Moi j un (Packed.Win32.TDSS.z) [Résolu]

Réponse 1 / 65

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

Salut ,

infection tibs ! ....

/!\ N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
Si tu as un quelconque prb n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ) .
Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .

Commence par ceci pour avoir un diagnostique complet du PC :

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

!! déconnecte toi et ferme toutes tes applications en cours !!

> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) .

> Lance ZHPDiag depuis le raccourci du bureau .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )

Une liste apparait dans l'encadré principal > clique en bas sur le bouton " Tous " et décoche la ligne 061 ( important ! ) .

> Puis clique sur le bouton de "la loupe" pour lancer le scan .

Laisses travailler l'outil ...

> Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistres bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )

Puis ferme le programme ...

> rends toi ensuite sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....

Shera

Bonjour,

Après beaucoup de difficulté et recherches sur le net, ayant vu ce message sur le forum et rencontrant le même souci ce jour, mon anti virus karpersky a découvert : cheval de Troie Packed.Win32.TDSS.z - fichier: C:\WINDOWS\system32\gasfkyxetypwxr.dll , et impossible de le réparer ou de le supprimer, je me permet de poster à la suite de votre poste, j ai d'ailleurs fait ce que Ske69 a conseillé. J'ai donc fait le scan et le lien pour le fichier est ici : http://www.cijoint.fr/cjlink.php?file=cj200909/cijegpNJf0.txt

Encore une fois désolée de poster à la suite de ce message, mais j'ai eu beaucoup de mal a accèder au forum pour poster car j'avais systèmatiquement des messages d'erreur, kapersky qui m'indiques en alerte systèmatique au moindre clik le cheval de troie et je ne sais pas trop quoi faire tellement c'est enrageant.
En te remerciant par avance si tu pouvais m'aider.
SheRa

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463 > Shera

SheRa,

si tu peux répondre à ce poste , c'est que tu peux créer ton propre sujet !

*Clique sur ce lien -> https://forums.commentcamarche.net/forum/virus-securite-7#ecrire

*Puis dans l'encadré, en dessous du "bonjour",expose clairement et précisément ton problème ...
Pour poster ta question sur le forum, tu n'as plus qu'à cliquer sur "Ajouter" ...
Patiente et un helper finira par te prendre en charge ;)

Bonne chance =)

A+

mellissa

bjr dsl pour le retard mais c bon j le lin demandé c chic de votre parte de m'aidez

Réponse 2 / 65

mellissa

j perdue la tête avc tous ses problèmes voila le lien demandé

Réponse 3 / 65

mellissa

cette foi ci c la bonne ( enfin j crois) http://www.cijoint.fr/cjlink.php?file=cj200909/cij5D0oIGy.txt

Réponse 4 / 65

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

Salut,

Et bien ... il n'y a pas que Tibs ! .... Pluisieurs infections ....

Commence par ceci :

1- Télécharge ToolBar S&D ( de Eric_71/Team IDN ) sur ton bureau :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cpVobGk5bHnxrhQ4yaoEUDJvOYNnEGyYjgqHZz5GqZLfutR3fMFPlsC3-CGIilfupPAguYATNyua3csodN_frdMK8sSzUpit10Yac-QJCOkMqJKkbdKcP6ySs8trWPgoNVIq4TGGWCe6o0txXQv-ZueJF9vZzw3RXsGwFYIqN2lvF2LPdQzS8mE1d5kWOVOz6EMzQuE5-lClSJM869uq3oc7-t7yg%3D%3D&attredirects=3

( Tuto : https://sites.google.com/site/toolbarsd/aideenimages )

!! Déconnecte toi et ferme toutes tes applications en cours le temps de la manipe !!

* Double-clique sur ToolBar SD.exe pour lancer l'outil et laisse toi guider ...
--> Tapes directement sur 2 ( option " suppression " ) puis tape sur [Entrée].

Le nettoyage commence .

! ne touche à rien lors de la suppression !

Un rapport sera généré à la fin du processus : poste son contenu dans ta prochaine réponse
pour analyse ...

( le rapport est en outre sauvegardé ici -> C:\TB.txt )

=============================

2- Infecté par Navipromo .

-------------------------------------

Pour info,
Les programmes suivants installent cette infection :
- Funky Emoticons
- Games-Attack
- Original-Solitaire
- Go-Astro
- GoRecord
- HotTVPlayer
- Live-Player
- MailSkinner
- Messenger Skinner
- Instant Access
- InternetGameBox
- Sudoplanet
- WebMediaPlayer : sauf celui provenant du site suivant > http://www.azertysite.new.fr/

---------------------------------------

Télécharge Navilog1 sur ton bureau :

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe !!

Ensuite double clique sur navilog1.exe pour lancer l'outil .

Laisse-toi guider. Au menu principal, choisis 1 et valide .
(ne fais pas le choix 2 notre avis/accord) .

Patiente le temps du scan ...

> Si l'infection est bien détecté , il te sera peut-être demandé de redémarrer ton PC ( pour que l'outil puisse finir le nettoyage ) :
laisse l'outil le faire automatiquement . Si il ne redémarre pas de lui-même, redémarre ton PC manuellement (c'est important !) .

Note :
Si l'outil de demande d'effectuer la manipe en mode sans echec, fais le ( /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ ).

Patiente jusqu'au message :
*** Scan Terminé le ..... ***

Appuie sur une touche comme demandé, le bloc-note va s'ouvrir.
Copie-colle l'intégralité de son contenu dans ta prochaine réponse et attends la suite .

(Le rapport est en outre sauvegardé à la racine du disque "C\:cleanavi.txt" )

===============================

3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

Réponse 5 / 65

mellissa

voila le rapporte

-----------\\ ToolBar S&D 1.2.9 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) Dual CPU E2180 @ 2.00GHz )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : Administrateur ( Administrator )
BOOT : Normal boot
Antivirus : Kaspersky Anti-Virus 9.0.0.463 (Activated)
C:\ (Local Disk) - NTFS - Total:149 Go (Free:106 Go)
D:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
F:\ (USB)
G:\ (USB)
H:\ (USB)
I:\ (USB)
K:\ (CD or DVD)

"C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
Option : [2] ( 20/09/2009|11:04 )

-----------\\ SUPPRESSION

Supprime! - [Service] MyWebSearchService
Supprime! - C:\DOCUME~1\ADMINI~1\APPLIC~1\FunWebProducts\Data
Supprime! - C:\Program Files\FunWebProducts\ScreenSaver
Supprime! - C:\Program Files\FunWebProducts\Shared
Echec ! - C:\Program Files\MyWebSearch\bar
Echec ! - C:\Program Files\MyWebSearch\bar\6.bin
Echec ! - C:\Program Files\MyWebSearch\bar\6.bin\F3HKSTUB.DLL
Supprime! - C:\DOCUME~1\ADMINI~1\APPLIC~1\FunWebProducts
Supprime! - C:\Program Files\MyWebSearch\bar
Supprime! - C:\Program Files\FunWebProducts
Supprime! - C:\Program Files\MyWebSearch

-----------\\ Recherche de Fichiers / Dossiers ...

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\1
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\a.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\amazon.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\an.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\arrow.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\arrowB.gif
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\arrowT.gif
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\arrow_down.gif
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\arrow_up.gif
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\autofill.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\b.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\bg_pub.gif
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\bg_ttl.gif
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\bn.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\bottom.png
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\bottom_left.png
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\bottom_right.png
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\btn_addstations.gif
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\btn_delete.gif
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\c.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\CAlogo.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\canalblog.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\cn.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\COMBOSEARCH.list
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\d.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\dictionary2.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\dn.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\DownloadCOM.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\dropdown.css
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\email_b.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\equalizer_loading.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\equalizer_off.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\equalizer_on.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\ErrorLog.txt
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\ErrorPageTemplate.css
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\ErrorPageTemplate_search.css
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\f.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\fn.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\g.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\gaming.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\gn.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\graphred0.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\graphred0_5.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\graphred1.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\graphred1_5.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\graphred2.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\graphred2_5.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\graphred3.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\graphred3_5.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\graphred4.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\graphred4_5.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\graphred5.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\h.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\help.gif
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\hideremove.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\highlight.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\hn.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\horoscope.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\h_aquarius.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\h_aries.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\h_cancer.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\h_capricorn.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\h_gemini.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\h_leo.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\h_libra.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\h_pisces.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\h_sagittarius.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\h_scorpio.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\h_taurus.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\h_virgo.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\i.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\IEtab2_1.zip
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\IEtab2_1.zip4779843
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\images01.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\in.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\j.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\jn.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\k.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\kn.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\l.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\left.png
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\ln.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\loading.gif
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\logo.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\logo_facebook.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\minus.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\minus_on.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\music2.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\n.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\New York_NY_weather.txt
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\New York_NY_weather.txt10750703
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\New York_NY_weather.txt12570312
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\New York_NY_weather.txt12987625
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\New York_NY_weather.txt14704671
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\New York_NY_weather.txt22362031
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\New York_NY_weather.txt288656
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\New York_NY_weather.txt3538953
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\New York_NY_weather.txt3821984
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\New York_NY_weather.txt80031
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\NewCfg
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\news.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\news.html
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\newsb.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\nn.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\o.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\on.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\p.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\pixsy.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\play.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\play_on.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\plus.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\plus_on.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\pn.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\popup_off.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\popup_on.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\popup_ona.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\p_yahoo.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\p_yahoo_fr.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\q.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\qn.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\r.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\radiocfgdlg.html
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\RadioStations.list
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\radio_bg.gif
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\relatedlinks.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\report.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\right.png
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\rn.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\rss.xsl
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\rss1.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\rsslib.js
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\rssmenu1_7a.zip
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\s.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\search.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\search.gif
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\search_fr.gif
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\settings.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\shop2.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\sinfo.txt
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\sinfo.txt10754000
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\sinfo.txt12570234
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\sinfo.txt12987562
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\sinfo.txt12987656
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\sinfo.txt14704609
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\sinfo.txt14704781
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\sinfo.txt15761718
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\sinfo.txt15767000
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\sinfo.txt15772531
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\sinfo.txt184156
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\sinfo.txt241406
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\sinfo.txt24164640
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\sinfo.txt248718
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\sinfo.txt250031
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\sinfo.txt288515
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\sinfo.txt3522218
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\sinfo.txt3538843
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\sinfo.txt3821906
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\sinfo.txt75875
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\siteinfo.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\slider.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\sn.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\spacer.gif
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\stars-red1.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\stars-red2.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\stars-red3.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\stars-red4.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\stars-red5.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\stop.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\stop_on.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\t.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\tabdataV3.js
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\tabwelcome_en.html
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\tabwelcome_fr.html
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\tab_icon.png
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\technorati.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\tn.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\tools.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\top.png
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\top_left.png
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\top_right.png
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\translate.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\ttl_add.gif
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\u.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\un.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\UserStations.list
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\utf8.js
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\v.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\vmlib.js
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\vmntoolbartb1501.cfg
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\vn.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\w.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\web_en.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\web_fr.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\wikipedia.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\wn.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\x.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\xp_close_small.gif
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\yahoo_search.gif
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\YouTube.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\z.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\zn.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\zoom.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\__slider.bmp
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\1\_lastfeeds.xml
C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\NewCfg\vmntoolbartb1501.cfg288640
C:\Program Files\VMNToolbar
C:\Program Files\VMNToolbar\install.ico
C:\Program Files\VMNToolbar\tbuninstall.exe
C:\Program Files\VMNToolbar\Thumbs.db
C:\Program Files\VMNToolbar\toolbar.ini
C:\Program Files\VMNToolbar\uninstall.exe
C:\Program Files\VMNToolbar\vmntoolbar.dll
C:\WINDOWS\System32\f3PSSavr.scr
C:\Program Files\Mozilla Firefox\plugins\NPMyWebS.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsa312.tmp
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsf732.tmp
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsu6D2.tmp
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsv313.tmp
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsw738.tmp

-----------\\ Extensions

(Administrateur) - {346de098-61f9-4b42-89da-6dfba7091bb6} => imbooster4web-en
(Administrateur) - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} => mybabylon_english
(Administrateur) - {346de098-61f9-4b42-89da-6dfba7091bb6} => imbooster4web-en

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://french.ircfast.com/fr/index.php?rvs=hompag"
"Search Bar"="http://www.google.com/toolbar/ie8/sidebar.html"
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Default_Search_URL"="http://www.google.com/toolbar/ie8/sidebar.html"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://windows-unattended.fr"
"Default_Search_URL"="http://windows-unattended.fr"
"Search Page"="http://french.ircfast.com/fr/index.php?rvs=hompag"
"Start Page"="https://www.msn.com/fr-fr/"

--------------------\\ Recherche d'autres infections

C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\etldk.dat
C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\etldk.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\etldk_nav.dat
C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\etldk_navps.dat
[b]==> EGDACCESS <==/b

1 - "C:\ToolBar SD\TB_1.txt" - 20/09/2009|11:09 - Option : [2]

-----------\\ Fin du rapport a 11:09:48,48

j'espère que c pas grave docteur... lol

Réponse 6 / 65

mellissa

et pour le nouveau rapport pour le ZHPDiag http://www.cijoint.fr/cjlink.php?file=cj200909/cijdUIxBqS.txt

Réponse 7 / 65

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

re,

tu as oublier de ma poster le rapport de Navilog1 .... ^^

une fois ce dernier posté , fait la suite :

1- Lance ZHPDiag depuis le raccouci du bureau .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )

Une liste apparait dans l'encadré principal > clique en bas sur le bouton " Tous " et décoche la ligne 061 ( important ! ) .

> Puis clique sur le bouton de "la loupe" pour lancer le scan .

Laisses travailler l'outil ...

> Une fois terminé , le rapport ZHDiag s'affiche ...

> Cette fois si , tu vas cliquer sur le bouton "ZHPFix" qui est apparu en haut sur la partie droite de la fenêtre ( celui de l'écusson ) .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

Le rapport qui était affiché va disparaitre , c'est normal .

* Dans l'encadré principal ( qui est vierge ), copie/colle tout le texte qui se trouve sur cette page ( et rien d'autre ! ) :

> https://www.cjoint.com/?junNt5aZAR

Vérifie bien que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!

* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .

-> laisse travailler l'outil et ne touche à rien ...

-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )

Pense à réactiver tes défenses !...

=====================

2- Télécharge CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "français" en langue .
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

==============================

3- Télécharge MalwareByte's :
ici https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
ou ici : http://www.malwarebytes.org/mbam.php

* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )

* Potasse le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebyte's .

Fais un examen dit "RAPIDE" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date) pour analyse ...

===========================

4- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

Réponse 8 / 65

mellissa

je ne c pas koi ous dire j l'air un pe tête en l'air avc tout ça mais bon .
voila le rapport demandé

Fix Navipromo version 4.0.2 commencé le 20/09/2009 11:42:54,09

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 27.08.2009 à 11h00 par IL-MAFIOSO

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) Dual CPU E2180 @ 2.00GHz )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : Administrateur ( Administrator )
BOOT : Fail-safe boot

Antivirus : Kaspersky Anti-Virus 9.0.0.463 (Activated)

C:\ (Local Disk) - NTFS - Total:149 Go (Free:106 Go)
D:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
F:\ (USB)
G:\ (USB)
H:\ (USB)
I:\ (USB)
K:\ (CD or DVD)

Recherche executée en mode sans échec

Nettoyage executé en mode sans échec

C:\Program Files\Games-Attack supprimé !
C:\Documents and Settings\All Users\menudm~1\progra~1\Games-Attack supprimé !
c:\docume~1\alluse~1\applic~1\Games-Attack supprimé !
C:\Documents and Settings\Administrateur\applic~1\Games-Attack supprimé !
c:\docume~1\admini~1\locals~1\applic~1\etldk.exe supprimé !
c:\docume~1\admini~1\locals~1\applic~1\etldk.dat supprimé !
c:\docume~1\admini~1\locals~1\applic~1\etldk_nav.dat supprimé !
c:\docume~1\admini~1\locals~1\applic~1\etldk_navps.dat supprimé !

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Administrateur\locals~1\Temp effectué !

*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok

*** Scan terminé 20/09/2009 11:46:22,89 ***

Réponse 9 / 65

mellissa

ça c le rapport

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\synsend]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000000
"ImagePath"=hex(2):5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,57,00,49,00,4e,00,\
44,00,4f,00,57,00,53,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,\
00,5c,00,64,00,72,00,69,00,76,00,65,00,72,00,73,00,5c,00,73,00,79,00,6e,00,\
73,00,65,00,6e,00,64,00,64,00,72,00,76,00,2e,00,73,00,79,00,73,00,00,00
"DisplayName"="synsend"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\synsend\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\synsend\Enum]
"0"="Root\\LEGACY_SYNSEND\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
"INITSTARTFAILED"=dword:00000001

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\synsend]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000000
"ImagePath"=hex(2):5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,57,00,49,00,4e,00,\
44,00,4f,00,57,00,53,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,\
00,5c,00,64,00,72,00,69,00,76,00,65,00,72,00,73,00,5c,00,73,00,79,00,6e,00,\
73,00,65,00,6e,00,64,00,64,00,72,00,76,00,2e,00,73,00,79,00,73,00,00,00
"DisplayName"="synsend"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\synsend\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\bxvmeayozi]
"Type"=dword:00000001
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"=hex(2):5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,57,00,49,00,4e,00,\
44,00,4f,00,57,00,53,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,\
00,5c,00,64,00,72,00,69,00,76,00,65,00,72,00,73,00,5c,00,69,00,72,00,73,00,\
6d,00,6f,00,66,00,2e,00,73,00,79,00,73,00,00,00
"DisplayName"="bxvmeayozi"
"RulesData"=hex:03,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,74,00,5c,00,52,00,45,00,47,00,49,00,53,00,54,00,52,00,59,00,5c,00,\
4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,59,00,53,00,54,00,45,\
00,4d,00,5c,00,43,00,6f,00,6e,00,74,00,72,00,6f,00,6c,00,53,00,65,00,74,00,\
30,00,30,00,31,00,5c,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,73,00,5c,\
00,62,00,78,00,76,00,6d,00,65,00,61,00,79,00,6f,00,7a,00,69,00,00,00,02,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,76,00,5c,\
00,44,00,65,00,76,00,69,00,63,00,65,00,5c,00,48,00,61,00,72,00,64,00,64,00,\
69,00,73,00,6b,00,56,00,6f,00,6c,00,75,00,6d,00,65,00,31,00,5c,00,57,00,49,\
00,4e,00,44,00,4f,00,57,00,53,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,\
33,00,32,00,5c,00,64,00,72,00,69,00,76,00,65,00,72,00,73,00,5c,00,69,00,72,\
00,73,00,6d,00,6f,00,66,00,2e,00,73,00,79,00,73,00,00,00,02,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,70,00,5c,00,44,00,65,\
00,76,00,69,00,63,00,65,00,5c,00,48,00,61,00,72,00,64,00,64,00,69,00,73,00,\
6b,00,56,00,6f,00,6c,00,75,00,6d,00,65,00,31,00,5c,00,57,00,49,00,4e,00,44,\
00,4f,00,57,00,53,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,\
5c,00,64,00,72,00,69,00,76,00,65,00,72,00,73,00,5c,00,73,00,74,00,72,00,2e,\
00,73,00,79,00,73,00,00,00
"krnl_sleepfreq"=hex:b0,04,00,00
"krnl_servers_list"=hex:68,74,74,70,00,00,00,00,00,00,00,00,00,00,00,68,74,74,\
70,3a,2f,2f,6a,75,64,6c,69,66,65,2e,63,6f,6d,2f,6b,61,6b,61,2f,67,65,74,63,\
66,67,2e,70,68,70,00,68,74,74,70,00,00,00,00,00,00,00,00,00,00,00,68,74,74,\
70,3a,2f,2f,6a,75,64,65,78,2e,63,6f,2e,63,72,2f,31,2f,67,65,74,63,66,67,2e,\
70,68,70,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\bxvmeayozi\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

Réponse 10 / 65

mellissa

voila le rapport qui été dans le programme files

ZHPFix v1.12.13 by Nicolas Coolman - Rapport de suppression du 20/09/2009 13:05:25
Fichier Registre :
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

Processus mémoire :
C:\WINDOWS\system32\drivers\irsmof.sys => Fichier absent
C:\WINDOWS\system32\drivers\synsenddrv.sys => Fichier absent

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
C:\Program Files\AdVantage => Dossier absent
C:\Program Files\vmntoolbar => Dossier absent
C:\Program Files\MyWebSearch => Dossier absent

Fichier :
(Néant)

Logiciel :
(Néant)

Autre :
(Néant)

Récapitulatif :
Processus mémoire : 2
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 3
Fichier : 0
Logiciel : 0
Autre : 0

End of the scan

Réponse 11 / 65

mellissa

j pas bien comprie ça (Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date) pour analyse ...
)mais si vous voulez que j vous le poste le voila:

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2775
Windows 5.1.2600 Service Pack 2

20/09/2009 14:20:37 Orkas Lite
mbam-log-2009-09-20 (14-20-37).txt

Type de recherche: Examen rapide
Eléments examinés: 116684
Temps écoulé: 4 minute(s), 30 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 9
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\adlaunch32.dll (IM.Worm) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18ea9-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{25560540-9571-4d7b-9389-0f166788785a} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3dc201fb-e9c9-499c-a11f-23c360d7c3f8} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9ff05104-b030-46fc-94b8-81276e4e27df} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{100eb1fd-d03e-47fd-81f3-ee91287f9465} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.TryMedia) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{90b8b761-df2b-48ac-bbe0-bcc03a819b3b} (Adware.Zango) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (IM.Worm) -> Data: c:\windows\system32\adlaunch32.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (IM.Worm) -> Data: system32\adlaunch32.dll -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\adlaunch32.dll (IM.Worm) -> Delete on reboot.
C:\Program Files\Mozilla Firefox\plugins\NPMyWebS.dll (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\f3PSSavr.scr (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Drivers\str.sys (Rootkit.Agent) -> Delete on reboot.

Réponse 12 / 65

mellissa

et ça c le scanne avc ZHPDiag http://www.cijoint.fr/cjlink.php?file=cj200909/cij2bmjo32.txt

Réponse 13 / 65

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

bien ....

on continue .... dans l'ordre :

1- Supprime tout ce qui se trouve dans la quarantaine de Malwarebytes .

====================

2- Refais un coup de CCleaner ( registre compris ) .

===============

3- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !):

http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clique droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape CFix et valide .

- le renommage au téléchargement est primordial pour contrer l'infection, sinon l'outil sera inutilisable -

--------------------------------- [ ! ATTENTION ! ] ------------------------------------------
!! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
--------------------------------------------------------------------------------------------

Ensuite :
> Double-clique sur l'icône "Combofix.exe" pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...

-- Pour XP, l' installation de la Console de Récupération sera demandé :
* Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gif
*Reconnecte toi avant de cliquer sur "yes", et uniquement le temps de cette manipulation.
*Une fois la console installée,
image > http://img.photobucket.com/albums/v706/ried7/whatnext.png
re-déconnecte toi avant de cliquer sur "yes" pour lancer le scan --

Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'annonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarrer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée ici: C:\Combofix.txt

Réactive bien tes défenses

Poste le rapport Combofix pour analyse ...

Réponse 14 / 65

mellissa

bonsoir mon sauveur puisque je suis une bleu (comme j lé deja dit ) j pe savoir ou j pourrais désactive guarde anti spy-ware g jamais entendue parléY

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

Re,

tu n'as pas d'anti spy ... donc laisse courrir de se côté là .... ^^

tu désactives Kaspersky ainsi que le pare feu Windows ( Via paneau de config... ).

Réponse 15 / 65

mellissa

j c pas comment dire ça mais j fé une gaffe
j 'installé la Console de Récupération avent tout quand j relu j vu que vous insistez sur ( lorsque l'outil te le demandera )
comment j fé pour désinstallé

Réponse 16 / 65

mellissa

re
pour le rapport comboFix si je me suis pas bcp trompé l voila:

ComboFix 09-09-18.02 - Administrateur 21/09/2009 1:03.2.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1014.695 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\CFix.exe
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycler\S-1-5-21-5073860078-1736656289-860752934-4264
c:\recycler\S-1-5-21-57989841-287218729-682003330-500
c:\windows\Alcmtr.exe
c:\windows\struct~.ini
c:\windows\system32\gasfkyaaxvrbqp.dat
c:\windows\system32\gasfkybftpwjol.dat
c:\windows\system32\gasfkycbjoufji.dat
c:\windows\system32\gasfkydwfjxvkp.dat
c:\windows\system32\gasfkydxvnpwvb.dat
c:\windows\system32\gasfkyfwypmeja.dat
c:\windows\system32\gasfkyivsbsppk.dat
c:\windows\system32\gasfkylkyabdib.dat
c:\windows\system32\gasfkynyrerrfu.dat
c:\windows\system32\gasfkyoetqskep.dat
c:\windows\system32\gasfkyqavfbotp.dat
c:\windows\system32\gasfkyqjrppkds.dat
c:\windows\system32\gasfkyqompltrb.dat
c:\windows\system32\gasfkysthpylns.dat
c:\windows\system32\gasfkystnqjpyo.dat
c:\windows\system32\gasfkyswtnlpfu.dat
c:\windows\system32\gasfkywhooblxf.dat
c:\windows\system32\gasfkywhpjqsnp.dat
c:\windows\system32\gasfkywkfjpyiv.dat
c:\windows\system32\gasfkywkpmprgr.dat
c:\windows\system32\gasfkywthqowob.dat
c:\windows\system32\gasfkyxbgqyviy.dat
c:\windows\system32\gasfkyxyvtmfil.dat
c:\windows\system32\msconfig.exe

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NWCWORKSTATION
-------\Legacy_SYNSEND
-------\Service_NWCWorkstation

((((((((((((((((((((((((((((( Fichiers créés du 2009-08-21 au 2009-09-21 ))))))))))))))))))))))))))))))))))))
.

2009-09-20 13:23 . 2009-09-20 13:23 604140 --sha-w- c:\windows\system32\drivers\ISwift3.dat
2009-09-20 13:14 . 2009-09-20 13:14 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2009-09-20 13:14 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-20 13:14 . 2009-09-20 13:14 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-09-20 13:14 . 2009-09-20 13:14 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-09-20 13:14 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-20 12:17 . 2009-09-20 12:17 -------- d-----w- c:\program files\CCleaner
2009-09-20 10:16 . 2009-09-20 10:46 -------- d-----w- c:\program files\Navilog1
2009-09-20 09:55 . 2009-09-20 11:04 -------- d-----w- C:\ToolBar SD
2009-09-20 05:59 . 2004-08-03 23:54 221184 ----a-w- c:\windows\system32\wmpns.dll
2009-09-19 21:11 . 2009-09-20 11:59 -------- d-----w- c:\program files\ZHPDiag
2009-09-19 04:26 . 2009-09-19 19:01 -------- d-----w- c:\windows\system32\CatRoot_bak
2009-09-19 04:07 . 2009-09-19 04:07 -------- d-----w- c:\program files\Trend Micro
2009-09-19 03:56 . 2009-02-09 11:42 2022912 -c----w- c:\windows\system32\dllcache\ntkrpamp.exe
2009-09-19 03:56 . 2009-02-09 11:42 2065024 -c----w- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-09-19 03:56 . 2009-02-09 11:43 2188160 -c----w- c:\windows\system32\dllcache\ntoskrnl.exe
2009-09-19 03:56 . 2009-02-09 11:42 2144768 -c----w- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-09-19 03:27 . 2009-09-19 03:27 -------- d-----w- c:\program files\MSXML 6.0
2009-09-19 03:25 . 2009-09-19 03:25 -------- d-----w- c:\windows\ServicePackFiles
2009-09-19 03:16 . 2008-06-14 17:59 272768 -c----w- c:\windows\system32\dllcache\bthport.sys
2009-09-19 03:16 . 2008-06-14 17:59 272768 ------w- c:\windows\system32\drivers\bthport.sys
2009-09-19 02:52 . 2008-10-24 11:25 455936 -c----w- c:\windows\system32\dllcache\mrxsmb.sys
2009-09-18 16:29 . 2009-09-18 16:29 -------- d-----w- c:\documents and settings\Administrateur\Application Data\DeepBurner
2009-09-18 16:29 . 2009-09-18 16:29 -------- d-----w- c:\program files\Astonsoft
2009-09-18 15:40 . 2009-09-18 15:50 -------- d-----w- c:\documents and settings\Administrateur.KINGROOL\Application Data\DeepBurner
2009-09-18 13:51 . 2009-09-20 10:03 -------- d-----w- c:\windows\system32\config\systemprofile\Application Data\VMNTOOLBAR
2009-09-18 13:51 . 2009-09-18 13:51 -------- d-----w- c:\windows\system32\config\systemprofile\Application Data\EmailNotifier
2009-09-18 12:33 . 2009-09-18 12:33 -------- d-----w- c:\documents and settings\Administrateur\Turbo Squid Tentacles
2009-09-18 09:27 . 2009-09-18 09:54 107547 ----a-w- c:\windows\system32\drivers\klin.dat
2009-09-18 09:27 . 2009-09-18 09:54 95259 ----a-w- c:\windows\system32\drivers\klick.dat
2009-09-18 09:26 . 2009-09-21 00:09 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab
2009-09-18 09:26 . 2009-09-18 09:26 -------- d-----w- c:\program files\Kaspersky Lab
2009-09-18 09:25 . 2009-09-18 09:25 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files
2009-09-17 22:18 . 2009-09-20 23:59 -------- d--h--w- c:\documents and settings\Default User.WINDOWS.0
2009-09-17 22:18 . 2009-09-17 20:28 -------- d-----w- c:\documents and settings\All Users.WINDOWS.0
2009-09-17 22:14 . 2009-09-17 20:49 -------- d-----w- C:\WINDOWS.0
2009-09-17 22:06 . 2008-07-19 14:33 23152 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-09-17 22:06 . 2008-07-19 14:32 42912 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-09-17 22:06 . 2008-07-19 14:32 26944 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2009-09-17 22:06 . 2008-07-19 14:37 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2009-09-17 22:06 . 2008-07-19 14:37 94416 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2009-09-17 22:06 . 2008-07-19 14:35 78416 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-09-17 22:06 . 2008-07-19 14:30 94392 ----a-w- c:\windows\system32\AvastSS.scr
2009-09-17 22:06 . 2008-01-17 16:34 93264 ----a-w- c:\windows\system32\drivers\aswmon.sys
2009-09-17 22:06 . 2008-07-19 14:43 1163960 ----a-w- c:\windows\system32\aswBoot.exe
2009-09-17 20:50 . 2009-09-17 20:50 9784 ----a-w- c:\documents and settings\Administrateur.KINGROOL\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-09-17 20:38 . 2009-09-17 20:38 -------- d-----w- c:\documents and settings\Default User.WINDOWS.0\VS80-KB925674-X86
2009-09-17 20:38 . 2009-09-17 20:38 -------- d-----w- c:\documents and settings\Default User.WINDOWS.0\IXP000.TMP
2009-09-17 20:29 . 2009-09-17 20:35 -------- d-s---w- c:\documents and settings\Default User.WINDOWS.0\Local Settings\Application Data\Microsoft
2009-09-17 20:28 . 2009-09-17 20:28 -------- d-sh--w- c:\documents and settings\All Users.WINDOWS.0\DRM
2009-09-17 20:28 . 2009-09-17 20:28 -------- d-----w- c:\program files\Services en ligne
2009-09-17 14:37 . 2009-09-17 14:37 -------- d-----w- c:\program files\PhotoFiltre
2009-09-15 21:16 . 2009-09-19 19:01 -------- d-----w- C:\UsbFix
2009-09-15 18:40 . 2009-09-15 18:40 -------- d-----w- C:\spoolerlogs
2009-09-14 13:15 . 2009-09-14 13:15 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Apple
2009-09-14 04:23 . 2009-09-14 04:23 -------- d-----w- c:\windows\system32\wbem\Repository
2009-09-11 12:45 . 2009-09-11 13:03 -------- d-----w- c:\program files\CamStudio
2009-09-10 14:10 . 2009-09-10 14:10 -------- d-----w- c:\program files\Oneplayer
2009-09-10 14:03 . 2009-09-10 14:10 -------- d-----w- c:\documents and settings\Administrateur\Application Data\GetRightToGo
2009-09-09 09:47 . 2009-09-09 09:47 -------- d-----w- c:\documents and settings\Administrateur\Application Data\CamTrack
2009-09-09 09:45 . 2005-12-18 12:33 44416 ----a-w- c:\windows\system32\drivers\dptrackerd.sys
2009-09-09 09:43 . 2006-04-25 09:57 428160 ----a-w- c:\windows\system32\drivers\vmfilter303.sys
2009-09-09 09:43 . 2005-04-30 17:46 81920 ----a-w- c:\windows\system32\VM303STI.dll
2009-09-09 09:43 . 2007-01-09 12:33 102400 ----a-w- c:\windows\VM303Cap.exe
2009-09-09 09:43 . 2007-01-09 12:33 40960 ----a-w- c:\windows\system32\setupfilter.exe
2009-09-09 09:43 . 2007-01-09 12:33 176128 ----a-w- c:\windows\amcap.exe
2009-09-09 09:43 . 2006-12-01 13:23 392122 ----a-w- c:\windows\system32\drivers\usbVM303.sys
2009-09-09 09:43 . 2009-09-09 09:43 -------- d-----w- c:\program files\Vimicro
2009-09-02 17:53 . 2009-09-02 17:53 -------- d-----w- c:\documents and settings\All Users\Application Data\Gamerizon
2009-09-01 02:53 . 2009-09-02 17:54 -------- d-----w- c:\program files\HiYojeux
2009-09-01 02:17 . 2009-09-11 12:45 -------- d-----w- c:\program files\Common Files
2009-09-01 02:06 . 2009-09-01 02:06 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Identities
2009-08-29 19:12 . 2009-08-29 19:28 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\IM
2009-08-29 19:12 . 2009-08-29 19:13 -------- d-----w- c:\documents and settings\All Users\Application Data\IM
2009-08-29 19:12 . 2009-08-29 19:12 -------- d-----w- c:\documents and settings\All Users\Application Data\IncrediMail
2009-08-28 20:02 . 2009-08-28 20:02 -------- d-----w- c:\program files\Blender Foundation
2009-08-27 16:49 . 2009-08-27 16:49 -------- d-----w- c:\program files\Render Plus Systems
2009-08-26 20:09 . 2009-08-26 20:09 -------- d-----w- c:\documents and settings\All Users\Application Data\Trymedia
2009-08-26 00:51 . 2009-08-26 17:35 -------- d-----w- c:\program files\Kerkythea Rendering System
2009-08-25 19:12 . 2009-08-25 19:12 -------- d-----w- c:\program files\Veetle
2009-08-25 18:55 . 2009-08-25 18:55 -------- d-----w- c:\program files\SopCast
2009-08-25 10:50 . 2009-08-25 10:50 -------- d-----w- c:\program files\uTorrent
2009-08-25 10:48 . 2009-09-20 13:21 -------- d-----w- c:\documents and settings\Administrateur\Application Data\uTorrent
2009-08-24 09:24 . 2004-05-04 10:53 1645320 ----a-w- c:\windows\system32\gdiplus.dll
2009-08-22 10:39 . 2009-08-22 10:39 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Iminent
2009-08-22 10:24 . 2009-08-23 21:03 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\IMBooster4web-en
2009-08-22 10:24 . 2009-08-22 10:24 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Conduit
2009-08-22 10:24 . 2009-08-22 10:24 -------- d-----w- c:\program files\IMBooster4web-en
2009-08-22 10:22 . 2009-08-22 10:23 -------- d-----w- c:\documents and settings\All Users\Application Data\Iminent
2009-08-22 10:22 . 2009-09-02 19:46 -------- d-----w- c:\program files\Iminent
2009-08-22 10:22 . 2009-08-22 10:22 -------- d--h--w- c:\documents and settings\All Users\Application Data\{567066F5-4167-42EB-91E3-FC7889D390C7}

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-20 23:44 . 2009-05-29 21:47 664 ----a-w- c:\windows\system32\d3d9caps.dat
2009-09-20 13:23 . 2009-05-29 17:18 103816 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-09-20 06:56 . 2001-08-28 10:00 93550 ----a-w- c:\windows\system32\perfc00C.dat
2009-09-20 06:56 . 2001-08-28 10:00 527936 ----a-w- c:\windows\system32\perfh00C.dat
2009-09-18 15:45 . 2009-06-04 18:23 -------- d-----w- c:\documents and settings\Administrateur\Application Data\dvdcss
2009-09-17 20:56 . 2009-06-29 07:35 -------- d-----w- c:\documents and settings\Administrateur\Application Data\vmntoolbar
2009-09-15 14:54 . 2009-06-14 18:56 -------- d-----w- c:\program files\QuickTime
2009-09-15 14:54 . 2009-06-14 18:56 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer
2009-09-14 00:38 . 2009-07-17 21:07 -------- d-----w- c:\program files\RocketDock
2009-09-11 22:24 . 2009-06-03 22:46 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Free Download Manager
2009-09-11 12:45 . 2009-05-29 11:34 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-09-02 23:17 . 2009-05-29 22:31 -------- d-----w- c:\program files\Microsoft Silverlight
2009-09-02 17:53 . 2009-06-14 22:05 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2009-08-31 00:36 . 2009-08-01 10:50 -------- d-----w- c:\documents and settings\Administrateur\Application Data\vlc
2009-08-22 10:35 . 2009-08-21 15:28 -------- d-----w- c:\program files\CrazySmileys
2009-08-19 13:46 . 2009-08-19 13:46 -------- d-----w- c:\documents and settings\All Users\Application Data\Innovative Solutions
2009-08-19 13:26 . 2009-08-19 13:26 -------- d-----w- c:\documents and settings\Administrateur\Application Data\URSoft
2009-08-18 20:01 . 2009-05-29 13:22 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype
2009-08-18 19:36 . 2009-05-29 17:27 -------- d-----w- c:\documents and settings\Administrateur\Application Data\skypePM
2009-08-13 11:18 . 2009-08-12 19:21 -------- d-----w- c:\documents and settings\All Users\Application Data\ASGvis
2009-08-07 13:58 . 2009-05-30 19:44 -------- d-----w- c:\program files\CDBurnerXP
2009-08-06 10:12 . 2009-05-29 14:04 -------- d-----w- c:\program files\Autodesk
2009-08-05 12:09 . 2009-08-05 12:09 664 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\d3d9caps.tmp
2009-08-05 10:08 . 2009-08-02 22:18 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Abvent_Artlantis2
2009-08-05 09:06 . 2004-08-03 23:54 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-08-03 13:50 . 2009-08-03 11:54 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Graphisoft
2009-08-03 11:59 . 2009-05-29 17:10 -------- d-----w- c:\program files\Yahoo!
2009-08-03 11:53 . 2009-08-03 11:53 -------- d-----w- c:\program files\WIBU-SYSTEMS
2009-08-03 11:46 . 2009-08-03 11:46 -------- d-----w- c:\program files\Graphisoft
2009-08-03 11:45 . 2009-08-03 11:45 -------- d-----w- c:\program files\Java
2009-08-02 22:19 . 2009-08-02 22:19 -------- d-----w- c:\documents and settings\All Users\Application Data\Abvent
2009-08-02 22:19 . 2009-08-02 22:19 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Abvent
2009-08-02 19:12 . 2009-05-29 14:02 -------- d-----w- c:\documents and settings\All Users\Application Data\Autodesk
2009-08-02 19:12 . 2009-05-29 14:02 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Autodesk
2009-08-02 19:01 . 2009-08-02 19:01 -------- d-----w- c:\program files\Turbo Squid Tentacles
2009-08-02 18:57 . 2009-05-29 14:02 -------- d-----w- c:\program files\Fichiers communs\Autodesk Shared
2009-08-01 14:58 . 2009-08-01 12:36 -------- d-----w- c:\program files\Google
2009-08-01 14:55 . 2009-08-01 14:55 -------- d-----w- c:\documents and settings\All Users\Application Data\InstallShield
2009-08-01 14:55 . 2009-05-29 12:53 -------- d-----w- c:\program files\Fichiers communs\InstallShield
2009-08-01 10:49 . 2009-08-01 10:49 -------- d-----w- c:\program files\VideoLAN
2009-08-01 10:16 . 2009-07-31 21:05 -------- d-----w- c:\program files\NewTek
2009-07-31 11:59 . 2009-07-31 11:59 137 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\fusioncache.dat
2009-07-30 21:23 . 2009-07-29 22:54 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Skype(2)
2009-07-30 21:19 . 2009-07-30 19:50 -------- d-----w- c:\program files\Autodesk Network License Manager
2009-07-30 21:15 . 2009-07-30 21:00 -------- d-----w- c:\program files\NuGraf
2009-07-30 19:50 . 2009-07-30 19:50 -------- d-----w- c:\program files\Fichiers communs\Java
2009-07-30 12:41 . 2009-07-30 12:41 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Blender Foundation
2009-07-29 04:29 . 2006-11-26 19:39 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-07-29 04:29 . 2006-11-26 19:39 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-07-28 22:40 . 2009-07-28 22:40 -------- d-----w- c:\program files\Microsoft WSE
2009-07-28 22:33 . 2009-05-29 14:33 -------- d-----w- c:\program files\MSBuild
2009-07-28 22:33 . 2009-07-28 22:33 2272 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
2009-07-28 22:30 . 2009-07-28 22:30 -------- d-----w- c:\program files\Reference Assemblies
2009-07-25 22:11 . 2009-07-25 22:11 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Bandoo
2009-07-18 13:07 . 2009-07-18 13:07 2560 ----a-w- c:\windows\_MSRSTRT.EXE
2009-07-17 18:56 . 2004-08-03 23:54 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 22:43 . 2006-10-18 21:47 286208 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-03 14:48 . 2009-07-03 14:48 219664 ----a-w- c:\windows\system32\klogon.dll
2009-07-03 14:45 . 2009-07-03 14:45 27507 ----a-w- c:\windows\system32\drivers\klopp.dat
2009-06-29 15:57 . 2006-11-19 19:51 827392 ----a-w- c:\windows\system32\wininet.dll
2009-06-29 15:57 . 2006-11-26 19:42 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-06-29 15:57 . 2006-11-26 19:42 17408 ----a-w- c:\windows\system32\corpol.dll
2009-06-25 18:36 . 2004-08-03 23:54 95744 ----a-w- c:\windows\system32\mqsec.dll
2009-06-25 18:36 . 2004-08-03 23:54 661504 ----a-w- c:\windows\system32\mqqm.dll
2009-06-25 18:36 . 2004-08-03 23:54 527360 ----a-w- c:\windows\system32\mqutil.dll
2009-06-25 18:36 . 2004-08-03 23:54 517120 ----a-w- c:\windows\system32\mqsnap.dll
2009-06-25 18:36 . 2004-08-03 23:54 48640 ----a-w- c:\windows\system32\mqupgrd.dll
2009-06-25 18:36 . 2004-08-03 23:54 186880 ----a-w- c:\windows\system32\mqtrig.dll
2009-06-25 18:36 . 2004-08-03 23:54 177152 ----a-w- c:\windows\system32\mqrt.dll
2009-06-25 18:36 . 2004-08-03 23:54 123392 ----a-w- c:\windows\system32\mqrtdep.dll
2009-06-25 18:36 . 2004-08-03 23:54 47104 ----a-w- c:\windows\system32\mqdscli.dll
2009-06-25 18:36 . 2004-08-03 23:54 225280 ----a-w- c:\windows\system32\mqoa.dll
2009-06-25 18:36 . 2004-08-03 23:54 16896 ----a-w- c:\windows\system32\mqise.dll
2009-06-25 18:36 . 2004-08-03 23:54 138240 ----a-w- c:\windows\system32\mqad.dll
2009-06-25 13:04 . 2009-06-25 13:04 5248 ----a-w- c:\windows\system32\giveio.sys
.

------- Sigcheck -------

[-] 2006-11-29 . 3D1366302BCD4A1D75060989A146C815 . 1722368 . . [6.00.2900.2180] . . c:\windows\explorer.exe

[-] 2007-02-01 . 0AB3B3F74F29B6D190E4ABBC2F7EABD4 . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{346de098-61f9-4b42-89da-6dfba7091bb6}"= "c:\program files\IMBooster4web-en\tbIMBo.dll" [2009-07-15 2224152]

[HKEY_CLASSES_ROOT\clsid\{346de098-61f9-4b42-89da-6dfba7091bb6}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{346de098-61f9-4b42-89da-6dfba7091bb6}]
2009-07-15 09:09 2224152 ----a-w- c:\program files\IMBooster4web-en\tbIMBo.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A6E9BAAF-53CD-4575-967B-2AF710A7D21F}]
2009-08-13 13:39 99840 ----a-w- c:\program files\Iminent\IMBooster\Iminent.LinkToContent.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{346de098-61f9-4b42-89da-6dfba7091bb6}"= "c:\program files\IMBooster4web-en\tbIMBo.dll" [2009-07-15 2224152]

[HKEY_CLASSES_ROOT\clsid\{346de098-61f9-4b42-89da-6dfba7091bb6}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{346DE098-61F9-4B42-89DA-6DFBA7091BB6}"= "c:\program files\IMBooster4web-en\tbIMBo.dll" [2009-07-15 2224152]

[HKEY_CLASSES_ROOT\clsid\{346de098-61f9-4b42-89da-6dfba7091bb6}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="c:\program files\RocketDock\RocketDock.exe" [2007-09-02 495616]
"AlcoholAutomount"="c:\program files\Alcohol Soft\Alcohol 120\axcmd.exe" [2009-04-24 203928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0\bin\jusched.exe" [2009-08-03 77824]
"IMBooster"="c:\program files\Iminent\IMBooster\imbooster.exe" [2009-08-13 1328128]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe" [2009-07-03 303376]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide1"="move" [X]
"nltide_3"="advpack.dll" - c:\windows\system32\advpack.dll [2009-06-29 124928]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Free Download Manager\\fdm.exe"=
"c:\\Program Files\\Autodesk\\Backburner\\monitor.exe"=
"c:\\Program Files\\Autodesk\\Backburner\\manager.exe"=
"c:\\Program Files\\Autodesk\\Backburner\\server.exe"=
"c:\\Program Files\\Autodesk\\3ds Max 2009\\3dsmax.exe"=
"c:\\Program Files\\Graphisoft\\ArchiCAD 11 RC1\\ArchiCAD.exe"=
"c:\\Program Files\\SopCast\\adv\\SopAdver.exe"=
"c:\\Program Files\\SopCast\\SopCast.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Documents and Settings\\Administrateur\\Bureau\\uTorrent.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [15/12/2008 20:41 Orkas Lite 33808]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [29/05/2009 23:30 Orkas Lite 55152]
R2 mi-raysat_3dsMax2009_32;mental ray 3.6 Satellite for Autodesk 3ds Max Design 2009 32-bit 32-bit;c:\program files\Autodesk\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe [19/03/2008 18:28 Orkas Lite 65536]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [13/05/2009 17:46 Orkas Lite 31760]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [16/05/2009 20:59 Orkas Lite 19472]
S3 fsssvc;Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [06/02/2009 17:08 Orkas Lite 533360]
S3 vmfilter303;vmfilter303;c:\windows\system32\drivers\vmfilter303.sys [09/09/2009 10:43 Orkas Lite 428160]
S4 bxvmeayozi;bxvmeayozi;\??\c:\windows\system32\drivers\irsmof.sys --> c:\windows\system32\drivers\irsmof.sys [?]
.
.
------- Examen supplémentaire -------
.
uDefault_Search_URL = hxxp://www.google.com/ie
mWindow Title =
uInternet Settings,ProxyOverride = local
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Tout télécharger avec Free Download Manager - file://c:\program files\Free Download Manager\dlall.htm
IE: Télécharger avec Free Download Manager - file://c:\program files\Free Download Manager\dllink.htm
IE: Télécharger la sélection avec Free Download Manager - file://c:\program files\Free Download Manager\dlselected.htm
IE: Télécharger la vidéo avec Free Download Manager - file://c:\program files\Free Download Manager\dlfvideo.htm
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\mcnxu30g.default\
FF - prefs.js: browser.search.selectedEngine - MyWebSearch
FF - component: c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\mcnxu30g.default\extensions\{346de098-61f9-4b42-89da-6dfba7091bb6}\components\FFExternalAlert.dll
FF - component: c:\program files\Mozilla Firefox\extensions\linkcontent@iminent\components\Iminent.LinkToContentFF.dll
FF - component: c:\program files\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava11.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava12.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava13.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava14.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava32.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjpi160.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npoji610.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npyaxmpb.dll
FF - plugin: c:\program files\Veetle\Player\npvlc.dll
FF - plugin: c:\program files\Veetle\plugins\npVeetle.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
.
- - - - ORPHELINS SUPPRIMES - - - -

Toolbar-LinksFolderName - (no file)
Toolbar-SaveLinksOrder - (no file)
Toolbar-Locked - (no file)
Toolbar-ITBarLayout - (no file)
Toolbar-ITBarLayout - (no file)
WebBrowser-{A057A204-BACC-4D26-8287-79A187E26987} - (no file)
HKU-Default-RunOnce-nltide3 - rundll32 advpack.dll
HKU-Default-RunOnce-nltide2 - rundll32 advpack.dll

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-21 01:09
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1343024091-1715567821-725345543-500\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{030C4D0B-B5F1-BCD0-7796-AB77A6721FCB}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"pagcdpcbgibhjkafimkadimbojebcipm"=hex:6a,61,62,6c,6e,66,68,69,6f,64,70,67,68,
61,62,6a,6a,6f,68,6a,00,00
"oambjahnhmmhipmillfdmifejblleo"=hex:6a,61,62,6c,69,65,6c,67,61,62,66,64,64,6a,
67,63,64,6f,62,69,00,9b

[HKEY_USERS\S-1-5-21-1343024091-1715567821-725345543-500\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{9C50E2C0-6137-67CD-DAE5-A17BFFDB6771}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"iakjdpcgjpbgcocbip"=hex:69,61,70,6b,70,65,66,63,65,61,6e,68,66,6c,6b,6b,64,66,
00,00
"haijnlbjhffdgiee"=hex:6a,61,68,6f,6e,64,6f,63,66,61,68,64,6f,63,6f,66,6b,61,
65,65,00,00
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3868)
c:\program files\RocketDock\RocketDock.dll
c:\program files\Iminent\IMBooster\Iminent.WinCore.dll
c:\windows\system32\msi.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Heure de fin: 2009-09-21 1:18 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-09-21 00:16

Avant-CF: 114 601 349 120 octets libres
Après-CF: 114 495 492 096 octets libres

364 --- E O F --- 2009-09-20 01:28

Réponse 17 / 65

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

Salut,

comment j fé pour désinstallé

faut pas la désinstaller ! .... C'est important de l'avoir sur le PC car c'est des fois l'ultime recours en cas de plantage du systeme .... ^^

On continue :

1- Avoir accès aux fichiers cachés :

Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )

2- Rends toi sur ce site :

https://www.virustotal.com/gui/

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
c:\windows\system32\drivers\ISwift3.dat

Clique sur Send File ( = " Envoyer le fichier " ).

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses

Fais de même pour :

c:\windows\system32\setupfilter.exe

Poste moi donc ces 2 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...

Réponse 18 / 65

mellissa

bonjour ;pourr le 1 ier doc (c:\windows\system32\drivers\ISwift3.dat ) j u

0 bytes size received / Se ha recibido un archivo vacio

et pour le 2éme (c:\windows\system32\setupfilter.exe)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.09.21 -
AhnLab-V3 5.0.0.2 2009.09.19 -
AntiVir 7.9.1.19 2009.09.21 -
Antiy-AVL 2.0.3.7 2009.09.21 -
Authentium 5.1.2.4 2009.09.20 -
Avast 4.8.1351.0 2009.09.20 -
AVG 8.5.0.412 2009.09.21 -
BitDefender 7.2 2009.09.21 -
CAT-QuickHeal 10.00 2009.09.21 -
ClamAV 0.94.1 2009.09.21 -
Comodo 2389 2009.09.21 -
DrWeb 5.0.0.12182 2009.09.21 -
eSafe 7.0.17.0 2009.09.17 -
eTrust-Vet 31.6.6750 2009.09.21 -
F-Prot 4.5.1.85 2009.09.20 -
F-Secure 8.0.14470.0 2009.09.21 -
Fortinet 3.120.0.0 2009.09.21 -
GData 19 2009.09.21 -
Ikarus T3.1.1.72.0 2009.09.21 -
Jiangmin 11.0.800 2009.09.21 -
K7AntiVirus 7.10.849 2009.09.19 -
Kaspersky 7.0.0.125 2009.09.21 -
McAfee 5747 2009.09.20 -
McAfee+Artemis 5747 2009.09.20 -
McAfee-GW-Edition 6.8.5 2009.09.21 -
Microsoft 1.5005 2009.09.21 -
NOD32 4442 2009.09.21 -
Norman 6.01.09 2009.09.18 -
nProtect 2009.1.8.0 2009.09.21 -
Panda 10.0.2.2 2009.09.20 -
PCTools 4.4.2.0 2009.09.20 Worm.Anilogo!sd6
Prevx 3.0 2009.09.21 -
Rising 21.48.01.00 2009.09.21 -
Sophos 4.45.0 2009.09.21 -
Sunbelt 3.2.1858.2 2009.09.20 -
Symantec 1.4.4.12 2009.09.21 -
TheHacker 6.5.0.2.012 2009.09.18 -
TrendMicro 8.950.0.1094 2009.09.21 -
VBA32 3.12.10.10 2009.09.20 Win32.HLLW.Autoruner.900
ViRobot 2009.9.21.1944 2009.09.21 -
VirusBuster 4.6.5.0 2009.09.20 -
Information additionnelle
File size: 40960 bytes
MD5...: 8e73b6095502b16d1e3139bb77a9e7c7
SHA1..: 62de613952da962196e008ebf4a4e0fd9eb4d120
SHA256: 80a222cc9ff14ced7a4f1ab91eba67fbd2d9f8e48b33c221cb3afc4d7a108af5
ssdeep: 768:QfTlg/eNT1lmrOSJCcBVExIpDZ7P6szlb:W9LmqsCcjEShZTPlb

PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x235e
timedatestamp.....: 0x43fdad13 (Thu Feb 23 12:39:47 2006)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5aaa 0x6000 6.42 d2f8a39ad8508f2c5a8695a1c8972829
.rdata 0x7000 0x18d8 0x2000 4.16 a73184bdffa4cf67b11fe3ae33322bd5
.data 0x9000 0x8e4 0x1000 0.78 5b9f678e4d7b22e9f14d10ae81ea1b2f

( 4 imports )
> KERNEL32.dll: GetLastError, lstrlenA, GetVersionExA, LocalFree, InterlockedExchange, LoadLibraryA, IsBadCodePtr, FormatMessageA, LoadLibraryExA, FreeLibrary, IsBadReadPtr, VirtualQuery, GetSystemInfo, VirtualProtect, GetLocaleInfoA, GetStringTypeW, GetStringTypeA, GetFileType, SetHandleCount, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, UnhandledExceptionFilter, RtlUnwind, ExitProcess, RaiseException, HeapAlloc, HeapFree, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetACP, GetOEMCP, GetCPInfo, LCMapStringA, WideCharToMultiByte, MultiByteToWideChar, LCMapStringW, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, GetModuleFileNameA, SetUnhandledExceptionFilter, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, IsBadWritePtr, GetProcAddress, TerminateProcess, GetCurrentProcess, WriteFile, GetStdHandle, HeapSize
> USER32.dll: SetCursor, MessageBoxA, LoadCursorA
> ADVAPI32.dll: RegSetValueExA, RegCloseKey, RegQueryValueExA
> SETUPAPI.dll: SetupDiEnumDeviceInfo, SetupDiOpenDevRegKey, SetupDiSetDeviceRegistryPropertyA, SetupDiGetDeviceRegistryPropertyA, SetupDiGetClassDevsA, SetupDiCallClassInstaller, SetupDiDestroyDeviceInfoList, SetupDiSetClassInstallParamsA

( 0 exports )

RDS...: NSRL Reference Data Set
-
pdfid.: -
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=8e73b6095502b16d1e3139bb77a9e7c7' target='_blank'>https://www.symantec.com?md5=8e73b6095502b16d1e3139bb77a9e7c7</a>
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)

j'espére que g bien fait

Réponse 19 / 65

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

bien ....

la suite dans l'ordre :

1-Créer un doc texte sur ton bureau :
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :

File::
c:\windows\system32\drivers\ISwift3.dat
c:\windows\system32\drivers\irsmof.sys

Folder::
c:\documents and settings\Administrateur\Application Data\vmntoolbar

Driver::
bxvmeayozi

Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ...

2-Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.

Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touches à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

=========================

3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

melissa

bonsoir ; dsl pour le retard de deux jour j t en deplacement
j fait tous fais tout les etapes mais j croix que ya un truc qui cloche dans l'avent derniere etape normalement j un msg disant "Type 1 to continue, or 2 to abort" : j tape 1 pour validée.mais moi j pas u ce msg j u la mm chose que la première fois quand j utilisée Cfix (etape 1 etape2 etape3 ....etape50) é le redemmarage avc le rappore en dérnièr le voici:

ComboFix 09-09-22.01 - Administrateur 23/09/2009 0:22.2.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1014.637 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\CFix.exe
Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\CFScript.txt
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}

FILE ::
"c:\windows\system32\drivers\irsmof.sys"
"c:\windows\system32\drivers\ISwift3.dat"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_BXVMEAYOZI

((((((((((((((((((((((((((((( Fichiers créés du 2009-08-22 au 2009-09-22 ))))))))))))))))))))))))))))))))))))
.

2009-09-22 23:12 . 2009-09-22 23:12 -------- d-----w- c:\windows\system32\wbem\Repository
2009-09-21 09:48 . 2009-09-22 20:25 -------- d-----w- C:\b2c0d88ae014db6a61edd3
2009-09-21 09:48 . 2009-09-21 09:59 -------- d-----w- C:\7e7f7adfd48bff93604f93b1633175
2009-09-21 00:09 . 2009-09-21 09:59 -------- d-----w- C:\RECYCLER(2)
2009-09-21 00:00 . 2009-09-21 09:59 -------- d-----w- C:\CFix(2)
2009-09-20 22:09 . 2009-09-21 09:59 -------- d--h--w- c:\documents and settings\Administrateur\Recent(2)
2009-09-20 13:23 . 2009-09-20 13:23 604140 --sha-w- c:\windows\system32\drivers\ISwift3.dat
2009-09-20 13:14 . 2009-09-20 13:14 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2009-09-20 13:14 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-20 13:14 . 2009-09-22 21:06 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-09-20 13:14 . 2009-09-20 13:14 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-09-20 13:14 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-20 12:17 . 2009-09-20 12:17 -------- d-----w- c:\program files\CCleaner
2009-09-20 10:16 . 2009-09-22 20:09 -------- d-----w- c:\program files\Navilog1
2009-09-20 09:55 . 2009-09-22 19:37 -------- d-----w- C:\ToolBar SD
2009-09-20 05:59 . 2004-08-03 23:54 221184 ----a-w- c:\windows\system32\wmpns.dll
2009-09-19 21:11 . 2009-09-20 11:59 -------- d-----w- c:\program files\ZHPDiag
2009-09-19 04:26 . 2009-09-21 08:09 -------- d-----w- c:\windows\system32\CatRoot_bak
2009-09-19 04:07 . 2009-09-19 04:07 -------- d-----w- c:\program files\Trend Micro
2009-09-19 03:56 . 2009-02-09 11:42 2022912 -c----w- c:\windows\system32\dllcache\ntkrpamp.exe
2009-09-19 03:56 . 2009-02-09 11:42 2065024 -c----w- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-09-19 03:56 . 2009-02-09 11:43 2188160 -c----w- c:\windows\system32\dllcache\ntoskrnl.exe
2009-09-19 03:56 . 2009-02-09 11:42 2144768 -c----w- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-09-19 03:27 . 2009-09-19 03:27 -------- d-----w- c:\program files\MSXML 6.0
2009-09-19 03:25 . 2009-09-19 03:25 -------- d-----w- c:\windows\ServicePackFiles
2009-09-19 03:16 . 2008-06-14 17:59 272768 -c----w- c:\windows\system32\dllcache\bthport.sys
2009-09-19 03:16 . 2008-06-14 17:59 272768 ------w- c:\windows\system32\drivers\bthport.sys
2009-09-19 02:52 . 2008-10-24 11:25 455936 -c----w- c:\windows\system32\dllcache\mrxsmb.sys
2009-09-18 16:29 . 2009-09-18 16:29 -------- d-----w- c:\documents and settings\Administrateur\Application Data\DeepBurner
2009-09-18 16:29 . 2009-09-18 16:29 -------- d-----w- c:\program files\Astonsoft
2009-09-18 13:51 . 2009-09-20 10:03 -------- d-----w- c:\windows\system32\config\systemprofile\Application Data\VMNTOOLBAR
2009-09-18 13:51 . 2009-09-18 13:51 -------- d-----w- c:\windows\system32\config\systemprofile\Application Data\EmailNotifier
2009-09-18 12:33 . 2009-09-18 12:33 -------- d-----w- c:\documents and settings\Administrateur\Turbo Squid Tentacles
2009-09-18 09:27 . 2009-09-22 18:31 107547 ----a-w- c:\windows\system32\drivers\klin.dat
2009-09-18 09:27 . 2009-09-22 18:31 95259 ----a-w- c:\windows\system32\drivers\klick.dat
2009-09-18 09:26 . 2009-09-22 23:29 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab
2009-09-18 09:26 . 2009-09-18 09:26 -------- d-----w- c:\program files\Kaspersky Lab
2009-09-18 09:25 . 2009-09-18 09:25 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files
2009-09-17 22:18 . 2009-09-20 23:59 -------- d--h--w- c:\documents and settings\Default User.WINDOWS.0
2009-09-17 22:18 . 2009-09-17 20:28 -------- d-----w- c:\documents and settings\All Users.WINDOWS.0
2009-09-17 22:14 . 2009-09-21 10:08 -------- d-----w- C:\WINDOWS.0
2009-09-17 22:06 . 2008-07-19 14:33 23152 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-09-17 22:06 . 2008-07-19 14:32 42912 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-09-17 22:06 . 2008-07-19 14:32 26944 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2009-09-17 22:06 . 2008-07-19 14:37 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2009-09-17 22:06 . 2008-07-19 14:37 94416 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2009-09-17 22:06 . 2008-07-19 14:35 78416 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-09-17 22:06 . 2008-07-19 14:30 94392 ----a-w- c:\windows\system32\AvastSS.scr
2009-09-17 22:06 . 2008-01-17 16:34 93264 ----a-w- c:\windows\system32\drivers\aswmon.sys
2009-09-17 22:06 . 2008-07-19 14:43 1163960 ----a-w- c:\windows\system32\aswBoot.exe
2009-09-17 20:38 . 2009-09-17 20:38 -------- d-----w- c:\documents and settings\Default User.WINDOWS.0\VS80-KB925674-X86
2009-09-17 20:38 . 2009-09-17 20:38 -------- d-----w- c:\documents and settings\Default User.WINDOWS.0\IXP000.TMP
2009-09-17 20:29 . 2009-09-17 20:35 -------- d-s---w- c:\documents and settings\Default User.WINDOWS.0\Local Settings\Application Data\Microsoft
2009-09-17 20:28 . 2009-09-17 20:28 -------- d-sh--w- c:\documents and settings\All Users.WINDOWS.0\DRM
2009-09-17 20:28 . 2009-09-17 20:28 -------- d-----w- c:\program files\Services en ligne
2009-09-17 14:37 . 2009-09-17 14:37 -------- d-----w- c:\program files\PhotoFiltre
2009-09-15 21:16 . 2009-09-19 19:01 -------- d-----w- C:\UsbFix
2009-09-15 18:40 . 2009-09-15 18:40 -------- d-----w- C:\spoolerlogs
2009-09-14 13:15 . 2009-09-14 13:15 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Apple
2009-09-11 12:45 . 2009-09-11 13:03 -------- d-----w- c:\program files\CamStudio
2009-09-10 14:10 . 2009-09-10 14:10 -------- d-----w- c:\program files\Oneplayer
2009-09-10 14:03 . 2009-09-10 14:10 -------- d-----w- c:\documents and settings\Administrateur\Application Data\GetRightToGo
2009-09-09 09:47 . 2009-09-09 09:47 -------- d-----w- c:\documents and settings\Administrateur\Application Data\CamTrack
2009-09-09 09:45 . 2005-12-18 12:33 44416 ----a-w- c:\windows\system32\drivers\dptrackerd.sys
2009-09-09 09:43 . 2006-04-25 09:57 428160 ----a-w- c:\windows\system32\drivers\vmfilter303.sys
2009-09-09 09:43 . 2005-04-30 17:46 81920 ----a-w- c:\windows\system32\VM303STI.dll
2009-09-09 09:43 . 2007-01-09 12:33 102400 ----a-w- c:\windows\VM303Cap.exe
2009-09-09 09:43 . 2007-01-09 12:33 40960 ----a-w- c:\windows\system32\setupfilter.exe
2009-09-09 09:43 . 2007-01-09 12:33 176128 ----a-w- c:\windows\amcap.exe
2009-09-09 09:43 . 2006-12-01 13:23 392122 ----a-w- c:\windows\system32\drivers\usbVM303.sys
2009-09-09 09:43 . 2009-09-09 09:43 -------- d-----w- c:\program files\Vimicro
2009-09-02 17:53 . 2009-09-02 17:53 -------- d-----w- c:\documents and settings\All Users\Application Data\Gamerizon
2009-09-01 02:53 . 2009-09-02 17:54 -------- d-----w- c:\program files\HiYojeux
2009-09-01 02:17 . 2009-09-11 12:45 -------- d-----w- c:\program files\Common Files
2009-09-01 02:06 . 2009-09-01 02:06 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Identities
2009-08-29 19:12 . 2009-08-29 19:28 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\IM
2009-08-29 19:12 . 2009-08-29 19:13 -------- d-----w- c:\documents and settings\All Users\Application Data\IM
2009-08-29 19:12 . 2009-08-29 19:12 -------- d-----w- c:\documents and settings\All Users\Application Data\IncrediMail
2009-08-28 20:02 . 2009-08-28 20:02 -------- d-----w- c:\program files\Blender Foundation
2009-08-27 16:49 . 2009-08-27 16:49 -------- d-----w- c:\program files\Render Plus Systems
2009-08-26 20:09 . 2009-08-26 20:09 -------- d-----w- c:\documents and settings\All Users\Application Data\Trymedia
2009-08-26 00:51 . 2009-08-26 17:35 -------- d-----w- c:\program files\Kerkythea Rendering System
2009-08-25 19:12 . 2009-08-25 19:12 -------- d-----w- c:\program files\Veetle
2009-08-25 18:55 . 2009-08-25 18:55 -------- d-----w- c:\program files\SopCast
2009-08-25 10:50 . 2009-08-25 10:50 -------- d-----w- c:\program files\uTorrent
2009-08-25 10:48 . 2009-09-20 13:21 -------- d-----w- c:\documents and settings\Administrateur\Application Data\uTorrent
2009-08-24 09:24 . 2004-05-04 10:53 1645320 ----a-w- c:\windows\system32\gdiplus.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-22 18:31 . 2009-05-29 21:47 664 ----a-w- c:\windows\system32\d3d9caps.dat
2009-09-21 09:47 . 2009-06-03 22:46 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Free Download Manager
2009-09-20 13:23 . 2009-05-29 17:18 103816 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-09-20 06:56 . 2001-08-28 10:00 93550 ----a-w- c:\windows\system32\perfc00C.dat
2009-09-20 06:56 . 2001-08-28 10:00 527936 ----a-w- c:\windows\system32\perfh00C.dat
2009-09-18 15:45 . 2009-06-04 18:23 -------- d-----w- c:\documents and settings\Administrateur\Application Data\dvdcss
2009-09-15 14:54 . 2009-06-14 18:56 -------- d-----w- c:\program files\QuickTime
2009-09-15 14:54 . 2009-06-14 18:56 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer
2009-09-14 00:38 . 2009-07-17 21:07 -------- d-----w- c:\program files\RocketDock
2009-09-11 12:45 . 2009-05-29 11:34 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-09-02 23:17 . 2009-05-29 22:31 -------- d-----w- c:\program files\Microsoft Silverlight
2009-09-02 19:46 . 2009-08-22 10:22 -------- d-----w- c:\program files\Iminent
2009-09-02 17:53 . 2009-06-14 22:05 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2009-08-31 00:36 . 2009-08-01 10:50 -------- d-----w- c:\documents and settings\Administrateur\Application Data\vlc
2009-08-22 10:35 . 2009-08-21 15:28 -------- d-----w- c:\program files\CrazySmileys
2009-08-22 10:24 . 2009-08-22 10:24 -------- d-----w- c:\program files\IMBooster4web-en
2009-08-22 10:23 . 2009-08-22 10:22 -------- d-----w- c:\documents and settings\All Users\Application Data\Iminent
2009-08-22 10:22 . 2009-08-22 10:22 -------- d--h--w- c:\documents and settings\All Users\Application Data\{567066F5-4167-42EB-91E3-FC7889D390C7}
2009-08-19 13:46 . 2009-08-19 13:46 -------- d-----w- c:\documents and settings\All Users\Application Data\Innovative Solutions
2009-08-19 13:26 . 2009-08-19 13:26 -------- d-----w- c:\documents and settings\Administrateur\Application Data\URSoft
2009-08-18 20:01 . 2009-05-29 13:22 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype
2009-08-18 19:36 . 2009-05-29 17:27 -------- d-----w- c:\documents and settings\Administrateur\Application Data\skypePM
2009-08-13 11:18 . 2009-08-12 19:21 -------- d-----w- c:\documents and settings\All Users\Application Data\ASGvis
2009-08-07 13:58 . 2009-05-30 19:44 -------- d-----w- c:\program files\CDBurnerXP
2009-08-06 10:12 . 2009-05-29 14:04 -------- d-----w- c:\program files\Autodesk
2009-08-05 12:09 . 2009-08-05 12:09 664 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\d3d9caps.tmp
2009-08-05 10:08 . 2009-08-02 22:18 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Abvent_Artlantis2
2009-08-05 09:06 . 2004-08-03 23:54 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-08-03 13:50 . 2009-08-03 11:54 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Graphisoft
2009-08-03 11:59 . 2009-05-29 17:10 -------- d-----w- c:\program files\Yahoo!
2009-08-03 11:53 . 2009-08-03 11:53 -------- d-----w- c:\program files\WIBU-SYSTEMS
2009-08-03 11:46 . 2009-08-03 11:46 -------- d-----w- c:\program files\Graphisoft
2009-08-03 11:45 . 2009-08-03 11:45 -------- d-----w- c:\program files\Java
2009-08-02 22:19 . 2009-08-02 22:19 -------- d-----w- c:\documents and settings\All Users\Application Data\Abvent
2009-08-02 22:19 . 2009-08-02 22:19 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Abvent
2009-08-02 19:12 . 2009-05-29 14:02 -------- d-----w- c:\documents and settings\All Users\Application Data\Autodesk
2009-08-02 19:12 . 2009-05-29 14:02 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Autodesk
2009-08-02 19:01 . 2009-08-02 19:01 -------- d-----w- c:\program files\Turbo Squid Tentacles
2009-08-02 18:57 . 2009-05-29 14:02 -------- d-----w- c:\program files\Fichiers communs\Autodesk Shared
2009-08-01 14:58 . 2009-08-01 12:36 -------- d-----w- c:\program files\Google
2009-08-01 14:55 . 2009-08-01 14:55 -------- d-----w- c:\documents and settings\All Users\Application Data\InstallShield
2009-08-01 14:55 . 2009-05-29 12:53 -------- d-----w- c:\program files\Fichiers communs\InstallShield
2009-08-01 10:49 . 2009-08-01 10:49 -------- d-----w- c:\program files\VideoLAN
2009-08-01 10:16 . 2009-07-31 21:05 -------- d-----w- c:\program files\NewTek
2009-07-31 11:59 . 2009-07-31 11:59 137 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\fusioncache.dat
2009-07-30 21:23 . 2009-07-29 22:54 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Skype(2)
2009-07-30 21:19 . 2009-07-30 19:50 -------- d-----w- c:\program files\Autodesk Network License Manager
2009-07-30 21:15 . 2009-07-30 21:00 -------- d-----w- c:\program files\NuGraf
2009-07-30 19:50 . 2009-07-30 19:50 -------- d-----w- c:\program files\Fichiers communs\Java
2009-07-30 12:41 . 2009-07-30 12:41 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Blender Foundation
2009-07-29 04:29 . 2006-11-26 19:39 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-07-29 04:29 . 2006-11-26 19:39 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-07-28 22:40 . 2009-07-28 22:40 -------- d-----w- c:\program files\Microsoft WSE
2009-07-28 22:33 . 2009-05-29 14:33 -------- d-----w- c:\program files\MSBuild
2009-07-28 22:33 . 2009-07-28 22:33 2272 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
2009-07-28 22:30 . 2009-07-28 22:30 -------- d-----w- c:\program files\Reference Assemblies
2009-07-25 22:11 . 2009-07-25 22:11 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Bandoo
2009-07-18 13:07 . 2009-07-18 13:07 2560 ----a-w- c:\windows\_MSRSTRT.EXE
2009-07-17 18:56 . 2004-08-03 23:54 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 22:43 . 2006-10-18 21:47 286208 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-03 14:48 . 2009-07-03 14:48 219664 ----a-w- c:\windows\system32\klogon.dll
2009-07-03 14:45 . 2009-07-03 14:45 27507 ----a-w- c:\windows\system32\drivers\klopp.dat
2009-06-29 15:57 . 2006-11-19 19:51 827392 ----a-w- c:\windows\system32\wininet.dll
2009-06-29 15:57 . 2006-11-26 19:42 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-06-29 15:57 . 2006-11-26 19:42 17408 ----a-w- c:\windows\system32\corpol.dll
2009-06-25 18:36 . 2004-08-03 23:54 95744 ----a-w- c:\windows\system32\mqsec.dll
2009-06-25 18:36 . 2004-08-03 23:54 661504 ----a-w- c:\windows\system32\mqqm.dll
2009-06-25 18:36 . 2004-08-03 23:54 527360 ----a-w- c:\windows\system32\mqutil.dll
2009-06-25 18:36 . 2004-08-03 23:54 517120 ----a-w- c:\windows\system32\mqsnap.dll
2009-06-25 18:36 . 2004-08-03 23:54 48640 ----a-w- c:\windows\system32\mqupgrd.dll
2009-06-25 18:36 . 2004-08-03 23:54 186880 ----a-w- c:\windows\system32\mqtrig.dll
2009-06-25 18:36 . 2004-08-03 23:54 177152 ----a-w- c:\windows\system32\mqrt.dll
2009-06-25 18:36 . 2004-08-03 23:54 123392 ----a-w- c:\windows\system32\mqrtdep.dll
2009-06-25 18:36 . 2004-08-03 23:54 47104 ----a-w- c:\windows\system32\mqdscli.dll
2009-06-25 18:36 . 2004-08-03 23:54 225280 ----a-w- c:\windows\system32\mqoa.dll
2009-06-25 18:36 . 2004-08-03 23:54 16896 ----a-w- c:\windows\system32\mqise.dll
2009-06-25 18:36 . 2004-08-03 23:54 138240 ----a-w- c:\windows\system32\mqad.dll
2009-06-25 13:04 . 2009-06-25 13:04 5248 ----a-w- c:\windows\system32\giveio.sys
.

------- Sigcheck -------

[-] 2008-04-14 . F2317622D29F9FF0F88AEECD5F60F0DD . 1037824 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\explorer.exe
[-] 2006-11-29 . 3D1366302BCD4A1D75060989A146C815 . 1722368 . . [6.00.2900.2180] . . c:\windows\explorer.exe

[-] 2008-04-14 . E17C85D5B5CF477638433B851A98499E . 1571840 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\sfcfiles.dll
[-] 2007-02-01 . 0AB3B3F74F29B6D190E4ABBC2F7EABD4 . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{346de098-61f9-4b42-89da-6dfba7091bb6}"= "c:\program files\IMBooster4web-en\tbIMBo.dll" [2009-07-15 2224152]

[HKEY_CLASSES_ROOT\clsid\{346de098-61f9-4b42-89da-6dfba7091bb6}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{346de098-61f9-4b42-89da-6dfba7091bb6}]
2009-07-15 09:09 2224152 ----a-w- c:\program files\IMBooster4web-en\tbIMBo.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A6E9BAAF-53CD-4575-967B-2AF710A7D21F}]
2009-08-13 13:39 99840 ----a-w- c:\program files\Iminent\IMBooster\Iminent.LinkToContent.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{346de098-61f9-4b42-89da-6dfba7091bb6}"= "c:\program files\IMBooster4web-en\tbIMBo.dll" [2009-07-15 2224152]

[HKEY_CLASSES_ROOT\clsid\{346de098-61f9-4b42-89da-6dfba7091bb6}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{346DE098-61F9-4B42-89DA-6DFBA7091BB6}"= "c:\program files\IMBooster4web-en\tbIMBo.dll" [2009-07-15 2224152]

[HKEY_CLASSES_ROOT\clsid\{346de098-61f9-4b42-89da-6dfba7091bb6}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="c:\program files\RocketDock\RocketDock.exe" [2007-09-02 495616]
"AlcoholAutomount"="c:\program files\Alcohol Soft\Alcohol 120\axcmd.exe" [2009-04-24 203928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0\bin\jusched.exe" [2009-08-03 77824]
"IMBooster"="c:\program files\Iminent\IMBooster\imbooster.exe" [2009-08-13 1328128]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe" [2009-07-03 303376]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide1"="move" [X]
"nltide3"="rundll32 advpack.dll" [BU]
"nltide2"="rundll32 advpack.dll" [BU]
"nltide_3"="advpack.dll" - c:\windows\system32\advpack.dll [2009-06-29 124928]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Free Download Manager\\fdm.exe"=
"c:\\Program Files\\Autodesk\\Backburner\\monitor.exe"=
"c:\\Program Files\\Autodesk\\Backburner\\manager.exe"=
"c:\\Program Files\\Autodesk\\Backburner\\server.exe"=
"c:\\Program Files\\Autodesk\\3ds Max 2009\\3dsmax.exe"=
"c:\\Program Files\\Graphisoft\\ArchiCAD 11 RC1\\ArchiCAD.exe"=
"c:\\Program Files\\SopCast\\adv\\SopAdver.exe"=
"c:\\Program Files\\SopCast\\SopCast.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Documents and Settings\\Administrateur\\Bureau\\uTorrent.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [15/12/2008 20:41 Orkas Lite 33808]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [29/05/2009 23:30 Orkas Lite 55152]
R2 mi-raysat_3dsMax2009_32;mental ray 3.6 Satellite for Autodesk 3ds Max Design 2009 32-bit 32-bit;c:\program files\Autodesk\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe [19/03/2008 18:28 Orkas Lite 65536]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [13/05/2009 17:46 Orkas Lite 31760]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [16/05/2009 20:59 Orkas Lite 19472]
S3 fsssvc;Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [06/02/2009 17:08 Orkas Lite 533360]
S3 vmfilter303;vmfilter303;c:\windows\system32\drivers\vmfilter303.sys [09/09/2009 10:43 Orkas Lite 428160]
.
.
------- Examen supplémentaire -------
.
uDefault_Search_URL = hxxp://www.google.com/ie
mWindow Title =
uInternet Settings,ProxyOverride = local
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Tout télécharger avec Free Download Manager - file://c:\program files\Free Download Manager\dlall.htm
IE: Télécharger avec Free Download Manager - file://c:\program files\Free Download Manager\dllink.htm
IE: Télécharger la sélection avec Free Download Manager - file://c:\program files\Free Download Manager\dlselected.htm
IE: Télécharger la vidéo avec Free Download Manager - file://c:\program files\Free Download Manager\dlfvideo.htm
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\mcnxu30g.default\
FF - prefs.js: browser.search.selectedEngine - MyWebSearch
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava11.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava12.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava13.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava14.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava32.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjpi160.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npoji610.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npyaxmpb.dll
FF - plugin: c:\program files\Veetle\Player\npvlc.dll
FF - plugin: c:\program files\Veetle\plugins\npVeetle.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
.
- - - - ORPHELINS SUPPRIMES - - - -

Toolbar-LinksFolderName - (no file)
Toolbar-SaveLinksOrder - (no file)
Toolbar-Locked - (no file)
Toolbar-ITBarLayout - (no file)
Toolbar-ITBarLayout - (no file)
WebBrowser-{A057A204-BACC-4D26-8287-79A187E26987} - (no file)

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-23 00:28
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1343024091-1715567821-725345543-500\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{030C4D0B-B5F1-BCD0-7796-AB77A6721FCB}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"pagcdpcbgibhjkafimkadimbojebcipm"=hex:6a,61,62,6c,6e,66,68,69,6f,64,70,67,68,
61,62,6a,6a,6f,68,6a,00,00
"oambjahnhmmhipmillfdmifejblleo"=hex:6a,61,62,6c,69,65,6c,67,61,62,66,64,64,6a,
67,63,64,6f,62,69,00,9b

[HKEY_USERS\S-1-5-21-1343024091-1715567821-725345543-500\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{9C50E2C0-6137-67CD-DAE5-A17BFFDB6771}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"iakjdpcgjpbgcocbip"=hex:69,61,70,6b,70,65,66,63,65,61,6e,68,66,6c,6b,6b,64,66,
00,00
"haijnlbjhffdgiee"=hex:6a,61,68,6f,6e,64,6f,63,66,61,68,64,6f,63,6f,66,6b,61,
65,65,00,00
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(2232)
c:\program files\RocketDock\RocketDock.dll
c:\program files\Iminent\IMBooster\Iminent.WinCore.dll
c:\windows\system32\msi.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
c:\windows\system32\drivers\CDAC11BA.EXE
c:\program files\CDBurnerXP\NMSAccessU.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2009-09-22 0:37 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-09-22 23:36
ComboFix2.txt 2009-09-21 00:18

Avant-CF: 113 441 181 696 octets libres
Après-CF: 113 408 401 408 octets libres

347 --- E O F --- 2009-09-20 01:28

mellissa > melissa

re pour lien du dernier rapport du ZHPDiag in est au :
http://www.cijoint.fr/cjlink.php?file=cj200909/cijk18L63c.txt

melissa

ça c pour le dernier Malwarebytes

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2850
Windows 5.1.2600 Service Pack 2

23/09/2009 15:19:39 Orkas Lite
mbam-log-2009-09-23 (15-19-39).txt

Type de recherche: Examen rapide
Eléments examinés: 113632
Temps écoulé: 6 minute(s), 38 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\Program Files\Windows Live\Messenger\msimg32.dll (Adware.MyWebSearch) -> Delete on reboot.

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\Windows Live\Messenger\msimg32.dll (Adware.MyWebSearch) -> Delete on reboot.

Réponse 20 / 65

melissa

é si j me suis pas trompée voila le lien du dernier rapport de ZHPDiag http://www.cijoint.fr/cjlink.php?file=cj200909/cijT3Tl5Bq.txt

Moi j un (Packed.Win32.TDSS.z)

65 réponses

Votre réponse

Discussions similaires