OH SECOUR virus pub antivirus?Résolu/Fermé

Question

Bonjour,
J ai un virus apparement pour un antivirus page qui s ouvre en disent my computer scanner et il me dit qu il y a 30 virus sur le D: 23 sur mes document ect quand je vais sur internet il me redirige les pages que faire aidez moi s il vous plait merci d avance

Acide-Burn · Answer

Bonsoir,
Je pense que c'est un Spyware passe un coup de Spybot et c'est bon =)

verni29 · Answer

Tu es infecté par un faux antivirus
N'accepte pas ce logiciel.

Télécharge Random's System Information Tool (RSIT) de random/random et enregistre le sur ton Bureau. 
http://images.malwareremoval.com/random/RSIT.exe 

# Double-clique sur " RSIT.exe " pour le lancer . 
# dans la fenêtre qui va s’ouvrir choisis  1 month pour l'option "List files/folders created ...". 
# clique ensuite sur " Continue " pour lancer l'analyse ... 

Si la dernière version de HijackThis n'est pas trouvée sur ton PC, RSIT la téléchargera et te demandera d'accepter la licence. 

Attends jusqu’à la fin de l’analyse. deux rapports vont être crées. 

# Poste en deux messages le contenu de " log.txt ", et de " info.txt " ( dans la barre des tâches).

Note : Si tu ne les trouves pas,les rapports sont sauvegardés dans le dossier  C:\rsit.

A+

crash06 · Answer

merci a tous les deux d avoir repondu si vite, je n arrive pas a telecharger spybot il me redirige la page 
donc j ai essayer la solution de verni29 et j ai reussi voici le log:

Logfile of random's system information tool 1.06 (written by random/random)
Run by luffy at 2009-09-18 23:11:22
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 4 GB (18%) free of 25 GB
Total RAM: 1278 MB (44% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:11:46, on 18/09/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\TEMP	evsiwufac.exe
C:\Acer\eManager\anbmServ.exe
C:\WINDOWS\msa.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\PowerKey.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\Program Files\Arcade\PCMService.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Documents and Settings\luffy\siuon.exe
C:\Documents and Settings\luffy\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
C:\Program Files\acer\eRecovery\Monitor.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\TEMP	evsiwufac.exe
C:\DOCUME~1\luffy\LOCALS~1\Temp\b.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\luffy\Bureau\RSIT.exe
C:\Program Files	rend micro\luffy.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] "C:\Program Files\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Program Files\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Program Files\Launch Manager\OSDCtrl.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [BVRPLiveUpdate] C:\Program Files\Avanquest update\Engine\Setup.exe -s /PATCH,/SRCUPDATEC:\DOCUME~1\ALLUSE~1\APPLIC~1\SONYER~1\SONYER~1\LIVEUP~1\LISTOF~1.DAT
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [autochk] rundll32.exe C:\WINDOWS\system32\autochk.dll,_IWMPEvents@0
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [siuon] C:\Documents and Settings\luffy\siuon.exe
O4 - HKCU\..\Run: [PopRock] C:\DOCUME~1\luffy\LOCALS~1\Temp\b.exe
O4 - HKCU\..\Run: [autochk] rundll32.exe C:\DOCUME~1\luffy\protect.dll,_IWMPEvents@0
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: Notification de cadeaux MSN.lnk = C:\Documents and Settings\luffy\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: ChkDisk.lnk = ? (User 'SYSTEM')
O4 - S-1-5-18 Startup: ChkDisk.dll (User 'SYSTEM')
O4 - .DEFAULT Startup: Notification de cadeaux MSN.lnk = C:\Documents and Settings\luffy\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe (User 'Default user')
O4 - .DEFAULT Startup: ChkDisk.lnk = ? (User 'Default user')
O4 - .DEFAULT Startup: ChkDisk.dll (User 'Default user')
O4 - Startup: Notification de cadeaux MSN.lnk = C:\Documents and Settings\luffy\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
O4 - Startup: ChkDisk.lnk = ?
O4 - Startup: ChkDisk.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game14.zylom.com/activex/zylomgamesplayer.cab
O23 - Service: Avertissement AlerterALG (AlerterALG) - Unknown owner - C:\WINDOWS\TEMP	evsiwufac.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

crash06 · Answer

voici le info 

info.txt logfile of random's system information tool 1.06 2009-09-18 23:11:51

======Uninstall list======

-->C:\WINDOWS\IsUninst.exe -f"C:\Program Files\Acer Inc.\Acer French Guide Link\Uninst.isu"
-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Acer eManager for Notebook-->C:\Program Files\Fichiers communs\InstallShield\Driver\8\Intel 32\IDriver.exe /M{827289F5-B44F-4E49-9993-840741585A62} 
Acer GridVista-->C:\WINDOWS\UnInst32.exe GridV.UNI
Ad-Aware-->"C:\Documents and Settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}\Ad-AwareAE.exe" REMOVE=TRUE MODIFY=FALSE
Ad-Aware-->C:\Documents and Settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}\Ad-AwareAE.exe
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->MsiExec.exe /X{ECA1A3B6-898F-4DCE-9F04-714CF3BA126B}
Adobe Reader 6.0 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-000000000001}
Arcade 3.0-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2637C347-9DAD-11D6-9EA2-00055D0CA761}\Setup.exe"  -uninstall
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
Assistant de connexion Windows Live-->MsiExec.exe /I{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}
Athlon 64 Processor Driver-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C151CE54-E7EA-4804-854B-F515368B0798}\setup.exe" -l0x40c 
ATI - Utilitaire de désinstallation du logiciel-->C:\Program Files\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Control Panel-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{0BEDBD4E-2D34-47B5-9973-57E62B29307C}\setup.exe" 
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
Avanquest update-->"C:\Program Files\InstallShield Installation Information\{76E41F43-59D2-4F30-BA42-9A762EE1E8DE}\Setup.exe" -runfromtemp -l0x040c -removeonly
avast! Antivirus-->C:\Program Files\Alwil Software\Avast4\aswRunDll.exe "C:\Program Files\Alwil Software\Avast4\Setup\setiface.dll",RunSetup
Broadcom 802.11 Network Adapter-->C:\WINDOWS\system32\BCMWLU00.exe verbose
Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}
Correctif pour Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Correctif pour Windows XP (KB961118)-->"C:\WINDOWS\$NtUninstallKB961118$\spuninst\spuninst.exe"
Correctif pour Windows XP (KB970653-v3)-->"C:\WINDOWS\$NtUninstallKB970653-v3$\spuninst\spuninst.exe"
DVD Shrink 3.2-->"C:\Program Files\DVD Shrink\unins000.exe"
Galerie de photos Windows Live-->MsiExec.exe /X{44E54A81-9D91-4AA1-9417-80AFF134F5FF}
GrabIt 1.7.2 Beta 3 (build 996)-->"D:\GrabIt\unins000.exe"
HijackThis 2.0.2-->"C:\Program Files	rend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{7370DF47-B4F9-4279-BFC3-3F09919F720D}
Java(TM) 6 Update 15-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Junk Mail filter update-->MsiExec.exe /I{4DE3E3D9-AE81-45DE-9195-3015F7B1DBF3}
Launch Manager V1.0.8.3-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{D0846526-66DD-4DC9-A02C-98F9A2806812}\SETUP.EXE" -l0x40c 
LimeWire 5.1.3-->"C:\Program Files\LimeWire\uninstall.exe"
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - FRA-->MsiExec.exe /I{72AD53CC-CCC0-3757-8480-9EE176866A7C}
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - FRA-->MsiExec.exe /I{0BD83598-C2EF-3343-847B-7D2E84599128}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 Language Pack SP1 - fra-->MsiExec.exe /I{3E31821C-7917-367E-938E-E65FC413EA31}
Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Silverlight-->MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Works-->MsiExec.exe /I{A059DE09-1B49-4450-B340-7AE097EC3F04}
Mise à jour de sécurité pour Lecteur Windows Media (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media (KB973540)-->"C:\WINDOWS\$NtUninstallKB973540_WM9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127-v2)-->"C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB963027)-->"C:\WINDOWS\ie7updates\KB963027-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB969897)-->"C:\WINDOWS\ie7updates\KB969897-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 8 (KB969897)-->"C:\WINDOWS\ie8updates\KB969897-IE8\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 8 (KB971961)-->"C:\WINDOWS\ie8updates\KB971961-IE8\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 8 (KB972260)-->"C:\WINDOWS\ie8updates\KB972260-IE8\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB938464-v2)-->"C:\WINDOWS\$NtUninstallKB938464-v2$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956744)-->"C:\WINDOWS\$NtUninstallKB956744$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956844)-->"C:\WINDOWS\$NtUninstallKB956844$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960859)-->"C:\WINDOWS\$NtUninstallKB960859$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971557)-->"C:\WINDOWS\$NtUninstallKB971557$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971657)-->"C:\WINDOWS\$NtUninstallKB971657$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973354)-->"C:\WINDOWS\$NtUninstallKB973354$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973507)-->"C:\WINDOWS\$NtUninstallKB973507$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973869)-->"C:\WINDOWS\$NtUninstallKB973869$\spuninst\spuninst.exe"
Mise à jour pour Windows Internet Explorer 8 (KB971930)-->"C:\WINDOWS\ie8updates\KB971930-IE8\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB961503)-->"C:\WINDOWS\$NtUninstallKB961503$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB968389)-->"C:\WINDOWS\$NtUninstallKB968389$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB973815)-->"C:\WINDOWS\$NtUninstallKB973815$\spuninst\spuninst.exe"
Module linguistique Microsoft .NET Framework 3.5 SP1- fra-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - fra\setup.exe
MSN-->C:\Program Files\MSN\MsnInstaller\msninst.exe /Action:ARP
MSVC80_x86-->MsiExec.exe /I{212748BB-0DA5-46DE-82A1-403736DC9F27}
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
Nero 9-->C:\Program Files\Fichiers communs\Nero\Nero ProductInstaller 4\SetupX.exe  REMOVESERIALNUMBER="9M03-01A1-PCX7-K31A-8A94-98PT-KT2E-522A"
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
NTI Backup NOW! 4-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{B06B842F-2450-494F-BBDE-217CDC151A37} /l1036 BUN4
NTI CD & DVD-Maker Gold-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{E98412A2-8AB2-4BCE-AB3F-384B0239557E} /l1036 CDM7
Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Package de pilotes Windows - Nokia pccsmcfd  (08/22/2008 7.0.0.0)-->C:\PROGRA~1\DIFX\B4723E9A0713E5B1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\pccsmcfd_A3B3916E5D8138F59EE218321B27B044D3B18294\pccsmcfd.inf
PC Connectivity Solution-->MsiExec.exe /I{0C973594-7DDF-4BD0-84ED-3517F7622037}
PowerProducer-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B7A0CE06-068E-11D6-97FD-0050BACBF861}\Setup.exe"  -uninstall
QuickPar 0.9-->C:\Program Files\QuickPar\uninst.exe
Realtek AC'97 Audio-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\Setup.exe" -l0x40c  -removeonly
REALTEK Gigabit and Fast Ethernet NIC Driver-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{94FB906A-CF42-4128-A509-D353026A607E}\setup.exe" -l0x40c REMOVE
Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}
SLD Codec Pack-->C:\Program Files\SLD Codec Pack\uninstall.exe
SoftV90 Data Fax Modem with SmartCP-->C:\Program Files\CONEXANT\CNXT_MODEM_PCI_VEN_1002&DEV_4378&SUBSYS_00801025\HXFSETUP.EXE -U -IVEN_1002&DEV_4378&SUBSYS_00801025
Sony Ericsson PC Suite 4.010.00-->C:\Program Files\InstallShield Installation Information\{2FFE93F0-BB72-4E52-8761-354D1AAA9387}\ISAdmin.exe -runfromtemp -l0x040c -removeonly
Synaptics Pointing Device Driver-->rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
Texas Instruments PCIxx21/x515 drivers.-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{E7A744FD-E1B8-4FF6-ADC1-EA4C32181457} /l1033 
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
Visual C++ 2008 x86 Runtime - (v9.0.30729)-->MsiExec.exe /X{F333A33D-125C-32A2-8DCE-5C5D14231E27}
Visual C++ 2008 x86 Runtime - v9.0.30729.01-->C:\WINDOWS\system32\msiexec.exe /x {F333A33D-125C-32A2-8DCE-5C5D14231E27} /qb+ REBOOTPROMPT=""
Vuze-->C:\Program Files\Vuze\uninstall.exe
Windows Internet Explorer 8-->"C:\WINDOWS\ie8\spuninst\spuninst.exe"
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Contrôle parental-->MsiExec.exe /X{D6A2DDE3-9D7C-412C-932A-756580D29919}
Windows Live Mail-->MsiExec.exe /I{63DC2DA0-2A6C-4C38-9249-B75395458657}
Windows Live Messenger-->MsiExec.exe /X{059C042E-796A-4ACC-A81A-ECC2010BB78C}
Windows Live Sync-->MsiExec.exe /X{9C5EB781-0D37-44B8-9A58-77B3E4BF5F5E}
Windows Live Writer-->MsiExec.exe /X{2231CE39-B963-4B9D-823A-F412ECA637B1}
Windows Media Format 11 runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
XML Paper Specification Shared Components Language Pack 1.0-->"C:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"

======Security center information======

AV: avast! antivirus 4.8.1335 [VPS 090916-0]

======System event log======

Computer Name: SAKURA
Event Code: 7011
Message: Délai (30000 millisecondes) d'attente pour une réponse du service stisvc à une transaction.

Record Number: 9058
Source Name: Service Control Manager
Time Written: 20090812005808.000000+120
Event Type: erreur
User: 

Computer Name: SAKURA
Event Code: 7
Message: Le périphérique \Device\CdRom0 comporte un bloc défectueux.

Record Number: 9057
Source Name: Cdrom
Time Written: 20090812005807.000000+120
Event Type: erreur
User: 

Computer Name: SAKURA
Event Code: 7
Message: Le périphérique \Device\CdRom0 comporte un bloc défectueux.

Record Number: 9056
Source Name: Cdrom
Time Written: 20090812005800.000000+120
Event Type: erreur
User: 

Computer Name: SAKURA
Event Code: 7
Message: Le périphérique \Device\CdRom0 comporte un bloc défectueux.

Record Number: 9055
Source Name: Cdrom
Time Written: 20090812005753.000000+120
Event Type: erreur
User: 

Computer Name: SAKURA
Event Code: 7
Message: Le périphérique \Device\CdRom0 comporte un bloc défectueux.

Record Number: 9054
Source Name: Cdrom
Time Written: 20090812005745.000000+120
Event Type: erreur
User: 

=====Application event log=====

Computer Name: SAKURA
Event Code: 2003
Message: 
Record Number: 1087
Source Name: EAPOL
Time Written: 20090724235419.000000+120
Event Type: Informations
User: 

Computer Name: SAKURA
Event Code: 1800
Message: Le service Centre de sécurité Windows a démarré.

Record Number: 1086
Source Name: SecurityCenter
Time Written: 20090724235409.000000+120
Event Type: Informations
User: 

Computer Name: SAKURA
Event Code: 1517
Message: Windows a sauvegardé le Registre utilisateur SAKURA\luffy alors qu'une application ou un service utilisait toujours le Registre pendant la fermeture de la session. La mémoire utilisée par le Registre de l'utilisateur n'a pas été libérée. le Registre sera déchargé lorsqu'il ne sera plus utilisé. 


Cela est souvent causé par des services s'exécutant en tant que compte d'utilisateur, essayez de configurer les services pour s'exécuter dans le compte service réseau ou service local.

Record Number: 1085
Source Name: Userenv
Time Written: 20090724235200.000000+120
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: SAKURA
Event Code: 4097
Message: L'application, C:\Program Files\Internet Explorer\IEXPLORE.EXE, a généré une erreur d'application
L'erreur s'est produite le 07/23/2009 à 22:55:02.515
L'exception générée était c0000005 à l'adresse 77C16FA3 (msvcrt!memcpy)

Record Number: 1084
Source Name: DrWatson
Time Written: 20090723225502.000000+120
Event Type: Informations
User: 

Computer Name: SAKURA
Event Code: 1000
Message: Application défaillante iexplore.exe, version 8.0.6001.18702, module défaillant msvcrt.dll, version 7.0.2600.5512, adresse de défaillance 0x00036fa3.

Record Number: 1083
Source Name: Application Error
Time Written: 20090723225458.000000+120
Event Type: erreur
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=C:\Program Files\PC Connectivity Solution\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\ATI Technologies\ATI Control Panel
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 44 Stepping 2, AuthenticAMD
"PROCESSOR_REVISION"=2c02
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------

merci d avance

verni29 · Answer

IL y a bien différentes infections.

Tu télécharges MalwareBytes. 
http://www.malwarebytes.org/mbam/program/mbam-setup.exe 

Tu l'installes. Choisis les options par défaut. 
# A la fin de l’installation, il te sera demandé de mettre à jour MalwareBytes et de l’éxecuter .
# Accepte. Après la, mise à jour, le logiciel va s’ouvrir. 

# Dans l’onglet Recherche, sélectionne Exécuter un examen complet. 
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l’ordinateur. 
# Clique sur lancer l’examen. 

# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection. 
Tu postes le rapport dans ton prochain message.

Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l’onglet  Rapport/logs. Il y est. Clique dessus et choisir ouvrir. 

Le scan dure en moyenne 50 mn.

Je regarderais cela demain.

A+

crash06 · Answer

je te remercie beaucoup de ton aide 
a demain

crash06 · Answer

J ai un pb au bout de 5 min d analyse il me ferme malwarebytes. Que faire ?

crash06 · Answer

bon j ai réussi a faire l analyse mais quand je fais supprimer les 40 objets le logiciel se ferme donc je retente l analyse toujours 40 objets trouvés toujours pas supprimés que faire voici le rapport 

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2821
Windows 5.1.2600 Service Pack 3

19/09/2009 00:34:31
mbam-log-2009-09-19 (00-34-25).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 155354
Temps écoulé: 21 minute(s), 12 second(s)

Processus mémoire infecté(s): 2
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 11
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 6
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 16

Processus mémoire infecté(s):
C:\Documents and Settings\luffy\Local Settings\Temp\b.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\msa.exe (Trojan.Agent) -> No action taken.

Module(s) mémoire infecté(s):
\?\globalroot\systemroot\system32\gasfkykieubojv.dll (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\autochk.dll (Trojan.FakeAlert) -> No action taken.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\xml.xml (Worm.Allaple) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{500bca15-57a7-4eaf-8143-8c619470b13d} (Worm.Allaple) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Worm.Allaple) -> No action taken.
HKEY_CLASSES_ROOT\xml.xml.1 (Worm.Allaple) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{c20ee2d6-81c3-6a08-79c5-1989da43bc19} (Trojan.Downloader) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\SystemCertificates\TrustedPublisher\Certificates\93eb9fd3ea40f221e990e3e71343e6d47d3fa0c0 (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\WebMediaPlayer (Rogue.WebMedia) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\AlerterALG (Trojan.Downloader) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\poprock (Trojan.Downloader) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\poprock (Trojan.Downloader) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
\?\globalroot\systemroot\system32\gasfkykieubojv.dll (Rootkit.TDSS) -> No action taken.
C:\Documents and Settings\luffy\Local Settings\Temp\b.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\msxml71.dll (Worm.Allaple) -> No action taken.
C:\WINDOWS\cru629.dat (Trojan.FakeAlert) -> No action taken.
C:\Documents and Settings\luffy\Local Settings\Temp\a.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\luffy\Menu Démarrer\Programmes\Démarrage\ChkDisk.dll (Trojan.Agent) -> No action taken.
C:\Documents and Settings\luffy\Menu Démarrer\Programmes\Démarrage\ChkDisk.lnk (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\autochk.dll (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Temp
srbgxod.bak (Trojan.Agent) -> No action taken.
C:\Documents and Settings\luffy\Local Settings\Temp
srbgxod.bak (Trojan.Agent) -> No action taken.
C:\Documents and Settings\LocalService\protect.dll (Trojan.Agent) -> No action taken.
C:\Documents and Settings\luffy\protect.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\braviax.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\msa.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job (Trojan.Downloader) -> No action taken.

merci

verni29 · Answer

On le relancera un peu plus tard.
Il y a quelques sales bebetes ( rootkits entre autre ) à supprimer auparavant.


Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( important pour la suite )
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.

# Lance Combofix.exe et suis les invites.
# Il te sera demandé d’installer la console de récupération.
Important. Fais le absolument.

Il est possible que ComBoFix redémarre l’ordinateur pour supprimer certains fichiers. 

# Une fois le scan fini, un rapport va apparaitre.

Copie/colle ce rapport dans ta prochaine réponse.

Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.

A+

crash06 · Answer

Bonsoir, ca va un peu mieu j arrive a naviguer voici le rapport de combo :

ComboFix 09-09-18.02 - luffy 19/09/2009 22:03.1.1 - FAT32x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1278.840 [GMT 2:00]
Lancé depuis: c:\documents and settings\luffy\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1335 [VPS 090919-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\luffy\autorun.inf
c:\documents and settings\luffy\siuon.exe
c:\documents and settings\luffy\siuon.scr
c:\windows\cru629.dat
c:\windows\msa.exe
c:\windows\system32\config\systemprofile\protect.dll
F:\Autorun.inf
H:\Autorun.inf

.
(((((((((((((((((((((((((((((   Fichiers créés du 2009-08-19 au 2009-09-19  ))))))))))))))))))))))))))))))))))))
.

2009-09-18 22:57 . 2009-09-18 21:09	15688	----a-w-	c:\windows\system32\lsdelete.exe
2009-09-18 21:36 . 2009-09-18 21:36	--------	d-----w-	c:\documents and settings\luffy\Application Data\Malwarebytes
2009-09-18 21:36 . 2009-09-10 12:54	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-18 21:36 . 2009-09-18 21:36	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-09-18 21:36 . 2009-09-18 21:36	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2009-09-18 21:36 . 2009-09-10 12:53	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-09-18 21:35 . 2009-09-18 21:35	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2009-09-18 21:35 . 2009-09-18 21:35	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-09-18 21:11 . 2009-09-18 21:11	--------	d-----w-	c:\program files	rend micro
2009-09-18 21:11 . 2009-09-18 21:11	--------	d-----w-	C:sit
2009-09-18 21:10 . 2009-09-18 21:08	64160	----a-w-	c:\windows\system32\drivers\Lbd.sys
2009-09-18 20:48 . 2009-09-18 20:48	--------	d--h--w-	c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-09-18 20:47 . 2009-09-18 20:47	--------	d-----w-	c:\program files\Lavasoft
2009-09-18 20:47 . 2009-09-18 20:47	--------	d-----w-	c:\documents and settings\All Users\Application Data\Lavasoft
2009-09-18 13:29 . 2009-09-18 13:29	--------	d-----w-	c:\windows\system32\LogFiles
2009-09-17 15:37 . 2009-09-17 15:37	75648	----a-w-	c:\windows\system32\drivers\qruqo.sys
2009-09-09 18:37 . 2009-06-21 21:47	153088	------w-	c:\windows\system32\dllcache	riedit.dll
2009-08-20 20:28 . 2009-08-20 20:28	--------	d-----w-	c:\windows\Sun

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-22 22:01 . 2009-04-02 11:46	44976	----a-w-	c:\documents and settings\luffy\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-08-21 16:19 . 2009-08-18 12:40	396	----a-w-	c:\documents and settings\luffy\Application Data\wklnhst.dat
2009-08-18 12:40 . 2009-08-18 12:40	--------	d-----w-	c:\documents and settings\luffy\Application Data\Template
2009-08-18 12:36 . 2009-08-18 12:36	--------	d-----w-	c:\program files\Microsoft Works
2009-08-05 09:00 . 1979-12-31 22:00	205312	----a-w-	c:\windows\system32\mswebdvd.dll
2009-07-25 03:23 . 2009-05-31 18:59	411368	----a-w-	c:\windows\system32\deploytk.dll
2009-07-17 19:03 . 1979-12-31 22:00	58880	----a-w-	c:\windows\system32\atl.dll
2009-07-12 10:21 . 1979-12-31 22:00	233472	----a-w-	c:\windows\system32\wmpdxm.dll
2009-07-03 16:57 . 1979-12-31 22:00	915456	----a-w-	c:\windows\system32\wininet.dll
2009-06-25 08:26 . 1979-12-31 22:00	736768	----a-w-	c:\windows\system32\lsasrv.dll
2009-06-25 08:26 . 1979-12-31 22:00	56832	----a-w-	c:\windows\system32\secur32.dll
2009-06-25 08:26 . 1979-12-31 22:00	54272	----a-w-	c:\windows\system32\wdigest.dll
2009-06-25 08:26 . 1979-12-31 22:00	301568	----a-w-	c:\windows\system32\kerberos.dll
2009-06-25 08:26 . 1979-12-31 22:00	147456	----a-w-	c:\windows\system32\schannel.dll
2009-06-25 08:26 . 1979-12-31 22:00	136192	----a-w-	c:\windows\system32\msv1_0.dll
2009-06-24 11:18 . 1979-12-31 22:00	92928	----a-w-	c:\windows\system32\drivers\ksecdd.sys
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2008-07-10 397312]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY" [X]
"preload"="c:\windows\RUNXMLPL.exe" [2004-04-20 40960]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-10-05 98394]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-10-05 688218]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-04-05 339968]
"LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2005-03-30 32768]
"PowerKey"="c:\program files\Launch Manager\PowerKey.exe" [2002-08-30 94208]
"LManager"="c:\program files\Launch Manager\HotkeyApp.exe" [2005-05-19 69632]
"CtrlVol"="c:\program files\Launch Manager\CtrlVol.exe" [2003-09-16 20480]
"LMgrOSD"="c:\program files\Launch Manager\OSDCtrl.exe" [2004-10-11 245760]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2005-04-18 81920]
"PCMService"="c:\program files\Arcade\PCMService.exe" [2005-03-09 49152]
"eRecoveryService"="c:\windows\System32\Check.exe" [2005-03-23 245760]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2009-09-18 520024]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-08-17 90112]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\luffy\Menu D‚marrer\Programmes\D‚marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\luffy\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-4-5 135680]
ChkDisk.dll [2009-9-17 22016]

c:\documents and settings\luffy\Menu D‚marrer\Programmes\D‚marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\luffy\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-4-5 135680]
ChkDisk.dll [2009-9-17 22016]

c:\documents and settings\luffy\Menu D‚marrer\Programmes\D‚marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\luffy\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-4-5 135680]
ChkDisk.dll [2009-9-17 22016]

c:\documents and settings\luffy\Menu D‚marrer\Programmes\D‚marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\luffy\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-4-5 135680]
ChkDisk.dll [2009-9-17 22016]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0sprecovr \SystemRoot\sprecovr.txt\0lsdelete

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\Vuze\Azureus.exe"=
"c:\Program Files\LimeWire\LimeWire.exe"=
"c:\Program Files\Java\JRE6\bin\java.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [18/09/2009 23:10 64160]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [02/04/2009 18:13 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [02/04/2009 18:13 20560]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [05/04/2009 11:44 55152]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [18/01/2009 23:34 1029456]
R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [01/01/1980 200192]
S1 mailKmd;mailKmd; [x]
S2 AlerterALG;Avertissement AlerterALG;c:\windows\TEMP	evsiwufac.exe service --> c:\windows\TEMP	evsiwufac.exe service [?]
S3 CrystalSysInfo;CrystalSysInfo;\??\c:\program files\MediaCoder\SysInfo.sys --> c:\program files\MediaCoder\SysInfo.sys [?]
S3 fsssvc;Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [06/02/2009 18:08 533360]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [18/09/2009 23:36 38224]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers
mwcdnsu.sys --> c:\windows\system32\drivers
mwcdnsu.sys [?]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers
mwcdnsuc.sys --> c:\windows\system32\drivers
mwcdnsuc.sys [?]
S3 POWERKEY;POWERKEY;c:\program files\Launch Manager\POWERKEY.SYS [02/04/2009 11:51 2343]
S3 s0017bus;Sony Ericsson Device 0017 driver (WDM);c:\windows\system32\drivers\s0017bus.sys [13/05/2009 17:21 90536]
S3 s0017mdfl;Sony Ericsson Device 0017 USB WMC Modem Filter;c:\windows\system32\drivers\s0017mdfl.sys [13/05/2009 17:21 15016]
S3 s0017mdm;Sony Ericsson Device 0017 USB WMC Modem Driver;c:\windows\system32\drivers\s0017mdm.sys [13/05/2009 17:21 122152]
S3 s0017mgmt;Sony Ericsson Device 0017 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s0017mgmt.sys [13/05/2009 17:21 115496]
S3 s0017nd5;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (NDIS);c:\windows\system32\drivers\s0017nd5.sys [13/05/2009 17:21 25768]
S3 s0017obex;Sony Ericsson Device 0017 USB WMC OBEX Interface;c:\windows\system32\drivers\s0017obex.sys [13/05/2009 17:21 111912]
S3 s0017unic;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (WDM);c:\windows\system32\drivers\s0017unic.sys [13/05/2009 17:21 117672]
S3 SI15CI;SI15CI;\??\c:\elements\1stboot\SI15CI.SYS --> c:\elements\1stboot\SI15CI.SYS [?]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32undll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Contenu du dossier 'Tâches planifiées'

2009-09-18 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 21:08]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
mStart Page = hxxp://www.google.com
uInternet Connection Wizard,ShellNext = hxxp://global.acer.com/
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game14.zylom.com/activex/zylomgamesplayer.cab
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-siuon - c:\documents and settings\luffy\siuon.exe
HKLM-Run-BVRPLiveUpdate - c:\program files\Avanquest update\Engine\Setup.exe
AddRemove-GrabIt_is1 - d:\grabit\unins000.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-19 22:16
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(856)
c:\windows\system32\Ati2evxx.dll
c:\windows\System32\BCMLogon.dll
.
Heure de fin: 2009-09-19 22:21
ComboFix-quarantined-files.txt  2009-09-19 20:21

Avant-CF: 6 671 581 184 octets libres
Après-CF: 7 475 249 152 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect

181	--- E O F ---	2009-09-10 09:52

crash06 · Answer

oh secour mon lecteur D:/ est vide ?

verni29 · Answer

C'est quoi ton lecteur D ? Une partition ?
Elle n'apparait pas dans les arpport

1/ relance RSIT et poste le rapport obtenu . ( il n'y aura qu'un seul cette fois-ci  )

2/ ouvre Malwarebytes et lance un scan complet.
Poste le rapport.

A+

moment de grace · Answer

pour suivre (et apprendre)

crash06 · Answer

Bonjours, le lecteur D: c ma deuxieme partition, il est vide je ne comprend pas 

voici le rapport de rist

Logfile of random's system information tool 1.06 (written by random/random)
Run by luffy at 2009-09-21 20:50:15
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 7 GB (29%) free of 25 GB
Total RAM: 1278 MB (41% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:50:37, on 21/09/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\PowerKey.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\Program Files\Arcade\PCMService.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Program Files\acer\eRecovery\Monitor.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\luffy\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\luffy\Bureau\RSIT.exe
C:\Program Files	rend micro\luffy.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] "C:\Program Files\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Program Files\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Program Files\Launch Manager\OSDCtrl.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [BVRPLiveUpdate] C:\Program Files\Avanquest update\Engine\Setup.exe -s /PATCH,/SRCUPDATEC:\DOCUME~1\ALLUSE~1\APPLIC~1\SONYER~1\SONYER~1\LIVEUP~1\LISTOF~1.DAT
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [siuon] C:\Documents and Settings\luffy\siuon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: Notification de cadeaux MSN.lnk = C:\Documents and Settings\luffy\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Notification de cadeaux MSN.lnk = C:\Documents and Settings\luffy\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe (User 'Default user')
O4 - Startup: Notification de cadeaux MSN.lnk = C:\Documents and Settings\luffy\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game14.zylom.com/activex/zylomgamesplayer.cab
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

crash06 · Answer

Voici le rapport

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2821
Windows 5.1.2600 Service Pack 3

21/09/2009 21:15:25
mbam-log-2009-09-21 (21-15-25).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 139182
Temps écoulé: 18 minute(s), 41 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
\?\globalroot\systemroot\system32\gasfkykieubojv.dll (Rootkit.TDSS) -> Delete on reboot.

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
\?\globalroot\systemroot\system32\gasfkykieubojv.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\cru629.dat.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.

verni29 · Answer

1/ On va vérifier pour le rootkit.

Télécharge gmer 
http://www2.gmer.net/gmer.zip

# dézippe-le (clic droit et extraire sur le bureau ) 
# Ouvre le dossier crée et double-clique sur gmer.exe . 
Si ton antivirus réagit, ne t'inquiète et ignore l'alerte. 
# Le scan va se lancer de lui-même.
# vérifie que l’outil est sur l’onglet RootKit/Malware.
# A la fin du scan, clique sur le bouton save pour enregistrer le rapport. 
# Enregistre-le sur le bureau ( fichier .log )

Édite ce rapport dans ta prochaine réponse.

2/ Télécharge  UsbFix ( par Chiquitine29 ) sur ton bureau.

 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir
• Double clic sur UsbFix.exe présent sur ton bureau .
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 
• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 
• Laisse travailler l'outil.
• Ensuite post le rapport UsbFix.txt qui apparaitra.

 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

A+

crash06 · Answer

Bonjours désolé je suis parti a salon hier je n est pas eu le temps de repondre, je viens de faire rookit mais je n arrive pas a sauvegarder le rapport, je l enregistre mais quand je retourne sur le bureau il n y est pas merci d avance

crash06 · Answer

j ai fait ma blonde je l ai trouvé, par contre ma partition D: n est plus tout est revenu ? je ne sais pas ce qui c passé? bizzar

GMER 1.0.15.15087 - http://www.gmer.net
Rootkit scan 2009-09-23 21:27:41
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\luffy\LOCALS~1\Temp\pxldypog.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                                                      SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                                                                      SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                                                     aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                                                  aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                                                    aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                                                    aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                                                     aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                                                     fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                                                       aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                                        ZwClose [0xB18156B8]                                                                                                             <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                                        ZwCreateKey [0xB1815574]                                                                                                         <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                                        ZwDeleteValueKey [0xB1815A52]                                                                                                    <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                                        ZwDuplicateObject [0xB181514C]                                                                                                   <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                                        ZwOpenKey [0xB181564E]                                                                                                           <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                                        ZwOpenProcess [0xB181508C]                                                                                                       <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                                        ZwOpenThread [0xB18150F0]                                                                                                        <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                                        ZwQueryValueKey [0xB181576E]                                                                                                     <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                                        ZwRestoreKey [0xB181572E]                                                                                                        <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                                        ZwSetValueKey [0xB18158AE]                                                                                                       <-- ROOTKIT !!!

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\Program Files\Internet Explorer\IEXPLORE.EXE[1424] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW]                          [00951ACB] C:\Program Files\Internet Explorer\xpshims.dll (Internet Explorer Compatibility Shims for XP/Microsoft Corporation)

---- User code sections - GMER 1.0.15 ----

.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[1424] ole32.dll!CoCreateInstance                                                             774C057E 5 Bytes  JMP 40E5D408 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[1424] ole32.dll!OleLoadFromStream                                                            774E9C85 5 Bytes  JMP 40F53F78 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[1424] USER32.dll!CallNextHookEx                                                              7E3AB3C6 5 Bytes  JMP 40E4CB69 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[1424] USER32.dll!CreateWindowExW                                                             7E3AD0A3 5 Bytes  JMP 40E5D3AC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[1424] USER32.dll!DialogBoxIndirectParamA                                                     7E3D6D7D 5 Bytes  JMP 40F53C73 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[1424] USER32.dll!DialogBoxIndirectParamW                                                     7E3B2072 5 Bytes  JMP 40F53C10 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[1424] USER32.dll!DialogBoxParamA                                                             7E3BB144 5 Bytes  JMP 40F53BAD C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[1424] USER32.dll!DialogBoxParamW                                                             7E3A47AB 5 Bytes  JMP 40D851FD C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[1424] USER32.dll!MessageBoxExA                                                               7E3D085C 5 Bytes  JMP 40F53A75 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[1424] USER32.dll!MessageBoxExW                                                               7E3D0838 5 Bytes  JMP 40F53A13 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[1424] USER32.dll!MessageBoxIndirectA                                                         7E3BA082 5 Bytes  JMP 40F53B42 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[1424] USER32.dll!MessageBoxIndirectW                                                         7E3E64D5 5 Bytes  JMP 40F53AD7 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[1424] USER32.dll!SetWindowsHookExW                                                           7E3A820F 5 Bytes  JMP 40E59521 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[1424] USER32.dll!UnhookWindowsHookEx                                                         7E3AD5F3 5 Bytes  JMP 40DC43F6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[2920] USER32.dll!CreateWindowExW                                                             7E3AD0A3 5 Bytes  JMP 40E5D3AC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[2920] USER32.dll!DialogBoxIndirectParamA                                                     7E3D6D7D 5 Bytes  JMP 40F53C73 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[2920] USER32.dll!DialogBoxIndirectParamW                                                     7E3B2072 5 Bytes  JMP 40F53C10 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[2920] USER32.dll!DialogBoxParamA                                                             7E3BB144 5 Bytes  JMP 40F53BAD C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[2920] USER32.dll!DialogBoxParamW                                                             7E3A47AB 5 Bytes  JMP 40D851FD C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[2920] USER32.dll!MessageBoxExA                                                               7E3D085C 5 Bytes  JMP 40F53A75 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[2920] USER32.dll!MessageBoxExW                                                               7E3D0838 5 Bytes  JMP 40F53A13 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[2920] USER32.dll!MessageBoxIndirectA                                                         7E3BA082 5 Bytes  JMP 40F53B42 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[2920] USER32.dll!MessageBoxIndirectW                                                         7E3E64D5 5 Bytes  JMP 40F53AD7 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\Program Files\Internet Explorer\IEXPLORE.EXE[3768] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW]                          [00951ACB] C:\Program Files\Internet Explorer\xpshims.dll (Internet Explorer Compatibility Shims for XP/Microsoft Corporation)

---- User code sections - GMER 1.0.15 ----

.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[3768] ole32.dll!CoCreateInstance                                                             774C057E 5 Bytes  JMP 40E5D408 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[3768] ole32.dll!OleLoadFromStream                                                            774E9C85 5 Bytes  JMP 40F53F78 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[3768] USER32.dll!CallNextHookEx                                                              7E3AB3C6 5 Bytes  JMP 40E4CB69 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[3768] USER32.dll!CreateWindowExW                                                             7E3AD0A3 5 Bytes  JMP 40E5D3AC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[3768] USER32.dll!DialogBoxIndirectParamA                                                     7E3D6D7D 5 Bytes  JMP 40F53C73 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[3768] USER32.dll!DialogBoxIndirectParamW                                                     7E3B2072 5 Bytes  JMP 40F53C10 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[3768] USER32.dll!DialogBoxParamA                                                             7E3BB144 5 Bytes  JMP 40F53BAD C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[3768] USER32.dll!DialogBoxParamW                                                             7E3A47AB 5 Bytes  JMP 40D851FD C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[3768] USER32.dll!MessageBoxExA                                                               7E3D085C 5 Bytes  JMP 40F53A75 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[3768] USER32.dll!MessageBoxExW                                                               7E3D0838 5 Bytes  JMP 40F53A13 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[3768] USER32.dll!MessageBoxIndirectA                                                         7E3BA082 5 Bytes  JMP 40F53B42 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[3768] USER32.dll!MessageBoxIndirectW                                                         7E3E64D5 5 Bytes  JMP 40F53AD7 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[3768] USER32.dll!SetWindowsHookExW                                                           7E3A820F 5 Bytes  JMP 40E59521 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[3768] USER32.dll!UnhookWindowsHookEx                                                         7E3AD5F3 5 Bytes  JMP 40DC43F6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]   [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryA]     [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryExW]   [10001D50] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryW]     [10001D00] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress]    [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryA]      [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryExA]    [10001D20] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryExW]    [10001D50] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]      [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryA]        [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryExW]      [10001D50] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryW]        [10001D00] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress]     [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!LoadLibraryA]       [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!GetProcAddress]      [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryA]        [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExA]      [10001D20] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW]      [10001D50] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryW]        [10001D00] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\PSAPI.DLL [KERNEL32.dll!GetProcAddress]      [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\PSAPI.DLL [KERNEL32.dll!LoadLibraryA]        [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress]     [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryA]       [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryW]       [10001D00] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!GetProcAddress]    [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!LoadLibraryA]      [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!LoadLibraryW]      [10001D00] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress]    [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA]      [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryExA]    [10001D20] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryExW]    [10001D50] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryW]      [10001D00] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!AdjustWindowRect]    [1002DED0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!AdjustWindowRectEx]  [1002DE60] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]    [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryA]      [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryExA]    [10001D20] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryExW]    [10001D50] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryW]      [10001D00] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!SetWindowLongA]      [1002DEF0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!GetProcAddress]     [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryA]       [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryExW]     [10001D50] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryW]       [10001D00] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\WININET.dll [KERNEL32.dll!GetProcAddress]    [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\WININET.dll [KERNEL32.dll!LoadLibraryA]      [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\WININET.dll [KERNEL32.dll!LoadLibraryExW]    [10001D50] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\WININET.dll [KERNEL32.dll!LoadLibraryW]      [10001D00] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\WININET.dll [USER32.dll!SetWindowLongA]      [1002DEF0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress]     [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\WS2_32.dll [KERNEL32.dll!LoadLibraryA]       [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress]    [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\WS2HELP.dll [KERNEL32.dll!LoadLibraryA]      [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)

---- Services - GMER 1.0.15 ----

Service         C:\WINDOWS\system32\drivers\gasfkyosrrvita.sys (*** hidden *** )                                                                             [DISABLED] gasfkywcfrfolw                                                                                                        <-- ROOTKIT !!!

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\WINDOWS\system32\services.exe[688] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW]                                 00390002
IAT             C:\WINDOWS\system32\services.exe[688] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW]                                       00390000

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw@group                                                                                      file system
Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw@imagepath                                                                                  \systemroot\system32\drivers\gasfkyosrrvita.sys
Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw@start                                                                                      1
Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw@type                                                                                       1
Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\main (not active ControlSet)                                                               
Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\main@aid                                                                                   10033
Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\main@cmddelay                                                                              14400
Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\main@sid                                                                                   0
Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\main\delete (not active ControlSet)                                                        
Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\main\injector (not active ControlSet)                                                      
Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\main\injector@*                                                                            gasfkywsp8.dll
Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\main	asks (not active ControlSet)                                                         
Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\modules (not active ControlSet)                                                            
Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\modules@gasfky.dat                                                                         \systemroot\system32\gasfkykswxdqwm.dat
Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\modules@gasfkycmd.dll                                                                      \systemroot\system32\gasfkyxxyvjbpx.dll
Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\modules@gasfkylog.dat                                                                      \systemroot\system32\gasfkyncpyphtq.dat
Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\modules@gasfkyrk.sys                                                                       \systemroot\system32\drivers\gasfkyosrrvita.sys
Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\modules@gasfkywsp.dll                                                                      \systemroot\system32\gasfkywwykqexw.dll
Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\modules@gasfkywsp8.dll                                                                     \systemroot\system32\gasfkykieubojv.dll
Reg             HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw@group                                                                                      file system
Reg             HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw@imagepath                                                                                  \systemroot\system32\drivers\gasfkyosrrvita.sys
Reg             HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw@start                                                                                      4
Reg             HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw@type                                                                                       1
Reg             HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\main (not active ControlSet)                                                               
Reg             HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\main@aid                                                                                   10033
Reg             HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\main@cmddelay                                                                              14400
Reg             HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\main@sid                                                                                   0
Reg             HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\main\delete (not active ControlSet)                                                        
Reg             HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\main\injector (not active ControlSet)                                                      
Reg             HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\main\injector@*                                                                            gasfkywsp8.dll
Reg             HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\main	asks (not active ControlSet)                                                         
Reg             HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\modules (not active ControlSet)                                                            
Reg             HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\modules@gasfky.dat                                                                         \systemroot\system32\gasfkykswxdqwm.dat
Reg             HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\modules@gasfkycmd.dll                                                                      \systemroot\system32\gasfkyxxyvjbpx.dll
Reg             HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\modules@gasfkylog.dat                                                                      \systemroot\system32\gasfkyncpyphtq.dat
Reg             HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\modules@gasfkyrk.sys                                                                       \systemroot\system32\drivers\gasfkyosrrvita.sys
Reg             HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\modules@gasfkywsp.dll                                                                      \systemroot\system32\gasfkywwykqexw.dll
Reg             HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\modules@gasfkywsp8.dll                                                                     \systemroot\system32\gasfkykieubojv.dll
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw@group                                                                                  file system
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw@imagepath                                                                              \systemroot\system32\drivers\gasfkyosrrvita.sys
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw@start                                                                                  4
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw@type                                                                                   1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\main                                                                                   
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\main@aid                                                                               10033
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\main@cmddelay                                                                          14400
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\main@sid                                                                               0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\main\delete                                                                            
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\main\injector                                                                          
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\main\injector@*                                                                        gasfkywsp8.dll
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\main	asks                                                                             
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\modules                                                                                
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\modules@gasfky.dat                                                                     \systemroot\system32\gasfkykswxdqwm.dat
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\modules@gasfkycmd.dll                                                                  \systemroot\system32\gasfkyxxyvjbpx.dll
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\modules@gasfkylog.dat                                                                  \systemroot\system32\gasfkyncpyphtq.dat
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\modules@gasfkyrk.sys                                                                   \systemroot\system32\drivers\gasfkyosrrvita.sys
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\modules@gasfkywsp.dll                                                                  \systemroot\system32\gasfkywwykqexw.dll
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\modules@gasfkywsp8.dll                                                                 \systemroot\system32\gasfkykieubojv.dll

---- EOF - GMER 1.0.15 ----

crash06 · Answer

j ai fait ma blonde je l ai trouvé, par contre ma partition D: n est plus tout est revenu ? je ne sais pas ce qui c passé? bizzar

GMER 1.0.15.15087 - http://www.gmer.net
Rootkit scan 2009-09-23 21:27:41
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\luffy\LOCALS~1\Temp\pxldypog.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                                                      SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                                                                      SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                                                     aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                                                  aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                                                    aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                                                    aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                                                     aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                                                     fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                                                       aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                                        ZwClose [0xB18156B8]                                                                                                             <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                                        ZwCreateKey [0xB1815574]                                                                                                         <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                                        ZwDeleteValueKey [0xB1815A52]                                                                                                    <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                                        ZwDuplicateObject [0xB181514C]                                                                                                   <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                                        ZwOpenKey [0xB181564E]                                                                                                           <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                                        ZwOpenProcess [0xB181508C]                                                                                                       <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                                        ZwOpenThread [0xB18150F0]                                                                                                        <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                                        ZwQueryValueKey [0xB181576E]                                                                                                     <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                                        ZwRestoreKey [0xB181572E]                                                                                                        <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                                        ZwSetValueKey [0xB18158AE]                                                                                                       <-- ROOTKIT !!!

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\Program Files\Internet Explorer\IEXPLORE.EXE[1424] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW]                          [00951ACB] C:\Program Files\Internet Explorer\xpshims.dll (Internet Explorer Compatibility Shims for XP/Microsoft Corporation)

---- User code sections - GMER 1.0.15 ----

.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[1424] ole32.dll!CoCreateInstance                                                             774C057E 5 Bytes  JMP 40E5D408 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[1424] ole32.dll!OleLoadFromStream                                                            774E9C85 5 Bytes  JMP 40F53F78 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[1424] USER32.dll!CallNextHookEx                                                              7E3AB3C6 5 Bytes  JMP 40E4CB69 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[1424] USER32.dll!CreateWindowExW                                                             7E3AD0A3 5 Bytes  JMP 40E5D3AC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[1424] USER32.dll!DialogBoxIndirectParamA                                                     7E3D6D7D 5 Bytes  JMP 40F53C73 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[1424] USER32.dll!DialogBoxIndirectParamW                                                     7E3B2072 5 Bytes  JMP 40F53C10 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[1424] USER32.dll!DialogBoxParamA                                                             7E3BB144 5 Bytes  JMP 40F53BAD C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[1424] USER32.dll!DialogBoxParamW                                                             7E3A47AB 5 Bytes  JMP 40D851FD C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[1424] USER32.dll!MessageBoxExA                                                               7E3D085C 5 Bytes  JMP 40F53A75 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[1424] USER32.dll!MessageBoxExW                                                               7E3D0838 5 Bytes  JMP 40F53A13 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[1424] USER32.dll!MessageBoxIndirectA                                                         7E3BA082 5 Bytes  JMP 40F53B42 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[1424] USER32.dll!MessageBoxIndirectW                                                         7E3E64D5 5 Bytes  JMP 40F53AD7 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[1424] USER32.dll!SetWindowsHookExW                                                           7E3A820F 5 Bytes  JMP 40E59521 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[1424] USER32.dll!UnhookWindowsHookEx                                                         7E3AD5F3 5 Bytes  JMP 40DC43F6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[2920] USER32.dll!CreateWindowExW                                                             7E3AD0A3 5 Bytes  JMP 40E5D3AC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[2920] USER32.dll!DialogBoxIndirectParamA                                                     7E3D6D7D 5 Bytes  JMP 40F53C73 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[2920] USER32.dll!DialogBoxIndirectParamW                                                     7E3B2072 5 Bytes  JMP 40F53C10 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[2920] USER32.dll!DialogBoxParamA                                                             7E3BB144 5 Bytes  JMP 40F53BAD C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[2920] USER32.dll!DialogBoxParamW                                                             7E3A47AB 5 Bytes  JMP 40D851FD C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[2920] USER32.dll!MessageBoxExA                                                               7E3D085C 5 Bytes  JMP 40F53A75 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[2920] USER32.dll!MessageBoxExW                                                               7E3D0838 5 Bytes  JMP 40F53A13 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[2920] USER32.dll!MessageBoxIndirectA                                                         7E3BA082 5 Bytes  JMP 40F53B42 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[2920] USER32.dll!MessageBoxIndirectW                                                         7E3E64D5 5 Bytes  JMP 40F53AD7 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\Program Files\Internet Explorer\IEXPLORE.EXE[3768] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW]                          [00951ACB] C:\Program Files\Internet Explorer\xpshims.dll (Internet Explorer Compatibility Shims for XP/Microsoft Corporation)

---- User code sections - GMER 1.0.15 ----

.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[3768] ole32.dll!CoCreateInstance                                                             774C057E 5 Bytes  JMP 40E5D408 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[3768] ole32.dll!OleLoadFromStream                                                            774E9C85 5 Bytes  JMP 40F53F78 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[3768] USER32.dll!CallNextHookEx                                                              7E3AB3C6 5 Bytes  JMP 40E4CB69 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[3768] USER32.dll!CreateWindowExW                                                             7E3AD0A3 5 Bytes  JMP 40E5D3AC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[3768] USER32.dll!DialogBoxIndirectParamA                                                     7E3D6D7D 5 Bytes  JMP 40F53C73 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[3768] USER32.dll!DialogBoxIndirectParamW                                                     7E3B2072 5 Bytes  JMP 40F53C10 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[3768] USER32.dll!DialogBoxParamA                                                             7E3BB144 5 Bytes  JMP 40F53BAD C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[3768] USER32.dll!DialogBoxParamW                                                             7E3A47AB 5 Bytes  JMP 40D851FD C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[3768] USER32.dll!MessageBoxExA                                                               7E3D085C 5 Bytes  JMP 40F53A75 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[3768] USER32.dll!MessageBoxExW                                                               7E3D0838 5 Bytes  JMP 40F53A13 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[3768] USER32.dll!MessageBoxIndirectA                                                         7E3BA082 5 Bytes  JMP 40F53B42 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[3768] USER32.dll!MessageBoxIndirectW                                                         7E3E64D5 5 Bytes  JMP 40F53AD7 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[3768] USER32.dll!SetWindowsHookExW                                                           7E3A820F 5 Bytes  JMP 40E59521 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\IEXPLORE.EXE[3768] USER32.dll!UnhookWindowsHookEx                                                         7E3AD5F3 5 Bytes  JMP 40DC43F6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]   [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryA]     [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryExW]   [10001D50] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryW]     [10001D00] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress]    [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryA]      [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryExA]    [10001D20] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryExW]    [10001D50] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]      [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryA]        [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryExW]      [10001D50] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryW]        [10001D00] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress]     [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!LoadLibraryA]       [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!GetProcAddress]      [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryA]        [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExA]      [10001D20] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW]      [10001D50] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryW]        [10001D00] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\PSAPI.DLL [KERNEL32.dll!GetProcAddress]      [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\PSAPI.DLL [KERNEL32.dll!LoadLibraryA]        [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress]     [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryA]       [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryW]       [10001D00] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!GetProcAddress]    [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!LoadLibraryA]      [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!LoadLibraryW]      [10001D00] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress]    [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA]      [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryExA]    [10001D20] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryExW]    [10001D50] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryW]      [10001D00] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!AdjustWindowRect]    [1002DED0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!AdjustWindowRectEx]  [1002DE60] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]    [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryA]      [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryExA]    [10001D20] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryExW]    [10001D50] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryW]      [10001D00] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!SetWindowLongA]      [1002DEF0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!GetProcAddress]     [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryA]       [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryExW]     [10001D50] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryW]       [10001D00] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\WININET.dll [KERNEL32.dll!GetProcAddress]    [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\WININET.dll [KERNEL32.dll!LoadLibraryA]      [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\WININET.dll [KERNEL32.dll!LoadLibraryExW]    [10001D50] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\WININET.dll [KERNEL32.dll!LoadLibraryW]      [10001D00] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\WININET.dll [USER32.dll!SetWindowLongA]      [1002DEF0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress]     [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\WS2_32.dll [KERNEL32.dll!LoadLibraryA]       [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress]    [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3052] @ C:\WINDOWS\system32\WS2HELP.dll [KERNEL32.dll!LoadLibraryA]      [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)

---- Services - GMER 1.0.15 ----

Service         C:\WINDOWS\system32\drivers\gasfkyosrrvita.sys (*** hidden *** )                                                                             [DISABLED] gasfkywcfrfolw                                                                                                        <-- ROOTKIT !!!

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\WINDOWS\system32\services.exe[688] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW]                                 00390002
IAT             C:\WINDOWS\system32\services.exe[688] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW]                                       00390000

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw@group                                                                                      file system
Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw@imagepath                                                                                  \systemroot\system32\drivers\gasfkyosrrvita.sys
Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw@start                                                                                      1
Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw@type                                                                                       1
Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\main (not active ControlSet)                                                               
Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\main@aid                                                                                   10033
Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\main@cmddelay                                                                              14400
Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\main@sid                                                                                   0
Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\main\delete (not active ControlSet)                                                        
Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\main\injector (not active ControlSet)                                                      
Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\main\injector@*                                                                            gasfkywsp8.dll
Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\main	asks (not active ControlSet)                                                         
Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\modules (not active ControlSet)                                                            
Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\modules@gasfky.dat                                                                         \systemroot\system32\gasfkykswxdqwm.dat
Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\modules@gasfkycmd.dll                                                                      \systemroot\system32\gasfkyxxyvjbpx.dll
Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\modules@gasfkylog.dat                                                                      \systemroot\system32\gasfkyncpyphtq.dat
Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\modules@gasfkyrk.sys                                                                       \systemroot\system32\drivers\gasfkyosrrvita.sys
Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\modules@gasfkywsp.dll                                                                      \systemroot\system32\gasfkywwykqexw.dll
Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\modules@gasfkywsp8.dll                                                                     \systemroot\system32\gasfkykieubojv.dll
Reg             HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw@group                                                                                      file system
Reg             HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw@imagepath                                                                                  \systemroot\system32\drivers\gasfkyosrrvita.sys
Reg             HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw@start                                                                                      4
Reg             HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw@type                                                                                       1
Reg             HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\main (not active ControlSet)                                                               
Reg             HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\main@aid                                                                                   10033
Reg             HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\main@cmddelay                                                                              14400
Reg             HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\main@sid                                                                                   0
Reg             HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\main\delete (not active ControlSet)                                                        
Reg             HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\main\injector (not active ControlSet)                                                      
Reg             HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\main\injector@*                                                                            gasfkywsp8.dll
Reg             HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\main	asks (not active ControlSet)                                                         
Reg             HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\modules (not active ControlSet)                                                            
Reg             HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\modules@gasfky.dat                                                                         \systemroot\system32\gasfkykswxdqwm.dat
Reg             HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\modules@gasfkycmd.dll                                                                      \systemroot\system32\gasfkyxxyvjbpx.dll
Reg             HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\modules@gasfkylog.dat                                                                      \systemroot\system32\gasfkyncpyphtq.dat
Reg             HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\modules@gasfkyrk.sys                                                                       \systemroot\system32\drivers\gasfkyosrrvita.sys
Reg             HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\modules@gasfkywsp.dll                                                                      \systemroot\system32\gasfkywwykqexw.dll
Reg             HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\modules@gasfkywsp8.dll                                                                     \systemroot\system32\gasfkykieubojv.dll
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw@group                                                                                  file system
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw@imagepath                                                                              \systemroot\system32\drivers\gasfkyosrrvita.sys
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw@start                                                                                  4
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw@type                                                                                   1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\main                                                                                   
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\main@aid                                                                               10033
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\main@cmddelay                                                                          14400
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\main@sid                                                                               0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\main\delete                                                                            
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\main\injector                                                                          
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\main\injector@*                                                                        gasfkywsp8.dll
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\main	asks                                                                             
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\modules                                                                                
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\modules@gasfky.dat                                                                     \systemroot\system32\gasfkykswxdqwm.dat
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\modules@gasfkycmd.dll                                                                  \systemroot\system32\gasfkyxxyvjbpx.dll
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\modules@gasfkylog.dat                                                                  \systemroot\system32\gasfkyncpyphtq.dat
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\modules@gasfkyrk.sys                                                                   \systemroot\system32\drivers\gasfkyosrrvita.sys
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\modules@gasfkywsp.dll                                                                  \systemroot\system32\gasfkywwykqexw.dll
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\modules@gasfkywsp8.dll                                                                 \systemroot\system32\gasfkykieubojv.dll

---- EOF - GMER 1.0.15 ----

crash06 · Answer

voici la suite rapport de usbfix


############################## | UsbFix V6.036 |

User : luffy (Administrateurs) # SAKURA
Update on 21/09/2009 by Chiquitine29, C_XX & Chimay8
Start at: 21:43:16 | 23/09/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Mobile AMD Sempron(tm) Processor 3000+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1335 [VPS 090923-0] 4.8.1335 [ Enabled | Updated ]

C:\ -> Disque fixe local # 24,41 Go (6,97 Go free) [ACER] # FAT32
D:\ -> Disque fixe local # 66,29 Go (33,49 Go free) [ACERDATA] # NTFS
E:\ -> Disque CD-ROM # 643,09 Mo (0 Mo free) [BoulDows] # CDFS
F:\ -> Disque fixe local # 298,02 Go (293,23 Go free) # FAT32
H:\ -> Disque fixe local # 232,88 Go (54,52 Go free) [NOLAN] # NTFS

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\PowerKey.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\Program Files\Arcade\PCMService.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\luffy\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
C:\Program Files\acer\eRecovery\Monitor.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32
otepad.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

E:\autorun.inf  
F:\Documents.lnk  
F:\Music.lnk   
F:\New Folder.lnk   
F:\Passwords.lnk   
F:\Pictures.lnk   
F:\siuon.exe  
F:\siuon.scr  
F:\Video.lnk  
H:\Documents.lnk  
H:\Music.lnk   
H:\New Folder.lnk   
H:\Passwords.lnk   
H:\Pictures.lnk   
H:\siuon.exe  
H:\siuon.scr  
H:\Video.lnk  

################## | Registre # Clés Run infectieuses |

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "siuon"  
[HKU\S-1-5-21-3086265614-2101511606-1192967004-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "siuon"  
[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives" 

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{25f30cec-1f69-11de-88c0-806d6172696f}
Shell\AutoRun\command =E:\Programs
u2menu
u2menu.exe 

################## | ! Fin du rapport # UsbFix V6.036 ! |

verni29 · Answer

1/ Ouvre le bloc-notes ( Démarrer --> tous les programmes --> accessoires --> Bloc-notes ) et sélectionne le texte en citation.
Copie/colle ce texte dans le bloc-notes.

 gmer -killall
gmer -del file "c:\windows\system32\drivers\qruqo.sys" 
gmer -del file "c:\windows\TEMP	evsiwufac.exe"
gmer -del file "c:\documents and settings\luffy\Application Data\wklnhst.dat"
gmer -del file "C:\WINDOWS\system32\drivers\gasfkyosrrvita.sys"
gmer -del file "c:\windows\system32\gasfkykswxdqwm.dat"
gmer -del file "c:\windows\system32\gasfkyxxyvjbpx.dll"
gmer -del file "c:\windows\system32\gasfkyncpyphtq.dat"
gmer -del file "c:\windoxs\system32\gasfkywwykqexw.dll"
gmer -del file "c:\windows\system32\gasfkykieubojv.dll"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw@group file system"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw@imagepath \systemroot\system32\drivers\gasfkyosrrvita.sys"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw@start 1"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw@type 1"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\main"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\main@aid 10033"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\main@cmddelay 14400"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\main@sid 0"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\main\delete"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\main\injector"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\main\injector@* gasfkywsp8.dll"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\main	asks"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\modules"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\modules@gasfky.dat \systemroot\system32\gasfkykswxdqwm.dat"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\modules@gasfkycmd.dll \systemroot\system32\gasfkyxxyvjbpx.dll"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\modules@gasfkylog.dat \systemroot\system32\gasfkyncpyphtq.dat"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\modules@gasfkyrk.sys \systemroot\system32\drivers\gasfkyosrrvita.sys"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\modules@gasfkywsp.dll \systemroot\system32\gasfkywwykqexw.dll"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\modules@gasfkywsp8.dll \systemroot\system32\gasfkykieubojv.dll"
gmer -del reg "HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw@group file system"
gmer -del reg "HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw@imagepath \systemroot\system32\drivers\gasfkyosrrvita.sys"
gmer -del reg "HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw@start 4"
gmer -del reg "HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw@type 1"
gmer -del reg "HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\main"
gmer -del reg "HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\main@aid 10033"
gmer -del reg "HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\main@cmddelay 14400"
gmer -del reg "HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\main@sid 0"
gmer -del reg "HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\main\delete"
gmer -del reg "HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\main\injector"
gmer -del reg "HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\main\injector@* gasfkywsp8.dll"
gmer -del reg "HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\main	asks"
gmer -del reg "HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\modules"
gmer -del reg "HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\modules@gasfky.dat \systemroot\system32\gasfkykswxdqwm.dat"
gmer -del reg "HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\modules@gasfkycmd.dll \systemroot\system32\gasfkyxxyvjbpx.dll"
gmer -del reg "HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\modules@gasfkylog.dat \systemroot\system32\gasfkyncpyphtq.dat"
gmer -del reg "HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\modules@gasfkyrk.sys \systemroot\system32\drivers\gasfkyosrrvita.sys"
gmer -del reg "HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\modules@gasfkywsp.dll \systemroot\system32\gasfkywwykqexw.dll"
gmer -del reg "HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\modules@gasfkywsp8.dll \systemroot\system32\gasfkykieubojv.dl"l
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw@group file system"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw@imagepath \systemroot\system32\drivers\gasfkyosrrvita.sys"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw@start 4"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw@type 1"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\main"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\main@aid 10033"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\main@cmddelay 14400"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\main@sid 0"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\main\delete"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\main\injector"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\main\injector@* gasfkywsp8.dll"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\main	asks"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\modules"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\modules@gasfky.dat \systemroot\system32\gasfkykswxdqwm.dat"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\modules@gasfkycmd.dll \systemroot\system32\gasfkyxxyvjbpx.dll"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\modules@gasfkylog.dat \systemroot\system32\gasfkyncpyphtq.dat"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\modules@gasfkyrk.sys \systemroot\system32\drivers\gasfkyosrrvita.sys"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\modules@gasfkywsp.dll \systemroot\system32\gasfkywwykqexw.dll"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\modules@gasfkywsp8.dll \systemroot\system32\gasfkykieubojv.dll"
gmer -reboot

# Menu Fichier --> enregistrer --> une boite de dialogue va s'ouvrir
# Il y a deux lignes en bas de la fenetre :
-->  la première pour le nom : tape CCM.bat
-->  la deuxième pour le type : vérifie que l'onglet est tous les fichiers

il te reste alors à choisir l'emplacement où tu vas l'enregistrer.
Clique sur le flêche en haut jusqu'à arriver au bureau.

Double-clique sur le fichier pour lancer la désinfection.
Le PC va redémarrer. C'est normal.

2/  (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptiblse d avoir été infectées sans les ouvrir

• Double clic sur le raccourci UsbFix présent sur ton bureau
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
• Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]  
• Ton bureau disparaitra et le pc redémarrera .
• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
• Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .
 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

3/ Télécharge OAD et enregistre le sur ton bureau
 http://sosvirus.changelog.fr/OAD.exe

• Double clique sur le OAD pour le lancer.
• dans la fenêtre qui va s'ouvrir, tape le nom de fichier à rechercher, puis valide par Entrée

Nom du fichier : ChkDisk.dll

• Choisis le type de recherche : sélectionne l'option 6 puis valide par Entrée.

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.

Fais un copier / coller de ce rapport dans ton prochain post.

Note : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient(e)

4/ Désinstalle Avast.
Arrête-le ( via la barre de taches )
puis utilise l'outil suivant pour désinstaller :
https://www.avast.com/fr-fr/uninstall-utility 

5/ Télécharge Antivir.
https://www.avira.com/fr/free-antivirus-windows

Suis le tuto pour installer Antivir :
https://www.malekal.com/avira-free-security-antivirus-gratuit/

    * Mets à jour Antivir et lance un scan complet
    * Pour cela, clique sur l'onglet Protection Locale puis Contrôler
    * Choisis les éléments à scanner ( disques durs locaux ).
    * Lance le scan en cliquant sur la loupe. 

Lorsque le scan est terminé, tu as la possibilité de générer un rapport en cliquant sur le bouton rapport.
Poste le rapport.

A+

verni29 · Answer

1/ Ouvre le bloc-notes ( Démarrer --> tous les programmes --> accessoires --> Bloc-notes ) et sélectionne le texte en citation.
Copie/colle ce texte dans le bloc-notes.

 gmer -killall
gmer -del file "c:\windows\system32\drivers\qruqo.sys" 
gmer -del file "c:\windows\TEMP	evsiwufac.exe"
gmer -del file "c:\documents and settings\luffy\Application Data\wklnhst.dat"
gmer -del file "C:\WINDOWS\system32\drivers\gasfkyosrrvita.sys"
gmer -del file "c:\windows\system32\gasfkykswxdqwm.dat"
gmer -del file "c:\windows\system32\gasfkyxxyvjbpx.dll"
gmer -del file "c:\windows\system32\gasfkyncpyphtq.dat"
gmer -del file "c:\windoxs\system32\gasfkywwykqexw.dll"
gmer -del file "c:\windows\system32\gasfkykieubojv.dll"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw@group file system"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw@imagepath \systemroot\system32\drivers\gasfkyosrrvita.sys"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw@start 1"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw@type 1"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\main"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\main@aid 10033"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\main@cmddelay 14400"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\main@sid 0"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\main\delete"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\main\injector"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\main\injector@* gasfkywsp8.dll"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\main	asks"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\modules"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\modules@gasfky.dat \systemroot\system32\gasfkykswxdqwm.dat"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\modules@gasfkycmd.dll \systemroot\system32\gasfkyxxyvjbpx.dll"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\modules@gasfkylog.dat \systemroot\system32\gasfkyncpyphtq.dat"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\modules@gasfkyrk.sys \systemroot\system32\drivers\gasfkyosrrvita.sys"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\modules@gasfkywsp.dll \systemroot\system32\gasfkywwykqexw.dll"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw\modules@gasfkywsp8.dll \systemroot\system32\gasfkykieubojv.dll"
gmer -del reg "HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw@group file system"
gmer -del reg "HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw@imagepath \systemroot\system32\drivers\gasfkyosrrvita.sys"
gmer -del reg "HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw@start 4"
gmer -del reg "HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw@type 1"
gmer -del reg "HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\main"
gmer -del reg "HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\main@aid 10033"
gmer -del reg "HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\main@cmddelay 14400"
gmer -del reg "HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\main@sid 0"
gmer -del reg "HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\main\delete"
gmer -del reg "HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\main\injector"
gmer -del reg "HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\main\injector@* gasfkywsp8.dll"
gmer -del reg "HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\main	asks"
gmer -del reg "HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\modules"
gmer -del reg "HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\modules@gasfky.dat \systemroot\system32\gasfkykswxdqwm.dat"
gmer -del reg "HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\modules@gasfkycmd.dll \systemroot\system32\gasfkyxxyvjbpx.dll"
gmer -del reg "HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\modules@gasfkylog.dat \systemroot\system32\gasfkyncpyphtq.dat"
gmer -del reg "HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\modules@gasfkyrk.sys \systemroot\system32\drivers\gasfkyosrrvita.sys"
gmer -del reg "HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\modules@gasfkywsp.dll \systemroot\system32\gasfkywwykqexw.dll"
gmer -del reg "HKLM\SYSTEM\ControlSet004\Services\gasfkywcfrfolw\modules@gasfkywsp8.dll \systemroot\system32\gasfkykieubojv.dl"l
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw@group file system"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw@imagepath \systemroot\system32\drivers\gasfkyosrrvita.sys"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw@start 4"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw@type 1"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\main"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\main@aid 10033"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\main@cmddelay 14400"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\main@sid 0"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\main\delete"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\main\injector"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\main\injector@* gasfkywsp8.dll"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\main	asks"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\modules"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\modules@gasfky.dat \systemroot\system32\gasfkykswxdqwm.dat"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\modules@gasfkycmd.dll \systemroot\system32\gasfkyxxyvjbpx.dll"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\modules@gasfkylog.dat \systemroot\system32\gasfkyncpyphtq.dat"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\modules@gasfkyrk.sys \systemroot\system32\drivers\gasfkyosrrvita.sys"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\modules@gasfkywsp.dll \systemroot\system32\gasfkywwykqexw.dll"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gasfkywcfrfolw\modules@gasfkywsp8.dll \systemroot\system32\gasfkykieubojv.dll"
gmer -reboot

# Menu Fichier --> enregistrer --> une boite de dialogue va s'ouvrir
# Il y a deux lignes en bas de la fenetre :
-->  la première pour le nom : tape CCM.bat
-->  la deuxième pour le type : vérifie que l'onglet est tous les fichiers

il te reste alors à choisir l'emplacement où tu vas l'enregistrer.
Clique sur le flêche en haut jusqu'à arriver au bureau.

Double-clique sur le fichier pour lancer la désinfection.
Le PC va redémarrer. C'est normal.

2/  (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptiblse d avoir été infectées sans les ouvrir

• Double clic sur le raccourci UsbFix présent sur ton bureau
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
• Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]  
• Ton bureau disparaitra et le pc redémarrera .
• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
• Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .
 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

3/ Télécharge OAD et enregistre le sur ton bureau
 http://sosvirus.changelog.fr/OAD.exe

• Double clique sur le OAD pour le lancer.
• dans la fenêtre qui va s'ouvrir, tape le nom de fichier à rechercher, puis valide par Entrée

Nom du fichier : ChkDisk.dll

• Choisis le type de recherche : sélectionne l'option 6 puis valide par Entrée.

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.

Fais un copier / coller de ce rapport dans ton prochain post.

Note : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient(e)

4/ Désinstalle Avast.
Arrête-le ( via la barre de taches )
puis utilise l'outil suivant pour désinstaller :
https://www.avast.com/fr-fr/uninstall-utility 

5/ Télécharge Antivir.
https://www.avira.com/fr/free-antivirus-windows

Suis le tuto pour installer Antivir :
https://www.malekal.com/avira-free-security-antivirus-gratuit/

    * Mets à jour Antivir et lance un scan complet
    * Pour cela, clique sur l'onglet Protection Locale puis Contrôler
    * Choisis les éléments à scanner ( disques durs locaux ).
    * Lance le scan en cliquant sur la loupe. 

Lorsque le scan est terminé, tu as la possibilité de générer un rapport en cliquant sur le bouton rapport.
Poste le rapport.

A+

crash06 · Answer

la 1ere étape ne marche pas il y a des messages d erreurs 

GMER 

An error 0X0000002 occured during the deletion of file : c:/windows/system32/drivers/qruquo.sys": le module
spécifié est introuvable 

c un exemple ily a eu plusieurs message d erreur dans ce style est voici le dernier message qui apparait 

Deletekey : le module spécifié est introuvable

Que faire ? Merci

verni29 · Answer

Le batch n'a pas marché.
Je regarde cela et te donne la réponse sous peu.

A+

crash06 · Answer

ok merci puis je faire les étapes 2 et 3 ou il faut attendre que la premiere soit faite ?

verni29 · Answer

Attends.
Tu feras les autres étapes après les consignes que je teposterais dans quelques minutes.

A+

crash06 · Answer

D accord je patiente merci

verni29 · Answer

1/ Ouvre le bloc-notes ( Démarrer --> tous les programmes --> accessoires --> Bloc-notes ) et sélectionne le texte en citation.
Copie/colle ce texte dans le bloc-notes.

killall::

https://forums.commentcamarche.net/forum/affich-14433848-oh-secour-virus-pub-antivirus
Collect::[4]
C:\documents and settings\luffy\local settings\Temp\pxldypog.sys 
c:\windows\system32\drivers\qruqo.sys
c:\windows\TEMP	evsiwufac.exe
c:\luffy\Application Data\wklnhst.dat
C:\WINDOWS\system32\drivers\gasfkyosrrvita.sys
c:\windows\system32\gasfkykswxdqwm.dat
c:\windows\system32\gasfkyxxyvjbpx.dll
c:\windows\system32\gasfkyncpyphtq.dat
c:\windoxs\system32\gasfkywwykqexw.dll
c:\windows\system32\gasfkykieubojv.dll

# Menu Fichier --> enregistrer --> une boite de dialogue va s'ouvrir
# Il y a deux lignes en bas de la fenetre :
-->  la première pour le nom : tape CFScript
-->  la deuxième pour le type : vérifie que l'onglet est .txt

il te reste alors à choisir l'emplacement où tu vas l'enregistrer.
Clique sur le flêche en haut jusqu'à arriver au bureau.

2) Glisse/dépose le script sur ComBoFix comme indiqué sur ce lien 
http://img399.imageshack.us/img399/7183/img210914jjufmoj0.gif

Suis les invites.

# Ton bureau va disparaître à plusieurs reprises. Normal.
# L'ordinateur va redémarrer et un rapport sera crée.
# Poste le contenu dans ton prochain message.

Note : Si tu ne le trouves pas, il est en C:\Combofix.txt

Un fois le rapport affiché, le message suivant devrait s'afficher.
http://img.photobucket.com/albums/v666/sUBs/CF-Submit_notice.gif

clique sur [OK], le navigateur va charger une page internet comme celle-ci.
http://img.photobucket.com/albums/v666/sUBs/CF-Submit.gif

copier/coller le chemin du fichier indiqué sur la page du navigateur dans la boite et à cliquer sur OK puis SendFile et rien d'autre.

Tu me diras si cela s'est bien passé.

A+

crash06 · Answer

Bonsoir je me suis endormi lors de l analyse  mais ca n a pas marché comme prevu ca a fait comme la premiere fois que je m en suis servi analyse 50 étapes et il a redémaré je réessayerai demain je vous tiens au courant Merci bonne soirée a+

verni29 · Answer

Pour ComboFix, regarde si un rapport n'a pas été généré.
Il doit se trouver en C:\ComboFix.txt.
Poste-le et après, je te dirais si il faut ou pas relancer ou pas ComboFix.

A+

crash06 · Answer

le voici

ComboFix 09-09-23.02 - luffy 24/09/2009  0:43.3.1 - FAT32x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1278.796 [GMT 2:00]
Lancé depuis: c:\documents and settings\luffy\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\luffy\Bureau\CFScript.txt
AV: avast! antivirus 4.8.1335 [VPS 090923-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\luffy\janed.exe
c:\windows\system32\gasfkywwykqexw.dll
c:\windows\system32\msxml71.dll

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_gasfkywcfrfolw
-------\Service_gasfkywcfrfolw


(((((((((((((((((((((((((((((   Fichiers créés du 2009-08-23 au 2009-09-23  ))))))))))))))))))))))))))))))))))))
.

2009-09-23 20:35 . 2009-09-23 20:35	69120	----a-w-	c:\windows\system32\drivers\ulptuwcssiwuyqxe.sys
2009-09-23 19:39 . 2009-09-23 19:39	--------	d-----w-	C:\UsbFix
2009-09-18 22:57 . 2009-09-18 21:09	15688	----a-w-	c:\windows\system32\lsdelete.exe
2009-09-18 21:36 . 2009-09-18 21:36	--------	d-----w-	c:\documents and settings\luffy\Application Data\Malwarebytes
2009-09-18 21:36 . 2009-09-10 12:54	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-18 21:36 . 2009-09-18 21:36	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-09-18 21:36 . 2009-09-18 21:36	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2009-09-18 21:36 . 2009-09-10 12:53	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-09-18 21:35 . 2009-09-18 21:35	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2009-09-18 21:35 . 2009-09-18 21:35	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-09-18 21:11 . 2009-09-18 21:11	--------	d-----w-	c:\program files	rend micro
2009-09-18 21:11 . 2009-09-18 21:11	--------	d-----w-	C:sit
2009-09-18 21:10 . 2009-09-18 21:08	64160	----a-w-	c:\windows\system32\drivers\Lbd.sys
2009-09-18 20:48 . 2009-09-18 20:48	--------	d--h--w-	c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-09-18 20:47 . 2009-09-18 20:47	--------	d-----w-	c:\program files\Lavasoft
2009-09-18 20:47 . 2009-09-18 20:47	--------	d-----w-	c:\documents and settings\All Users\Application Data\Lavasoft
2009-09-18 13:29 . 2009-09-18 13:29	--------	d-----w-	c:\windows\system32\LogFiles
2009-09-09 18:37 . 2009-06-21 21:47	153088	------w-	c:\windows\system32\dllcache	riedit.dll

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-19 20:47 . 2009-04-02 09:32	90112	----a-w-	c:\windows\DUMP6205.tmp
2009-08-22 22:01 . 2009-04-02 11:46	44976	----a-w-	c:\documents and settings\luffy\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-08-18 12:40 . 2009-08-18 12:40	--------	d-----w-	c:\documents and settings\luffy\Application Data\Template
2009-08-18 12:36 . 2009-08-18 12:36	--------	d-----w-	c:\program files\Microsoft Works
2009-08-05 09:00 . 1979-12-31 22:00	205312	----a-w-	c:\windows\system32\mswebdvd.dll
2009-07-25 03:23 . 2009-05-31 18:59	411368	----a-w-	c:\windows\system32\deploytk.dll
2009-07-17 19:03 . 1979-12-31 22:00	58880	----a-w-	c:\windows\system32\atl.dll
2009-07-12 10:21 . 1979-12-31 22:00	233472	----a-w-	c:\windows\system32\wmpdxm.dll
2009-07-03 16:57 . 1979-12-31 22:00	915456	------w-	c:\windows\system32\wininet.dll
.

(((((((((((((((((((((((((((((   SnapShot@2009-09-19_20.16.50   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-09-23 22:48 . 2009-09-23 22:48	16384              c:\windows\Temp\Perflib_Perfdata_6a8.dat
+ 2009-09-23 22:32 . 2009-09-23 22:32	16384              c:\windows\Temp\Perflib_Perfdata_62c.dat
+ 2009-09-23 22:48 . 2009-09-23 22:48	16384              c:\windows\Temp\Perflib_Perfdata_5c0.dat
- 2005-04-07 13:31 . 2009-09-19 20:00	32768              c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2005-04-07 13:31 . 2009-09-21 18:42	32768              c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
- 2005-04-07 13:31 . 2009-09-19 20:00	32768              c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2005-04-07 13:31 . 2009-09-21 18:42	32768              c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2005-04-07 13:31 . 2009-09-19 20:00	16384              c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2005-04-07 13:31 . 2009-09-21 18:42	16384              c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2003-03-18 19:05 . 2003-03-18 19:05	89088              c:\windows\system32\atl71.dll
+ 2009-09-23 20:49 . 2009-09-23 20:49	25214              c:\windows\Installer\{AC76BA86-7AD7-1036-7B44-A70000000000}\SC_Reader.exe
- 2009-09-19 19:44 . 2009-09-19 19:44	80395              c:\windows\Installer\{059C042E-796A-4ACC-A81A-ECC2010BB78C}\MsblIco.Exe
+ 2009-09-21 18:46 . 2009-09-21 18:46	80395              c:\windows\Installer\{059C042E-796A-4ACC-A81A-ECC2010BB78C}\MsblIco.Exe
+ 2009-09-23 20:49 . 2009-09-23 20:49	2756608              c:\windows\Installer\5b6677.msi
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2008-07-10 397312]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]
"siuon"="c:\documents and settings\luffy\siuon.exe" [BU]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY" [X]
"preload"="c:\windows\RUNXMLPL.exe" [2004-04-20 40960]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-10-05 98394]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-10-05 688218]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-04-05 339968]
"LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2005-03-30 32768]
"PowerKey"="c:\program files\Launch Manager\PowerKey.exe" [2002-08-30 94208]
"LManager"="c:\program files\Launch Manager\HotkeyApp.exe" [2005-05-19 69632]
"CtrlVol"="c:\program files\Launch Manager\CtrlVol.exe" [2003-09-16 20480]
"LMgrOSD"="c:\program files\Launch Manager\OSDCtrl.exe" [2004-10-11 245760]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2005-04-18 81920]
"PCMService"="c:\program files\Arcade\PCMService.exe" [2005-03-09 49152]
"eRecoveryService"="c:\windows\System32\Check.exe" [2005-03-23 245760]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2009-09-18 520024]
"BVRPLiveUpdate"="c:\program files\Avanquest update\Engine\Setup.exe" [BU]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-08-17 90112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"GrpConv"="grpconv -o" [X]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\luffy\Menu D‚marrer\Programmes\D‚marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\luffy\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-4-5 135680]

c:\documents and settings\luffy\Menu D‚marrer\Programmes\D‚marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\luffy\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-4-5 135680]

c:\documents and settings\luffy\Menu D‚marrer\Programmes\D‚marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\luffy\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-4-5 135680]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Readereader_sl.exe [2004-12-14 29696]

c:\documents and settings\luffy\Menu D‚marrer\Programmes\D‚marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\luffy\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-4-5 135680]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0sprecovr \SystemRoot\sprecovr.txt\0lsdelete

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\Vuze\Azureus.exe"=
"c:\Program Files\LimeWire\LimeWire.exe"=
"c:\Program Files\Java\JRE6\bin\java.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [18/09/2009 23:10 64160]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [02/04/2009 18:13 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [02/04/2009 18:13 20560]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [05/04/2009 11:44 55152]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [18/01/2009 23:34 1029456]
R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [01/01/1980 200192]
S1 mailKmd;mailKmd; [x]
S3 CrystalSysInfo;CrystalSysInfo;\??\c:\program files\MediaCoder\SysInfo.sys --> c:\program files\MediaCoder\SysInfo.sys [?]
S3 fsssvc;Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [06/02/2009 18:08 533360]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers
mwcdnsu.sys --> c:\windows\system32\drivers
mwcdnsu.sys [?]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers
mwcdnsuc.sys --> c:\windows\system32\drivers
mwcdnsuc.sys [?]
S3 POWERKEY;POWERKEY;c:\program files\Launch Manager\POWERKEY.SYS [02/04/2009 11:51 2343]
S3 s0017bus;Sony Ericsson Device 0017 driver (WDM);c:\windows\system32\drivers\s0017bus.sys [13/05/2009 17:21 90536]
S3 s0017mdfl;Sony Ericsson Device 0017 USB WMC Modem Filter;c:\windows\system32\drivers\s0017mdfl.sys [13/05/2009 17:21 15016]
S3 s0017mdm;Sony Ericsson Device 0017 USB WMC Modem Driver;c:\windows\system32\drivers\s0017mdm.sys [13/05/2009 17:21 122152]
S3 s0017mgmt;Sony Ericsson Device 0017 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s0017mgmt.sys [13/05/2009 17:21 115496]
S3 s0017nd5;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (NDIS);c:\windows\system32\drivers\s0017nd5.sys [13/05/2009 17:21 25768]
S3 s0017obex;Sony Ericsson Device 0017 USB WMC OBEX Interface;c:\windows\system32\drivers\s0017obex.sys [13/05/2009 17:21 111912]
S3 s0017unic;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (WDM);c:\windows\system32\drivers\s0017unic.sys [13/05/2009 17:21 117672]
S3 SI15CI;SI15CI;\??\c:\elements\1stboot\SI15CI.SYS --> c:\elements\1stboot\SI15CI.SYS [?]
S4 ykeuqtyty;ykeuqtyty;\??\c:\windows\system32\drivers\qruqo.sys --> c:\windows\system32\drivers\qruqo.sys [?]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32undll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Contenu du dossier 'Tâches planifiées'

2009-09-18 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 21:08]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
mStart Page = hxxp://www.google.com
uInternet Connection Wizard,ShellNext = hxxp://global.acer.com/
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game14.zylom.com/activex/zylomgamesplayer.cab
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-RunOnce-<NO NAME> - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-24 00:48
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\WINDOWS\system32\Macromed\Flash\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\WINDOWS\system32\Macromed\Flash\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(644)
c:\windows\system32\Ati2evxx.dll
c:\windows\System32\BCMLogon.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\SYSTEM32\ATI2EVXX.EXE
c:\windows\SYSTEM32\ATI2EVXX.EXE
c:\windows\SYSTEM32\BCMWLTRY.EXE
c:\program files\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE
c:\program files\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
c:\acer\EMANAGER\ANBMSERV.EXE
c:\program files\JAVA\JRE6\BIN\JQS.EXE
c:\program files\FICHIERS COMMUNS\NERO\NERO BACKITUP 4\NBSERVICE.EXE
c:\program files\SPYBOT - SEARCH & DESTROY\SPYBOTSD.EXE
c:\program files\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
c:\windows\SYSTEM32\WBEM\UNSECAPP.EXE
c:\program files\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
c:\windows\SYSTEM32\WBEM\WMIAPSRV.EXE
.
**************************************************************************
.
Heure de fin: 2009-09-23  0:54 - La machine a redémarré
ComboFix-quarantined-files.txt  2009-09-23 22:54

Avant-CF: 6 407 077 888 octets libres
Après-CF: 6 387 056 640 octets libres

217	--- E O F ---	2009-09-10 09:52

verni29 · Answer

Est-ce qu'il y a un fichier .zip qui a été crée sur le bureau ?

relance Gmer et poste le rapport.

A+

crash06 · Answer

voici le rapport de gmer

GMER 1.0.15.15087 - http://www.gmer.net
Rootkit scan 2009-09-25 22:41:42
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\luffy\LOCALS~1\Temp\pxldypog.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                                        ZwClose [0xB17D96B8]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                                        ZwCreateKey [0xB17D9574]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                                        ZwDeleteValueKey [0xB17D9A52]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                                        ZwDuplicateObject [0xB17D914C]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                                        ZwOpenKey [0xB17D964E]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                                        ZwOpenProcess [0xB17D908C]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                                        ZwOpenThread [0xB17D90F0]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                                        ZwQueryValueKey [0xB17D976E]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                                        ZwRestoreKey [0xB17D972E]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                                        ZwSetValueKey [0xB17D98AE]

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\WINDOWS\system32\services.exe[696] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW]                                 00390002
IAT             C:\WINDOWS\system32\services.exe[696] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW]                                       00390000
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryExW]     [10001D50] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryA]       [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!GetProcAddress]     [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryW]       [10001D00] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryExW]      [10001D50] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryA]        [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]      [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryW]        [10001D00] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryExW]   [10001D50] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryW]     [10001D00] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryA]     [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]   [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryA]       [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryW]       [10001D00] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress]     [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!LoadLibraryA]      [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!LoadLibraryW]      [10001D00] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!GetProcAddress]    [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA]      [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryW]      [10001D00] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress]    [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryExW]    [10001D50] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryExA]    [10001D20] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!AdjustWindowRectEx]  [1002DE60] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!AdjustWindowRect]    [1002DED0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress]     [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!LoadLibraryA]       [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryExA]    [10001D20] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryExW]    [10001D50] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryW]      [10001D00] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryA]      [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]    [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!SetWindowLongA]      [1002DEF0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!GetProcAddress]      [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryA]        [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryW]        [10001D00] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW]      [10001D50] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExA]      [10001D20] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\WININET.dll [KERNEL32.dll!LoadLibraryW]      [10001D00] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\WININET.dll [KERNEL32.dll!LoadLibraryExW]    [10001D50] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\WININET.dll [KERNEL32.dll!GetProcAddress]    [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\WININET.dll [KERNEL32.dll!LoadLibraryA]      [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\WININET.dll [USER32.dll!SetWindowLongA]      [1002DEF0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress]     [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\WS2_32.dll [KERNEL32.dll!LoadLibraryA]       [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\WS2HELP.dll [KERNEL32.dll!LoadLibraryA]      [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress]    [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress]    [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryA]      [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryExA]    [10001D20] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryExW]    [10001D50] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\PSAPI.DLL [KERNEL32.dll!LoadLibraryA]        [10001CE0] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
IAT             C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3408] @ C:\WINDOWS\system32\PSAPI.DLL [KERNEL32.dll!GetProcAddress]      [10001050] C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                                                       aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                                                     aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                                                      SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                                                                      SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                                                    aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                                                    aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                                                  aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                                                     fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                                                     aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw@start                                                                                      1
Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw@type                                                                                       1
Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw@group                                                                                      file system
Reg             HKLM\SYSTEM\ControlSet001\Services\gasfkywcfrfolw@imagepath                                                                                  \systemroot\system32\drivers\gasfkyosrrvita.sys

---- EOF - GMER 1.0.15 ----

verni29 · Answer

1/ (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptiblse d avoir été infectées sans les ouvrir

• Double clic sur le raccourci UsbFix présent sur ton bureau
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
• Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]  
• Ton bureau disparaitra et le pc redémarrera .
• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
• Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .
 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

2/ recommence la manip avec Combofix.
Je ne suis pas sur que tu l'ais fait la dernière fois. C'est important.

1/ Ouvre le bloc-notes ( Démarrer --> tous les programmes --> accessoires --> Bloc-notes ) et sélectionne le texte en citation.
Copie/colle ce texte dans le bloc-notes.

killall::

driver::
ykeuqtyty

file::
c:\windows\system32\drivers\ulptuwcssiw­uyqxe.sys 
C:\windows\system32\drivers\gasfkyosrrvita.sys 
c:\windows\DUMP6205.tmp 
c:\windows\Installer\5b6677.msi 
c:\windows\system32\drivers\qruqo.sys

registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"siuon"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\gasfkywcfrfolw@start 1]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\gasfkywcfrfolw@type 1]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\gasfkywcfrfolw@group file system]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\gasfkywcfrfolw@imagepath] 

# Menu Fichier --> enregistrer --> une boite de dialogue va s'ouvrir
# Il y a deux lignes en bas de la fenetre :
-->  la première pour le nom : tape CFScript
-->  la deuxième pour le type : vérifie que l'onglet est .txt

il te reste alors à choisir l'emplacement où tu vas l'enregistrer.
Clique sur le flêche en haut jusqu'à arriver au bureau.

2) Glisse/dépose le script sur ComBoFix comme indiqué sur ce lien 
http://img399.imageshack.us/img399/7183/img210914jjufmoj0.gif

Suis les invites.

# Ton bureau va disparaître à plusieurs reprises. Normal.
# L'ordinateur va redémarrer et un rapport sera crée.
# Poste le contenu dans ton prochain message.

Note : Si tu ne le trouves pas, il est en C:\Combofix.txt

A+

crash06 · Answer

AH la galere en effet je n avais pas terminé la manip de usbfix car une fois terminé quand il a redemarré et ma affiché la page internet il ma deactivé le port wifi donc la 1ere fois je n ai pas fait attention et j ai tout fermé cet fois c ok voici le rapport usbfix


############################## | UsbFix V6.036 |

User : luffy (Administrateurs) # SAKURA
Update on 21/09/2009 by Chiquitine29, C_XX & Chimay8
Start at: 23:16:57 | 25/09/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Mobile AMD Sempron(tm) Processor 3000+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1335 [VPS 090925-0] 4.8.1335 [ Enabled | Updated ]

C:\ -> Disque fixe local # 24,41 Go (5,79 Go free) [ACER] # FAT32
D:\ -> Disque fixe local # 66,29 Go (33,12 Go free) [ACERDATA] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque fixe local # 298,02 Go (293,23 Go free) # FAT32
H:\ -> Disque fixe local # 232,88 Go (55,32 Go free) [NOLAN] # NTFS

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32	askmgr.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

Supprimé ! F:\siuon.exe 
Supprimé ! F:\siuon.scr 
Supprimé ! H:\siuon.exe 
Supprimé ! H:\siuon.scr 

################## | Registre # Clés Run infectieuses |

Supprimé ! [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "siuon"  

################## | Registre # Mountpoints2 |


################## | Listing des fichiers présent |

[15/10/2004 11:41|---hs----|512] C:\BOOTSECT.DOS 
[05/08/2004 05:00|-rahs----|4952] C:\Bootfont.bin 
[02/04/2009 14:54|-rahs----|252240] C:
tldr 
[05/08/2004 05:00|-rahs----|47564] C:\NTDETECT.COM 
[19/09/2009 21:56|-rahs----|264] C:\BOOT.INI 
[07/04/2005 14:13|--a------|4] C:\wps.dat 
[08/04/2005 15:11|-rahs----|65] C:\PRELOAD.AAA 
[25/09/2009 23:10|--a------|2684] C:\aaw7boot.log 
[08/04/2005 15:11|-rahs----|65] C:\PRELOAD.REV 
[22/09/2005 04:53|--a------|4476] C:\PATCH.REV 
[?|?|?] C:\pagefile.sys 
[03/08/2004 23:00|--a------|263488] C:\cmldr 
[02/04/2009 11:48|--a------|196] C:\Boot.bak 
[?|?|?] C:\hiberfil.sys 
[02/04/2009 11:53|-rahs----|0] C:\MSDOS.SYS 
[02/04/2009 11:53|-rahs----|0] C:\IO.SYS 
[24/09/2009 00:54|--a------|15603] C:\ComboFix.txt 
[25/09/2009 23:19|--a------|3293] C:\UsbFix.txt 
[29/02/2004 17:44|--a------|52576] C:\orange.bmp 
[14/11/2008 14:51|--a------|257] D:\Goya.ini 
[19/10/2008 22:45|--a------|1117632512] D:\VR_MOVIE.VRO 
[02/05/2007 21:08|--a------|367706112] F:\dhs3e03_hd.avi 
[09/05/2007 12:06|--a------|367663104] F:\dhs3e04_hd.avi 
[16/05/2007 12:15|--a------|367685632] F:\dhs3e05_hd.avi 
[23/05/2007 12:17|--a------|367708160] F:\dhs3e06_hd.avi 
[19/06/2007 19:11|--a------|367537090] F:\dhs3e07_hd.avi 
[06/06/2007 12:17|--a------|367687680] F:\dhs3e08_hd.avi 
[13/06/2007 03:54|--a------|367702016] F:\dhs3e09_hd.avi 
[20/06/2007 22:45|--a------|367742976] F:\dhs3e10_hd.avi 
[26/06/2007 22:42|--a------|367685632] F:\dhs3e11_hd.avi 
[08/07/2007 22:15|--a------|367685632] F:\dhs3e12_hd.avi 
[18/04/2007 11:28|--a------|367699968] F:\dhs3e01_hd.avi 
[25/04/2007 20:27|--a------|367757312] F:\dhs3e02_hd.avi 
[02/06/2009 22:27|--a------|178124] F:\http___tickets.corsicaferries.com_tic2pdf.asp_url=http___tickets.corsicaferries.com_tickemails_TICWBP5764618.pdf 
[07/06/2009 04:35|--ahs----|41984] F:\Thumbs.db 
[21/06/2009 19:33|--ahs----|51712] H:\Thumbs.db 

################## | Vaccination |

# C:\autorun.inf -> Folder created by UsbFix.  
# D:\autorun.inf -> Folder created by UsbFix.  
# F:\autorun.inf -> Folder created by UsbFix.  
# H:\autorun.inf -> Folder created by UsbFix.  

################## | Upload | 

Veuillez envoyer le fichier : C:\DOCUME~1\luffy\Bureau\UsbFix_Upload_Me_SAKURA.zip : https://www.androidworld.fr/ 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.036 ! |

crash06 · Answer

2eme étape aussi galere combo fix démare puis un écran bleu l ordi redémare je refais glissé le fichier et la combo ne veut pas démarer car avast et en route bizarement l icone ni est plus donc impossible a arreté donc je redémare et la c ok voici le rapport de combofix

ComboFix 09-09-25.01 - luffy 25/09/2009 23:57.4.1 - FAT32x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1278.838 [GMT 2:00]
Lancé depuis: c:\documents and settings\luffy\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\luffy\Bureau\CFScript.txt
AV: avast! antivirus 4.8.1335 [VPS 090925-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

FILE ::
"c:\windows\DUMP6205.tmp"
"c:\windows\Installer\5b6677.msi"
"c:\windows\system32\drivers\gasfkyosrrvita.sys"
"c:\windows\system32\drivers\qruqo.sys"
"c:\windows\system32\drivers\ulptuwcssiw­uyqxe.sys"
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\DUMP6205.tmp
c:\windows\Installer\5b6677.msi

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_YKEUQTYTY
-------\Service_ykeuqtyty


(((((((((((((((((((((((((((((   Fichiers créés du 2009-08-25 au 2009-09-25  ))))))))))))))))))))))))))))))))))))
.

2009-09-25 21:52 . 2009-09-25 21:52	--------	d-----w-	C:\FOUND.003
2009-09-25 19:41 . 2009-09-25 19:41	--------	d-----w-	C:\FOUND.002
2009-09-23 20:35 . 2009-09-23 20:35	69120	----a-w-	c:\windows\system32\drivers\ulptuwcssiwuyqxe.sys
2009-09-23 19:39 . 2009-09-23 19:39	--------	d-----w-	C:\UsbFix
2009-09-18 22:57 . 2009-09-18 21:09	15688	----a-w-	c:\windows\system32\lsdelete.exe
2009-09-18 21:36 . 2009-09-18 21:36	--------	d-----w-	c:\documents and settings\luffy\Application Data\Malwarebytes
2009-09-18 21:36 . 2009-09-10 12:54	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-18 21:36 . 2009-09-18 21:36	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-09-18 21:36 . 2009-09-18 21:36	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2009-09-18 21:36 . 2009-09-10 12:53	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-09-18 21:35 . 2009-09-18 21:35	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2009-09-18 21:35 . 2009-09-18 21:35	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-09-18 21:11 . 2009-09-18 21:11	--------	d-----w-	c:\program files	rend micro
2009-09-18 21:11 . 2009-09-18 21:11	--------	d-----w-	C:sit
2009-09-18 21:10 . 2009-09-18 21:08	64160	----a-w-	c:\windows\system32\drivers\Lbd.sys
2009-09-18 20:48 . 2009-09-18 20:48	--------	d--h--w-	c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-09-18 20:47 . 2009-09-18 20:47	--------	d-----w-	c:\program files\Lavasoft
2009-09-18 20:47 . 2009-09-18 20:47	--------	d-----w-	c:\documents and settings\All Users\Application Data\Lavasoft
2009-09-18 13:29 . 2009-09-18 13:29	--------	d-----w-	c:\windows\system32\LogFiles
2009-09-09 18:37 . 2009-06-21 21:47	153088	------w-	c:\windows\system32\dllcache	riedit.dll

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-25 21:37 . 2009-04-02 09:32	90112	----a-w-	c:\windows\DUMP8f8e.tmp
2009-08-22 22:01 . 2009-04-02 11:46	44976	----a-w-	c:\documents and settings\luffy\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-08-18 12:40 . 2009-08-18 12:40	--------	d-----w-	c:\documents and settings\luffy\Application Data\Template
2009-08-18 12:36 . 2009-08-18 12:36	--------	d-----w-	c:\program files\Microsoft Works
2009-08-05 09:00 . 1979-12-31 22:00	205312	----a-w-	c:\windows\system32\mswebdvd.dll
2009-07-25 03:23 . 2009-05-31 18:59	411368	----a-w-	c:\windows\system32\deploytk.dll
2009-07-17 19:03 . 1979-12-31 22:00	58880	----a-w-	c:\windows\system32\atl.dll
2009-07-12 10:21 . 1979-12-31 22:00	233472	----a-w-	c:\windows\system32\wmpdxm.dll
2009-07-03 16:57 . 1979-12-31 22:00	915456	------w-	c:\windows\system32\wininet.dll
.

(((((((((((((((((((((((((((((   SnapShot@2009-09-19_20.16.50   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-09-25 21:52 . 2009-09-25 21:52	16384              c:\windows\Temp\Perflib_Perfdata_e4.dat
+ 2009-09-25 22:01 . 2009-09-25 22:01	16384              c:\windows\Temp\Perflib_Perfdata_d0.dat
+ 2009-09-25 22:02 . 2009-09-25 22:02	16384              c:\windows\Temp\Perflib_Perfdata_190.dat
- 2005-04-07 13:31 . 2009-09-19 20:00	32768              c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2005-04-07 13:31 . 2009-09-21 18:42	32768              c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2005-04-07 13:31 . 2009-09-21 18:42	32768              c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2005-04-07 13:31 . 2009-09-19 20:00	32768              c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2003-03-18 19:05 . 2003-03-18 19:05	89088              c:\windows\system32\atl71.dll
+ 2009-09-23 20:49 . 2009-09-23 20:49	25214              c:\windows\Installer\{AC76BA86-7AD7-1036-7B44-A70000000000}\SC_Reader.exe
- 2009-09-19 19:44 . 2009-09-19 19:44	80395              c:\windows\Installer\{059C042E-796A-4ACC-A81A-ECC2010BB78C}\MsblIco.Exe
+ 2009-09-21 18:46 . 2009-09-21 18:46	80395              c:\windows\Installer\{059C042E-796A-4ACC-A81A-ECC2010BB78C}\MsblIco.Exe
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2008-07-10 397312]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY" [X]
"preload"="c:\windows\RUNXMLPL.exe" [2004-04-20 40960]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-10-05 98394]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-10-05 688218]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-04-05 339968]
"LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2005-03-30 32768]
"PowerKey"="c:\program files\Launch Manager\PowerKey.exe" [2002-08-30 94208]
"LManager"="c:\program files\Launch Manager\HotkeyApp.exe" [2005-05-19 69632]
"CtrlVol"="c:\program files\Launch Manager\CtrlVol.exe" [2003-09-16 20480]
"LMgrOSD"="c:\program files\Launch Manager\OSDCtrl.exe" [2004-10-11 245760]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2005-04-18 81920]
"PCMService"="c:\program files\Arcade\PCMService.exe" [2005-03-09 49152]
"eRecoveryService"="c:\windows\System32\Check.exe" [2005-03-23 245760]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2009-09-18 520024]
"BVRPLiveUpdate"="c:\program files\Avanquest update\Engine\Setup.exe" [BU]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-08-17 90112]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\luffy\Menu D‚marrer\Programmes\D‚marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\luffy\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-4-5 135680]

c:\documents and settings\luffy\Menu D‚marrer\Programmes\D‚marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\luffy\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-4-5 135680]

c:\documents and settings\luffy\Menu D‚marrer\Programmes\D‚marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\luffy\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-4-5 135680]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Readereader_sl.exe [2004-12-14 29696]

c:\documents and settings\luffy\Menu D‚marrer\Programmes\D‚marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\luffy\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-4-5 135680]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0sprecovr \SystemRoot\sprecovr.txt\0lsdelete

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\Vuze\Azureus.exe"=
"c:\Program Files\LimeWire\LimeWire.exe"=
"c:\Program Files\Java\JRE6\bin\java.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [18/09/2009 23:10 64160]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [02/04/2009 18:13 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [02/04/2009 18:13 20560]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [05/04/2009 11:44 55152]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [18/01/2009 23:34 1029456]
R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [01/01/1980 200192]
R3 POWERKEY;POWERKEY;c:\program files\Launch Manager\POWERKEY.SYS [02/04/2009 11:51 2343]
S1 mailKmd;mailKmd; [x]
S3 CrystalSysInfo;CrystalSysInfo;\??\c:\program files\MediaCoder\SysInfo.sys --> c:\program files\MediaCoder\SysInfo.sys [?]
S3 fsssvc;Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [06/02/2009 18:08 533360]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers
mwcdnsu.sys --> c:\windows\system32\drivers
mwcdnsu.sys [?]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers
mwcdnsuc.sys --> c:\windows\system32\drivers
mwcdnsuc.sys [?]
S3 s0017bus;Sony Ericsson Device 0017 driver (WDM);c:\windows\system32\drivers\s0017bus.sys [13/05/2009 17:21 90536]
S3 s0017mdfl;Sony Ericsson Device 0017 USB WMC Modem Filter;c:\windows\system32\drivers\s0017mdfl.sys [13/05/2009 17:21 15016]
S3 s0017mdm;Sony Ericsson Device 0017 USB WMC Modem Driver;c:\windows\system32\drivers\s0017mdm.sys [13/05/2009 17:21 122152]
S3 s0017mgmt;Sony Ericsson Device 0017 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s0017mgmt.sys [13/05/2009 17:21 115496]
S3 s0017nd5;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (NDIS);c:\windows\system32\drivers\s0017nd5.sys [13/05/2009 17:21 25768]
S3 s0017obex;Sony Ericsson Device 0017 USB WMC OBEX Interface;c:\windows\system32\drivers\s0017obex.sys [13/05/2009 17:21 111912]
S3 s0017unic;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (WDM);c:\windows\system32\drivers\s0017unic.sys [13/05/2009 17:21 117672]
S3 SI15CI;SI15CI;\??\c:\elements\1stboot\SI15CI.SYS --> c:\elements\1stboot\SI15CI.SYS [?]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32undll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Contenu du dossier 'Tâches planifiées'

2009-09-18 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 21:08]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
mStart Page = hxxp://www.google.com
uInternet Connection Wizard,ShellNext = hxxp://global.acer.com/
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game14.zylom.com/activex/zylomgamesplayer.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-26 00:02
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\WINDOWS\system32\Macromed\Flash\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\WINDOWS\system32\Macromed\Flash\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(828)
c:\windows\system32\Ati2evxx.dll
c:\windows\System32\BCMLogon.dll

- - - - - - - > 'explorer.exe'(2380)
c:\program files\CyberLink\Shared Files\CLRCEngine.dll
c:\windows\system32\wpdshext.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\Audiodev.dll
c:\windows\system32\WMVCore.DLL
c:\windows\system32\WMASF.DLL
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\SYSTEM32\ATI2EVXX.EXE
c:\windows\SYSTEM32\BCMWLTRY.EXE
c:\program files\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE
c:\windows\SYSTEM32\ATI2EVXX.EXE
c:\program files\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
c:\acer\EMANAGER\ANBMSERV.EXE
c:\program files\JAVA\JRE6\BIN\JQS.EXE
c:\program files\FICHIERS COMMUNS\NERO\NERO BACKITUP 4\NBSERVICE.EXE
c:\program files\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
c:\program files\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
c:\windows\SYSTEM32\WBEM\UNSECAPP.EXE
c:\windows\SYSTEM32\WBEM\WMIAPSRV.EXE
c:\windows\system32\WLTRAY.exe
c:\program files\acer\eRecovery\Monitor.exe
.
**************************************************************************
.
Heure de fin: 2009-09-25  0:05 - La machine a redémarré
ComboFix-quarantined-files.txt  2009-09-25 22:05
ComboFix2.txt  2009-09-23 22:54

Avant-CF: 6 184 681 472 octets libres
Après-CF: 6 189 924 352 octets libres

228	--- E O F ---	2009-09-10 09:52

je crois que c bon dur dur

crash06 · Answer

Par contre en regardant les posts precedents, je me suis apercu que quand j ai fais combofix  je n est pas eu les étapes suivante 

Un fois le rapport affiché, le message suivant devrait s'afficher. 
http://img.photobucket.com/albums/v666/sUBs/CF-Submit_notice.gif 

clique sur [OK], le navigateur va charger une page internet comme celle-ci. 
http://img.photobucket.com/albums/v666/sUBs/CF-Submit.gif 

copier/coller le chemin du fichier indiqué sur la page du navigateur dans la boite et à cliquer sur OK puis SendFile et rien d'autre. 

Est ce normal ?

Merci A+

verni29 · Answer

Crash06,

1/ Pour le message, oui, c'est normal. Je n'avais pas fait le même script avec ComboFix.
La fois précédente, tu devais avoir ces deux messages qui te demandaient de faire remonter un fichier zippé qui avait été crée sur ton bureau.

2/ On y presque. Il y avait un delf sur ton PC. Difficile à déloger.
As-tu accès à ta partition D: ?

3/ a/ Télécharge The Avenger sur ton Bureau.
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

    * Click droit sur Avenger.zip et choisis Extraire tout .
     * Vérifie qu'un dossier avenger a été crée sur le bureau  

b / Copie le texte ci-dessous :

Begin copying here:

Drivers to disable:
ulptuwcssiw­uyqxe.sys
ulptuwcssiw­uyqxe

Drivers to delete: 
ulptuwcssiw­uyqxe.sys
ulptuwcssiw­uyqxe

Files to delete: 
c:\windows\system32\drivers\gasfkyosrrvita.sys
c:\windows\system32\drivers\qruqo.sys
c:\windows\system32\drivers\ulptuwcssiw­uyqxe.sys 

 Le code ci-dessus a été crée spécialement pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE SUIVEZ pas ces directives : elles pourraient endommager votre système.

c/  Maintenant, lancer The Avenger en cliquant sur son icône du bureau.

    *  Clique sur OK.
    *  Dans le rectangle blanc, sous "Input script here", fais un clic droit et choisis "paste" ou Coller. 
    * Cliquer "Execute"comme ceci :
http://img100.imageshack.us/img100/7672/avengerve6pq1.jpg

d/ The Avenger va automatiquement faire ce qui suit:

    * Il va Re-démarrer le système. 
      Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera votre système 2 fois
    * Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
    * The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

e/ Pour finir copier/coller le contenu du ficher c:\avenger.txt dans votre réponse.

crash06 · Answer

oui j ai acces a ma partition d:/

Voici le rapport 

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  could not open driver "ulptuwcssiw­uyqxe.sys"
Disablement of driver "ulptuwcssiw­uyqxe.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  could not open driver "ulptuwcssiw­uyqxe"
Disablement of driver "ulptuwcssiw­uyqxe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\ulptuwcssiw­uyqxe.sys" not found!
Deletion of driver "ulptuwcssiw­uyqxe.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\ulptuwcssiw­uyqxe" not found!
Deletion of driver "ulptuwcssiw­uyqxe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\windows\system32\drivers\gasfkyosrrvita.sys" not found!
Deletion of file "c:\windows\system32\drivers\gasfkyosrrvita.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\windows\system32\drivers\qruqo.sys" not found!
Deletion of file "c:\windows\system32\drivers\qruqo.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\windows\system32\drivers\ulptuwcssiw­uyqxe.sys" not found!
Deletion of file "c:\windows\system32\drivers\ulptuwcssiw­uyqxe.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.

verni29 · Answer

Tu as donc accès à la partition D: et tu as retrouvé tes fichiers ?

On va vérifier si il y a encore une infection sur le PC.

relance RSIT. Il n'y aura qu'un seul rapport.
Poste-le.

A+

crash06 · Answer

Logfile of random's system information tool 1.06 (written by random/random)
Run by luffy at 2009-09-26 21:35:35
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 6 GB (24%) free of 25 GB
Total RAM: 1278 MB (62% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:35:51, on 26/09/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\PowerKey.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\Program Files\Arcade\PCMService.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\luffy\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\acer\eRecovery\Monitor.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Documents and Settings\luffy\Bureau\RSIT.exe
C:\Program Files	rend micro\luffy.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] "C:\Program Files\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Program Files\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Program Files\Launch Manager\OSDCtrl.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [BVRPLiveUpdate] C:\Program Files\Avanquest update\Engine\Setup.exe -s /PATCH,/SRCUPDATEC:\DOCUME~1\ALLUSE~1\APPLIC~1\SONYER~1\SONYER~1\LIVEUP~1\LISTOF~1.DAT
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: Notification de cadeaux MSN.lnk = C:\Documents and Settings\luffy\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Notification de cadeaux MSN.lnk = C:\Documents and Settings\luffy\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe (User 'Default user')
O4 - Startup: Notification de cadeaux MSN.lnk = C:\Documents and Settings\luffy\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game14.zylom.com/activex/zylomgamesplayer.cab
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

verni29 · Answer

Tu ne m'as pas dit si tu pouvais de retour voir les fichiers sur ta partition D:.

Deux scans pour vérifier si le PC est propre.

1/ mets à jour malwarebytes ( onglet mise à jour ) puis lance un scan complet et poste le rapport.

2/ fais un scan en ligne avec Bitdefender :
https://forum.pcastuces.com/default.asp

A+

crash06 · Answer

oui j ai de nouveau acces a ma partition  D:/ et tous mes fichiers sont revenus

crash06 · Answer

voici le rapport de malwarebytes par contre durant l analyse avast c affolé et a bloqué plein de virus 


Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2821
Windows 5.1.2600 Service Pack 3

26/09/2009 22:53:30
mbam-log-2009-09-26 (22-53-30).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 145866
Temps écoulé: 57 minute(s), 41 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{004AA4CB-CEFA-470B-84B6-7AE41AC1EA5D}\RP172\A0018019.sys (Rootkit.TDSS) -> Quarantined and deleted successfully.

verni29 · Answer

Le scan de  Malwarebytes indique que la restauration système a été touché.
A nettoyer. on verra cela à la fin.

Pour avast, Ce n'est pas une solution correcte de sécurité.
ce n'est pas que ce soit un mauvais antivirus mais pour la protection parefeu, cela ne vaut pas des logiciels dédiés. 

Il est souvent demander de le remplacer par un autre antivirus et d''installer un parefeu.

A toi de voir.
cela voudrait dire remplacer Avast par une solution Antivir + parefeu ( Comodo par exemple ).
Un tel parefeu n'est pas simple à utiliser. as-tu déjà utiliser des logiciels comme Zone Alarm et es-tu familiariser à ce qu'on appelle des alertes ?

fais le scan avec BitDefender et on voit ensuite pour les protections.

A+

crash06 · Answer

BitDefender Online Scanner - Rapport virus en temps réel
  
  
 
Généré à: Sat, Sep 26, 2009 - 23:44:07
 

---------------------------------------------------------------------------
 
Info d'analyse
  
  
 
Fichiers scannés
 39928
 
Infectés Fichiers
 5
 
Virus Détectés
  
Trojan.Generic.2423513
 2
 
Trojan.Generic.2189936
 2
 
Trojan.Generic.2438994
 1
 
  --------------------------------------------------------------------------------
  
  
 
Ce sommaire du processus d'analyse sera utilisé par les laboratoires Antivirus BitDefender pour créer des statistiques agréguées sur l'activité des virus dans le monde. 
  
  
 
et voila !!!

crash06 · Answer

par contre je n ai pas reussi a faire ceci 

•Allez dans -> Démarrer -> Panneau de configuration
•Double-cliquez sur -> Comptes d'utilisateurs
•Cliquez ensuite sur -> Activer ou désactiver le contrôle des comptes utilisateurs
•Recochez la case et Ok
•Redémarrez l'ordinateur

est ce grave ? je n ai pas trouvé activer ou desactivé

verni29 · Answer

est-ce qu'il n'y avait pas des infos complémentaires sur les infections trouvées ( et supprimées ) par BitDefender ?
Chemin + nom des fichiers ?

1/ Supprime ComboFix.
Pour cela : démarrer --> exécuter --> tape : ComboFix /u
Vérifie que C:\QooBox est bien supprimé.

2/ Vide la quarantaine de malwarebytes --> onglet Quarantaine --> choisis tout supprimer

Pour Avast, as-tu toujours ces détections ?
Il est possible que ce soit ces fichiers présents en quarantaine.

Pour Avast ou Antivir, qu'en penses-tu ?

A+

verni29 · Answer

On verra cela demain. 
Il se fait tard.

A+

crash06 · Answer

voici j ai trouvé le vrai rapport de bitdefender ci joint et je vais essayer de continuer un peu merci beaucoup bonne soirée a demain 


[General]
App	= "BitDefender Online Scanner v8"
Date	= 26:09:2009
Time	= 23:41:48
Scan Path	= C:\;D:\;E:\;

[Engines Info]
Virus Definitions	= 4274627
Engine build	= "AVCORE v2.1 Windows/i386 11.0.0.26 (Aug 27 2009)"
Scan plugins	= 17
Archive plugins	= 44
Unpack plugins	= 8
E-mail plugins	= 6
System plugins	= 4

[Scan Statistics]
Folders	= 4461
Files	= 35455
Archives	= 797
Packed files	= 1931
Identified viruses	= 3
Infected files	= 5
Warnings	= 0
Suspect files	= 0
Disinfected files	= 0
Deleted files	= 5
Copied files	= 0
Moved files	= 0
Renamed files	= 0
I/O Errors	= 8

[Scan Settings]
SecondAction	= Delete
FirstAction	= Disinfect
Heuristics	= 1
Enable Warnings	= 1
Exclude Ext	= 
Extensions	= exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;
Scan Emails	= 1
Scan Archives	= 1
Scan Packed	= 1
Scan Files	= 1
Scan Boot	= 1
Verify Memory	= 0

[Scan Results]
Line00000009	= "C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\ChkDisk.dll Infecté par: Trojan.Generic.2423513"
Line00000008	= "C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\ChkDisk.dll Supprimé"
Line00000007	= "C:\WINDOWS\system32\SARP32.dll Infecté par: Trojan.Generic.2189936"
Line00000006	= "C:\WINDOWS\system32\SARP32.dll Supprimé"
Line00000005	= "C:\System Volume Information\_restore{004AA4CB-CEFA-470B-84B6-7AE41AC1EA5D}\RP172\A0017907.dll Infecté par: Trojan.Generic.2438994"
Line00000004	= "C:\System Volume Information\_restore{004AA4CB-CEFA-470B-84B6-7AE41AC1EA5D}\RP172\A0017907.dll Supprimé"
Line00000003	= "C:\System Volume Information\_restore{004AA4CB-CEFA-470B-84B6-7AE41AC1EA5D}\RP174\A0024961.dll Infecté par: Trojan.Generic.2423513"
Line00000002	= "C:\System Volume Information\_restore{004AA4CB-CEFA-470B-84B6-7AE41AC1EA5D}\RP174\A0024961.dll Supprimé"
Line00000001	= "C:\System Volume Information\_restore{004AA4CB-CEFA-470B-84B6-7AE41AC1EA5D}\RP174\A0024962.dll Infecté par: Trojan.Generic.2189936"
Line00000000	= "C:\System Volume Information\_restore{004AA4CB-CEFA-470B-84B6-7AE41AC1EA5D}\RP174\A0024962.dll Supprimé"

crash06 · Answer

C :/ Qoobox était en quarantaine dans avast j ai tous supprimé

voici le rapport de combofix

ComboFix 09-09-25.01 - luffy 27/09/2009  0:30.5.1 - FAT32x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1278.792 [GMT 2:00]
Lancé depuis: c:\documents and settings\luffy\Bureau\ComboFix.exe
Commutateurs utilisés :: / u
AV: avast! antivirus 4.8.1335 [VPS 090926-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Downloaded Program Files\bdcore.dll
c:\windows\Downloaded Program Files\libfn.dll

.
(((((((((((((((((((((((((((((   Fichiers créés du 2009-08-26 au 2009-09-26  ))))))))))))))))))))))))))))))))))))
.

2009-09-26 21:08 . 2009-09-26 21:08	--------	d-----w-	c:\windows\BDOSCAN8
2009-09-25 21:52 . 2009-09-25 21:52	--------	d-----w-	C:\FOUND.003
2009-09-25 19:41 . 2009-09-25 19:41	--------	d-----w-	C:\FOUND.002
2009-09-23 20:35 . 2009-09-23 20:35	69120	----a-w-	c:\windows\system32\drivers\ulptuwcssiwuyqxe.sys
2009-09-23 19:39 . 2009-09-23 19:39	--------	d-----w-	C:\UsbFix
2009-09-18 22:57 . 2009-09-18 21:09	15688	----a-w-	c:\windows\system32\lsdelete.exe
2009-09-18 21:36 . 2009-09-18 21:36	--------	d-----w-	c:\documents and settings\luffy\Application Data\Malwarebytes
2009-09-18 21:36 . 2009-09-10 12:54	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-18 21:36 . 2009-09-18 21:36	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-09-18 21:36 . 2009-09-18 21:36	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2009-09-18 21:36 . 2009-09-10 12:53	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-09-18 21:35 . 2009-09-18 21:35	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2009-09-18 21:35 . 2009-09-18 21:35	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-09-18 21:11 . 2009-09-18 21:11	--------	d-----w-	c:\program files	rend micro
2009-09-18 21:11 . 2009-09-18 21:11	--------	d-----w-	C:sit
2009-09-18 21:10 . 2009-09-18 21:08	64160	----a-w-	c:\windows\system32\drivers\Lbd.sys
2009-09-18 20:48 . 2009-09-18 20:48	--------	d--h--w-	c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-09-18 20:47 . 2009-09-18 20:47	--------	d-----w-	c:\program files\Lavasoft
2009-09-18 20:47 . 2009-09-18 20:47	--------	d-----w-	c:\documents and settings\All Users\Application Data\Lavasoft
2009-09-18 13:29 . 2009-09-18 13:29	--------	d-----w-	c:\windows\system32\LogFiles
2009-09-09 18:37 . 2009-06-21 21:47	153088	------w-	c:\windows\system32\dllcache	riedit.dll

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-25 21:37 . 2009-04-02 09:32	90112	----a-w-	c:\windows\DUMP8f8e.tmp
2009-08-22 22:01 . 2009-04-02 11:46	44976	----a-w-	c:\documents and settings\luffy\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-08-18 12:40 . 2009-08-18 12:40	--------	d-----w-	c:\documents and settings\luffy\Application Data\Template
2009-08-18 12:36 . 2009-08-18 12:36	--------	d-----w-	c:\program files\Microsoft Works
2009-08-05 09:00 . 1979-12-31 22:00	205312	----a-w-	c:\windows\system32\mswebdvd.dll
2009-07-25 03:23 . 2009-05-31 18:59	411368	----a-w-	c:\windows\system32\deploytk.dll
2009-07-17 19:03 . 1979-12-31 22:00	58880	----a-w-	c:\windows\system32\atl.dll
2009-07-12 10:21 . 1979-12-31 22:00	233472	----a-w-	c:\windows\system32\wmpdxm.dll
2009-07-03 16:57 . 1979-12-31 22:00	915456	------w-	c:\windows\system32\wininet.dll
.

(((((((((((((((((((((((((((((   SnapShot@2009-09-19_20.16.50   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-09-26 21:58 . 2009-09-26 21:58	16384              c:\windows\Temp\Perflib_Perfdata_6a8.dat
- 2005-04-07 13:31 . 2009-09-19 20:00	32768              c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2005-04-07 13:31 . 2009-09-21 18:42	32768              c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2005-04-07 13:31 . 2009-09-21 18:42	32768              c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2005-04-07 13:31 . 2009-09-19 20:00	32768              c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2003-03-18 19:05 . 2003-03-18 19:05	89088              c:\windows\system32\atl71.dll
+ 2009-09-23 20:49 . 2009-09-23 20:49	25214              c:\windows\Installer\{AC76BA86-7AD7-1036-7B44-A70000000000}\SC_Reader.exe
- 2009-09-19 19:44 . 2009-09-19 19:44	80395              c:\windows\Installer\{059C042E-796A-4ACC-A81A-ECC2010BB78C}\MsblIco.Exe
+ 2009-09-21 18:46 . 2009-09-21 18:46	80395              c:\windows\Installer\{059C042E-796A-4ACC-A81A-ECC2010BB78C}\MsblIco.Exe
+ 2006-05-24 23:21 . 2006-05-24 23:21	53248              c:\windows\Downloaded Program Files\ipsupd.dll
+ 2006-05-24 23:22 . 2006-05-24 23:22	53248              c:\windows\bdoscandel.exe
+ 2009-09-26 21:09 . 2009-09-26 21:09	86016              c:\windows\BDOSCAN8\librtvr.dll
+ 2006-05-24 23:21 . 2006-05-24 23:21	53248              c:\windows\BDOSCAN8\ipsupd.dll
+ 2009-09-26 21:09 . 2009-09-26 21:09	27136              c:\windows\BDOSCAN8\avxt.dll
+ 2009-09-26 21:09 . 2009-09-26 21:09	10240              c:\windows\BDOSCAN8\avxs.dll
+ 2009-09-26 21:09 . 2009-09-26 21:09	45056              c:\windows\BDOSCAN8\avxdisk.dll
+ 2006-05-24 23:21 . 2006-05-24 23:21	118784              c:\windows\Downloaded Program Files\bdupd.dll
+ 2004-12-07 15:07 . 2009-09-26 21:09	142848              c:\windows\BDOSCAN8\libfn.dll
+ 2006-05-24 23:21 . 2006-05-24 23:21	118784              c:\windows\BDOSCAN8\bdupd.dll
+ 2004-12-07 15:07 . 2009-09-26 21:09	107800              c:\windows\BDOSCAN8\bdcore.dll
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2008-07-10 397312]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY" [X]
"preload"="c:\windows\RUNXMLPL.exe" [2004-04-20 40960]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-10-05 98394]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-10-05 688218]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-04-05 339968]
"LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2005-03-30 32768]
"PowerKey"="c:\program files\Launch Manager\PowerKey.exe" [2002-08-30 94208]
"LManager"="c:\program files\Launch Manager\HotkeyApp.exe" [2005-05-19 69632]
"CtrlVol"="c:\program files\Launch Manager\CtrlVol.exe" [2003-09-16 20480]
"LMgrOSD"="c:\program files\Launch Manager\OSDCtrl.exe" [2004-10-11 245760]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2005-04-18 81920]
"PCMService"="c:\program files\Arcade\PCMService.exe" [2005-03-09 49152]
"eRecoveryService"="c:\windows\System32\Check.exe" [2005-03-23 245760]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2009-09-18 520024]
"BVRPLiveUpdate"="c:\program files\Avanquest update\Engine\Setup.exe" [BU]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-08-17 90112]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\luffy\Menu D‚marrer\Programmes\D‚marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\luffy\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-4-5 135680]

c:\documents and settings\luffy\Menu D‚marrer\Programmes\D‚marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\luffy\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-4-5 135680]

c:\documents and settings\luffy\Menu D‚marrer\Programmes\D‚marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\luffy\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-4-5 135680]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Readereader_sl.exe [2004-12-14 29696]

c:\documents and settings\luffy\Menu D‚marrer\Programmes\D‚marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\luffy\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-4-5 135680]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0sprecovr \SystemRoot\sprecovr.txt\0lsdelete

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\Vuze\Azureus.exe"=
"c:\Program Files\LimeWire\LimeWire.exe"=
"c:\Program Files\Java\JRE6\bin\java.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [18/09/2009 23:10 64160]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [02/04/2009 18:13 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [02/04/2009 18:13 20560]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [05/04/2009 11:44 55152]
R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [01/01/1980 200192]
R3 POWERKEY;POWERKEY;c:\program files\Launch Manager\POWERKEY.SYS [02/04/2009 11:51 2343]
S1 mailKmd;mailKmd; [x]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [18/01/2009 23:34 1029456]
S3 CrystalSysInfo;CrystalSysInfo;\??\c:\program files\MediaCoder\SysInfo.sys --> c:\program files\MediaCoder\SysInfo.sys [?]
S3 fsssvc;Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [06/02/2009 18:08 533360]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers
mwcdnsu.sys --> c:\windows\system32\drivers
mwcdnsu.sys [?]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers
mwcdnsuc.sys --> c:\windows\system32\drivers
mwcdnsuc.sys [?]
S3 s0017bus;Sony Ericsson Device 0017 driver (WDM);c:\windows\system32\drivers\s0017bus.sys [13/05/2009 17:21 90536]
S3 s0017mdfl;Sony Ericsson Device 0017 USB WMC Modem Filter;c:\windows\system32\drivers\s0017mdfl.sys [13/05/2009 17:21 15016]
S3 s0017mdm;Sony Ericsson Device 0017 USB WMC Modem Driver;c:\windows\system32\drivers\s0017mdm.sys [13/05/2009 17:21 122152]
S3 s0017mgmt;Sony Ericsson Device 0017 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s0017mgmt.sys [13/05/2009 17:21 115496]
S3 s0017nd5;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (NDIS);c:\windows\system32\drivers\s0017nd5.sys [13/05/2009 17:21 25768]
S3 s0017obex;Sony Ericsson Device 0017 USB WMC OBEX Interface;c:\windows\system32\drivers\s0017obex.sys [13/05/2009 17:21 111912]
S3 s0017unic;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (WDM);c:\windows\system32\drivers\s0017unic.sys [13/05/2009 17:21 117672]
S3 SI15CI;SI15CI;\??\c:\elements\1stboot\SI15CI.SYS --> c:\elements\1stboot\SI15CI.SYS [?]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32undll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Contenu du dossier 'Tâches planifiées'

2009-09-18 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 21:08]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
mStart Page = hxxp://www.google.com
uInternet Connection Wizard,ShellNext = hxxp://global.acer.com/
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game14.zylom.com/activex/zylomgamesplayer.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-27 00:33
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\WINDOWS\system32\Macromed\Flash\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\WINDOWS\system32\Macromed\Flash\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(648)
c:\windows\system32\Ati2evxx.dll
c:\windows\System32\BCMLogon.dll
c:\windows\system32\WLDAP32.dll
c:\windows\system32\COMRes.dll
.
Heure de fin: 2009-09-26  0:34
ComboFix-quarantined-files.txt  2009-09-26 22:34
ComboFix2.txt  2009-09-25 22:05
ComboFix3.txt  2009-09-23 22:54

Avant-CF: 6 130 204 672 octets libres
Après-CF: 6 098 583 552 octets libres

202	--- E O F ---	2009-09-10 09:52


Malwarebytes quarantaines supprimés 

je crois que j ai fini j attends la suite demain merci 
ps : je crois qu on n y est presque

verni29 · Answer

Pour BitDefender,  la majorité des fichiers infectés se trouvaient également dans la restauration système.

Pourrais-tu faire ces deux manips ? 

1/ Télécharge OAD et enregistre le sur ton bureau
 http://sosvirus.changelog.fr/OAD.exe

• Double clique sur le OAD pour le lancer.
• dans la fenêtre qui va s'ouvrir, tape le nom de fichier à rechercher, puis valide par Entrée

Nom du fichier : ulptuwcssiw­uyqxe.sys 

• Choisis le type de recherche : sélectionne l'option 6 puis valide par Entrée.

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.

Fais un copier / coller de ce rapport dans ton prochain post.

Note : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient(e)


2/ Tu vas sur le site de VirusTotal et tu vas pouvoir analyser ce fichier.
https://www.virustotal.com/gui/

# Copiez le chemin indiqué ci-dessous et le coller dans la zone à analyser :

Chemin : c:\windows\system32\drivers\ulptuwcssiw­uyqxe.sys 

# Tu cliques ensuite sur envoyer le fichier.
# Tu postes le rapport de l'analyse ( pour cela, tu sélectionnes la zone de résultat --> click droit --> copier )


A+

crash06 · Answer

Bonjours je ne c pas si c important voici le rapport de avira Avira AntiVir Personal Date de création du fichier de rapport : dimanche 27 septembre 2009 01:08 La recherche porte sur 1749618 souches de virus. Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus Numéro de série : 0000149996-ADJIE-0000001 Plateforme : Windows XP Version de Windows : (Service Pack 3) [5.1.2600] Mode Boot : Démarré normalement Identifiant : SYSTEM Nom de l'ordinateur : SAKURA Informations de version : BUILD.DAT : 9.0.0.70 18071 Bytes 25/09/2009 12:03:00 AVSCAN.EXE : 9.0.3.7 466689 Bytes 26/09/2009 23:06:46 AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:04 LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:12 LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:32 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:38 ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24/06/2009 23:06:46 ANTIVIR2.VDF : 7.1.6.1 3857920 Bytes 16/09/2009 23:06:46 ANTIVIR3.VDF : 7.1.6.40 429568 Bytes 25/09/2009 23:06:46 Version du moteur : 8.2.1.27 AEVDF.DLL : 8.1.1.2 106867 Bytes 26/09/2009 23:06:46 AESCRIPT.DLL : 8.1.2.33 479611 Bytes 26/09/2009 23:06:46 AESCN.DLL : 8.1.2.5 127346 Bytes 26/09/2009 23:06:46 AERDL.DLL : 8.1.2.4 430452 Bytes 26/09/2009 23:06:46 AEPACK.DLL : 8.2.0.0 422261 Bytes 26/09/2009 23:06:46 AEOFFICE.DLL : 8.1.0.38 196987 Bytes 26/09/2009 23:06:46 AEHEUR.DLL : 8.1.0.155 1921400 Bytes 26/09/2009 23:06:46 AEHELP.DLL : 8.1.7.0 237940 Bytes 26/09/2009 23:06:46 AEGEN.DLL : 8.1.1.66 364917 Bytes 26/09/2009 23:06:46 AEEMU.DLL : 8.1.0.9 393588 Bytes 09/10/2008 13:32:40 AECORE.DLL : 8.1.8.1 184693 Bytes 26/09/2009 23:06:46 AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:32 AVPREF.DLL : 9.0.3.0 44289 Bytes 26/09/2009 23:06:46 AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:30 AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:44 AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:24 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:38 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:50 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:58 NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:41:00 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 26/09/2009 23:06:46 RCTEXT.DLL : 9.0.37.0 88321 Bytes 15/04/2009 09:07:06 Configuration pour la recherche actuelle : Nom de la tâche...............................: Contrôle intégral du système Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp Documentation.................................: bas Action principale.............................: interactif Action secondaire.............................: ignorer Recherche sur les secteurs d'amorçage maître..: marche Recherche sur les secteurs d'amorçage.........: marche Secteurs d'amorçage...........................: C:, D:, Recherche dans les programmes actifs..........: marche Recherche en cours sur l'enregistrement.......: marche Recherche de Rootkits.........................: marche Contrôle d'intégrité de fichiers système......: arrêt Fichier mode de recherche.....................: Tous les fichiers Recherche sur les archives....................: marche Limiter la profondeur de récursivité..........: 20 Archive Smart Extensions......................: marche Heuristique de macrovirus.....................: marche Heuristique fichier...........................: moyen Début de la recherche : dimanche 27 septembre 2009 01:08 La recherche d'objets cachés commence. '40752' objets ont été contrôlés, '0' objets cachés ont été trouvés. La recherche sur les processus démarrés commence : Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés Processus de recherche 'RUNDLL32.EXE' - '1' module(s) sont contrôlés Processus de recherche 'msiexec.exe' - '1' module(s) sont contrôlés Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés Processus de recherche 'Monitor.exe' - '1' module(s) sont contrôlés Processus de recherche 'WMIAPSRV.EXE' - '1' module(s) sont contrôlés Processus de recherche 'lsnfier.exe' - '1' module(s) sont contrôlés Processus de recherche 'SEPCSuite.exe' - '1' module(s) sont contrôlés Processus de recherche 'AAWTray.exe' - '1' module(s) sont contrôlés Processus de recherche 'JUSCHED.EXE' - '1' module(s) sont contrôlés Processus de recherche 'SOUNDMAN.EXE' - '1' module(s) sont contrôlés Processus de recherche 'PCMService.exe' - '1' module(s) sont contrôlés Processus de recherche 'WButton.exe' - '1' module(s) sont contrôlés Processus de recherche 'OSDCtrl.exe' - '1' module(s) sont contrôlés Processus de recherche 'HotkeyApp.exe' - '1' module(s) sont contrôlés Processus de recherche 'Powerkey.exe' - '1' module(s) sont contrôlés Processus de recherche 'LaunchAp.exe' - '1' module(s) sont contrôlés Processus de recherche 'ATIPTAXX.EXE' - '1' module(s) sont contrôlés Processus de recherche 'WLTRAY.EXE' - '1' module(s) sont contrôlés Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés Processus de recherche 'SynTPLpr.exe' - '1' module(s) sont contrôlés Processus de recherche 'WMIPRVSE.EXE' - '1' module(s) sont contrôlés Processus de recherche 'UNSECAPP.EXE' - '1' module(s) sont contrôlés Processus de recherche 'ALG.EXE' - '1' module(s) sont contrôlés Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés Processus de recherche 'NBService.exe' - '1' module(s) sont contrôlés Processus de recherche 'JQS.EXE' - '1' module(s) sont contrôlés Processus de recherche 'anbmServ.exe' - '1' module(s) sont contrôlés Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés Processus de recherche 'SPOOLSV.EXE' - '1' module(s) sont contrôlés Processus de recherche 'AAWService.exe' - '1' module(s) sont contrôlés Processus de recherche 'BCMWLTRY.EXE' - '1' module(s) sont contrôlés Processus de recherche 'WLTRYSVC.EXE' - '1' module(s) sont contrôlés Processus de recherche 'EXPLORER.EXE' - '1' module(s) sont contrôlés Processus de recherche 'ATI2EVXX.EXE' - '1' module(s) sont contrôlés Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés Processus de recherche 'ATI2EVXX.EXE' - '1' module(s) sont contrôlés Processus de recherche 'LSASS.EXE' - '1' module(s) sont contrôlés Processus de recherche 'SERVICES.EXE' - '1' module(s) sont contrôlés Processus de recherche 'WINLOGON.EXE' - '1' module(s) sont contrôlés Processus de recherche 'CSRSS.EXE' - '1' module(s) sont contrôlés Processus de recherche 'SMSS.EXE' - '1' module(s) sont contrôlés '50' processus ont été contrôlés avec '50' modules La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [INFO] Aucun virus trouvé ! La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'D:\' [INFO] Aucun virus trouvé ! La recherche sur les renvois aux fichiers exécutables (registre) commence : Le registre a été contrôlé ( '66' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' C:\pagefile.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. C:\hiberfil.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. C:\WINDOWS\system32\drivers\ulptuwcssiwuyqxe.sys [RESULTAT] Contient le cheval de Troie TR/PCK.Tdss.Z.1559 C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinAgentieu.zip [RESULTAT] Contient le code suspect GEN/PwdZIP C:\Documents and Settings\luffy\Bureau\UsbFix_Upload_Me_SAKURA.zip [0] Type d'archive: ZIP --> UsbFix_Upload_Me/siuon.exe.UsbFix [RESULTAT] Contient le modèle de détection du ver WORM/Vobfus.C.15 --> UsbFix_Upload_Me/siuon.scr.UsbFix [RESULTAT] Contient le modèle de détection du ver WORM/Vobfus.C.15 C:\System Volume Information\_restore{004AA4CB-CEFA-470B-84B6-7AE41AC1EA5D}\RP172\A0018018.sys [RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen C:\System Volume Information\_restore{004AA4CB-CEFA-470B-84B6-7AE41AC1EA5D}\RP172\A0018020.dll [RESULTAT] Contient le cheval de Troie TR/PCK.Tdss.Z.1171 C:\Qoobox\Quarantine\C\WINDOWS\system32\config\systemprofile\protect.dll.vir [RESULTAT] Contient le cheval de Troie TR/Opachki.A.12 Recherche débutant dans 'D:\' Début de la désinfection : C:\WINDOWS\system32\drivers\ulptuwcssiwuyqxe.sys [RESULTAT] Contient le cheval de Troie TR/PCK.Tdss.Z.1559 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b2f2598.qua' ! C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinAgentieu.zip [RESULTAT] Contient le code suspect GEN/PwdZIP [REMARQUE] Le résultat positif a été classé comme suspect. [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b2d2596.qua' ! C:\Documents and Settings\luffy\Bureau\UsbFix_Upload_Me_SAKURA.zip [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b2125a0.qua' ! C:\System Volume Information\_restore{004AA4CB-CEFA-470B-84B6-7AE41AC1EA5D}\RP172\A0018018.sys [RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4aef255d.qua' ! C:\System Volume Information\_restore{004AA4CB-CEFA-470B-84B6-7AE41AC1EA5D}\RP172\A0018020.dll [RESULTAT] Contient le cheval de Troie TR/PCK.Tdss.Z.1171 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b91c646.qua' ! C:\Qoobox\Quarantine\C\WINDOWS\system32\config\systemprofile\protect.dll.vir [RESULTAT] Contient le cheval de Troie TR/Opachki.A.12 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b2e259f.qua' ! Fin de la recherche : dimanche 27 septembre 2009 10:41 Temps nécessaire: 53:41 Minute(s) La recherche a été effectuée intégralement 4471 Les répertoires ont été contrôlés 233023 Des fichiers ont été contrôlés 6 Des virus ou programmes indésirables ont été trouvés 1 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 6 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 2 Impossible de contrôler des fichiers 233014 Fichiers non infectés 7306 Les archives ont été contrôlées 2 Avertissements 8 Consignes 40752 Des objets ont été contrôlés lors du Rootkitscan 0 Des objets cachés ont été trouvés

crash06 · Answer

je ne sais pas si je l ai deja dit j ai d installer avast et installé avira comme indiqué plus haut 

le rapport de OAD ne donne rien 



 27/09/2009 ---- 14:11:58,65  

----------------------------------
§§§§§§ [ulptuwcssiwuyqxe.sys] §§§§§§
----------------------------------
[X] Registre
[  ] Fichier (rapide)
[  ] Fichier (disque systeme)
[X] Fichier (complete)




********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------





      

je continu

crash06 · Answer

quand je clic sur virus total 

je ne peux pas copier le fichier donc j ai fais parcourir mais je ne le trouve pas 

c:\windows\system32\drivers\ulptuwcssiw­uyqxe.sys

verni29 · Answer

Nickel.

Antivir a supprimé le fichier ulptuwcssiw­uyqxe.sys que je t'avais demandé de scanner sur virus total et avec OAD.
Normal, donc que tu ne trouves pas le fichier.

1/ Pour Antivir, je te mets un lien pour mieux comprendre les réglages de cet antivirus.
https://forum.pcastuces.com/configuration_antivir_personal_free-f31s44.htm
vérifie tes réglages avec ce lien.

2/ En plus de Antivir, il est recommandé d'installer un parefeu.
pas si simple que cela de le configurer. mais comme le PC est propre maintenant, ce sera plus aisé.

--------------------------------------------------------------------------------------------------------------------

Il y a plusieurs niveaux de réglages d'un parefeu. On va dire bas moyen et haut.
Si tu choisis un niveau élevé, le parefeu intervient en te demandant si telle application peut être autorisé ou pas à communiquer avec telle autre application.
C'est ce qu'on appellera une alerte.

Quand un PC est propre, on autorise et on crée une règle sur ces alertes pour ne plus être réinterroger sur cette opération.
Les premiers jours où on installe un parefeu, on a des alertes de ce genre. Moins ensuite puisque les règles sont crées.

Si tu es trop embêté avec ces alertes, il faut diminuer le niveau de protection.

---------------------------------------------------------------------------------------------------------------------------

Installe un de ces pare-feus gratuits :

- zone alarm :
https://www.malekal.com/tutoriel-zonealarm-firewall/
lis le tuto de zone alarm. Il y a des explications sur ces alertes.


- PC Tools Firewall Plus ( moins contraignants que zone alarm )
https://fr.norton.com/

Et d'autres comme Comodo, Online Armor qui sont d'excellents produits mais plus difficile à paramétrer.

- ComodoTM Firewall
( version 3.0 en anglais, sinon 2.4 multi-langues )
tuto : https://www.malekal.com/tutorial-comodo-firewall/
lien de téléchargement : https://www.commentcamarche.net/telecharger/securite/6291-comodo-firewall-free-windows/
Attention décochez lors de l'installation les options relatives à AskBar
une discussion sur CCM qui parle de la configuration de Comodo :
https://forums.commentcamarche.net/forum/affich-13349223-configurer-comodo

3/ Une fois installé le parefeu, lance RSIT et poste moi un dernier rapport.

A+

crash06 · Answer

J ai tout fait j ai pris pc tool firewall 

voici le rapport de rsit 

Logfile of random's system information tool 1.06 (written by random/random)
Run by luffy at 2009-09-27 17:54:04
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 6 GB (23%) free of 25 GB
Total RAM: 1278 MB (61% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:54:31, on 27/09/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
C:\Program Files\PC Tools Firewall Plus\FWService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\PowerKey.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\Program Files\Arcade\PCMService.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\luffy\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
C:\Program Files\acer\eRecovery\Monitor.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\luffy\Bureau\RSIT.exe
C:\Program Files	rend micro\luffy.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] "C:\Program Files\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Program Files\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Program Files\Launch Manager\OSDCtrl.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [BVRPLiveUpdate] C:\Program Files\Avanquest update\Engine\Setup.exe -s /PATCH,/SRCUPDATEC:\DOCUME~1\ALLUSE~1\APPLIC~1\SONYER~1\SONYER~1\LIVEUP~1\LISTOF~1.DAT
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: Notification de cadeaux MSN.lnk = C:\Documents and Settings\luffy\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Notification de cadeaux MSN.lnk = C:\Documents and Settings\luffy\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe (User 'Default user')
O4 - Startup: Notification de cadeaux MSN.lnk = C:\Documents and Settings\luffy\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game14.zylom.com/activex/zylomgamesplayer.cab
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Program Files\PC Tools Firewall Plus\FWService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

crash06 · Answer

je voulais savoir si je pouvais desinstaller tous les logiciels que l on c servit ?

verni29 · Answer

C'est bon pour la configuration des protections.

1/ Commence par mettre à jour le PC.
Tu te rends sur le site :
https://www.flexera.com/products/operations/software-vulnerability-management.html
Clique sur Start scanner

2/ On va enlever les logiciels qui ont été utilisés..
Télécharge ToolsCleaner .sur le bureau
http://pc-system.fr/

Double-clique sur ToolsCleaner2.exe --> Recherche --> Suppression.
Il est possible que ton bureau disparaisse.

Fais un copier/coller du rapport qui se trouve dans C:\TCleaner.txt.

3/ Tu vas utiliser CCleaner. 
http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner 

utilise les fonctions nettoyeur et registre. 

4/ La restauration système a été touchée comme on l'a vu. Il faut supprimer les points actuels et recréer un point de restauration.

Les points de restauration : 

-  Panneau de configuration --> Système --> Restauration du système 

cocher " Désactiver la restauration .... " ( si elle est cochée sinon la décocher -- >  valider -- > cocher )
Une fenêtre va s’ouvrir pour t’avertir que les poins de restauration existants seront supprimés.
Accepte.

Décoche ensuite « Désactiver la restauration .... » pour réactiver la restauration système

- Tu vas recréer un point de restauration propre.

Pour recréer un point de restauration :
Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système
Choisis "Créer un point de restauration". Suis les invites.

--------------------------------------------------------------------------------------------------------

Ton PC est propre.
Sois plus prudent dans ton surf.

Une lecture : projet antimalwares : https://www.malekal.com/fichiers/projetantimalwares/prevention-protection.pdf

---------------------------------------------------------------------------------------------------------

/!\ Tu peux aussi dénoncer ton infection /!\ 
http://www.malwarecomplaints.info/phpBB3/viewforum.php?f=10

Lis l'article suivant pour t'aider dans la démarche : http://www.malekal.com/malwarecomplaints.html
Pour ton cas, choisis l'infection Autres infections et précise que tu as été infecté par braviax .

-----------------------------------------------------------------------------------------------------------

Peux-tu mettre le sujet en résolu ? Merci.

En te souhaitant bonne lecture et bon surf.

Salut.

crash06 · Answer

pour les mises a jour j ai un soucis pour adobe reader 7

quand je veux faire la mise a jour il me dit : le correctif de mise a jour ne peut pas etre installé par le service windows installer car le programme qui doit etre mis a jour est peut etre introuvable ou le corectif de mis a jour est peut etre destiné a une autre version du programme. Vérifié que le programme que vous voulez mettre a jour se trouve sur votre ordinateur et que vous disposez du correctif de mis a jour correct 

pour la suite je ne trouve pas le rapport de toolcleaner

verni29 · Answer

Pour adobe, désinstalle la version présente.
Puis télécharge et installe la dernière version :
https://get2.adobe.com/fr/reader/otherversions/

¨Pour ToolsCleaner, vérifie en C:\TCleaner.txt. 
Sinon, tu me diras quels logiciels sont encore présents sur le PC.

@+

verni29 · Answer

le bon lien pour le téléchargement :
https://get2.adobe.com/fr/reader/otherversions/

crash06 · Answer

MERCI beaucoup pour votre temps et votre patience je pense que tout est ok

crash06 · Answer

C ok pour adobe pour les logiciels qui resté cétait juste les .exe sur le bureau combofix  et quelque autre que j ai supprimé manuellement 

merci encore a+

^^Marie^^ · Answer

Salut verni29, 

Il est complet le topik ;;))

verni29 · Answer

;-)

OH SECOUR virus pub antivirus?

66 réponses

Discussions similaires

Newsletters