta restauration : Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK --->Redémarre ton PC ... *Réactive ta restauration : Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK --->Redémarre ton PC ... ( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ). Attention : ne pas toucher au PC pendant qu'il travaille ! B-Nettoyage et Défragmentation de tes Disques *Nettoyage : Clique droit sur "poste de travail" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Général" Clique sur le bouton "nettoyage de disque", OK . tu le fais pour chacun de tes disques ... *Vérifications des erreurs : Clique droit sur "poste de travail" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ... ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" > OK . Tu le fais pour chacun de tes disques ... Note : si tu as un utilitaire pour défragmenter , utilise le à la place ... ( attention , cela peut durer assez longtemps - plus de dix heures dans certains cas ) C-Créer un point de restauration de ton PC : Aller dans le Menu Démarrer puis dans Programmes, - Ensuite dans Accessoires et enfin dans Outils système, - Choisir "Restauration du système", - Sélectionner "Créer un point de restauration", - Cliquer sur "Suivant", - Entrer un nom pour le point de restauration (ce nom doit être assez évocateur), exemple : << Point restauration sain >> . --> Cliquer sur "Créer" et le point de restauration se créé automatiquement. ---> une fois terminé, dis moi ce que cela a donné et comment va le PC ... =)

zeeonlyone · Answer

[ Rapport ToolsCleaner version 2.3.10 (par A.Rothstein & dj QUIOU) ]
tools cleaner 
Je continue

--> Recherche: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Propriétaire\Bureau\HijackThis.lnk: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Propriétaire\Bureau\HijackThis.lnk: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

zeeonlyone · Answer

Tout est fait, le Pc va bien, un poil plus rapide je pense 
Merci beaucoup pour ton temps 
pense à dormir de temps à autres quand même...

sKe69 · Answer

Salut,


Il te faut absolument un anti-spyware résident pour épauler ton AV . 
Choisi l'un d'entre eux ( c'est du gratos ) :


Télécharger Spyware Terminator :
https://www.commentcamarche.net/telecharger/securite/20947-spyware-terminator/ 
 
Mais en faisant attention ; lors de l'installation, tu dois décocher devant :
"autoriser Web Security Guard"
 
Ne pas accepter le  'Web Security Guard' !! 

Vérifie régulièrement la mise à jour. 
Active la protection en temps réel comme ceci : http://img220.imageshack.us/img220/1985/screenshot269jn3.png 
et comme ceci dans l'onglet "Avancé" http://img223.imageshack.us/img223/19/screenshot270fm3.png (HIPS activé). 

Note ==> Remarque la fonction 'LANGUE' ;) ==> elle est là : http://img146.imageshack.us/img146/8679/screenshot271db0.png 

Tuto Spyware Terminator :
https://www.malekal.com/tutorial-et-guide-spywareterminator/

Note : si tu n'as pas d'antivirus, Spyware Terminator contient un aussi. 
/!\ Si tu as déjà un antivirus, ne pas mettre en service "Clam Antivirus" (1 seul antivirus actif par PC) :
->http://img210.imageshack.us/img210/3191/screenshot272kq3.png )

OU ************************************************

SpywareBlaster + SpywareGuard: 


* SpywareBlaster :
http://www.brightfort.com/spywareblaster.html 

c´est un resident uniquement ( pas de scan possible ) . Il suffit de le mettre a jour de temps en temps car la version gratuite ne le fait pas toute seul , une fois installé et mis a jour tu mets toutes les protections sur "enable" 

tuto : https://www.malekal.com/tutorial-spywareblaster/ 


* SpywareGuard :
SpywareGuard offre une protection en temps réel contre les tentatives d'installation des spywares.
https://www.commentcamarche.net/download/telecharger-34055277-spywareguard
Tuto : https://www.zebulon.fr/dossiers/securite/47-spywareguard.html

( controle les mises à jour / " live update " régulièrement )


=======================
=======================
=======================


Content d'avoir pu te rendre service .... ^^


Potasse ces quelques recommandations :


=> Comportement à adopter avec son PC : http://assiste.com.free.fr/p/abc/a/safe_cex.html 
et pourquoi ( exemple ) : http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html

=> Surveillance : 
Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus puis avec ton anti-spyware (après les avoir mis à jour bien sur !) et supprime ce qu'ils peuvent trouver (où mets en quarantaine, en pensant à la vider ultérieurement). 

=>  Il faut absolument tenir à jour régulièrement Windows:

Via Internet Explorer ( impératif ), rends toi sur Microsoft Update
http://www.update.microsoft.com/windowsupdate/v6/default.aspx

Effectue toutes les mise à jour critiques proposées.
Tu seras obligé de faire redémarrer ton PC et de retourner à la fonction de mise à jour jusqu'à ce qu'il n'y ait plus rien de signalé.

Par la suite, vérifie que les mises à jours de Windows soient bien en automatiques, pour cela :
Démarrer / Panneau de configuration et dans Centre de sécurité, clique sur Mises à jour automatiques, puis coche Installation automatique (recommandé), en dessous indique une heure où tu es connecté habituellement, puis clique sur Appliquer puis sur OK

=============================================================

=> Il faut mettre a jour la console Java régulièrement aussi : 

( Pourquoi : http://www.secuser.com/vulnerabilite/2008/080305-java.htm )

Donc pour se faire, rends toi sur https://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour) ou ici https://filehippo.com/download_jre_32/?ex=CORE-116.0 
Après avoir installé la dernière version, désinstalle les anciennes versions (de Java) afin d’éliminer les failles de sécurité présentes dans ces anciennes versions. 
via Démarrer / Paramètres / Panneau de config / et dans Ajout/Suppression de programmes navigue jusqu'aux anciennes versions de la console Java qui s'y trouvent, puis clique sur « Supprimer », suis les invites de commandes dans la boite de dialogue qui va s'ouvrir afin d'amener la désinstallation à son terme. 
Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé . 
Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre. 

Autre astuce : https://www.commentcamarche.net/faq/15645-supprimer-les-anciennes-versions-de-java-avec-javara

============================================================= 

=> Afin d’éviter les autres failles de sécurité des différents programmes présents sur ton PC : 

Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l’est pas. https://www.flexera.com/products/operations/software-vulnerability-management.html 
- Tuto https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/ 
- Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page. 

-> autre très bon soft similaire dans cette astuce : 
https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
 
===========================================================
* le pare- feu de Xp vaut rien , je te conseille fortement dans installer un :
( Important > si votre antivirus fait aussi pare-feu , ne pas en installer un autre ! conflits et plantages assurés ! )

Armor ou Comodo sont très bien ( en anglais mais gratuit )...Tu trouveras tout ce qu'il faut ici :
https://www.commentcamarche.net/telecharger/securite/pare-feu/

tutos :
https://www.malekal.com/tutorial-online-armor-free/
https://www.malekal.com/tutorial-comodo-firewall/

( Attention : pour Comodo 3 , choisir uniquement l'installation du pare-feu seul. Ne pas installer la barre d'outil pour les navigateurs ! )

En deuxieme choix ( gratuit aussi ) :
->Comodo ancienne version 2.4 ( en francais ) : 
http://download.comodo.com/cpf/download/setups/release/languages/CFP_Setup_English_French_2.4.16.174.exe
tuto: https://infomars.fr/forum/index.php?s=908072e48ff7cf0359366440cb26c93f&showtopic=389

->PC Tools Firewall Plus (en français) :
https://fr.norton.com/
Tuto : http://www.6ma.fr/tuto/utilisation-pc-tools-firewall-plus/

(Note: pensez bien à désactiver le pare-feu de Windows avant de lancer l'installe de tout autre pare-feu !)

* teste l'efficacité de ton pare-feu ici ( à titre indicatif ):
http://www.zebulon.fr/outils/scanports/test-securite.php

* tests firewall: http://www.matousec.com/index.html 

=> Un complément au pare-feu pour fermer les ports risqués (dangereux, s’ils restent ouverts) : 

ZebProtect (application ne nécessitant pas d’installation à lancer et paramétrer une unique fois) http://telechargement.zebulon.fr/123.html 

-Tuto https://www.zebulon.fr/dossiers/autres/40-zebprotect.html 

================================================================ 

Pour une meilleur sécurité lorsque tu surfes : 

* Je te conseille d'utiliser le navigateur " FireFox " :
télécharge le ici -> http://www.mozilla-europe.org/fr/
ou -> https://www.commentcamarche.net/telecharger/web-internet/9879-firefox/

( Attention : toujours garder IE sur son PC ! Il est indispensable pour les mises à jour de ton système ainsi que pour pas mal de choses, comme les scan d'antivirus en ligne, ect... )

-> Tutorial pour sécuriser Firefox :
https://www.malekal.com/securiser-le-navigateur-web-firefox-2/
https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/ 

* tu peux installer cet Add-ons : WOT ( gratuit / compatible IE et FireFox )
-> Firefox https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp - IE https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp
-> Démo : http://www.mywot.com/fr/demo
Très simple et léger , WOT permet d'avoir un aperçu sur la dangerosité et la fiabilité des sites donnés par les moteurs de recherche tel que Google ou Live Search .
> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

* Noscript est un autre "Add-ons" ( pour Firefox ) qui empêche l'exécution de scripts en provenance des sites Web. 
Il stoppe l'installation de logiciels infectieux via flash, java, javascript et d'autres points d'entrée : 
http://www.geekstogo.com/forum/redirect.php?url=http%3A%2F%2Fwww.noscript.net

=================================================================
=> Rappel sur les principales causes d'infection : 

A lire > https://www.malekal.com/fichiers/projetantimalwares/prevention-protection.pdf
( merci aux auteurs de ce pdf )

* L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci : 

Les dangers des cracks : http://forum.malekal.com/ftopic893.php 

-> Le crack dans toute sa splendeur, journal d'une infection attendue : 
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/ 

-> Fléaux du moment par le biais de pseudo crack sur réseau P2P : Virut/Scrible !
> https://www.futura-sciences.com/tech/actualites/informatique-virut-scribble-retour-infection-redoutable-18310/


* Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent): 

Les conséquences du P2P : https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/ 

Pourquoi éviter le P2P (emule ,Shareaza, kazza ... ect):
> http://www.libellules.ch/... 
> http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793 
> https://lexpansion.lexpress.fr/actualite-economique/
 

* Faire attention avec les ActiveX :
http://assiste.com.free.fr/p/abc/a/activex_dangers.html
et comment : 
http://assiste.com.free.fr/p/abc/c/anti_activex.html


* Prévention sur deux autres types d'infection d'actualité : 

MSN prévention : 
https://forum.zebulon.fr/topic/130590-infection-par-msn-ou-wlm/
-> autre danger grandissant , le " phishing " (= hameçonnage ) :
http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte
 

Infection par supports amovibles (clefs usb, flash, DD externes ..) :
https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/ 
https://forum.malekal.com/viewtopic.php?f=45&t=5544 

* Rappel sur l'utilisation d'une version piratée de Windows :
https://www.commentcamarche.net/faq/2981-j-utilise-une-version-piratee-de-windows

=================================================================

Bon à savoir :

* La "Console de récupération" ( XP ): 
face aux nouvelles menaces (attaque du secteur de boot par exemple), la Console de récupération peut être la seule solution pour pallier à un système très endomagé et particulièrement instable. 
tutoriels ici : 
https://www.pcastuces.com/pratique/windows/xp/console_recuperation/page1.htm .
https://www.informatruc.com

Equivalent Vista : http://www.forum-vista.net/forum/

* Conserve une sauvegarde des fichiers importants ( Sur CD/DVD rom ,DD externe ,ect ...). 

* Ne pas telecharger n'importe quoi, éviter les programes gratuits genre smileys, Macrogaming\SweetIM, Boonty games, ...ect

* Analyser les fichiers reçus/téléchargés :
Pour les adeptes du Peer 2 Peer ( que je déconseille fortement ),toujours analyser les fichiers telechargés avec l'antivirus, l'anti-spyware/malaware du PC avant de les executer ... Cela minimise les risques ( mais ceux-ci restent tout de même présents ! ) 
Ne pas ouvrir les pieces jointes d'un expediteur inconnu et toujours les analyser avant de les ouvrir .
Toujours analyser les fichiers reçus via MSN ou autre avec ton antivirus .

* Idées reçus en sécurité informatique ( très instructif ) > 
http://www.libellules.ch/idees_recues_securite.php

=================================================================
( merci le sioux ) 
 
 
Voilou ....


bonne continuation à toi ... =)


A+

zeeonlyone · Answer

très complet. Merci encore. Je vais lire tout ça de ce pas.

Virus : blocage d'avast antivirus

52 réponses

Discussions similaires

Newsletters