Virus super puissant

Question

Bonjour,

depuis deux jours mon pc (sous xp, p2) perd de nouvelles fonctions à chaque redémarrage. 

Dans l'ordre:

Impossible de supprimer un dossier (prétexte: utilisé par quelqu'un d'autre): depuis c'est revenu
Fermeture des fenêtres lorsque je les réduits (pourtant toujours ouvert dans le gestionnaire des tâches)
Disparition de la barre des tâches (réactivée depuis mais différente et présentant le menu démarrer)
Impossibilité d'accéder à Windows update (dernière mise à jour)
Neutralisation des fichiers Services et disparition des fichiers dans l'onglet étendu
Impossibilité de restaurer
Impossibilité de copier/coller (revient de façon aléatoire et très éphémère)
Impossibilité de glisser/déplacer
Impossibilité d'ouvrir les photos (vignettes visibles) sauf avec un logiciel de retouche d'images
Clic droit impossible sur fonction Rechercher
Messagerie Yahoo out (dans la fenêtre de l'invité un P majuscule; ses messages ne me parviennent pas)
Impossibilité d'installer Avira, AVG (ok pour avast)
Impossibilité de mettre à jour Ad aware
Impossibilité de scanner en ligne
Rien dans l'onglet utilisateur du gestionnaire des tâches
Démarrage et fermeture de windows très lents


Voilà en gros.

Je ne peux formater puisque je ne peux sauvegarder mes fichiers. 
J'ai lancé en mode sans échec: 
Ad aware - non mis à jour (rien)
Smitfraudfix

en mode normal
Registry Doktor (quelques corrections)

Par miracle je peux copier ce rapport:

Logfile of HijackThis v1.98.2
Scan saved at 02:37:36, on 10/09/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Ares\Ares.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Registry_Doktor 4.1\RegistryDoktor.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
F:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\CD\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O2 - BHO: (no name) - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\pdfforgeToolbarIE.dll
O2 - BHO: EoBHO - {C7B76B90-3455-4AE6-A752-EAC4D19689E5} - (no file)
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll
O3 - Toolbar: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O3 - Toolbar: Barre d'outils &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O3 - Toolbar: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - C:\Program Files\Save Flash\SaveFlash.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\pdfforgeToolbarIE.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\pdfforge Toolbar\SearchSettings.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RegistryDoktorFrNET] C:\Program Files\Registry_Doktor 4.1\RegistryDoktor.exe
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll


Pouvez-vous m'aider???

Merci d'avance!

pimprenelle27 · Accepted Answer

ok c'est partit : 

&#x25B6; Telecharge FindyKill sur ton bureau :

&#x25B6; Lance l installation avec les parametres par default

&#x25B6; Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

&#x25B6; Double clic sur le raccourci FindyKill sur ton bureau

&#x25B6; Au menu principal,choisi l option 1 (Recherche)

&#x25B6; Post le rapport FindyKill.txt

 * Note : le rapport FindyKill.txt est sauvegardé a la racine du disque

pimprenelle27 · Answer

bonjour,

Me faire ceci pour un examen complet de ton PC.

&#x25B6; Télécharge Random's System Information Tool (RSIT).

&#x25B6; Un tutoriel est  à ta disposition pour l'installer et l'utiliser correctement ici

&#x25B6; Double clique sur RSIT.exe pour lancer l'outil.

&#x25B6; Clique sur 'Continue' à l'écran Disclaimer.

&#x25B6; Si l'outil Hijackthis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

&#x25B6; Une fois le scan fini , 2 rapports vont apparaitre. &#x25B6; Héberge le contenu des 2 rapports.

( C:\RSIT\log.txt et C:\RSIT\info.txt )

CTRL A pour sélectionner tout, CTRL C pour copier et puis CTRL V pour coller


Petite chose à faire pour les rapports générés par RSIT avant de continuer

&#x25B6; Vous devez fusionner les deux rapports.
&#x25B6; C'est-à-dire, copier/coller le contenu du rapport info.txt à la suite du rapport log.txt  dans un bloc note pour ne faire qu'un seul rapport.
&#x25B6; Ensuite enregistrer le rapport log.txt.

 Ensuite : 

&#x25B6;  Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/

&#x25B6; Cliquez sur parcourir,  puis sur créer le lien cjoint

&#x25B6; Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse

Le passant · Answer

bonjour, 

voici le lien:

http://www.cijoint.fr/cjlink.php?file=cj200909/cijEJpjRoW.txt

Merci!

pimprenelle27 · Answer

Tu as trois antivirus sur ton pc?

AVG, AVAST, AVIRA, et ça aussi  Lavasoft AB Ad-Aware


Avec tout ça tu m'étonne qu'il ne fasse pas bien leurs boulot :



Pour supprimer complètement avast qui est une vrai passoire il y a ceci : https://www.avast.com/fr-fr/uninstall-utility

Ensuite à supprimer par ajout et suppression de programme : 

Lavasoft AB Ad-Aware La version gratuite n'offre pas de protection en temps réel, ça reste un scanneur donc l'efficacité est plus qu'à douter, voir : adwares-spywares-comment-ne-pas-desinfecter-son-pc-t8046.html

Supprimer AVG et garder avira.

Une fois tout cela fait, revenir ici je te donnerais la suite pour les virus.

Le passant · Answer

En fait j'ai installé Avira hier mais je n'y ai pas accès et ne peut le lancer et j'ai réinstaller ad-aware que je me gardais sous la main au cas ou. Pour Avast, je suis bien d'accord avec toi!!!!!!! Hop je le vire..

pimprenelle27 · Answer

supprime ad aware désinstalle avira complètement et redémarre l'ordi puis ensuite recommence l'installation d'avira.

Le passant · Answer

avast et ad aware sont supprimés. Avira ne termine pas son installation.

pimprenelle27 · Answer

Essaye en mode sans échec

Méthode 1 :

    * Démarrer en mode sans échec manuellement
    * Tapez sur la touche F8 avant de voir apparaître la barre de progression, avant l'écran de logo Windows
    * Sélectionnez alors le mode sans échec avec prise ne charge réseau et appuyez sur la touche entrée de votre clavier.

Le passant · Answer

non rien à faire!

Nemesis31 · Answer

salut vous deux !

où l'installation d'Avira bloque ?

Le passant · Answer

Bonsoir!

Vers la fin de l'installation je crois. La fenêtre se ferme toute seule puis plus rien.

Nemesis31 · Answer

tu peux refaire un RSIT stp ?

pimprenelle27 · Answer

on va peut être lui faire passer findykill nemesis?

Nemesis31 · Answer

je sais pas ce que c'est ça : C:\windows\imsins.BAK
==> à faire analyser sur https://www.virustotal.com/gui/

Le passant · Answer

voilà!


############################## | FindyKill V5.010 |


############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
F:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32	askmgr.exe

################## | C: |


################## | C:\WINDOWS |


################## | C:\WINDOWS\system32 |


################## | C:\WINDOWS\system32\drivers |


################## | C:\Documents and Settings\CD\Application Data |


################## | C:\Documents and Settings\CD\Temporary Internet Files |


################## | Registre / Clés infectieuses |

Présent ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"  
Présent ! [HKLM\software\microsoft\security center] "AntiVirusOverride"  
Présent ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"  
Présent ! [HKLM\software\microsoft\security center] "FirewallOverride"  
Présent ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"  

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK
 
# Mode sans echec : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )  
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 


################## | Cracks / Keygens / Serials |

"C:\Documents and Settings\CD\.housecall6.6\Quarantine\"Keygen.exe.bac_a03404""  
09/08/2008 19:52 |Size 32010 |Crc32 6db16628 |Md5 9a5e7ebfdb47f229662673d7f301f7e1  
 

################## | ! Fin du rapport # FindyKill V5.010 ! |

Le passant · Answer

je n'arrive pas à mettre la main sur ce ..... de fichier!

Nemesis31 · Answer

Lance l'option 2 de Findykill

Supprime ce crack : C:\Documents and Settings\CD\.housecall6.6\Quarantine\"Keygen.exe.bac_a03404


C'est ce fichier que tu ne trouves pas ? C:\windows\imsins.BAK 

Ouvre le "Poste de Travail"
Clik sur "Outils" en haut de la fenêtre
Cliques sur "options des dossiers"
puis sur l'onglet "Affichage"
puis coches "afficher les fichiers et dossiers protégés"
Cliques sur "appliquer" et sur "Ok"

Et cherche le fichier :)

pimprenelle27 · Answer

&#x25B6; Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

&#x25B6; Double clic sur le raccourci FindyKill sur ton bureau

&#x25B6; Au menu principal,choisi l option 2 (Suppression)


/!\ il y aura un redémarrage, laisse travailler l outils jusqu a l apparition du message "nettoyage effectué"

/!\ Ne te sert pas du pc durant la suppression , ton bureau ne sera pas accessible c est normal !

&#x25B6; ensuite post le rapport FindyKill.txt

 * Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
 * Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides


A lire :

le danger des cracks

bagle/beagle

Le passant · Answer

les fichiers restent cachés... j'exécute la manip de supression Findykill.
Le fichier keygen a été supprimé..

Le passant · Answer

Voilà le rapport:

############################## | FindyKill V5.010 |


############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\Explorer.EXE

################## | C: |


################## | C:\WINDOWS |


################## | C:\WINDOWS\system32 |


################## | C:\WINDOWS\system32\drivers |


################## | C:\Documents and Settings\CD\Application Data |

################## | Autres suppression ... |


################## | Temporary Internet Files |


################## | Registre / Clés infectieuses | 

Supprimé ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"  
Supprimé ! [HKLM\software\microsoft\security center] "AntiVirusOverride"  
Supprimé ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"  
Supprimé ! [HKLM\software\microsoft\security center] "FirewallOverride"  
Supprimé ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"  

################## | Etat / Services / Informations |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 


################## | PEH ... |


################## | Cracks / Keygens / Serials |

"C:\Documents and Settings\CD\.housecall6.6\"patch.exe""  
05/08/2008 12:59 |Size 218736 |Crc32 12c79c8b |Md5 b9a80ba0083fb8196f8ca0bef053ea4e  
 
"C:\Documents and Settings\CD\Application Data\HouseCall 6.6\"patch.exe""  
08/09/2009 17:05 |Size 218736 |Crc32 12c79c8b |Md5 b9a80ba0083fb8196f8ca0bef053ea4e  
 
"C:\Documents and Settings\CD\Bureau\Nouveau dossier (5)\"l_entraineur_2007_patch_1_multi-langues_33658.exe""  
29/01/2009 15:00 |Size 43684576 |Crc32 b04addf9 |Md5 9f9ab2c0610e1ddcb616456fe68e8bd5  
 
"C:\Documents and Settings\CD\Mes documents\Mes fichiers re‡us\"FlashMenu138_patch_for_uGuru.exe""  
12/11/2008 01:23 |Size 1958911 |Crc32 93291837 |Md5 cbacdfabe718cee16805bad30392cdf2  
 
"C:\Documents and Settings\CD\Mes documents\Mes fichiers re‡us\"Hitman_2_-_Silent_Assassin_Patch_v1.01.exe""  
18/11/2008 20:57 |Size 2073798 |Crc32 08243ec4 |Md5 8f73284d7d4be94399d2020cc66856d8  
 

################## | ! Fin du rapport # FindyKill V5.010 ! |

pimprenelle27 · Answer

au passage, il faut que tu supprime tout ça c'est la source de tes virus : 

C:\Documents and Settings\CD\.housecall6.6\"patch.exe""
05/08/2008 12:59 |Size 218736 |Crc32 12c79c8b |Md5 b9a80ba0083fb8196f8ca0bef053ea4e

"C:\Documents and Settings\CD\Application Data\HouseCall 6.6\"patch.exe""
08/09/2009 17:05 |Size 218736 |Crc32 12c79c8b |Md5 b9a80ba0083fb8196f8ca0bef053ea4e

"C:\Documents and Settings\CD\Bureau\Nouveau dossier (5)\"l_entraineur_2007_patch_1_multi-langues_33658.exe""
29/01/2009 15:00 |Size 43684576 |Crc32 b04addf9 |Md5 9f9ab2c0610e1ddcb616456fe68e8bd5

"C:\Documents and Settings\CD\Mes documents\Mes fichiers re‡us\"FlashMenu138_patch_for_uGuru.exe""
12/11/2008 01:23 |Size 1958911 |Crc32 93291837 |Md5 cbacdfabe718cee16805bad30392cdf2

"C:\Documents and Settings\CD\Mes documents\Mes fichiers re‡us\"Hitman_2_-_Silent_Assassin_Patch_v1.01.exe""
18/11/2008 20:57 |Size 2073798 |Crc32 08243ec4 |Md5 8f73284d7d4be94399d2020cc66856d8

pimprenelle27 · Answer

Tu réessayé de faire l'installation d'avira STP.

Le passant · Answer

je viens de le faire, l'installation s'arrête toujours en cours de préparation

Le passant · Answer

La fête continue, je n'ai plus de son à présent!!!!!!!!!

Le passant · Answer

perso je pense à un ver genre beagle.. Que penses-tu de combofix?

Nemesis31 · Answer

non, bagle, il n'est pas présent sur ton pc.... Findykill nous l'aurait dit

Le passant · Answer

zut.. qu'est-ce que ça peut-être alors? me lâchez pas svp!!!!!!!!!

Nemesis31 · Answer

Je sais pas si tu vas pouvoir l'installer :)

Télécharge Malwarebytes’ Anti-Malware 
http://www.malwarebytes.org/mbam/program/mbam-setup.exe

- Enregistre le sur le bureau 
- Double clique sur le fichier téléchargé pour lancer le processus d’installation 
- Lorsqu’il te le sera demandé, mets à jour Malwarebytes anti malware 
- Si le pare-feu demande l’autorisation de se connecter pour malwarebytes, acceptes 
- Une fois la mise à jour terminée, ferme Malwarebytes 
- Double-clique sur l’icône de malwarebytes pour le relancer 
- Dans l’onglet, Recherche, probablement ouvert par défaut, 
- Sélectionne Exécuter un examen complet 
- Clique sur Rechercher 
- Le scan démarre 
- A la fin de l’analyse, un message s’affiche : L’examen s’est terminé normalement. Cliquez sur ‘Afficher les résultats’ pour afficher tous les objets trouvés. 
- Clique sur Ok pour poursuivre. 
- Si des malwares ont été détectés, cliques sur Afficher les résultats 
- Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
- Malwarebytes va ouvrir le bloc-notes et y copier le rapport d’analyse. 
- Rends toi dans l’onglet rapport/log 
- Tu clique dessus pour l’afficher. 
- Une fois affiché, cliques sur édition en haut du bloc notes, et puis sur sélectionner tout 
- Tu recliques sur édition et puis sur copier et tu reviens sur le forum et dans ta réponse 
- Tu clique droit dans le cadre de la réponse et coller

Le passant · Answer

Ouf! merci!!!! impossible d'installer malwarebyte: erreur 307!!!

Le passant · Answer

ComboFix 09-09-10.03 - CD 11/09/2009 21:44.1.1 - NTFSx86 DSREPAIR
Lancé depuis: c:\documents and settings\CD\Bureau\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\install.exe
c:\program files\pdfforge Toolbar\SearchSettings.dll
c:\windows\system32\drivers\hwdrv.sys
c:\windows\system32\MSVolumeRDFr.dll
c:\windows\system32	mp.reg
F:\System.dll
F:\uninstall.exe

.
(((((((((((((((((((((((((((((   Fichiers créés du 2009-08-11 au 2009-09-11  ))))))))))))))))))))))))))))))))))))
.

2009-09-11 15:43 . 2009-09-11 15:43	--------	d-----w-	C:\CCM
2009-09-10 17:24 . 2009-09-10 20:24	--------	d-----w-	C:\FindyKill
2009-09-10 14:01 . 2009-09-10 14:09	--------	d-----w-	c:\program files	rend micro
2009-09-10 14:01 . 2009-09-10 14:02	--------	d-----w-	C:sit
2009-09-10 12:38 . 2009-09-10 12:38	--------	d-----w-	c:\program files\SystemRequirementsLab
2009-09-10 12:38 . 2009-09-10 12:38	--------	d-----w-	c:\documents and settings\CD\Application Data\SystemRequirementsLab
2009-09-09 23:33 . 2009-09-09 23:34	--------	d-----w-	c:\documents and settings\All Users\Application Data\NOS
2009-09-09 23:33 . 2009-09-09 23:33	--------	d-----w-	c:\program files\NOS
2009-09-09 23:27 . 2009-09-09 23:27	--------	dc----w-	c:\documents and settings\All Users\Application Data\{EF63305C-BAD7-4144-9208-D65528260864}
2009-09-09 22:43 . 2009-09-10 14:43	--------	d-----w-	c:\documents and settings\CD\Application Data\Lavasoft
2009-09-09 22:16 . 2009-09-09 22:16	--------	d-sh--w-	c:\documents and settings\Administrateur.CACD-7EOYDET2ZA\IETldCache
2009-09-08 23:06 . 2009-09-08 23:06	--------	d-----w-	c:\program files\Registry_Doktor 4.1
2009-09-08 22:35 . 2009-09-08 22:37	--------	d-----w-	c:\documents and settings\CD\DoctorWeb
2009-09-08 15:05 . 2007-12-24 15:37	138384	----a-w-	c:\windows\system32\drivers	mcomm.sys
2009-09-08 15:05 . 2009-09-10 22:41	--------	d-----w-	c:\documents and settings\CD\Application Data\HouseCall 6.6
2009-09-07 20:59 . 2009-09-07 20:59	--------	d-----w-	c:\program files\IfoEdit
2009-09-07 18:25 . 2009-09-07 18:28	--------	d-----w-	C:\ConverterOutput
2009-09-07 18:25 . 2004-10-12 12:42	262144	----a-w-	c:\windows\system32\TomsMoComp_ff.dll
2009-09-07 18:25 . 2004-10-12 12:40	2255360	----a-w-	c:\windows\system32\libavcodec.dll
2009-09-07 18:25 . 2004-10-05 14:16	395776	----a-w-	c:\windows\system32\libmplayer.dll
2009-09-07 18:25 . 2004-10-03 23:50	112640	----a-w-	c:\windows\system32\libmpeg2_ff.dll
2009-09-07 18:25 . 2009-09-07 18:25	--------	d-----w-	c:\program files\Cucusoft
2009-09-05 15:33 . 2009-09-05 15:33	--------	d-----w-	c:\windows\Instant Lock
2009-09-05 11:51 . 2009-09-05 11:51	--------	d-----w-	c:\documents and settings\CD\Application Data\Canneverbe_Limited
2009-09-05 11:51 . 2009-09-05 11:51	--------	d-----w-	c:\documents and settings\All Users\Application Data\Canneverbe Limited
2009-09-05 11:50 . 2009-09-05 11:50	--------	d-----w-	c:\program files\CDBurnerXP
2009-09-05 11:49 . 2006-06-29 11:07	14048	------w-	c:\windows\system32\spmsg2.dll
2009-09-05 11:47 . 2009-09-05 11:47	646136	----a-w-	c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
2009-09-05 11:47 . 2009-09-05 11:49	--------	d-----w-	c:\windows\system32\XPSViewer
2009-09-05 11:47 . 2009-09-05 11:47	--------	d-----w-	c:\program files\MSBuild
2009-09-05 11:46 . 2009-09-05 11:46	--------	d-----w-	c:\program files\Reference Assemblies
2009-09-05 11:46 . 2008-07-06 12:06	89088	-c----w-	c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-09-05 11:46 . 2008-07-06 12:06	575488	-c----w-	c:\windows\system32\dllcache\xpsshhdr.dll
2009-09-05 11:46 . 2008-07-06 12:06	575488	------w-	c:\windows\system32\xpsshhdr.dll
2009-09-05 11:46 . 2008-07-06 12:06	117760	------w-	c:\windows\system32\prntvpt.dll
2009-09-05 11:46 . 2008-07-06 10:50	597504	-c----w-	c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-09-05 11:46 . 2009-09-05 11:46	--------	d-----w-	C:\8171bac37ed2327f08e7
2009-09-05 11:46 . 2008-07-06 12:06	1676288	-c----w-	c:\windows\system32\dllcache\xpssvcs.dll
2009-09-05 11:46 . 2008-07-06 12:06	1676288	------w-	c:\windows\system32\xpssvcs.dll
2009-09-05 11:42 . 2009-09-05 11:42	--------	d-----w-	c:\program files\MSXML 6.0
2009-09-04 14:17 . 2009-09-04 14:17	--------	d-----w-	c:\documents and settings\CD\Application Data	eamspeak2
2009-09-04 14:16 . 2009-09-04 14:17	--------	d-----w-	c:\program files\Teamspeak2_RC2

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-11 19:53 . 2009-07-05 14:30	--------	d-----w-	c:\program files\pdfforge Toolbar
2009-09-11 19:13 . 2009-03-31 11:21	--------	d-----w-	c:\program files\a-squared Free
2009-09-11 18:00 . 2008-01-20 16:26	--------	d-----w-	c:\documents and settings\CD\Application Data\OpenOffice.org2
2009-09-11 15:39 . 2009-03-31 11:22	--------	d-----w-	c:\program files\a-squared Anti-Malware
2009-09-10 23:01 . 2009-03-13 17:57	--------	d-----w-	c:\documents and settings\CD\Application Data\WFDS
2009-09-10 15:35 . 2008-03-06 17:04	--------	d-----w-	c:\program files\CCleaner
2009-09-10 15:03 . 2008-03-05 11:18	--------	d-----w-	c:\program files\Alwil Software
2009-09-10 12:11 . 2008-10-27 16:52	--------	d-----w-	c:\documents and settings\All Users\Application Data\avg8
2009-09-10 07:42 . 2008-02-18 16:58	--------	d-----w-	c:\documents and settings\CA\Application Data\OpenOffice.org2
2009-09-08 22:15 . 2009-04-03 20:33	6852308	--sha-w-	c:\windows\system32\drivers\fidbox.idx
2009-09-08 22:15 . 2009-04-03 20:33	584460320	--sha-w-	c:\windows\system32\drivers\fidbox.dat
2009-09-05 17:48 . 2009-01-08 20:03	--------	d-----w-	c:\program files\L'Entraîneur 2007
2009-09-05 11:51 . 2008-01-19 23:07	419816	----a-w-	c:\documents and settings\CD\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-09-05 11:47 . 2001-08-28 12:00	80508	----a-w-	c:\windows\system32\perfc00C.dat
2009-09-05 11:47 . 2001-08-28 12:00	500454	----a-w-	c:\windows\system32\perfh00C.dat
2009-08-05 12:14 . 2008-02-25 09:49	--------	d-----w-	c:\documents and settings\CD\Application Data\FileZilla
2009-08-05 00:11 . 2009-08-05 00:11	--------	d-----w-	c:\program files\Microsoft Silverlight
2009-08-01 02:16 . 2008-05-01 13:31	--------	d-----w-	c:\program files\DivX
2009-08-01 02:15 . 2009-08-01 02:15	--------	d-----w-	c:\program files\Fichiers communs\DivX Shared
2009-07-05 14:41 . 2009-07-05 14:41	58	----a-w-	c:\windows\system32\DonationCoder_ScreenshotCaptor_InstallInfo.dat
2009-07-05 14:41 . 2009-07-05 14:41	58	----a-w-	c:\documents and settings\CD\Local Settings\Application Data\DonationCoder_ScreenshotCaptor_InstallInfo.dat
2009-06-26 18:22 . 2009-06-26 18:22	2129408	----a-w-	c:\windows\system32\python31.dll
.

------- Sigcheck -------

Erreur des Services de cryptographie !!
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}]
2009-06-25 13:06	688640	----a-w-	c:\program files\pdfforge Toolbar\pdfforgeToolbarIE.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{B922D405-6D13-4A2B-AE89-08A030DA4402}"= "c:\program files\pdfforge Toolbar\pdfforgeToolbarIE.dll" [2009-06-25 688640]

[HKEY_CLASSES_ROOT\clsid\{b922d405-6d13-4a2b-ae89-08a030da4402}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Yahoo! Pager"="c:\program files\Yahoo!\Messenger\YahooMessenger.exe" [2007-08-30 4670704]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-07-01 4112384]
"a-squared"="c:\program files\A-SQUARED ANTI-MALWARE\a2guard.exe" [2009-09-11 3209360]

[HKLM\~\startupfolder\C:^Documents and Settings^CD^Menu Démarrer^Programmes^Démarrage^Registration-Studio 7.lnk]
path=c:\documents and settings\CD\Menu Démarrer\Programmes\Démarrage\Registration-Studio 7.lnk
backup=c:\windows\pss\Registration-Studio 7.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"MSIServer"=3 (0x3)
"BITS"=3 (0x3)
"mnmsrvc"=3 (0x3)
"UPS"=3 (0x3)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversionun-]
"ewmoysk"="c:\documents and settings\cd\local settings\application data\ewmoysk.exe" ewmoysk

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\ABIT\ABIT uGuru\FlashMenu.exe"=
"c:\Program Files\Yahoo!\Messenger\YahooMessenger.exe"=
"c:\Program Files\Yahoo!\Messenger\YServer.exe"=
"c:\Program Files\FileZilla FTP Client\filezilla.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\MSN Messenger\msnmsgr.exe"=
"c:\Program Files\MSN Messenger\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6346:TCP"= 6346:TCP:shareaza
"6346:UDP"= 6346:UDP:shareaza

R2 AVEService;Avira AntiVir Premium MailGuard helper service;c:\program files\Avira\AntiVir PersonalEdition Premium\avesvc.exe [x]
R2 PSTRIP;PSTRIP;c:\windows\system32\DRIVERS\PSTRIP.SYS [x]
R3 getPlusHelper;getPlus(R) Helper;c:\windows\System32\svchost.exe [2004-08-19 14336]
R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [x]
S0 AC2003;AC2003; [x]
S0 SI3112r;Silicon Image SiI 3112 SATARaid Controller;c:\windows\system32\DRIVERS\SI3112r.sys [2004-05-12 97408]
S0 uGuru;uGuru;c:\windows\System32\Drivers\uGuru.sys [2004-02-26 10752]


--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - HIDSERV

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper	REG_MULTI_SZ   	getPlusHelper
.
.
------- Examen supplémentaire -------
.
IE: Crawler Search - tbr:iemenu
Trusted Zone: canalplay.com
Trusted Zone: canalplusactive.com
Handler: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - c:\progra~1\Crawler\Toolbar\ctbr.dll
FF - ProfilePath - c:\documents and settings\CD\Application Data\Mozilla\Firefox\Profiles\8ys4mets.default\
FF - prefs.js: browser.search.defaulturl - hxxp://fr.search.yahoo.com/search?ei=UTF-8&fr=ytff-msgr&p=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://fr.yahoo.com/?fr=fptb-msgr
FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
FF - component: f:\program files\Mozilla Firefox\extensions\{B922D405-6D13-4A2B-AE89-08A030DA4402}\components\pdfforgeToolbarFF.dll
FF - component: f:\program files\Mozilla Firefox\extensions\search@searchsettings.com\components\SearchSettingsFF.dll
FF - plugin: c:\documents and settings\CD\Application Data\Mozilla\Firefox\Profiles\8ys4mets.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins
p_gp.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin
pjava11.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin
pjava12.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin
pjava13.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin
pjava14.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin
pjava32.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin
pjpi160.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin
poji610.dll
FF - plugin: f:\program files\Mozilla Firefox\plugins\NPAdbESD.dll

---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - true.
- - - - ORPHELINS SUPPRIMES - - - -

Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-11 21:54
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2009-09-11 21:55
ComboFix-quarantined-files.txt  2009-09-11 19:55

Avant-CF: 6 227 476 480 octets libres
Après-CF: 6 295 703 552 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=AlwaysOff

184

Nemesis31 · Answer

Ah !

enfin un qui marche ! :D


* Télécharge et enregistre le fichier d installation sur ton bureau : http://sd-1.archive-host.com/membres/up/16506160323759868/AD-R.exe

* Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.

* Sous Vista : clic droit sur AD-Remover et sélectionner "Exécuter en tant qu'administrateur"

* Au menu principal choisi l'option "L" et tape sur [entrée] .

* Laisse travailler l'outil et ne touche à rien ...

* Poste le rapport qui apparait à la fin.

( le rapport est sauvegardé aussi sous C:\Ad-report.log )



Note :

Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Le passant · Answer

Bonjour, avant tout je voulais vous remercier de l'aide et du temps passé!
Je serai absent cet aprem mais de retour ce soir!


.
======= RAPPORT D'AD-REMOVER 1.1.4.5_U | UNIQUEMENT XP/VISTA/7 =======
.
Mit à jour par C_XX le 12/09/2009 à 9:30 PM
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 11:27:52, 12/09/2009 | Mode Normal | Option: CLEAN
Exécuté de: C:\Program Files\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™  Service Pack 2 v5.1.2600
Nom du PC: CACD-7EOYDET2ZA | Utilisateur actuel: CD
. 
============== ÉLÉMENT(S) NEUTRALISÉ(S) ============== 
.
.
HKCU\Software\CToolbar
HKCU\Software\EoRezo
HKCU\Software\Microsoft\Internet Explorer\MenuExt\Crawler Search
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Classes\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}
HKLM\Software\Classes\AppID\EoRezoBHO.DLL
HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKLM\Software\EoRezo
HKLM\Software\microsoft\shared tools\msconfig\startupreg\SearchSettings
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}
HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\Crawler
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\CToolbar_UNINSTALL
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1
HKLM\Software\Search Settings
HKLM\Software\Mozilla\Firefox\Extensions\{4B3803EA-5230-4DC3-A7FC-33638F3D3542}
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{08165EA0-E946-11CF-9C87-00AA005127ED}
HKCU\software\microsoft\internet explorer\searchscopes\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}
HKLM\Software\Microsoft\Internet Explorer\Toolbar\{4B3803EA-5230-4DC3-A7FC-33638F3D3542}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\{4B3803EA-5230-4DC3-A7FC-33638F3D3542}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{4B3803EA-5230-4DC3-A7FC-33638F3D3542}
HKLM\Software\Classes\CLSID\{08165EA0-E946-11CF-9C87-00AA005127ED}
HKLM\Software\Classes\CLSID\{183643C8-EE67-4574-9A38-927852E34163}
HKLM\Software\Classes\CLSID\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}
HKLM\Software\Classes\CLSID\{1DDA201E-5B42-4352-933E-21A92B297E3B}
HKLM\Software\Classes\CLSID\{4B3803EA-5230-4DC3-A7FC-33638F3D3542}
HKLM\Software\Classes\CLSID\{4D25FB7A-8902-4291-960E-9ADA051CFBBF}
HKLM\Software\Classes\CLSID\{54ECA872-DB2A-4C6B-BBB2-F3777C6786CC}
HKLM\Software\Classes\CLSID\{8736C681-37A0-40C6-A0F0-4C083409151C}
HKLM\Software\Classes\CLSID\{DBDB6FAA-1F5F-4A18-B60B-7A905C7FF83F}
HKLM\Software\Classes\TypeLib\{04006843-5199-4CE4-B3CD-8092CC91706E}
HKLM\Software\Classes\TypeLib\{506F578A-91E1-46CE-830F-E2F4268E9966}
HKLM\Software\Classes\TypeLib\{E79BB61D-7F1A-41DF-8AD0-402795E3B566}
HKLM\Software\Classes\Interface\{49C929EE-A1B7-4C58-B539-E63BE392B6F3}
. 
C:\Documents and Settings\CD\Application Data\EoRezo 
C:\Documents and Settings\CD\Application Data\EoRezo\cmhost.cyp 
C:\Documents and Settings\CD\Application Data\EoRezo\ConfMedia.cyp 
C:\Documents and Settings\CD\Application Data\EoRezo\db 
C:\Documents and Settings\CD\Application Data\EoRezo\db\cat.cyp 
C:\Documents and Settings\CD\Application Data\EoRezo\eoDesktop 
C:\Documents and Settings\CD\Application Data\EoRezo\eoDesktop\config.xml 
C:\Documents and Settings\CD\Application Data\EoRezo\eoDesktop\eoDesktop.html 
C:\Documents and Settings\CD\Application Data\EoRezo\eoDesktop\userConfig.xml 
C:\Documents and Settings\CD\Application Data\EoRezo\eoStats 
C:\Documents and Settings\CD\Application Data\EoRezo\eoStats\eoStats.txt 
C:\Documents and Settings\CD\Application Data\EoRezo\host.cyp 
C:\Documents and Settings\CD\Application Data\EoRezo\SoftwareUpdate 
C:\Documents and Settings\CD\Application Data\EoRezo\SoftwareUpdate\Download 
C:\Documents and Settings\CD\Application Data\EoRezo\SoftwareUpdate\help_config.cyp 
C:\Documents and Settings\CD\Application Data\EoRezo\SoftwareUpdate\Software 
C:\Documents and Settings\CD\Application Data\EoRezo\SoftwareUpdate\Software\itsTV 
C:\Documents and Settings\CD\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.0.4 
C:\Documents and Settings\CD\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.0.5 
C:\Documents and Settings\CD\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.0.5\itstv.exe 
C:\Documents and Settings\CD\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.0.6 
C:\Documents and Settings\CD\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.0.6\itstv.exe 
C:\Documents and Settings\CD\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.0.7 
C:\Documents and Settings\CD\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.0.7\itstv.exe 
C:\Documents and Settings\CD\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.0.8 
C:\Documents and Settings\CD\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.0.8\itstv.exe 
C:\Documents and Settings\CD\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.0.9 
C:\Documents and Settings\CD\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.0.9\itstv.exe 
C:\Documents and Settings\CD\Application Data\EoRezo\SoftwareUpdate\SoftwareUpdate.exe 
C:\Documents and Settings\CD\Application Data\EoRezo\SoftwareUpdate\SoftwareUpdateHP.exe 
C:\Documents and Settings\CD\Application Data\EoRezo\SoftwareUpdate\unins000.dat 
C:\Documents and Settings\CD\Application Data\EoRezo\SoftwareUpdate\unins000.exe 
C:\Documents and Settings\CD\Application Data\EoRezo\SoftwareUpdate\user_config.cyp 
C:\Documents and Settings\CD\Application Data\EoRezo\SoftwareUpdate\user_profil.cyp 
C:\Documents and Settings\CD\Application Data\EoRezo\user.cyp 
C:\Documents and Settings\CD\Application Data\Search Settings 
C:\Documents and Settings\CD\Application Data\Search Settings\kb128 
C:\Documents and Settings\CD\Application Data\Search Settings\kb128	emp 
C:\Documents and Settings\CD\Application Data\Search Settings\kb128	emp\ws-14495.log 
C:\Documents and Settings\CD\Application Data\Search Settings\kb128	emp\ws-14496.log 
C:\Documents and Settings\CD\Application Data\Search Settings\kb128	emp\ws-14497.log 
C:\Program Files\Crawler 
C:\Program Files\Crawler\Download 
C:\Program Files\Crawler\Toolbar 
C:\Program Files\Crawler\Toolbar\adrkeys.dat 
C:\Program Files\Crawler\Toolbar\Cache 
C:\Program Files\Crawler\Toolbar\COMMON_FF.dat 
C:\Program Files\Crawler\Toolbar\confirm.dat 
C:\Program Files\Crawler\Toolbar\ctbcomm.dll 
C:\Program Files\Crawler\Toolbar\ctbr.dll 
C:\Program Files\Crawler\Toolbar\CTConf.dat 
C:\Program Files\Crawler\Toolbar\CTipsDef.dll 
C:\Program Files\Crawler\Toolbar\CToolbar.exe 
C:\Program Files\Crawler\Toolbar\CUpdate.exe 
C:\Program Files\Crawler\Toolbar\firefox 
C:\Program Files\Crawler\Toolbar\firefox\chrome 
C:\Program Files\Crawler\Toolbar\firefox\chrome.manifest 
C:\Program Files\Crawler\Toolbar\firefox\chrome\common.jar 
C:\Program Files\Crawler\Toolbar\firefox\chrome\stwsg.jar 
C:\Program Files\Crawler\Toolbar\firefox\components 
C:\Program Files\Crawler\Toolbar\firefox\components\xcomm.dll 
C:\Program Files\Crawler\Toolbar\firefox\components\xplugin.xpt 
C:\Program Files\Crawler\Toolbar\firefox\components\xshared.dll 
C:\Program Files\Crawler\Toolbar\firefox\components\xshared.xpt 
C:\Program Files\Crawler\Toolbar\firefox\components\xsupport.dll 
C:\Program Files\Crawler\Toolbar\firefox\components\xsupport.xpt 
C:\Program Files\Crawler\Toolbar\firefox\components\xwsg.dll 
C:\Program Files\Crawler\Toolbar\firefox\install.ini 
C:\Program Files\Crawler\Toolbar\firefox\install.rdf 
C:\Program Files\Crawler\Toolbar\firefox\stwsg_ff.ini 
C:\Program Files\Crawler\Toolbar\Languages 
C:\Program Files\Crawler\Toolbar\Languages\STWSG_CS.cab 
C:\Program Files\Crawler\Toolbar\Languages\STWSG_DE.cab 
C:\Program Files\Crawler\Toolbar\Languages\STWSG_EN.cab 
C:\Program Files\Crawler\Toolbar\Languages\STWSG_EN.cab.old 
C:\Program Files\Crawler\Toolbar\Languages\STWSG_ES.cab 
C:\Program Files\Crawler\Toolbar\Languages\STWSG_FF.cab 
C:\Program Files\Crawler\Toolbar\Languages\STWSG_FR.cab 
C:\Program Files\Crawler\Toolbar\Languages\STWSG_IT.cab 
C:\Program Files\Crawler\Toolbar\Languages\STWSG_PT-BR.cab 
C:\Program Files\Crawler\Toolbar\Languages\STWSG_PT.cab 
C:\Program Files\Crawler\Toolbar\Languages\TBR5_CS.cab 
C:\Program Files\Crawler\Toolbar\Languages\TBR5_DE.cab 
C:\Program Files\Crawler\Toolbar\Languages\TBR5_EN.cab 
C:\Program Files\Crawler\Toolbar\Languages\TBR5_ES.cab 
C:\Program Files\Crawler\Toolbar\Languages\TBR5_FR.cab 
C:\Program Files\Crawler\Toolbar\Languages\TBR5_IT.cab 
C:\Program Files\Crawler\Toolbar\Languages\TBR5_NL.cab 
C:\Program Files\Crawler\Toolbar\Languages\TBR5_PL.cab 
C:\Program Files\Crawler\Toolbar\Languages\TBR5_PL.cab.old 
C:\Program Files\Crawler\Toolbar\Languages\TBR5_PT-BR.cab 
C:\Program Files\Crawler\Toolbar\Languages\TBR5_PT.cab 
C:\Program Files\Crawler\Toolbar\Languages\TBR5_RU.cab 
C:\Program Files\Crawler\Toolbar\Languages\TBR5_RU.cab.old 
C:\Program Files\Crawler\Toolbar\lookfor.dat 
C:\Program Files\Crawler\Toolbar\majorse.dat 
C:\Program Files\Crawler\Toolbarootmenu.dat 
C:\Program Files\Crawler\Toolbar\services.dat 
C:\Program Files\Crawler\Toolbar\STWSG_FF.dat 
C:\Program Files\Crawler\Toolbar\STWSGLanguageAct 
C:\Program Files\Crawler\Toolbar\STWSGLanguageAct\info.ini 
C:\Program Files\Crawler\Toolbar\STWSGLanguageAct\language.ini 
C:\Program Files\Crawler\Toolbar\TBR5LanguageAct 
C:\Program Files\Crawler\Toolbar\TBR5LanguageAct\info.ini 
C:\Program Files\Crawler\Toolbar\TBR5LanguageAct\language.ini 
C:\Program Files\Crawler\Toolbar\Update 
C:\Program Files\Crawler\Toolbar\Update\domains.cab 
C:\Program Files\Crawler\Toolbar\WebSecurityGuard.dll 
C:\Program Files\Crawler\Toolbar\WSGData 
C:\Program Files\Crawler\Toolbar\WSGData\domains 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_000.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_000_diff.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_001.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_001_diff.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_002.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_002_diff.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_003.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_003_diff.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_004.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_004_diff.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_005.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_005_diff.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_006.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_006_diff.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_007.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_007_diff.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_008.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_008_diff.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_009.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_009_diff.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_010.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_010_diff.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_011.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_011_diff.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_012.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_012_diff.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_013.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_013_diff.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_014.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_014_diff.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_015.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_015_diff.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_016.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_016_diff.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_017.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_017_diff.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_018.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_018_diff.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_019.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_019_diff.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_020.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_020_diff.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_021.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_021_diff.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_022.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_022_diff.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_023.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_023_diff.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_024.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_024_diff.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_025.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_025_diff.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_026.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_026_diff.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_027.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_027_diff.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_028.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_028_diff.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_029.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_029_diff.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_030.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_030_diff.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_031.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_031_diff.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_032.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_032_diff.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_033.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_033_diff.dat 
C:\Program Files\Crawler\Toolbar\WSGData\domains\index.dat 
C:\Program Files\Crawler\Toolbar\WSGData\g_S-1-5-21-57989841-329068152-725345543-1003.dat 
C:\Program Files\Crawler\Toolbar\WSGData\g_S-1-5-21-57989841-329068152-725345543-1004.dat 
C:\Program Files\Crawler\Toolbar\WSGData\g_S-1-5-21-57989841-329068152-725345543-500.dat 
C:\Program Files\Crawler\Toolbar\WSGData\g_S-1-5-21-57989841-329068152-725345543-501.dat 
C:\Program Files\Crawler\Toolbar\WSGData\p_S-1-5-21-57989841-329068152-725345543-1003.dat 
C:\Program Files\Crawler\Toolbar\WSGData\p_S-1-5-21-57989841-329068152-725345543-1004.dat 
C:\Program Files\Crawler\Toolbar\WSGData\p_S-1-5-21-57989841-329068152-725345543-500.dat 
C:\Program Files\Crawler\Toolbar\WSGData\p_S-1-5-21-57989841-329068152-725345543-501.dat 
C:\Program Files\Crawler\Toolbar\WSGData\ud_S-1-5-21-57989841-329068152-725345543-1003.dat 
C:\Program Files\Crawler\Toolbar\WSGData\userData_S-1-5-21-57989841-329068152-725345543-1003.dat 
C:\Program Files\Crawler\Toolbar\WSGData\w_S-1-5-21-57989841-329068152-725345543-1003.dat 
C:\Program Files\Crawler\Toolbar\WSGData\w_S-1-5-21-57989841-329068152-725345543-1004.dat 
C:\Program Files\Crawler\Toolbar\WSGData\w_S-1-5-21-57989841-329068152-725345543-500.dat 
C:\Program Files\Crawler\Toolbar\WSGData\w_S-1-5-21-57989841-329068152-725345543-501.dat 
C:\Program Files\Crawler\Toolbar\WSGData\wfilter.dat 
 
(!) -- Fichiers temporaires supprimés. 
 
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.0.14 *
.
 Nom du profil: 8ys4mets.default (CD)
.
(Prefs.js) user_pref("browser.search.defaultenginename", "Yahoo"); 
(Prefs.js) user_pref("browser.search.selectedEngine", "Google"); 
(Prefs.js) user_pref("browser.search.defaulturl", "hxxp://fr.search.yahoo.com/search?ei=UTF-8&fr=ytff-msgr&p="); 
(Prefs.js) user_pref("browser.startup.homepage", "hxxp://fr.yahoo.com/?fr=fptb-msgr"); 
(Prefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.9.0.14"); 
.
.
* Internet Explorer Version 8.0.6001.18702 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Start Page: hxxp://fr.msn.com/
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Search bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks; Serials ... ) ==============
.
C:\Documents and Settings\CD\Mes documents\Mes fichiers re‡us\Hitman_Codename_47_Patch_1.92.zip
.
===================================
.
18050 Octet(s) - C:\Ad-Report-CLEAN.log 
.
2 Fichier(s) - C:\DOCUME~1\CD\LOCALS~1\Temp 
0 Fichier(s) - C:\WINDOWS\Temp 
.
18 Fichier(s) - C:\Program Files\Ad-Remover\BACKUP
31 Fichier(s) - C:\Program Files\Ad-Remover\QUARANTINE 
.
Fin à: 12:01:44 | 12/09/2009
.
============== E.O.F ==============
.

Nemesis31 · Answer

Oki ! je te laisse les indications pour ce soir :)

C:\Documents and Settings\CD\Application Data\EoRezo ==> dossier a supprimé si il ne l’a pas été
C:\Documents and Settings\CD\Application Data\Search Settings ==> pareil que le précédent
C:\Program Files\Crawler ==> idem

/!\ A supprimer /!\
C:\Documents and Settings\CD\Mes documents\Mes fichiers reçus\Hitman_Codename_47_Patch_1.92.zip


Essaye de relancer Mbam.
Refais un rapport RSIT.

Le passant · Answer

pffffffff excuse moi pour le temps, je me bats avec ce p..... de virus:

il ferme mon navigateur dès que je réponds sur le forum (plus maintenant)
il recommence à rendre invisible ma barre de tâches (idem)
il m'a refusé l'accès à mon compte en me redirigeant vers un second non admin et en me refusant le compte invité: plusieurs reboots au total pour retrouver mon compte!!!

Avast a pu être supprimer en mode sans échec, malware bloque à l'installation bien qu'il semble installé au final; quand je le lance même pb: fichier vbalGrid6.ocx obsolète.

Je m'occupe des manips demandées tout de suite!

Le passant · Answer

o bytes size received / Se ha recibido un archivo vacio


le fichier est vide!

Le passant · Answer

oui c'est ça j'ai amalgamé avec le "contrôle vbalGrid", désolé!

Le passant · Answer

heu doit y avoir confusion dans ton post 48: je suis sous xp et je n'ai pas d'autre pc!

Le passant · Answer

ok merci!

Le passant · Answer

Bonjour! Voici le log:







c.bat;C:\CCM;Probablement BATCH.Virus;Quarantaine.;
service.exe.bac_a03404;C:\Documents and Settings\CD\.housecall6.6\Quarantine;Tool.SrvMan;Quarantaine.;
service[1].exe.bac_a03404;C:\Documents and Settings\CD\.housecall6.6\Quarantine;Tool.SrvMan;Quarantaine.;
service[2].exe.bac_a03404;C:\Documents and Settings\CD\.housecall6.6\Quarantine;Tool.SrvMan;Quarantaine.;
AD-R.exe\data017;C:\Documents and Settings\CD\Bureau\AD-R.exe;Tool.Prockill;;
AD-R.exe;C:\Documents and Settings\CD\Bureau;L'archive contient des éléments infectés;Quarantaine.;
CCM.exe\32788R22FWJFW\c.bat;C:\Documents and Settings\CD\Bureau\CCM.exe;Probablement BATCH.Virus;;
CCM.exe;C:\Documents and Settings\CD\Bureau;L'archive contient des éléments infectés;Quarantaine.;
ComboFix.exe\32788R22FWJFW\c.bat;C:\Documents and Settings\CD\Bureau\ComboFix.exe;Probablement BATCH.Virus;;
ComboFix.exe;C:\Documents and Settings\CD\Bureau;L'archive contient des éléments infectés;Quarantaine.;
SmitfraudFix.exe\SmitfraudFix\Process.exe;C:\Documents and Settings\CD\Bureau\SmitfraudFix.exe;Tool.Prockill;;
SmitfraudFix.exe\SmitfraudFix\restart.exe;C:\Documents and Settings\CD\Bureau\SmitfraudFix.exe;Tool.ShutDown.14;;
SmitfraudFix.exe;C:\Documents and Settings\CD\Bureau;L'archive contient des éléments infectés;Quarantaine.;
VirtumundoBeGone.exe\data005;C:\Documents and Settings\CD\Bureau\VirtumundoBeGone.exe;Tool.Prockill;;
VirtumundoBeGone.exe;C:\Documents and Settings\CD\Bureau;L'archive contient des éléments infectés;Quarantaine.;
Process.com;C:\Program Files\Ad-Remover;Tool.Prockill;Quarantaine.;
AD-R.exe\data017;C:\Program Files\Ad-Remover\BACKUP\AD-R.exe;Tool.Prockill;;
AD-R.exe;C:\Program Files\Ad-Remover\BACKUP;L'archive contient des éléments infectés;Quarantaine.;
Process.exe;C:\RECYCLER\S-1-5-21-57989841-329068152-725345543-1003\Dc2;Tool.Prockill;Quarantaine.;
restart.exe;C:\RECYCLER\S-1-5-21-57989841-329068152-725345543-1003\Dc2;Tool.ShutDown.14;Quarantaine.;
A0130265.bat;C:\System Volume Information\_restore{B1E2CF14-372B-4D9D-9510-C52C5EDFDE00}\RP346;Probablement BATCH.Virus;Quarantaine.;
A0130554.exe\data017;C:\System Volume Information\_restore{B1E2CF14-372B-4D9D-9510-C52C5EDFDE00}\RP346\A0130554.exe;Tool.Prockill;;
A0130554.exe;C:\System Volume Information\_restore{B1E2CF14-372B-4D9D-9510-C52C5EDFDE00}\RP346;L'archive contient des éléments infectés;Quarantaine.;
A0130555.exe\32788R22FWJFW\c.bat;C:\System Volume Information\_restore{B1E2CF14-372B-4D9D-9510-C52C5EDFDE00}\RP346\A0130555.exe;Probablement BATCH.Virus;;
A0130555.exe;C:\System Volume Information\_restore{B1E2CF14-372B-4D9D-9510-C52C5EDFDE00}\RP346;L'archive contient des éléments infectés;Quarantaine.;
A0130556.exe\32788R22FWJFW\c.bat;C:\System Volume Information\_restore{B1E2CF14-372B-4D9D-9510-C52C5EDFDE00}\RP346\A0130556.exe;Probablement BATCH.Virus;;
A0130556.exe;C:\System Volume Information\_restore{B1E2CF14-372B-4D9D-9510-C52C5EDFDE00}\RP346;L'archive contient des éléments infectés;Quarantaine.;
A0130557.exe\SmitfraudFix\Process.exe;C:\System Volume Information\_restore{B1E2CF14-372B-4D9D-9510-C52C5EDFDE00}\RP346\A0130557.exe;Tool.Prockill;;
A0130557.exe\SmitfraudFix\restart.exe;C:\System Volume Information\_restore{B1E2CF14-372B-4D9D-9510-C52C5EDFDE00}\RP346\A0130557.exe;Tool.ShutDown.14;;
A0130557.exe;C:\System Volume Information\_restore{B1E2CF14-372B-4D9D-9510-C52C5EDFDE00}\RP346;L'archive contient des éléments infectés;Quarantaine.;
A0130558.exe\data005;C:\System Volume Information\_restore{B1E2CF14-372B-4D9D-9510-C52C5EDFDE00}\RP346\A0130558.exe;Tool.Prockill;;
A0130558.exe;C:\System Volume Information\_restore{B1E2CF14-372B-4D9D-9510-C52C5EDFDE00}\RP346;L'archive contient des éléments infectés;Quarantaine.;
A0130559.exe\data017;C:\System Volume Information\_restore{B1E2CF14-372B-4D9D-9510-C52C5EDFDE00}\RP346\A0130559.exe;Tool.Prockill;;
A0130559.exe;C:\System Volume Information\_restore{B1E2CF14-372B-4D9D-9510-C52C5EDFDE00}\RP346;L'archive contient des éléments infectés;Quarantaine.;

Nemesis31 · Answer

VirtumundoBeGone.exe
Smitfraudfix
===> ils sortent d'où ? tu as déjà été infecté auparavant et donc demandé de l'aide ?


Tu peux vider la quarantaine de Dr Web CureIt

Essaye de relancer Mbam, faudrait qu'il marche celui-là :)

Refait un RSIT

Le passant · Answer

heu.. non c'était avant de m'inscrire sur le forum!

Le passant · Answer

Logfile of random's system information tool 1.06 (written by random/random)
Run by CD at 2009-09-13 18:52:20
WIN_XP Service Pack 2
System drive C: has 6 GB (17%) free of 32 GB
Total RAM: 1535 MB (63% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:52:39, on 13/09/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\a-squared Anti-Malware\a2service.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32
vsvc32.exe
C:\PROGRAM FILES\A-SQUARED ANTI-MALWARE\a2guard.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
F:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\CD\Bureau\RSIT.exe
C:\Program Files	rend micro\CD.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\pdfforgeToolbarIE.dll (file missing)
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll
O3 - Toolbar: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O3 - Toolbar: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - C:\Program Files\Save Flash\SaveFlash.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\pdfforgeToolbarIE.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [a-squared] "C:\PROGRAM FILES\A-SQUARED ANTI-MALWARE\a2guard.exe" /d=60
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKUS\S-1-5-21-57989841-329068152-725345543-1003\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet (User '?')
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.canalplay.com (HKLM)
O15 - Trusted Zone: *.canalplusactive.com (HKLM)
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - (no file)
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Premium MailGuard helper service (AVEService) - Unknown owner - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe (file missing)
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

Nemesis31 · Answer

Relances HJT, coches ces lignes et cliques sur Fix Checked:

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\pdfforgeToolbarIE.dll (file missing)

O3 - Toolbar: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O3 - Toolbar: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - C:\Program Files\Save Flash\SaveFlash.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\pdfforgeToolbarIE.dll (file missing)

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKUS\S-1-5-21-57989841-329068152-725345543-1003\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet (User '?')

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - (no file) 


=============================

Je voudrais que tu revérifies que ces dossiers ont bien été supprimés: 
C:\Program Files\pdfforge Toolbar 
C:\Documents and Settings\CD\Application Data\pdfforge 


Tu n'as toujours pas réussi à enlever avast?
C:\Program Files\Alwil Software 

J'attends le rapport de Mbam si tu as pu l'exécuter

Le passant · Answer

j'ai supprimé tous les fichiers demandés ainsi que a-sqarred, j'ai executé la manip hitjack - mais un fichier ne s'y trouvait pas (celui qui est chiffré), impossible d'installer correctement malware et idem pour le point de restauration: je ne peux ni désactiver ni en créer un!

Le passant · Answer

ok! c'est parti!

Le passant · Answer

je commence à craquer...
Kapersky refuse de démarrer son scan sous prétexte d'un bloquage de la mise à jour (pourtant effectuée) et bitdefender ne fonctionne que sous internet explorer qui refuse de se lancer!

j'en peux plus!!!!!!!

Le passant · Answer

panda ne marche pas non plus - j'ai reessayé 10 fois

Le passant · Answer

je vais me coucher...la nuit porte conseil!

Merci cher helper!! 

Et bonne nuit!

Le passant · Answer

Bonjour, j'ai réinstallé avast, voici le rapport:

14/09/2009 10:10
Analyse de tous les lecteurs locaux

Fichier G:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP1080\A0165201.exe est infecté par VBS:Redlof, Supprimé
Nombre de dossiers parcourus : 16417
Nombre de fichiers analysés : 281707
Nombre de fichiers infectés : 1

Le passant · Answer

Bonsoir, désolé pour le retard!




ComboFix 09-09-14.02 - CD 15/09/2009 23:51.2.1 - NTFSx86
Lancé depuis: c:\documents and settings\CD\Bureau\CCM.exe
.

(((((((((((((((((((((((((((((   Fichiers créés du 2009-08-15 au 2009-09-15  ))))))))))))))))))))))))))))))))))))
.

2009-09-15 21:48 . 2009-09-15 21:48	99317396	----a-w-	C:\Sauv.reg
2009-09-14 08:08 . 2009-08-17 16:04	51376	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2009-09-14 08:08 . 2009-08-17 16:04	23152	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2009-09-14 08:08 . 2009-08-17 16:05	20560	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2009-09-14 08:08 . 2009-08-17 16:03	26944	----a-w-	c:\windows\system32\drivers\aavmker4.sys
2009-09-14 08:08 . 2009-08-17 16:02	97480	----a-w-	c:\windows\system32\AvastSS.scr
2009-09-14 08:08 . 2009-08-17 16:06	93392	----a-w-	c:\windows\system32\drivers\aswmon.sys
2009-09-14 08:08 . 2009-08-17 16:06	94160	----a-w-	c:\windows\system32\drivers\aswmon2.sys
2009-09-14 08:08 . 2009-08-17 16:05	114768	----a-w-	c:\windows\system32\drivers\aswSP.sys
2009-09-14 08:08 . 2009-08-17 16:10	1279456	----a-w-	c:\windows\system32\aswBoot.exe
2009-09-14 08:08 . 2009-09-14 08:08	--------	d-----w-	c:\program files\Alwil Software
2009-09-13 22:37 . 2009-09-13 22:37	--------	d-----w-	c:\program files\pdfforge Toolbar
2009-09-13 19:17 . 2009-09-13 19:17	--------	d-----w-	c:\program files\Panda Security
2009-09-13 17:24 . 2009-09-13 17:24	--------	d-----w-	c:\documents and settings\CD\Application Data\pdfforge
2009-09-12 20:21 . 2009-09-12 20:21	2560	----a-w-	c:\windows\_MSRSTRT.EXE
2009-09-11 15:43 . 2009-09-13 15:39	--------	d-----w-	C:\CCM
2009-09-10 14:01 . 2009-09-15 21:48	--------	d-----w-	c:\program files	rend micro
2009-09-10 12:38 . 2009-09-10 12:38	--------	d-----w-	c:\program files\SystemRequirementsLab
2009-09-10 12:38 . 2009-09-10 12:38	--------	d-----w-	c:\documents and settings\CD\Application Data\SystemRequirementsLab
2009-09-09 23:33 . 2009-09-09 23:34	--------	d-----w-	c:\documents and settings\All Users\Application Data\NOS
2009-09-09 23:33 . 2009-09-09 23:33	--------	d-----w-	c:\program files\NOS
2009-09-09 23:27 . 2009-09-09 23:27	--------	dc----w-	c:\documents and settings\All Users\Application Data\{EF63305C-BAD7-4144-9208-D65528260864}
2009-09-09 22:43 . 2009-09-10 14:43	--------	d-----w-	c:\documents and settings\CD\Application Data\Lavasoft
2009-09-09 22:16 . 2009-09-09 22:16	--------	d-sh--w-	c:\documents and settings\Administrateur.CACD-7EOYDET2ZA\IETldCache
2009-09-08 22:35 . 2009-09-08 22:37	--------	d-----w-	c:\documents and settings\CD\DoctorWeb
2009-09-08 15:05 . 2007-12-24 15:37	138384	----a-w-	c:\windows\system32\drivers	mcomm.sys
2009-09-08 15:05 . 2009-09-10 22:41	--------	d-----w-	c:\documents and settings\CD\Application Data\HouseCall 6.6
2009-09-07 20:59 . 2009-09-07 20:59	--------	d-----w-	c:\program files\IfoEdit
2009-09-07 18:25 . 2009-09-07 18:28	--------	d-----w-	C:\ConverterOutput
2009-09-07 18:25 . 2004-10-12 12:42	262144	----a-w-	c:\windows\system32\TomsMoComp_ff.dll
2009-09-07 18:25 . 2004-10-12 12:40	2255360	----a-w-	c:\windows\system32\libavcodec.dll
2009-09-07 18:25 . 2004-10-05 14:16	395776	----a-w-	c:\windows\system32\libmplayer.dll
2009-09-07 18:25 . 2004-10-03 23:50	112640	----a-w-	c:\windows\system32\libmpeg2_ff.dll
2009-09-07 18:25 . 2009-09-07 18:25	--------	d-----w-	c:\program files\Cucusoft
2009-09-05 15:33 . 2009-09-05 15:33	--------	d-----w-	c:\windows\Instant Lock
2009-09-05 11:51 . 2009-09-05 11:51	--------	d-----w-	c:\documents and settings\CD\Application Data\Canneverbe_Limited
2009-09-05 11:51 . 2009-09-05 11:51	--------	d-----w-	c:\documents and settings\All Users\Application Data\Canneverbe Limited
2009-09-05 11:50 . 2009-09-05 11:50	--------	d-----w-	c:\program files\CDBurnerXP
2009-09-05 11:49 . 2006-06-29 11:07	14048	------w-	c:\windows\system32\spmsg2.dll
2009-09-05 11:47 . 2009-09-05 11:47	646136	----a-w-	c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
2009-09-05 11:47 . 2009-09-05 11:49	--------	d-----w-	c:\windows\system32\XPSViewer
2009-09-05 11:47 . 2009-09-05 11:47	--------	d-----w-	c:\program files\MSBuild
2009-09-05 11:46 . 2009-09-05 11:46	--------	d-----w-	c:\program files\Reference Assemblies
2009-09-05 11:46 . 2008-07-06 12:06	89088	-c----w-	c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-09-05 11:46 . 2008-07-06 12:06	575488	-c----w-	c:\windows\system32\dllcache\xpsshhdr.dll
2009-09-05 11:46 . 2008-07-06 12:06	575488	------w-	c:\windows\system32\xpsshhdr.dll
2009-09-05 11:46 . 2008-07-06 12:06	117760	------w-	c:\windows\system32\prntvpt.dll
2009-09-05 11:46 . 2008-07-06 10:50	597504	-c----w-	c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-09-05 11:46 . 2009-09-05 11:46	--------	d-----w-	C:\8171bac37ed2327f08e7
2009-09-05 11:46 . 2008-07-06 12:06	1676288	-c----w-	c:\windows\system32\dllcache\xpssvcs.dll
2009-09-05 11:46 . 2008-07-06 12:06	1676288	------w-	c:\windows\system32\xpssvcs.dll
2009-09-05 11:42 . 2009-09-05 11:42	--------	d-----w-	c:\program files\MSXML 6.0
2009-09-04 14:17 . 2009-09-04 14:17	--------	d-----w-	c:\documents and settings\CD\Application Data	eamspeak2
2009-09-04 14:16 . 2009-09-04 14:17	--------	d-----w-	c:\program files\Teamspeak2_RC2

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-15 13:55 . 2008-02-18 16:58	--------	d-----w-	c:\documents and settings\CA\Application Data\OpenOffice.org2
2009-09-15 12:32 . 2008-01-20 16:26	--------	d-----w-	c:\documents and settings\CD\Application Data\OpenOffice.org2
2009-09-12 20:36 . 2008-02-14 08:17	--------	d-----w-	c:\documents and settings\CA\Application Data\Shareaza
2009-09-12 02:03 . 2009-03-13 17:57	--------	d-----w-	c:\documents and settings\CD\Application Data\WFDS
2009-09-10 15:35 . 2008-03-06 17:04	--------	d-----w-	c:\program files\CCleaner
2009-09-10 12:11 . 2008-10-27 16:52	--------	d-----w-	c:\documents and settings\All Users\Application Data\avg8
2009-09-08 22:15 . 2009-04-03 20:33	6852308	--sha-w-	c:\windows\system32\drivers\fidbox.idx
2009-09-08 22:15 . 2009-04-03 20:33	584460320	--sha-w-	c:\windows\system32\drivers\fidbox.dat
2009-09-05 17:48 . 2009-01-08 20:03	--------	d-----w-	c:\program files\L'Entraîneur 2007
2009-09-05 11:51 . 2008-01-19 23:07	419816	----a-w-	c:\documents and settings\CD\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-09-05 11:47 . 2001-08-28 12:00	80508	----a-w-	c:\windows\system32\perfc00C.dat
2009-09-05 11:47 . 2001-08-28 12:00	500454	----a-w-	c:\windows\system32\perfh00C.dat
2009-08-05 12:14 . 2008-02-25 09:49	--------	d-----w-	c:\documents and settings\CD\Application Data\FileZilla
2009-08-05 00:11 . 2009-08-05 00:11	--------	d-----w-	c:\program files\Microsoft Silverlight
2009-08-01 02:16 . 2008-05-01 13:31	--------	d-----w-	c:\program files\DivX
2009-08-01 02:15 . 2009-08-01 02:15	--------	d-----w-	c:\program files\Fichiers communs\DivX Shared
2009-07-05 14:41 . 2009-07-05 14:41	58	----a-w-	c:\windows\system32\DonationCoder_ScreenshotCaptor_InstallInfo.dat
2009-07-05 14:41 . 2009-07-05 14:41	58	----a-w-	c:\documents and settings\CD\Local Settings\Application Data\DonationCoder_ScreenshotCaptor_InstallInfo.dat
2009-06-26 18:22 . 2009-06-26 18:22	2129408	----a-w-	c:\windows\system32\python31.dll
.

------- Sigcheck -------

Erreur des Services de cryptographie !!
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-07-01 4112384]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-08-17 81000]

[HKLM\~\startupfolder\C:^Documents and Settings^CD^Menu Démarrer^Programmes^Démarrage^Registration-Studio 7.lnk]
path=c:\documents and settings\CD\Menu Démarrer\Programmes\Démarrage\Registration-Studio 7.lnk
backup=c:\windows\pss\Registration-Studio 7.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"MSIServer"=3 (0x3)
"BITS"=3 (0x3)
"mnmsrvc"=3 (0x3)
"UPS"=3 (0x3)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversionun-]
"ewmoysk"="c:\documents and settings\cd\local settings\application data\ewmoysk.exe" ewmoysk

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\ABIT\ABIT uGuru\FlashMenu.exe"=
"c:\Program Files\Yahoo!\Messenger\YahooMessenger.exe"=
"c:\Program Files\Yahoo!\Messenger\YServer.exe"=
"c:\Program Files\FileZilla FTP Client\filezilla.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\MSN Messenger\msnmsgr.exe"=
"c:\Program Files\MSN Messenger\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6346:TCP"= 6346:TCP:shareaza
"6346:UDP"= 6346:UDP:shareaza

R2 AVEService;Avira AntiVir Premium MailGuard helper service;c:\program files\Avira\AntiVir PersonalEdition Premium\avesvc.exe [x]
R2 PSTRIP;PSTRIP;c:\windows\system32\DRIVERS\PSTRIP.SYS [x]
R3 getPlusHelper;getPlus(R) Helper;c:\windows\System32\svchost.exe [2004-08-19 14336]
R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [x]
S0 AC2003;AC2003; [x]
S0 SI3112r;Silicon Image SiI 3112 SATARaid Controller;c:\windows\system32\DRIVERS\SI3112r.sys [2004-05-12 97408]
S0 uGuru;uGuru;c:\windows\System32\Drivers\uGuru.sys [2004-02-26 10752]
S1 aswSP;avast! Self Protection; [x]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2009-08-17 20560]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper	REG_MULTI_SZ   	getPlusHelper
.
.
------- Examen supplémentaire -------
.
Trusted Zone: canalplay.com
Trusted Zone: canalplusactive.com
FF - ProfilePath - c:\documents and settings\CD\Application Data\Mozilla\Firefox\Profiles\8ys4mets.default\
FF - prefs.js: browser.search.defaulturl - hxxp://fr.search.yahoo.com/search?ei=UTF-8&fr=ytff-msgr&p=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://fr.yahoo.com/?fr=fptb-msgr
FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
FF - component: f:\program files\Mozilla Firefox\extensions\{B922D405-6D13-4A2B-AE89-08A030DA4402}\components\pdfforgeToolbarFF.dll
FF - component: f:\program files\Mozilla Firefox\extensions\search@searchsettings.com\components\SearchSettingsFF.dll
FF - plugin: c:\documents and settings\CD\Application Data\Mozilla\Firefox\Profiles\8ys4mets.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins
p_gp.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin
pjava11.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin
pjava12.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin
pjava13.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin
pjava14.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin
pjava32.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin
pjpi160.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin
poji610.dll
FF - plugin: f:\program files\Mozilla Firefox\plugins\NPAdbESD.dll

---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - true.
- - - - ORPHELINS SUPPRIMES - - - -

AddRemove-Ad-Remover - c:\program files\Ad-Remover\Uninstall ADR.exe
AddRemove-Adobe Acrobat 5.0 - c:\windows\ISUN040C.EXE -fc:\program files\Fichiers communs\Adobe\Acrobat 5.0\NT\Uninst.isu
AddRemove-Hitman - tueur à gages - f:\uninstall.exe
AddRemove-Registry_Doktor 2009_is1 - c:\program files\Registry_Doktor 4.1\unins000.exe
AddRemove-StudioDV - c:\windows\IsUn040c.exe -fc:\program files\Pinnacle\Studio 7\Studio7.isu



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-15 23:55
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(1496)
c:\windows\system32\ieframe.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Heure de fin: 2009-09-15 23:56
ComboFix-quarantined-files.txt  2009-09-15 21:56

Avant-CF: 5 646 606 336 octets libres
Après-CF: 5 757 931 520 octets libres

180

Le passant · Answer

Voici le rapport:


Logfile of random's system information tool 1.06 (written by random/random)
Run by CD at 2009-09-18 22:40:09
WIN_XP Service Pack 2
System drive C: has 5 GB (17%) free of 32 GB
Total RAM: 1535 MB (73% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:40:28, on 18/09/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\ctfmon.exe
F:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\CD\Bureau\RSIT.exe
C:\Program Files	rend micro\CD.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-21-57989841-329068152-725345543-1003\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.canalplay.com (HKLM)
O15 - Trusted Zone: *.canalplusactive.com (HKLM)
O23 - Service: Avira AntiVir Premium MailGuard helper service (AVEService) - Unknown owner - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe (file missing)
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

Le passant · Answer

Pour avira, je n'arrive pas à savoir s'il est installé ou pas (à l'installation il semble y avoir un mieux mais il s'arrete tout seul au bout d'un moment). J'ai désinstallé Avast et pdf forge mais des dossiers reviennent à chaque démarrage!!!

Nemesis31 · Answer

re,

Relances HJT, coches ces lignes et cliques sur Fix Checked:
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-21-57989841-329068152-725345543-1003\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')

O23 - Service: Avira AntiVir Premium MailGuard helper service (AVEService) - Unknown owner - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe (file missing)

/!\ Redémarre /!\


Le mieux serait que tu désinstalles Avira, tu passes un coup de Ccleaner au niveau du registre, et tu réinstalles Avira.

++

Le passant · Answer

Bonjour, j'ai supprimé la première ligne, pas les deux autres car ht ne me les a pas donné. J'ai exécuté Ccleaner comme demandé, redémarré.
Pour avira, toujours le même pb, l'installation s'interrompt tte seule (idem pour Ccleaner lorsque je lui demande de supprimer les fichiers temporaires! pour la base de registre, il achève bien sa correction en revanche!)

Je joins le dernier log ht:

Logfile of HijackThis v1.98.2
Scan saved at 13:02:31, on 21/09/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\ctfmon.exe
F:\Program Files\Mozilla Firefox\firefox.exe
C:\DOCUME~1\CD\LOCALS~1\Temp\Rar$EX00.110\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

A très vite! on finira bien par l'avoir, non?

Nemesis31 · Answer

re,

refais un RSIT stp pas un HJT (surtout que celui-là date......)

Merci !

pimprenelle27 · Answer

Bonsoir à vous,

nemesis :: (surtout que celui-là date......)  la date est bonne mais c'est surtout la version qui choque : v1.98.2 

On est quand même arrivé à la version 2.0.2 le passant, c'est très important de bien mettre à jour les logiciels surtout hijackthis.

Le passant · Answer

Bonjour, j'ai téléchargé la dernière version de hitjackthis.
Voici le log RSIT:

Logfile of random's system information tool 1.06 (written by random/random)
Run by CD at 2009-09-22 12:39:24
WIN_XP Service Pack 2
System drive C: has 5 GB (16%) free of 32 GB
Total RAM: 1535 MB (69% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:39:38, on 22/09/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
F:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\CD\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\CD.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKUS\S-1-5-21-57989841-329068152-725345543-1003\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet (User '?')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Premium MailGuard helper service (AVEService) - Unknown owner - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe (file missing)
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

Nemesis31 · Answer

re,

je te demanderais de faire analyser ces fichiers sur virustotal stp:
C:\WINDOWS\zip.exe
C:\WINDOWS\sed.exe
C:\WINDOWS\PEV.exe (je pense que c'est une partie de Combofix..)
C:\WINDOWS\NIRCMD.exe
C:\WINDOWS\grep.exe 

TUTO

Le passant · Answer

De toute façon je ne peux pas copier coller les url!!

pour SWXCACLS.exe : "Application.NirCmd" (PCTools)

pour SWSC.exe : "Trojan.Agent.ATV" (CAT-QuickHeal) ; "Suspicious File" (eSafe)

pour SWREG.exe : "Suspicious File" (eSafe)

Nemesis31 · Answer

re,

1, je voudrais que tu retrouves les CD de Windows...(au cas où)
2, sauvegarde ce qui est le plus important (fichiers word, pas de .exe ou .zip ou .rar...)
3, supprimes ces fichiers:

C:\WINDOWS\zip.exe

C:\WINDOWS\NIRCMD.exe 

C:\WINDOWS\SWXCACLS.exe

C:\WINDOWS\SWSC.exe 

C:\WINDOWS\SWREG.exe

----------------------

Ensuite:
Cliques sur "Démarrer"
Puis sur "Exécuter" et écris:  combofix /u
Cela va désinstaller Combofix.

Regarde si ces fichiers sont partis:
C:\WINDOWS\grep.exe
C:\WINDOWS\sed.exe
C:\WINDOWS\PEV.exe

-------------------------

Peux-tu lancer Mbam ?

Nemesis31 · Answer

as-tu essayer d'intaller d'autres programmes ? (mode sans échec)

++

Le passant · Answer

mon dd en slave commence à connaitre de sérieux problèmes, deux antivirus en ligne ont planté l'ordi hier (esafe et nod32, fin d'analyse -env 70% sur mon dd en slave justement), une tentative de réparation du disque s'est terminée en page bleue, pour l'instant aucune possibilité de sauvegarde et j'ai un dossier compliqué à rendre pour début octobre... bref c'est top!
Penses tu que l'infection se situe au niveau du boot et si oui je peux peut-être essayer de booter avec le lecteur cd en le chargeant d'un antivirus (j'ai une vieille version de bitdefender)?

Le passant · Answer

Bonjour, a priori je n'ai pas de pare-feu (du moins je ne le trouve pas dans ma liste de prog)

voici le lien:

http://www.cijoint.fr/cjlink.php?file=cj200909/cijQ06CCc0.txt

Le passant · Answer

Et zut! pff...


http://www.cijoint.fr/cjlink.php?file=cj200909/cijXvdDeSa.txt

Le passant · Answer

memctl

http://www.virustotal.com/fr/analisis/ebac61ba5779439dc99c359986295605e7eea26978327259e449830442b32891-1247934824

rdbss

http://www.virustotal.com/fr/analisis/e85710229e61db37bab291e2e13abd99fa8dff7c8245853253be540d8741990e-1253860149

scedrv

http://www.virustotal.com/fr/analisis/
f6c280a6f537b254f972a4c07b0dc34484f2eb4a0660c7956be12a2678f78e1f-1251466739

Nemesis31 · Answer

re,

le dernier lien ne marche pas....

renvoie-le en entier stp

Le passant · Answer

re,

http://easycaptures.com/4020953452

je comprends pas le lien est bon mais il ne fonctionne pas, du coup je te l'ai.. capturé.

En ce qui concerne avira, j'ai refait un hitjackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:09:57, on 30/09/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.BIN
F:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32	askmgr.exe
C:\Program Files\Adobe\Acrobat 5.0\Reader\AcroRd32.exe
C:\Program Files	rend micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKUS\S-1-5-21-57989841-329068152-725345543-1003\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet (User '?')
O4 - HKUS\S-1-5-21-57989841-329068152-725345543-1003\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-57989841-329068152-725345543-1003\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe (User '?')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Premium MailGuard helper service (AVEService) - Unknown owner - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe (file missing)
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

pour les autres antivirus avg et eset (scan en ligne en fait), c'est nettoyé. Je n'arrive pas a trouver avast, bizarre...

Nemesis31 · Answer

re,

ok, merci pour la capture d'écran :D

Relance HJT, coches cette ligne et cliques sur Fix Checked:
O23 - Service: Avira AntiVir Premium MailGuard helper service (AVEService) - Unknown owner - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe (file missing) 



Fais plutôt un RSIT, on voit plus grand chose sur un HJT...

++

Le passant · Answer

J'ai bien fait ce que tu m'as demandé mais rsit me remet la même ligne 023 via ht : je comprends plus rien!!



Logfile of random's system information tool 1.06 (written by random/random)
Run by CD at 2009-10-03 01:18:58
WIN_XP Service Pack 2
System drive C: has 6 GB (17%) free of 32 GB
Total RAM: 1535 MB (65% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:19:12, on 03/10/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Program Files\Windows NT\Accessoires\WORDPAD.EXE
C:\Program Files\OpenOffice.org 2.2\program\soffice.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.BIN
F:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32	askmgr.exe
C:\Program Files\Adobe\Acrobat 5.0\Reader\AcroRd32.exe
C:\Documents and Settings\CD\Bureau\RSIT.exe
C:\Program Files	rend micro\HijackThis\CD.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKUS\S-1-5-21-57989841-329068152-725345543-1003\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet (User '?')
O4 - HKUS\S-1-5-21-57989841-329068152-725345543-1003\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-57989841-329068152-725345543-1003\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe (User '?')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Premium MailGuard helper service (AVEService) - Unknown owner - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe (file missing)
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

Nemesis31 · Answer

Salut !

dsl de pas avoir répondu, mais je réfléchissais..... et je suis autant déçu de mon côté que cela va l'être du tien.... je ne vois pas du tout d'où ou ça coince :( 

Le mieux pour toi je pense (puisqu'il n'y a que moi qui répond au sujet... même si un de mes supérieurs suit n petit peu le sujet...) est d'allé sur un autre forum....

Sur ce, bonne chance à toi ! (et dsl de pas avoir été à la hauteur...)

++

Le passant · Answer

Ne sois pas désolé Nemesis, tu as beaucoup donné de ton temps et de ton énergie et on ne peut pas tout savoir non plus! Je te remercie encore pour ton aide et si je trouve la solution quelque part, promis, je la post ici pour toi et tous ceux qui ont les memes pb.


Amicalement

Nemesis31 · Answer

re,

Je te remercie encore pour ton aide et si je trouve la solution quelque part, promis, je la post ici pour toi et tous ceux qui ont les memes pb. 

ça serait pas de refus :)

Bonne chance !! ;)

requis266 · Answer

Bonjour Nemesis31 je peux tédai mai il que ja sache ta marque de ton pc appré ma voir dit la marque de ton pc je vais te donner un logiciel pour remetre ton ordinateur a 0 et donne moi ton email

Virus super puissant - Page 4

Discussions similaires

Newsletters