erreur system32\autochk.dll Résolu

Question

Bonjour,
J'ai un souci avec mon ordi suite a des virus et trojan que j'ai eu pourriez vs m'aider c'est la premiere fois que je fais appel a ce type de forum
j'ai lu qu'il fallait faire un rapport avec hjacking 

le voici par avance merci de votre aide

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:10:54, on 19/09/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\APPS\Powercinema\PCMService.exe
C:\Program Files\Trend Micro\Internet Security\UfSeAgnt.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe
C:\Program Files\a-squared Free\a2service.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Bonjour\mDNSResponder.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
C:\WINDOWS\system32\svchost.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Trend Micro\Internet Security\SfCtlCom.exe
C:\WINDOWS\system32\sofatnet.exe
C:\WINDOWS\System32\TUProgSt.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\Trend Micro\Internet Security\TmProxy.exe
C:\Program Files\Trend Micro\TrendSecure\TISProToolbar\ProToolbarUpdate.exe
C:\Program Files\Trend Micro\Internet Security\TmPfw.exe
C:\Program Files\Trend Micro\BM\TMBMSRV.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\TrendSecure\TSCFPlatformCOMSvr.exe
C:\Program Files\Trend Micro\TrendSecure\TISProToolbar\PlatformDependent\ProToolbarComm.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Trend Micro Toolbar BHO - {43C6D902-A1C5-45c9-91F6-FD9E90337E18} - C:\Program Files\Trend Micro\TrendSecure\TISProToolbar\TSToolbar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: Trend Micro Toolbar - {CCAC5586-44D7-4c43-B64A-F042461A97D2} - C:\Program Files\Trend Micro\TrendSecure\TISProToolbar\TSToolbar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
O4 - HKLM\..\Run: [PCMService] "c:\APPS\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [autochk] rundll32.exe C:\WINDOWS\system32\autochk.dll,_IWMPEvents@16
O4 - HKLM\..\Run: [UfSeAgnt.exe] "C:\Program Files\Trend Micro\Internet Security\UfSeAgnt.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [OE] "C:\Program Files\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [international] International
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O18 - Protocol: tmtb - {04EAF3FB-4BAC-4B5A-A37D-A1CF210A5A42} - C:\Program Files\Trend Micro\TrendSecure\TISProToolbar\TSToolbar.dll
O20 - AppInit_DLLs: cru629.dat
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Avertissement AlerterALG (alerteralg) - Unknown owner - C:\WINDOWS\TEMP\muciompehk.exe (file missing)
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Office Source Engine (ose) - Unknown owner - C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE (file missing)
O23 - Service: Composant de commande centrale Trend Micro (SfCtlCom) - Trend Micro Inc. - C:\Program Files\Trend Micro\Internet Security\SfCtlCom.exe
O23 - Service: sofatnet  Service (sofatnet) - Sigma Designs In - C:\WINDOWS\system32\sofatnet.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Program Files\Trend Micro\BM\TMBMSRV.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\Program Files\Trend Micro\Internet Security\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\Internet Security\TmProxy.exe
O23 - Service: TuneUp Drive Defrag Service (tuneup.defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (tuneup.programstatisticssvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: Mises à jour automatiques (wuauserv) - Unknown owner - C:\WINDOWS\

sKe69 · Answer

Salut,


plusieurs infections ! ....


/!\ N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
Si tu as un quelconque prb n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ) .
Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .



Fais ceci pour avoir un diagnostique plus poussé :


Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


!! déconnecte toi et ferme toutes tes applications en cours !! 

> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) . 

> Lance ZHPDiag depuis le raccourci du bureau .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )

Une liste apparait dans l'encadré principal > clique en bas sur le bouton " Tous " et décoche la ligne 061 ( important ! ) .

> Puis clique sur le bouton de "la loupe" pour lancer le scan .


Laisses travailler l'outil ...


> Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistres bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )

Puis ferme le programme ...


> rends toi ensuite sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....

fab57 · Answer

Par avance merci 


Rapport de ZHPDiag v1.24.12 par Nicolas Coolman
Run by FABIEN at 19/09/2009 10:48:54
Web site :  http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Platform : Microsoft Windows XP (5.1.2600) Service Pack 3
MSIE: Internet Explorer v8.0.6001.18702
MFIE: Mozilla Firefox (3.5.3)

Boot mode: Normal (Normal boot)
Total RAM: 2,9 Gb (64 % free)
System drive C: 30 Go (14 Go free)

---\ Processus lancés
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
c:\APPS\Powercinema\PCMService.exe
C:\WINDOWS\system32\NeroCheck.exe
C:\Program Files\Trend Micro\Internet Security\UfSeAgnt.exe
C:\Program
 Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe
D:\WINDOWS\system32\CTFMON.EXE
C:\Program Files\a-squared Free\a2service.exe
C:\WINDOWS\TEMP\muciompehk.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Bonjour\mDNSResponder.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
C:\WINDOWS\system32\services.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Trend Micro\Internet
 Security\SfCtlCom.exe
C:\WINDOWS\system32\sofatnet.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\TUProgSt.exe
%fystemroot%\system32\svchost.exe

---\ Pages de recherche  de Mozilla Firefox (M1)
M1 - SPR:Search Page Redirection - C:\Program Files\Mozilla FireFox\extensions\linkfilter@kaspersky.ru

---\ Pages de démarrage d'Internet Explorer (R0)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?gws_rd=ssl

---\ Pages de recherche d'Internet Explorer (R1)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet
 Explorer\Main,Search Page = https://www.google.com/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://www.google.com/?gws_rd=ssl

---\ Internet Explorer URLSearchHook (R3)
R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

---\ Browser Helper Objects de navigateur (O2)
O2 - BHO: Trend Micro Toolbar BHO - {43C6D902-A1C5-45c9-91F6-FD9E90337E18} - C:\Program Files\Trend Micro\TrendSecure\TISProToolbar\TSToolbar.dll

---\ Internet Explorer Toolbars (O3)
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll - {CCAC5586-44D7-4c43-B64A-F042461A97D2} - C:\Program
 Files\Trend Micro\TrendSecure\TISProToolbar\TSToolbar.dll

---\ Applications démarrées automatiquement par le registre (O4)
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre6\bin\jusched.exe
O4 - HKLM\..\Run: [Vade Retro Outlook Express] C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
O4 - HKLM\..\Run: [PCMService]
 c:\APPS\Powercinema\PCMService.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [autochk] rundll32.exe C:\WINDOWS\system32\autochk.dll,_IWMPEvents@16
O4 - HKLM\..\Run: [UfSeAgnt.exe] C:\Program Files\Trend Micro\Internet Security\UfSeAgnt.exe
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [OE] C:\Program Files\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe
O4 - HKLM\..\policies\Explorer: [HonorAutoRunSetting] Data=1
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE]
 C:\WINDOWS\system32\CTFMON.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE

---\ Boutons situés sur la barre d'outils principale d'Internet Explorer (O9)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFBARH.ICO
O9 - Extra button: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe,302

---\ Piratage de l'Option 'Rétablir les paramètres Web' (O14)
O14 - IERESET.INF: START_PAGE_URL=START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm

---\ Objets ActiveX (Downloaded Program Files)(O16)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...

---\ Protocole additionnel et piratage de protocole (O18)
O18 - Handler: cdl - {3dd53d40-7b8b-11D0-b013-00aa0059ce02} - C:\WINDOWS\system32\urlmon.dll
O18 - Handler: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\system32\msvidctl.dll
O18 - Handler: gopher - {79eac9e4-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Handler: mhtml - {05300401-BCBC-11d0-85E3-00C04FD85AB4} - C:\Windows\system32\inetcomm.dll
O18 - Handler: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\WINDOWS\system32\itss.dll
O18 - Handler: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\WINDOWS\system32\itss.dll
O18 - Handler: sysimage - {76E67A63-06E9-11D2-A840-006008059382} -
 C:\Windows\system32\mshtml.dll
O18 - Handler: tmtb - {04EAF3FB-4BAC-4B5A-A37D-A1CF210A5A42} - C:\Program Files\Trend Micro\TrendSecure\TISProToolbar\TSToolbar.dll
O18 - Handler: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\system32\msvidctl.dll
O18 - Handler: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\system32\wiascr.dll
O18 - Filter: Class Install Handler - {32B533BB-EDAE-11d0-BD5A-00AA00B92AF1} - C:\WINDOWS\system32\urlmon.dll
O18 - Filter: text/webviewhtml - {733AC4CB-F1A4-11d0-B951-00A0C90312E1} - C:\Windows\system32\SHELL32.dll
O18 - Filter: text/xml - {807553E5-5146-11D5-A672-00B0D022E945} - C:\Windows\system32\SHELL32.dll

---\ Valeur de Registre AppInit_DLLs et sous-clés Winlogon Notify (autorun) (O20)
O20 - Winlogon Notify: dimsntfy - C:\WINDOWS\System32\%SystemRoot%\System32\dimsntfy.dll

O20 - AppInit_DLLs: cru629.dat

---\ Clé de Registre autorun
 ShellServiceObjectDelayLoad (SSODL) (O21)
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

---\ Clé de Registre autorun SharedTaskScheduler (STS) (O22)
O22 - SharedTaskScheduler: (no name) - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll

---\ Liste des services NT non Microsoft et non désactivés (O23)
O23 - Service: a-squared Free Service (a2free) - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Avertissement
 AlerterALG (alerteralg) - C:\WINDOWS\TEMP\muciompehk.exe service
O23 - Service: AOL Connectivity Service (AOL ACS) - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Service Bonjour (Bonjour Service) - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service (CyberLink Media Library Service) - c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - C:\Program Files\Java\jre6\bin\jqs.exe -service -config C:\Program Files\Java\jre6\lib\deploy\jqs\jqs.conf
O23 - Service: Lavasoft Ad-Aware Service
 (Lavasoft Ad-Aware Service) - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Composant de commande centrale Trend Micro (SfCtlCom) - C:\Program Files\Trend Micro\Internet Security\SfCtlCom.exe
O23 - Service: sofatnet  Service (sofatnet) - C:\WINDOWS\system32\sofatnet.exe
O23 - Service: Spouleur d'impression (Spooler) - C:\WINDOWS\system32\spoolsv.exe
O23 - Service: TuneUp Program Statistics Service (tuneup.programstatisticssvc) - C:\WINDOWS\System32\TUProgSt.exe

---\ Tâches planifiées en automatique (O39)
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\Maintenance en 1 clic.job

---\ Composants installés (ActiveSetup Installed Components) (O40)
O40 - ASIC: Mise à jour de la version d’Internet Explorer -
 <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
O40 - ASIC: Microsoft Windows Media Player - >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
O40 - ASIC: Internet Explorer - >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig
O40 - ASIC: Outlook Express - >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE
O40 - ASIC: Personnalisation du navigateur - >{e74870a3-34f3-4003-b76c-5e38e23cebdc} - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
O40 - ASIC: Viewpoint Media Player - {03F998B2-0E00-11D3-A498-00104B6EB52E} - C:\Program Files\Viewpoint\Viewpoint Experience Technology\AxMetaStream.dll
O40 - ASIC: Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - (not file)
O40 - ASIC: Rendu VML (Vector Graphics Rendering) - {10072CEC-8CC1-11D1-986E-00A0C955B42F} - (not file)
O40 - ASIC:
 Macromedia Shockwave Director 10.1 - {166B1BCA-3F9C-11CF-8075-444553540000} - C:\WINDOWS\system32\macromed\Director\SwDir.dll
O40 - ASIC: Viewpoint Media Player - {1B00725B-C455-4DE6-BFB6-AD540AD427CD} - C:\Program Files\Viewpoint\Viewpoint Experience Technology\AxMetaStream.dll
O40 - ASIC: Microsoft NetShow Player - {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - C:\WINDOWS\system32\wmpdxm.dll
O40 - ASIC: Microsoft Windows Media Player 6.4 - {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\system32\wmpdxm.dll
O40 - ASIC: DirectAnimation - {283807B5-2C60-11D0-A31D-00AA00B92C03} - (not file)
O40 - ASIC: Macromedia Shockwave Director 10.1 - {2A202491-F00D-11cf-87CC-0020AFEECF20} - (not file)
O40 - ASIC: Themes Setup - {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - C:\WINDOWS\system32egsvr32.exe /s /n /i:/UserInstall C:\WINDOWS\system32	hemeui.dll
O40 - ASIC: Liaison de données Dynamic HTML pour Java - {36f8ec70-c29a-11d1-b5c7-0000f8051515}
 - (not file)
O40 - ASIC: Offline Browsing Pack - {3af36230-a269-11d1-b5bf-0000f8051515} - (not file)
O40 - ASIC: Uniscribe - {3bf42070-b3b1-11d1-b5c5-0000f8051515} - (not file)
O40 - ASIC: Microsoft .NET Framework 1.1 Service Pack 1 (KB867460) - {411EDCF7-755D-414E-A74B-3DCD6583F589} - (not file)
O40 - ASIC: Création avancée - {4278c270-a269-11d1-b5bf-0000f8051515} - (not file)
O40 - ASIC: Microsoft Outlook Express 6 - {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
O40 - ASIC: NetMeeting 3.01 - {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
O40 - ASIC: DirectShow - {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - (not file)
O40 - ASIC: DirectDrawEx - {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - (not file)
O40 - ASIC: Internet Explorer Help -
 {45ea75a0-a269-11d1-b5bf-0000f8051515} - (not file)
O40 - ASIC: Classes Java DirectAnimation - {4f216970-c90c-11d1-b5c7-0000f8051515} - (not file)
O40 - ASIC: Microsoft Windows Script 5.6 - {4f645220-306d-11d2-995d-00c04f98bbc9} - (not file)
O40 - ASIC: Windows Messenger 4.7 - {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
O40 - ASIC: Internet Explorer Setup Tools - {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - (not file)
O40 - ASIC: Browsing Enhancements - {630b1da0-b465-11d1-9948-00c04f98bbc9} - (not file)
O40 - ASIC: Microsoft Windows Media Player - {6BF52A52-394A-11d3-B153-00C04F79FAA6} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp11.inf,PerUserStub
O40 - ASIC: MSN Site Access - {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - (not file)
O40 - ASIC: .NET Framework - {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - (not file)
O40 - ASIC:
 Dossiers Web - {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - (not file)
O40 - ASIC: Carnet d'adresses 6 - {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
O40 - ASIC: Mise à jour du Bureau Windows - {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
O40 - ASIC: Internet Explorer - {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
O40 - ASIC: (no name) - {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
O40 - ASIC: Microsoft .NET Framework 1.1 Hotfix (KB928366) - {8D1D0E9A-C799-4D28-9E29-0061D1E66E43} - (not file)
O40 - ASIC: Dynamic HTML Data Binding - {9381D8F2-0288-11D0-9501-00AA00B911A5} - (not file)
O40 - ASIC: .NET Framework - {9A394342-4A68-4EBA-85A6-55B559F4E700} - (not file)
O40 - ASIC: Google Toolbar for Internet Explorer 8
 - {b0087aee-2ca7-4296-b0c3-663aa619df1b} - (not file)
O40 - ASIC: .NET Framework - {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - (not file)
O40 - ASIC: Internet Explorer Core Fonts - {C9E9A340-D1F1-11D0-821E-444553540600} - (not file)
O40 - ASIC: .NET Framework - {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} - (not file)
O40 - ASIC: Planificateur de tâches - {CC2A9BA0-3BDD-11D0-821E-444553540000} - (not file)
O40 - ASIC: Macromedia Shockwave Flash - {D27CDB6E-AE6D-11cf-96B8-444553540000} - C:\WINDOWS\system32\Macromed\Flash\Flash.ocx
O40 - ASIC: HTML Help - {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - (not file)
O40 - ASIC: Active Directory Service Interface - {E92B03AB-B707-11d2-9CBD-0000F87A369E} - (not file)
O40 - ASIC: .NET Framework - {F196AC50-7C95-42E1-9947-BDAB18BF3C8C} - (not file)

---\ Pilotes lancés au démarrage (O41)
O41 - Driver: Suppresseur d'écho acoustique (Noyau Microsoft) (aec) -
 C:\WINDOWS\system32\drivers\aec.sys
O41 - Driver: Filtre de bus AGP Intel (agp440) - C:\WINDOWS\system32\DRIVERS\agp440.sys
O41 - Driver: Filtre de bus AGP Compaq (agpCPQ) - C:\WINDOWS\system32\DRIVERS\agpCPQ.sys
O41 - Driver: Filtre de bus AGP ALI (alim1541) - C:\WINDOWS\system32\DRIVERS\alim1541.sys
O41 - Driver: Pilote de filtre du bus AMD AGP (amdagp) - C:\WINDOWS\system32\DRIVERS\amdagp.sys
O41 - Driver: Pilote de processeur AMD (AmdK8) - C:\WINDOWS\system32\DRIVERS\AmdK8.sys
O41 - Driver: Protocole client ARP 1394 (Arp1394) - C:\WINDOWS\system32\DRIVERS\arp1394.sys
O41 - Driver: Pilote de média asynchrone RAS (AsyncMac) - C:\WINDOWS\system32\DRIVERS\asyncmac.sys
O41 - Driver: Protocole client ATM ARP (Atmarpc) - C:\WINDOWS\system32\DRIVERS\atmarpc.sys
O41 - Driver: Pilote audio Stub (audstub) - C:\WINDOWS\system32\DRIVERS\audstub.sys
O41 - Driver: (no object) (cbidf) - C:\WINDOWS\system32\DRIVERS\cbidf2k.sys
O41 -
 Driver: (no object) (dac2w2k) - C:\WINDOWS\system32\DRIVERS\dac2w2k.sys
O41 - Driver: (no object) (dmboot) - C:\WINDOWS\System32\drivers\dmboot.sys
O41 - Driver: (no object) (dmio) - C:\WINDOWS\System32\drivers\dmio.sys
O41 - Driver: (no object) (dmload) - C:\WINDOWS\System32\drivers\dmload.sys
O41 - Driver: Synthétiseur DLS du noyau Microsoft (DMusic) - C:\WINDOWS\system32\drivers\DMusic.sys
O41 - Driver: Filtre de décodeur DRM (Noyau Microsoft) (drmkaud) - C:\WINDOWS\system32\drivers\drmkaud.sys
O41 - Driver: FltMgr (FltMgr) - C:\WINDOWS\system32\drivers\fltmgr.sys
O41 - Driver: GEAR ASPI Filter Driver (GEARAspiWDM) - C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys
O41 - Driver: Classificateur de paquets générique (Gpc) - C:\WINDOWS\system32\DRIVERS\msgpc.sys
O41 - Driver: Pilote de bus Microsoft UAA pour High Definition Audio (HDAudBus) - C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
O41 - Driver: Pilote de classe HID
 Microsoft (HidUsb) - C:\WINDOWS\system32\DRIVERS\hidusb.sys
O41 - Driver: Pilote pour clavier i8042 et souris sur port PS/2 (i8042prt) - C:\WINDOWS\system32\DRIVERS\i8042prt.sys
O41 - Driver: InCD File System (incdfs) - C:\WINDOWS\system32\drivers\InCDFs.sys
O41 - Driver: InCDPass (incdpass) - C:\WINDOWS\system32\drivers\InCDPass.sys
O41 - Driver: InCD Reader (incdrm) - C:\WINDOWS\system32\drivers\InCDRm.sys
O41 - Driver: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - C:\WINDOWS\system32\drivers\RtkHDAud.sys
O41 - Driver: Pilote du pare-feu Windows IPv6 (Ip6Fw) - C:\WINDOWS\system32\drivers\ip6fw.sys
O41 - Driver: Pilote de filtre de trafic IP (IpFilterDriver) - C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
O41 - Driver: Pilote de tunnelage IP dans IP (IpInIp) - C:\WINDOWS\system32\DRIVERS\ipinip.sys
O41 - Driver: Pilote IPSEC (IPSec) - C:\WINDOWS\system32\DRIVERS\ipsec.sys
O41 - Driver: Service énumérateur IR
 (IRENUM) - C:\WINDOWS\system32\DRIVERS\irenum.sys
O41 - Driver: Pilote HID de clavier (kbdhid) - C:\WINDOWS\system32\DRIVERS\kbdhid.sys
O41 - Driver: Pilote HID de clavier (kbiwkmltltxuoq) - C:\WINDOWS\system32\DRIVERS\kbdhid.sys
O41 - Driver: Klmc (Klmc) - C:\WINDOWS\System32\drivers\klmc.sys
O41 - Driver: Mélangeur audio Wave de noyau Microsoft (kmixer) - C:\WINDOWS\system32\drivers\kmixer.sys
O41 - Driver: Lbd (Lbd) - C:\WINDOWS\system32\DRIVERS\Lbd.sys
O41 - Driver: Pilote HID de souris (mouhid) - C:\WINDOWS\system32\DRIVERS\mouhid.sys
O41 - Driver: Redirecteur client WebDav (MRxDAV) - C:\WINDOWS\system32\DRIVERS\mrxdav.sys
O41 - Driver: MRXSMB (MRxSmb) - C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
O41 - Driver: Proxy de service de répartition Microsoft (MSKSSRV) - C:\WINDOWS\system32\drivers\MSKSSRV.sys
O41 - Driver: Proxy d'horloge de répartition Microsoft (MSPCLOCK) - C:\WINDOWS\system32\drivers\MSPCLOCK.sys
O41 -
 Driver: Proxy de gestion de qualité de répartition Microsoft (MSPQM) - C:\WINDOWS\system32\drivers\MSPQM.sys
O41 - Driver: Pilote BIOS de gestion de systèmes Microsoft (mssmbios) - C:\WINDOWS\system32\DRIVERS\mssmbios.sys
O41 - Driver: Pilote TAPI NDIS d'accès distant (NdisTapi) - C:\WINDOWS\system32\DRIVERS
distapi.sys
O41 - Driver: NDIS mode utilisateur E/S Protocole (Ndisuio) - C:\WINDOWS\system32\DRIVERS
disuio.sys
O41 - Driver: Pilote réseau étendu NDIS d'accès distant (NdisWan) - C:\WINDOWS\system32\DRIVERS
diswan.sys
O41 - Driver: Interface NetBIOS (NetBIOS) - C:\WINDOWS\system32\DRIVERS
etbios.sys
O41 - Driver: NetBIOS sur TCP/IP (NetBT) - C:\WINDOWS\system32\DRIVERS
etbt.sys
O41 - Driver: Pilote réseau 1394 (NIC1394) - C:\WINDOWS\system32\DRIVERS
ic1394.sys
O41 - Driver: (no object) (nv) - C:\WINDOWS\system32\DRIVERS
v4_mini.sys
O41 - Driver: (no object) (nvata) -
 C:\WINDOWS\system32\DRIVERS
vata.sys
O41 - Driver: NVIDIA nForce Networking Controller Driver (NVENETFD) - C:\WINDOWS\system32\DRIVERS\NVENETFD.sys
O41 - Driver: NVIDIA Network Bus Enumerator (nvnetbus) - C:\WINDOWS\system32\DRIVERS
vnetbus.sys
O41 - Driver: Pilote de filtre de trafic IPX (NwlnkFlt) - C:\WINDOWS\system32\DRIVERS
wlnkflt.sys
O41 - Driver: Pilote de transfert de trafic IPX (NwlnkFwd%2

sKe69 · Answer

re,


ne fais pas de copier/coller du rapport sur le forum ! ... celui-ci est trop long !!!!


fait comme je t'ai demandé pour me le faire parvenir en utilisant " Cijoint" ... ^^'

fab57 · Answer

Autant pour moi désolé je n'avais pas bien compris

voici le lien


http://www.cijoint.fr/cjlink.php?file=cj200909/cij0PPATin.txt

sKe69 · Answer

Et bien ... y a du boulot ...^^


Commence par ceci :


Télécharge UsbFix ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :

ici http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe
ou ici http://pagesperso-orange.fr/NosTools/cariboost_files/UsbFix.exe

! Déconnecte toi d'internet et ferme toutes applications en cours !


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) . 


# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 


Note : 
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

fab57 · Answer

############################## | UsbFix V6.034 |

User : FABIEN (Administrateurs) # 111607730303
Update on 17/09/2009 by Chiquitine29, C_XX & Chimay8
Start at: 14:24:47 | 19/09/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

AMD Sempron(tm) Processor 3000+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : Trend Micro Internet Security Pro 17.50.1366 [ (!) Disabled | Updated ]
FW : Pare-feu personnel Trend Micro[ (!) Disabled ]5.8

C:\ -> Disque fixe local # 29,99 Go (14 Go free) [HDD] # NTFS
D:\ -> Disque fixe local # 73,98 Go (47,57 Go free) # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 3,77 Go (1,63 Go free) [KINGSTON] # FAT32
G:\ -> Disque amovible # 111,55 Go (88,33 Go free) [IPOD (FAB)] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\APPS\Powercinema\PCMService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Bonjour\mDNSResponder.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
C:\WINDOWS\system32\svchost.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\sofatnet.exe
C:\WINDOWS\System32\TUProgSt.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Trend Micro\TrendSecure\TISProToolbar\ProToolbarUpdate.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\TrendSecure\TSCFPlatformCOMSvr.exe
C:\Program Files\Trend Micro\TrendSecure\TISProToolbar\PlatformDependent\ProToolbarComm.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

C:\WINDOWS\Temp
srbgxod.bak  
C:\Recycler\S-1-5-21-0243636035-3055115376-381863306-1556  
G:\.\RECYCLER\autorun.exe  
G:\RECYCLER\autorun.exe   

################## | Registre # Clés Run infectieuses |

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "autochk"  

################## | Registre # Mountpoints2 |


################## | ! Fin du rapport # UsbFix V6.034 ! |

sKe69 · Answer

bien ...


la suite :


1- ! Déconnecte toi d'internet et ferme toutes applications en cours !

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) . 

# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil .

# Cette fois ci , tu choisis l' option 2 ( Suppression ) .

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

# Une fois terminé,  poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .


( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\ 


=================================


2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

fab57 · Answer

Désolé pour le retard 

apparemment mon pc commence a mieux ce comporter et a l'ouverture de windows pas d'erreur constaté
mais il semble y avoir peut être encore des trucs pas bon !!!!

en tout cas chapeau pour l'instant de ton intervention top top



http://www.cijoint.fr/cjlink.php?file=cj200909/cijquqkzdX.txt

sKe69 · Answer

Re, il reste encore pas mal de boulot ! ...^^' parcontre plusieurs choses : > je n'ai pas le rapport de nettoyage de UsbFix ! ... merci de me le poster comme demandé ... > le rapport de ZHPDiag est incomplet ! il faut coché toutes les options sauf les 045 et 061 ! ... Fait moi parvenir un rapport correctement fait stp .... Une fois ceci fait , tu enchaines dans l'ordre : 1- Télécharge ZHPFix ( de Nicolas Coolman ) sur ton bureau : -> https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html * double-clique sur "ZHPFix.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir un raccourci ) . -> Lance ZHPFix depuis le raccourci qui est sur ton bureau . * Une fois l'outil ouvert , clique sur le bouton [ H ] ( "coller les ligne Helper" ) . * Dans l'encadré principal , copie/colle tout le texte qui se trouve sur cette page ( et rien d'autre ! ) : > https://www.cjoint.com/?jtwcRHX5oF Vérifie bien que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. * Puis clique sur le bouton [ OK ] . > à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien ! !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications ( navigateurs compris ) !! * Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées . * Enfin clique sur le bouton [ Nettoyer ] . -> laisse travailler l'outil et ne touche à rien ... -> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le ! Une fois terminé, un rapport s'affiche : copie/colle tout son contenue dans ta prochaine réponse pour analyse ... ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPFix\ZHPFixReport.txt ) Pense à réactiver tes défenses !... =============================== 2- Télécharge MalwareByte's : ici https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/ ou ici : http://www.malwarebytes.org/mbam.php * Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour . (NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ ) * Potasse le tuto pour te familiariser avec le prg : https://forum.pcastuces.com/sujet.asp?f=31&s=3 ( cela dis, il est très simple d'utilisation ). ! Déconnecte toi et ferme toutes applications en cours ! * Lance Malwarebyte's . Fais un examen dit "RAPIDE" . --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). --> à la fin tu cliques sur "résultat" . --> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " . Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le ! Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date) pour analyse ... ======================== 3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

fab57 · Answer

Ok bien noté dsl pour mes erreurs :-(

1) Rapport USBfix


############################## | UsbFix V6.034 |

User : FABIEN (Administrateurs) # 111607730303
Update on 17/09/2009 by Chiquitine29, C_XX & Chimay8
Start at: 19:43:25 | 19/09/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

AMD Sempron(tm) Processor 3000+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : Trend Micro Internet Security Pro 17.50.1366 [ (!) Disabled | Updated ]
FW : Pare-feu personnel Trend Micro[ (!) Disabled ]5.8

C:\ -> Disque fixe local # 29,99 Go (13,97 Go free) [HDD] # NTFS
D:\ -> Disque fixe local # 73,98 Go (47,57 Go free) # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 3,77 Go (1,63 Go free) [KINGSTON] # FAT32
G:\ -> Disque amovible # 111,55 Go (88,33 Go free) [IPOD (FAB)] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Bonjour\mDNSResponder.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
C:\WINDOWS\system32\svchost.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Trend Micro\Internet Security\SfCtlCom.exe
C:\WINDOWS\system32\sofatnet.exe
C:\Program Files\Trend Micro\Internet Security\UfSeAgnt.exe
C:\Program Files\TuneUp Utilities 2009\OneClickStarter.exe
C:\WINDOWS\System32\TUProgSt.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

Supprimé ! C:\WINDOWS\Temp
srbgxod.bak  
Supprimé ! C:\Recycler\S-1-5-21-0243636035-3055115376-381863306-1556 
Supprimé ! G:\.\RECYCLER\autorun.exe 

################## | Registre # Clés Run infectieuses |

fab57 · Answer

Je sais pourquoi le fichier n'est pas complet concernant ZHPDIAG j'ai un message d'erreur lorsqu'il passe sur le 62

"Erreur d'insertion de la ligne RichEdit surement a cause des trojens

je peux peut etre faire un scan du 63 et 64 a part ou faut il prendre un autre soft ??
je te remets mon txt de ZHPDIAG

http://www.cijoint.fr/cjlink.php?file=cj200909/cijW7LvnU0.txt

je continue la suite ou dois je attendre tes instructions

sKe69 · Answer

re,

la rapport de usbFix n'est pas complet également ... erreur de copier /coller ? ....


pour ZHPdiag , refait le scan et décoche en plus la case devant 062 ... poste le nouveau rapport obtenu et fais la suite ...

fab57 · Answer

Bonjour
merci pour tes précisions

voici pour commencer le rapport USBfix


############################## | UsbFix V6.034 |

User : FABIEN (Administrateurs) # 111607730303
Update on 17/09/2009 by Chiquitine29, C_XX & Chimay8
Start at: 19:43:25 | 19/09/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

AMD Sempron(tm) Processor 3000+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : Trend Micro Internet Security Pro 17.50.1366 [ (!) Disabled | Updated ]
FW : Pare-feu personnel Trend Micro[ (!) Disabled ]5.8

C:\ -> Disque fixe local # 29,99 Go (13,97 Go free) [HDD] # NTFS
D:\ -> Disque fixe local # 73,98 Go (47,57 Go free) # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 3,77 Go (1,63 Go free) [KINGSTON] # FAT32
G:\ -> Disque amovible # 111,55 Go (88,33 Go free) [IPOD (FAB)] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Bonjour\mDNSResponder.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
C:\WINDOWS\system32\svchost.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Trend Micro\Internet Security\SfCtlCom.exe
C:\WINDOWS\system32\sofatnet.exe
C:\Program Files\Trend Micro\Internet Security\UfSeAgnt.exe
C:\Program Files\TuneUp Utilities 2009\OneClickStarter.exe
C:\WINDOWS\System32\TUProgSt.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

Supprimé ! C:\WINDOWS\Temp
srbgxod.bak  
Supprimé ! C:\Recycler\S-1-5-21-0243636035-3055115376-381863306-1556 
Supprimé ! G:\.\RECYCLER\autorun.exe 

################## | Registre # Clés Run infectieuses |

Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "autochk"  

################## | Registre # Mountpoints2 |


################## | Listing des fichiers présent |

[19/09/2009 19:42|--a------|1116] C:\aaw7boot.log 
[05/08/2009 12:27|--a------|0] C:\AUTOEXEC.BAT 
[18/08/2009 20:12|--ahs----|228] C:\boot.ini 
[19/08/2004 21:56|-rahs----|4952] C:\Bootfont.bin 
[05/08/2004 14:00|-rahs----|263488] C:\cmldr 
[05/08/2009 12:27|--a------|0] C:\CONFIG.SYS 
[16/06/2006 09:27|--a------|5378] C:\DWNLOG.TXT 
[?|?|?] C:\hiberfil.sys 
[04/08/2009 21:36|--a------|1120] C:\INSTALL.LOG 
[16/06/2006 09:44|-rahs----|0] C:\IO.SYS 
[16/06/2006 09:46|--ah-----|835] C:\IPH.PH 
[16/06/2006 09:44|-rahs----|0] C:\MSDOS.SYS 
[19/08/2004 22:03|-rahs----|47564] C:\NTDETECT.COM 
[19/08/2009 13:09|-rahs----|252240] C:
tldr 
[?|?|?] C:\pagefile.sys 
[16/06/2006 09:16|--a------|1151] C:\SAUDIT.TXT 
[24/05/2001 12:59|--a------|162304] C:\UNWISE.EXE 
[11/09/2009 02:09|--ahs----|352321536] D:\pagefile.sys 
[19/09/2009 19:47|--a------|3485] D:\UsbFix.txt 
[02/04/2002 09:41|--a------|1900] F:\BNPPARIBAS_Entreprise.spc 
[17/06/2009 14:33|--a------|34304] F:\ANNEXES DETAILS COMPTE D'EXPLOITATION.xls 
[19/06/2009 14:10|--a------|49664] F:\FORETAGES - d‚tails janvier 09.xls 
[19/06/2009 14:13|--a------|56320] F:\FORETAGES - ETAT PREPA LD mars 09.xls 
[19/06/2009 14:15|--a------|55808] F:\FORETAGES ETAT PREPA  avril 09.xls 
[19/06/2009 14:16|--a------|56320] F:\FORETAGES ETAT PREPA  mai 09.xls 
[19/06/2009 14:11|--a------|55808] F:\FORETAGES - ETAT PREPA LD f‚vrier 09.xls 
[19/06/2009 15:25|--a------|46080] F:\SLAG RECAPE 2009.xls 
[25/06/2009 14:40|--a------|44032] F:\slag EXTRAIT GRAND LIVRE.xls 
[25/06/2009 16:22|--a------|40448] F:\SLAG 2007 EXTRAIT GD LIVRE.xls 
[18/08/2009 19:57|--a------|424] F:\boot.ini 
[12/06/2009 12:33|--a------|352256] F:\appli_slag_v2.xla 
[07/09/2009 15:01|--a------|12672] F:\QUAD_Registry_Cleaner_Installer.exe 
[06/02/2000 13:39|---------|0] G:\.metadata_never_index 
[20/08/2009 10:12|--a------|124] G:\Panneau de configuration.lnk 

################## | Vaccination |

# C:\autorun.inf -> Folder created by UsbFix.  
# D:\autorun.inf -> Folder created by UsbFix.  
# F:\autorun.inf -> Folder created by UsbFix.  
# G:\autorun.inf -> Folder created by UsbFix.

fab57 · Answer

Ok j'ai refait un ZHPDIAG j'ai bien vérifier que ca va jusqu'a 64 avec décoche 45/61/62

je m'excuse de mes erreurs un peu bras cassé

http://www.cijoint.fr/cjlink.php?file=cj200909/cijF92CJg2.txt

je fais la suite

fab57 · Answer

Concernant ZHPFix que j'ai lancé en appuyant sur H rien ne se passe excepté un lien en dessous est ce ca ??
Sinon j'ai lancé le scan :
rien 
en cliquant sur le lien j'ai je détail est ce que je dois le mettre dans ZHPFix et lancé le nettoyage j'avoue ne pas trop savoir si c'est moi qui fait une mauvaise manipe ?


C:\WINDOWS\TEMP\muciompehk.exe
C:\WINDOWS\system32\sofatnet.exe
O20 - AppInit_DLLs: cru629.dat
O23 - Service: Avertissement AlerterALG (alerteralg) - C:\WINDOWS\TEMP\muciompehk.exe service
O23 - Service: sofatnet  Service (sofatnet) - C:\WINDOWS\system32\sofatnet.exe
O43 - CFD:Common File Directory ----D- C:\Program Files\WWShow
O44 - LFC:Last File Created 15/09/2009 - 11:58:44 ---A- C:\WINDOWS\System32\drivers\str.sys
O44 - LFC:Last File Created 15/09/2009 - 12:09:25 ---A- C:\WINDOWS\System32\ogegomylen.bat
O44 - LFC:Last File Created 15/09/2009 - 12:09:25 ---A- C:\WINDOWS\System32\qutujuny.bin
O44 - LFC:Last File Created 15/09/2009 - 12:09:25 ---A- C:\WINDOWS\System32\ywufyde.pif
O44 - LFC:Last File Created 15/09/2009 - 12:09:25 ---A- C:\WINDOWS\arut.inf
O44 - LFC:Last File Created 15/09/2009 - 12:09:25 ---A- C:\WINDOWS\igija._dl
O44 - LFC:Last File Created 15/09/2009 - 12:09:25 ---A- C:\WINDOWS\ixevo.inf
O44 - LFC:Last File Created 15/09/2009 - 12:09:25 ---A- C:\WINDOWS\kolejilub._sy
O44 - LFC:Last File Created 15/09/2009 - 12:09:25 ---A- C:\WINDOWS
ava.bin
O44 - LFC:Last File Created 15/09/2009 - 12:09:25 ---A- C:\WINDOWS\odosimidox.sys
O44 - LFC:Last File Created 15/09/2009 - 12:09:25 ---A- C:\WINDOWS	oriquz.bat
O44 - LFC:Last File Created 15/09/2009 - 12:09:25 ---A- C:\WINDOWS\ukilabak.reg
O44 - LFC:Last File Created 15/09/2009 - 12:09:25 ---A- C:\WINDOWS\xawigasa._dl
O44 - LFC:Last File Created 15/09/2009 - 12:09:25 ---A- C:\WINDOWS\yjetegak.db
O44 - LFC:Last File Created 15/09/2009 - 22:30:54 ---A- C:\WINDOWS\System32\kbiwkmlolexvky.dat
O44 - LFC:Last File Created 16/09/2009 - 19:28:46 ---A- C:\WINDOWS\System32\kbiwkmgodruyap.dat
O44 - LFC:Last File Created 16/09/2009 - 19:36:02 ---A- C:\WINDOWS\System32\baraj.scr
O44 - LFC:Last File Created 16/09/2009 - 19:36:02 ---A- C:\WINDOWS\System32\qasi.bat
O44 - LFC:Last File Created 16/09/2009 - 19:36:02 ---A- C:\WINDOWS\System32\ywyviqa.vbs
O44 - LFC:Last File Created 16/09/2009 - 19:36:02 ---A- C:\WINDOWS\efeduzuhij._sy
O44 - LFC:Last File Created 16/09/2009 - 19:36:02 ---A- C:\WINDOWS\igytygupyk.vbs
O44 - LFC:Last File Created 16/09/2009 - 19:36:02 ---A- C:\WINDOWS\ijaripiv.vbs
O44 - LFC:Last File Created 16/09/2009 - 19:36:02 ---A- C:\WINDOWS\ivylam.dll
O44 - LFC:Last File Created 16/09/2009 - 19:36:02 ---A- C:\WINDOWS\okitijom.sys
O44 - LFC:Last File Created 16/09/2009 - 19:36:02 ---A- C:\WINDOWS\qidytej.lib
O44 - LFC:Last File Created 20/08/2009 - 12:00:23 ---A- C:\WINDOWS\System32\kbiwkmsswucbvx.dat
O57 - SDR:Search Drivers Rootkit - C:\WINDOWS\system32\drivers\str.sys
O58 - SDL:System Drivers List - C:\WINDOWS\system32\drivers\str.sys

fab57 · Answer

Autant pour moi j'avaisoublié une touche je pense avoir reussi
enfin j'espère 

ZHPFix v1.12.12  by Nicolas Coolman - Rapport de suppression du 20/09/2009 09:29:55
Fichier d'export Registre : C:\ZHPExportRegistry-20-09-2009-09-29-55.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
C:\WINDOWS\TEMP\muciompehk.exe  => Fichier absent
C:\WINDOWS\system32\sofatnet.exe  => Supprimé et mis en quarantaine

Module mémoire :
(Néant)

Clé du Registre :
O23 - Service: Avertissement AlerterALG (alerteralg) - C:\WINDOWS\TEMP\muciompehk.exe service  => Clé supprimée
O23 - Service: sofatnet  Service (sofatnet) - C:\WINDOWS\system32\sofatnet.exe  => Clé supprimée

Valeur du Registre :
(Néant)

Elément de données du Registre :
O20 - AppInit_DLLs: cru629.dat  => Donnée supprimée

Dossier :
C:\Program Files\WWShow  => Supprimé et mis en quarantaine

Fichier :
cru629.dat  => Fichier absent
C:\WINDOWS\TEMP\muciompehk.exe  => Fichier absent
C:\WINDOWS\system32\sofatnet.exe  => Fichier absent
C:\WINDOWS\System32\drivers\str.sys  => Supprimé et mis en quarantaine
C:\WINDOWS\System32\ogegomylen.bat  => Supprimé et mis en quarantaine
C:\WINDOWS\System32\qutujuny.bin  => Supprimé et mis en quarantaine
C:\WINDOWS\System32\ywufyde.pif  => Supprimé et mis en quarantaine
C:\WINDOWS\arut.inf  => Supprimé et mis en quarantaine
C:\WINDOWS\igija._dl  => Supprimé et mis en quarantaine
C:\WINDOWS\ixevo.inf  => Supprimé et mis en quarantaine
C:\WINDOWS\kolejilub._sy  => Supprimé et mis en quarantaine
C:\WINDOWS
ava.bin  => Supprimé et mis en quarantaine
C:\WINDOWS\odosimidox.sys  => Supprimé et mis en quarantaine
C:\WINDOWS	oriquz.bat  => Supprimé et mis en quarantaine
C:\WINDOWS\ukilabak.reg  => Supprimé et mis en quarantaine
C:\WINDOWS\xawigasa._dl  => Supprimé et mis en quarantaine
C:\WINDOWS\yjetegak.db  => Supprimé et mis en quarantaine
C:\WINDOWS\System32\kbiwkmlolexvky.dat  => Supprimé et mis en quarantaine
C:\WINDOWS\System32\kbiwkmgodruyap.dat  => Supprimé et mis en quarantaine
C:\WINDOWS\System32\baraj.scr  => Supprimé et mis en quarantaine
C:\WINDOWS\System32\qasi.bat  => Supprimé et mis en quarantaine
C:\WINDOWS\System32\ywyviqa.vbs  => Supprimé et mis en quarantaine
C:\WINDOWS\efeduzuhij._sy  => Supprimé et mis en quarantaine
C:\WINDOWS\igytygupyk.vbs  => Supprimé et mis en quarantaine
C:\WINDOWS\ijaripiv.vbs  => Supprimé et mis en quarantaine
C:\WINDOWS\ivylam.dll  => Supprimé et mis en quarantaine
C:\WINDOWS\okitijom.sys  => Supprimé et mis en quarantaine
C:\WINDOWS\qidytej.lib  => Supprimé et mis en quarantaine
C:\WINDOWS\System32\kbiwkmsswucbvx.dat  => Supprimé et mis en quarantaine
C:\WINDOWS\system32\drivers\str.sys  => Fichier absent

Logiciel :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 2
Module mémoire : 0
Clé du Registre : 2
Valeur du Registre : 0
Elément de données du Registre : 1
Dossier : 1
Fichier : 30
Logiciel : 0
Autre : 0



End of the scan

sKe69 · Answer

Bien ....


passe à Malwarebytes maintenant .... ( si tu as un soucis avec , fait m'en part .... )

fab57 · Answer

Opération Malwarebytes effectué avec succes et 22 infections trouvées et 
supprimées

rapport de Malwarebytes :

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2829
Windows 5.1.2600 Service Pack 3

20/09/2009 09:53:20
mbam-log-2009-09-20 (09-53-20).txt

Type de recherche: Examen rapide
Eléments examinés: 110777
Temps écoulé: 5 minute(s), 39 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 3
Clé(s) du Registre infectée(s): 15
Valeur(s) du Registre infectée(s): 16
Elément(s) de données du Registre infecté(s): 8
Dossier(s) infecté(s): 3
Fichier(s) infecté(s): 15

Processus mémoire infecté(s):
C:\WINDOWS\system32\wmdtc.exe (Backdoor.Bot) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\EvdoServer.dll (Trojan.Agent) -> Delete on reboot.
C:\Program Files\Mozilla Firefox\components\WWShow.dll (Trojan.BHO) -> Delete on reboot.
C:\Program Files\Mozilla Firefox\components\dfff.dll (Trojan.Agent) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\evdoserver (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\evdoserver (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\evdoserver (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\evdoserver (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\evdoserver (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xml.xml (Worm.Allaple) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xml.xml.1 (Worm.Allaple) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{500bca15-57a7-4eaf-8143-8c619470b13d} (Worm.Allaple) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{e24211b3-a78a-c6a9-d317-70979ace5058} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Worm.Allaple) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{bd56a320-23f2-42ad-f4e4-00aac39caa53} (Trojan.Ertfor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\DigiFast (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Monopod (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\kbiwkmltltxuoq (Rootkit.TDSS) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\Control Panel\don't load\scui.cpl (Hijack.SecurityCenter) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\don't load\wscui.cpl (Hijack.SecurityCenter) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\WINID (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\BuildW (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\FirstInstallFlag (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\guid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\i (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\mEv (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\mso (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\udso (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\uid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\Ulrn (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\Update (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\UpdateNew (Malware.Trace) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BITS\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemRoot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemroot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
D:\Documents and Settings\FABIEN\Application Data\cft (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Documents and Settings\FABIEN\Application Data\digifast (Trojan.Agent) -> Quarantined and deleted successfully.
D:\Documents and Settings\All Users\AVP 2009 (Malware.Trace) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\WINDOWS\system32\wmdtc.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\EvdoServer.dll (Trojan.Agent) -> Delete on reboot.
C:\Program Files\Mozilla Firefox\components\WWShow.dll (Trojan.BHO) -> Delete on reboot.
C:\Program Files\Mozilla Firefox\components\dfff.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\wiwow64.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp	4m0_761078654397.bk.old (Backdoor.Bot) -> Quarantined and deleted successfully.
D:\Documents and Settings\FABIEN\Local Settings\Temporary Internet Files\Content.IE5\05CP6H3V\Moovida_setup[2].exe (Adware.NaviPromo) -> Quarantined and deleted successfully.
D:\Documents and Settings\FABIEN\Local Settings\Temporary Internet Files\Content.IE5\8OUL8ONP\Moovida_setup[1].exe (Adware.NaviPromo) -> Quarantined and deleted successfully.
D:\Documents and Settings\FABIEN\Local Settings\Temporary Internet Files\Content.IE5\DOAG1G8Y\Moovida_setup[1].exe (Adware.NaviPromo) -> Quarantined and deleted successfully.
D:\Documents and Settings\FABIEN\Local Settings\Temporary Internet Files\Content.IE5\GZUE56C4\Moovida_setup[2].exe (Adware.NaviPromo) -> Quarantined and deleted successfully.
D:\Documents and Settings\FABIEN\Application Data\digifast\config.cfg (Trojan.Agent) -> Quarantined and deleted successfully.
D:\Documents and Settings\All Users\AVP 2009\1.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\FInstall.sys (Backdoor.Bot) -> Quarantined and deleted successfully.
D:\Documents and Settings\FABIEN\Local Settings\Temporary Internet Files\usyhyzysi.exe (Trojan.Agent) -> Quarantined and deleted successfully.
D:\Documents and Settings\NetworkService\protect.dll (Trojan.Agent) -> Quarantined and deleted successfully.



Ci joint le nouveau rapport ZHPDiag une nouvelle fois obligé de décocher 45/61/62

http://www.cijoint.fr/cjlink.php?file=cj200909/cijs4PHNS1.txt

sKe69 · Answer

re,


redémarre ton PC si tu ne l'as pas fait lorsque MBAM te l'as demandé ....


puis fait ceci dans l'ordre :




1- Supprime tout ce qui se trouve dans la quarantaine de Malwarebytes .


========================

2- Utilsation de l'outil ZHPFix :

> Lance ZHPFix depuis le raccouci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal ( qui est vierge ),  copie/colle tout le texte qui se trouve sur cette page ( et rien d'autre ! ) :

> https://www.cjoint.com/?julcBl6vi2


Vérifie bien que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien ! 

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )
 
 Pense à réactiver tes défenses !... 
 

========================


3- Télécharge ToolBar S&D ( de Eric_71/Team IDN ) sur ton bureau  :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cpVobGk5bHnxrhQ4yaoEUDJvOYNnEGyYjgqHZz5GqZLfutR3fMFPlsC3-CGIilfupPAguYATNyua3csodN_frdMK8sSzUpit10Yac-QJCOkMqJKkbdKcP6ySs8trWPgoNVIq4TGGWCe6o0txXQv-ZueJF9vZzw3RXsGwFYIqN2lvF2LPdQzS8mE1d5kWOVOz6EMzQuE5-lClSJM869uq3oc7-t7yg%3D%3D&attredirects=3

( Tuto : https://sites.google.com/site/toolbarsd/aideenimages )

!! Déconnecte toi et ferme toutes tes applications en cours le temps de la manipe !! 

* Double-clique sur ToolBar SD.exe pour lancer l'outil et laisse toi guider ...  
--> Tapes directement sur 2 ( option " suppression " ) puis tape sur [Entrée]. 

Le nettoyage commence .

! ne touche à rien lors de la suppression ! 

Un rapport sera généré à la fin du processus : poste son contenu dans ta prochaine réponse pour analyse ... 

( le rapport est en outre sauvegardé ici -> C:\TB.txt )


====================


4- Télécharge CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre . 
Lors de l'installation: 
-choisis bien "français" en langue . 
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières. 

Un tuto ( aide ): 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 


---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé : 
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage- 
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs- 
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) . 

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... ) 


======================


5- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !): 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clique droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape CFix et valide . 

- le renommage au téléchargement est primordial pour contrer l'infection, sinon l'outil sera inutilisable - 


--------------------------------- [ ! ATTENTION ! ] ------------------------------------------
!! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe : 
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après  !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
--------------------------------------------------------------------------------------------

Ensuite :
> Double-clique sur l'icône "Combofix.exe" pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


-- Pour  XP, l' installation de la Console de Récupération  sera demandé :
* Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gif
*Reconnecte toi avant de cliquer sur "yes", et uniquement le temps de cette manipulation. 
*Une fois la console installée,
image > http://img.photobucket.com/albums/v706/ried7/whatnext.png  
re-déconnecte toi avant de cliquer sur "yes" pour lancer le scan -- 


Notes importantes : 
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'annonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarrer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un moment  : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... ) 

Le rapport sera crée ici: C:\Combofix.txt 

Réactive bien tes défenses

 
Poste le rapport Combofix pour analyse ...

fab57 · Answer

J'ai lancé comme vs m'avez dit le ZHPFix copier coller les infos mais a chaque fois il demande désinstallation des programmes et un certain moment impossible il blque pas de rapport
j'ai enchaine avec le Toolbar 
et je fais la suite


   -----------\  ToolBar S&D 1.2.9   XP/Vista

   Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
   X86-based PC ( Multiprocessor Free : AMD Sempron(tm) Processor 3000+ )
   BIOS : Phoenix - AwardBIOS v6.00PG
   USER : FABIEN ( Administrator )
   BOOT : Normal boot
   Antivirus : Trend Micro Internet Security Pro 17.50.1366 (Activated)
   Firewall  : Pare-feu personnel Trend Micro 5.8 (Activated)
   C:\ (Local Disk) - NTFS - Total:29 Go (Free:15 Go)
   D:\ (Local Disk) - NTFS - Total:73 Go (Free:48 Go)
   E:\ (CD or DVD)
   F:\ (USB) - FAT32 - Total:3863 Mo (Free:1 Go)
   G:\ (USB) - FAT32 - Total:114225 Mo (Free:88 Go)

   "C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
   Option : [2] ( 20/09/2009|12:58 )

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\WINDOWS\system32\blank.htm"
   "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
   "Search Page"="https://www.google.com/?gws_rd=ssl"
   "First Home Page"="http://www.google.com/toolbar/ie8/intl/fr/done.html"
   "Search Bar"="http://www.google.com/toolbar/ie8/sidebar.html"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
   "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Local Page"="C:\WINDOWS\system32\blank.htm"
   "Start Page"="https://www.msn.com/fr-fr/"


   --------------------\  Recherche d'autres infections

   --------------------\  Cracks & Keygens ..

   D:\DOCUME~1\FABIEN\Mes documents\Ma musique\iTunes\iTunes Music\Digital Poodle\Noisea\13 Crack (Space Attack).m4a



   1 - "C:\ToolBar SD\TB_1.txt" - 20/09/2009|12:59 - Option : [2]

   -----------\  Fin du rapport a 12:59:59,79

sKe69 · Answer

re,


pas grave pour ZHPFix .... passe à la suite .....

fab57 · Answer

voici le rapport de combofix
bonne réception


ComboFix 09-09-18.02 - FABIEN 20/09/2009 13:30.1.1 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.2.1252.33.1036.18.1790.1368 [GMT 2:00]
Lancé depuis: d:\documents and settings\FABIEN\Bureau\CFix.exe
Commutateurs utilisés :: d:\documents and settings\FABIEN\Bureau\WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Fichiers communs\WindowsUpdate.zip
c:\windows\Alcmtr.exe
c:\windows\Fonts\mlog
c:\windows\Installer\282ac.msp
c:\windows\irc.txt
c:\windows\system32\Install.txt
d:\documents and settings\All Users\Application Data\atyvihab.reg
d:\documents and settings\All Users\Application Data\gubirot.com
d:\documents and settings\All Users\Application Data\kofi.com
d:\documents and settings\All Users\Application Data\utyhy.pif
d:\documents and settings\All Users\Application Data\xucex.dl
d:\documents and settings\All Users\Documents\fuquxenas.ban
d:\documents and settings\All Users\Documents\ivep.inf
d:\documents and settings\All Users\Documents\pylequkof.inf
d:\documents and settings\All Users\Documents\qipeva._dl
d:\documents and settings\All Users\Documents\udifafixu.dl
d:\documents and settings\All Users\Documents\uxybodite.dll
d:\documents and settings\All Users\Documents\wewafid.inf
d:\documents and settings\FABIEN\Application Data\igijatytu.bin
d:\documents and settings\FABIEN\Application Data\xuwy.bat
d:\documents and settings\FABIEN\Application Data\yxosec.sys
d:\documents and settings\FABIEN\Cookies\goxuwyjoka.bat
d:\documents and settings\FABIEN\Cookies\pivucad.com
d:\documents and settings\FABIEN\Cookiesifubomy.db
d:\documents and settings\FABIEN\Cookies	atefihiw.ban
d:\documents and settings\FABIEN\Cookies	ogofequfo.reg
d:\documents and settings\FABIEN\Local Settings\Application Data\gozup.scr
d:\documents and settings\FABIEN\Local Settings\Application Data\imafu.ban
d:\documents and settings\FABIEN\Local Settings\Application Data	oware.com
d:\documents and settings\FABIEN\Local Settings\Application Data\xakejuguby.vbs
d:\documents and settings\FABIEN\Local Settings\Application Data\xywacuruze._dl

.
(((((((((((((((((((((((((((((   Fichiers créés du 2009-08-20 au 2009-09-20  ))))))))))))))))))))))))))))))))))))
.

2009-09-20 09:56 . 2009-09-20 09:56	--------	d-----w-	d:\documents and settings\Propriétaire
2009-09-20 09:46 . 2009-09-20 09:46	2272	----a-w-	d:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
2009-09-20 07:42 . 2009-09-20 07:42	--------	d-----w-	d:\documents and settings\FABIEN\Application Data\Malwarebytes
2009-09-20 07:42 . 2009-09-20 07:42	--------	d-----w-	d:\documents and settings\All Users\Application Data\Malwarebytes
2009-09-20 06:59 . 2009-09-20 07:03	--------	d-----w-	c:\program files\ZHPFix
2009-09-19 12:24 . 2009-09-19 17:47	--------	d-----w-	C:\UsbFix
2009-09-19 08:46 . 2009-09-20 09:33	--------	d-----w-	c:\program files\ZHPDiag
2009-09-18 20:51 . 2009-09-18 20:51	--------	d-----w-	d:\documents and settings\FABIEN\Local Settings\Application Data\Trend Micro
2009-09-18 20:41 . 2009-09-18 20:41	--------	d-----w-	d:\documents and settings\LocalService\Local Settings\Application Data\Trend Micro
2009-09-18 20:39 . 2009-09-20 11:34	--------	d-----w-	c:\program files\Trend Micro
2009-09-18 19:48 . 2009-09-18 19:58	--------	d-----w-	d:\documents and settings\FABIEN\.housecall6.6
2009-09-18 11:16 . 2009-09-18 11:16	--------	d-----r-	d:\documents and settings\LocalService\Favoris
2009-09-18 10:52 . 2009-03-24 14:07	55640	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-09-16 23:03 . 2009-09-16 23:17	634912	--sha-w-	c:\windows\system32\drivers\fidbox.dat
2009-09-16 19:48 . 2009-09-20 08:49	--------	d-----w-	c:\program files\a-squared Free
2009-09-16 19:40 . 2009-09-16 19:40	--------	d-----w-	d:\documents and settings\FABIEN\Application Data\ErrorExpert
2009-09-15 11:09 . 2009-09-15 11:09	11504	----a-w-	d:\documents and settings\FABIEN\Local Settings\Application Data\huzo.dat
2009-09-06 19:21 . 2009-09-20 09:38	--------	d-----w-	d:\documents and settings\FABIEN\Local Settings\Application Data\Google
2009-09-06 11:34 . 2009-09-20 10:47	--------	d-----w-	c:\program files\Google
2009-09-06 11:34 . 2009-09-06 11:36	--------	d--h--w-	c:\windows\msdownld.tmp
2009-09-05 14:29 . 2009-09-05 14:29	604488	----a-w-	c:\windows\system32\TUProgSt.exe
2009-09-05 14:29 . 2009-07-15 09:48	29000	----a-w-	c:\windows\system32\uxtuneup.dll
2009-09-05 14:29 . 2009-09-05 14:29	361288	----a-w-	c:\windows\system32\TuneUpDefragService.exe
2009-09-05 14:29 . 2009-09-05 14:29	--------	d-----w-	d:\documents and settings\FABIEN\Application Data\TuneUp Software
2009-09-05 14:28 . 2009-09-05 14:28	--------	d-----w-	d:\documents and settings\All Users\Application Data\TuneUp Software
2009-09-05 14:28 . 2009-09-20 09:58	--------	d-----w-	c:\program files\TuneUp Utilities 2009
2009-09-05 14:28 . 2009-09-05 14:28	--------	d-sh--w-	d:\documents and settings\All Users\Application Data\{55A29068-F2CE-456C-9148-C869879E2357}
2009-09-05 13:58 . 2009-09-20 09:34	--------	d-----w-	d:\documents and settings\All Users\Application Data\Lavasoft
2009-09-05 13:58 . 2009-09-20 09:34	--------	d-----w-	c:\program files\Lavasoft
2009-09-05 11:48 . 2009-09-16 23:14	--------	d-----w-	d:\documents and settings\All Users\Application Data\Kaspersky Lab
2009-09-05 11:48 . 2009-09-05 11:48	--------	d-----w-	c:\program files\Kaspersky Lab
2009-09-02 18:18 . 2009-09-02 18:18	--------	d-sh--w-	d:\documents and settings\FABIEN\IECompatCache
2009-08-29 10:36 . 2009-08-29 10:36	--------	d-----w-	d:\documents and settings\FABIEN\Local Settings\Application Data\Ahead
2009-08-29 10:33 . 2009-08-29 10:33	--------	d-----w-	d:\documents and settings\FABIEN\Application Data\Ahead
2009-08-29 10:30 . 2009-09-20 09:55	--------	d-----w-	c:\program files\Fichiers communs\Ahead
2009-08-29 10:30 . 2009-08-29 10:30	--------	d-----w-	c:\program files\Nero
2009-08-27 22:10 . 2009-08-27 22:10	664	----a-w-	c:\windows\system32\d3d9caps.dat
2009-08-27 19:40 . 2009-09-05 21:30	--------	d-----w-	d:\documents and settings\FABIEN\Application Data\FileZilla
2009-08-27 19:39 . 2009-08-27 19:40	--------	d-----w-	c:\program files\FileZilla FTP Client

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-20 11:06 . 2009-09-20 11:06	--------	d-----w-	c:\program files\CCleaner
2009-09-20 10:51 . 2004-08-16 15:41	84526	----a-w-	c:\windows\system32\perfc00C.dat
2009-09-20 10:51 . 2004-08-16 15:41	510324	----a-w-	c:\windows\system32\perfh00C.dat
2009-09-20 10:00 . 2009-08-04 22:16	--------	d-----w-	c:\program files\Windows Media Connect 2
2009-09-16 23:17 . 2009-09-16 23:03	9560	--sha-w-	c:\windows\system32\drivers\fidbox.idx
2009-09-16 18:36 . 2009-09-16 18:36	15806	----a-w-	c:\program files\Fichiers communs\qepu.db
2009-09-16 18:36 . 2009-09-16 18:36	13368	----a-w-	c:\program files\Fichiers communs\himo.lib
2009-08-25 16:18 . 2009-08-06 17:49	44776	----a-w-	d:\documents and settings\FABIEN\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-08-20 10:42 . 2009-08-07 16:39	--------	d-----w-	d:\documents and settings\FABIEN\Application Data\CopyTrans
2009-08-20 09:59 . 2009-08-20 09:54	--------	d-----w-	d:\documents and settings\FABIEN\Application Data\CopyTransPhoto
2009-08-20 08:47 . 2009-08-20 08:47	--------	d-----w-	d:\documents and settings\All Users\Application Data\iPodtoComputer
2009-08-20 08:47 . 2009-08-20 08:47	--------	d-----w-	c:\program files\Cucusoft
2009-08-19 11:02 . 2009-08-19 11:02	--------	d-----w-	d:\documents and settings\FABIEN\Application Data\AdobeUM
2009-08-18 12:03 . 2009-08-18 12:03	--------	d-----w-	c:\program files\MSBuild
2009-08-18 12:02 . 2009-08-18 12:02	--------	d-----w-	c:\program files\Reference Assemblies
2009-08-18 11:56 . 2009-08-18 11:56	--------	d-----w-	c:\program files\MSXML 6.0
2009-08-18 11:11 . 2009-08-18 11:13	411368	----a-w-	c:\windows\system32\deploytk.dll
2009-08-18 11:10 . 2006-06-30 00:37	--------	d-----w-	c:\program files\Java
2009-08-07 16:34 . 2009-08-07 16:34	--------	d-----w-	d:\documents and settings\FABIEN\Application Data\WindSolutions
2009-08-07 16:34 . 2009-08-07 16:34	--------	d-----w-	d:\documents and settings\All Users\Application Data\WindSolutions
2009-08-06 18:12 . 2009-08-06 18:12	--------	d-----w-	d:\documents and settings\FABIEN\Application Data\CyberLink
2009-08-06 18:12 . 2009-08-05 11:01	--------	d-----w-	d:\documents and settings\All Users\Application Data\Cyberlink
2009-08-06 17:48 . 2009-08-06 17:47	--------	d-----w-	c:\program files\QuickTime
2009-08-06 17:42 . 2009-08-04 19:51	--------	d-----w-	c:\program files\Fichiers communs\Apple
2009-08-06 17:38 . 2006-10-07 22:35	--------	d-----w-	c:\program files\K-Lite Codec Pack
2009-08-06 17:38 . 2009-08-05 18:45	--------	d-----w-	d:\documents and settings\FAB\Application Data\Apple Computer
2009-08-05 22:24 . 2009-08-05 10:33	12328	----a-w-	d:\documents and settings\FAB\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-08-05 18:43 . 2009-08-05 18:43	--------	d-----w-	d:\documents and settings\All Users\Application Data\Apple
2009-08-05 11:25 . 2009-08-05 11:24	--------	d-----w-	d:\documents and settings\All Users\Application Data\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
2009-08-05 11:24 . 2009-08-05 11:24	--------	d-----w-	c:\program files\iPod
2009-08-05 11:24 . 2009-08-05 11:22	--------	d-----w-	d:\documents and settings\All Users\Application Data\Apple Computer
2009-08-05 11:22 . 2009-08-04 20:57	--------	d-----w-	c:\program files\iTunes
2009-08-05 11:22 . 2009-08-05 11:22	--------	d-----w-	d:\documents and settings\All Users\Application Data\OD2
2009-08-05 11:22 . 2009-08-05 11:22	--------	d-----w-	d:\documents and settings\FABIEN\Application Data\OD2
2009-08-05 11:22 . 2009-08-05 11:22	--------	d-----w-	d:\documents and settings\FABIEN\Application Data\Apple Computer
2009-08-05 11:13 . 2009-08-05 11:13	--------	d-----w-	d:\documents and settings\All Users\Application Data\Downloaded Installations
2009-08-05 11:01 . 2009-08-05 11:01	--------	d-----w-	d:\documents and settings\All Users\Application Data\AOL
2009-08-04 20:31 . 2009-08-04 20:31	--------	d-----w-	c:\program files\Alwil Software
2009-08-04 20:12 . 2009-08-04 20:12	--------	d-----w-	c:\program files\WindSolutions
2009-08-04 19:53 . 2009-08-04 19:53	--------	d-----w-	c:\program files\Bonjour
2009-08-04 19:52 . 2009-08-04 19:52	--------	d-----w-	c:\program files\Apple Software Update
2009-08-04 19:16 . 2006-10-07 08:35	--------	d-----w-	c:\program files\Fichiers communs\Kaspersky Lab
2009-07-17 18:56 . 2004-08-16 15:39	58880	----a-w-	c:\windows\system32\atl.dll
2009-06-26 16:18 . 2004-08-16 15:41	663552	----a-w-	c:\windows\system32\wininet.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-12-01 7311360]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-12-01 86016]
"nwiz"="nwiz.exe" - c:\windows\system32
wiz.exe [2005-12-01 1519616]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-02-10 15969280]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\
ChkDisk.lnk - c:\windows\system32undll32.exe  [2004-8-16 33792]

c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\
ChkDisk.lnk - c:\windows\system32undll32.exe  [2004-8-16 33792]

c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\
ChkDisk.lnk - c:\windows\system32undll32.exe  [2004-8-16 33792]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\windows\system32\logonui.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun-]
"iTunesHelper"="d:\program files\ITUNE\iTunesHelper.exe"
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%ProgramFiles%\AOL 9.0\aol.exe"=
"%ProgramFiles%\UBISOFT\Splinter Cell Pandora Tomorrow\logo_ubi.exe"=
"%ProgramFiles%\UBISOFT\Splinter Cell Pandora Tomorrow\pandora.exe"=
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"d:\Program Files\ITUNE\iTunes.exe"=

R1 Klmc;Klmc;c:\windows\system32\drivers\klmc.sys [30/08/2005 14:52 10995]
R2 tuneup.programstatisticssvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [05/09/2009 16:29 604488]
S1 bee5e174;bee5e174;c:\windows\system32\drivers\bee5e174.sys --> c:\windows\system32\drivers\bee5e174.sys [?]
.
Contenu du dossier 'Tâches planifiées'

2009-09-20 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2009-09-20 c:\windows\Tasks\Maintenance en 1 clic.job
- c:\program files\TuneUp Utilities 2009\OneClickStarter.exe [2009-07-16 09:00]
.
.
------- Examen supplémentaire -------
.
mWindow Title = 
FF - ProfilePath - d:\documents and settings\FABIEN\Application Data\Mozilla\Firefox\Profiles\wicaas86.default\
FF - component: c:\program files\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll
FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology
pViewpoint.dll
FF - plugin: d:\program files\ITUNE\Mozilla Plugins
pitunes.dll

---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - true
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.
- - - - ORPHELINS SUPPRIMES - - - -

Notify-dimsntfy - (no file)
AddRemove-digifast - d:\documents and settings\FABIEN\Application Data\digifast\DFUninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-20 13:34
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ð•€|ÿÿÿÿ.•€|ù•Ñw*]
"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3176)
c:\windows\system32\msi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Bonjour\mDNSResponder.exe
c:\apps\Powercinema\Kernel\TV\CLCapSvc.exe
c:\apps\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32
vsvc32.exe
c:\windows\system32\wdfmgr.exe
c:\apps\Powercinema\Kernel\TV\CLSched.exe
.
**************************************************************************
.
Heure de fin: 2009-09-20 13:37 - La machine a redémarré
ComboFix-quarantined-files.txt  2009-09-20 11:37

Avant-CF: 16 643 534 848 octets libres
Après-CF: 17 318 625 280 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect /usepmtimer

Current=3 Default=3 Failed=4 LastKnownGood=1 Sets=1,2,3,4
236	--- E O F ---	2009-08-18 18:43

sKe69 · Answer

Bon .... on avance .... ^^




fais ceci dans l'ordre :


1- Avoir accès aux fichiers cachés :
 
Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage 
* "Afficher les fichiers et dossiers cachés" ---> coché 
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché 
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... ) 



2- Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé )  : 
d:\documents and settings\FABIEN\Local Settings\Application Data\huzo.dat 


Clique sur Send File ( = " Envoyer le fichier " ). 

Un rapport va s'élaborer ligne à ligne. 

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta prochaine réponse ... 

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses


Fais de même pour :

c:\program files\Fichiers communs\qepu.db 
c:\program files\Fichiers communs\himo.lib
c:\windows\system32\drivers\bee5e174.sys 

Poste moi donc ces 4 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et fait la suite ...



==========================

3- Télécharge gmer sur le bureau et dézippe-le (clic droit et extraire ici) : 
http://www2.gmer.net/gmer.zip
 
* Double-clique sur gmer.exe sur le bureau. Si ton antivirus réagit, ne t'inquiète pas et ignore l'alerte. 
* Clique sur l'onglet "rootkit", puis clique sur scan. 
* A la fin du scan, clique sur le bouton copy. 
* Dans démarrer>programmes>accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note. 
* poste le rapport stp ...

fab57 · Answer

Bonjour merci beaucoup déja de tout le boulot que vs faites

voici le premier fichier
je serai au travail toute la journée je finirai ce soir

bonne journée a vous



 Fichier huzo.dat reçu le 2009.09.21 05:37:15 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/41 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email: 	
	
Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared	4.5.0.24	2009.09.21	-
AhnLab-V3	5.0.0.2	2009.09.19	-
AntiVir	7.9.1.19	2009.09.18	-
Antiy-AVL	2.0.3.7	2009.09.18	-
Authentium	5.1.2.4	2009.09.20	-
Avast	4.8.1351.0	2009.09.20	-
AVG	8.5.0.412	2009.09.20	-
BitDefender	7.2	2009.09.21	-
CAT-QuickHeal	10.00	2009.09.19	-
ClamAV	0.94.1	2009.09.21	-
Comodo	2387	2009.09.21	-
DrWeb	5.0.0.12182	2009.09.21	-
eSafe	7.0.17.0	2009.09.17	-
eTrust-Vet	31.6.6746	2009.09.18	-
F-Prot	4.5.1.85	2009.09.20	-
F-Secure	8.0.14470.0	2009.09.21	-
Fortinet	3.120.0.0	2009.09.21	-
GData	19	2009.09.21	-
Ikarus	T3.1.1.72.0	2009.09.21	-
Jiangmin	11.0.800	2009.09.20	-
K7AntiVirus	7.10.849	2009.09.19	-
Kaspersky	7.0.0.125	2009.09.21	-
McAfee	5747	2009.09.20	-
McAfee+Artemis	5747	2009.09.20	-
McAfee-GW-Edition	6.8.5	2009.09.20	-
Microsoft	1.5005	2009.09.21	-
NOD32	4441	2009.09.19	-
Norman	6.01.09	2009.09.18	-
nProtect	2009.1.8.0	2009.09.20	-
Panda	10.0.2.2	2009.09.20	-
PCTools	4.4.2.0	2009.09.20	-
Prevx	3.0	2009.09.21	-
Rising	21.48.00.00	2009.09.21	-
Sophos	4.45.0	2009.09.21	-
Sunbelt	3.2.1858.2	2009.09.20	-
Symantec	1.4.4.12	2009.09.21	-
TheHacker	6.5.0.2.012	2009.09.18	-
TrendMicro	8.950.0.1094	2009.09.21	-
VBA32	3.12.10.10	2009.09.20	-
ViRobot	2009.9.21.1944	2009.09.21	-
VirusBuster	4.6.5.0	2009.09.20	-
Information additionnelle
File size: 11504 bytes
MD5...: 971e6a419620c153f56192a6d58a6fc0
SHA1..: 5d2ba0ee37b36397a9049458f187219e1222bfe7
SHA256: f2dab7c7a180c096ffe8d2ad9873d25f524aa16b0f54ffc0dacdc0c078e5e015
ssdeep: 192:+E0wwPlpnW+0lf3VB3InbhxmKRBO00XPwU3SBJkFttDR+t9K36Mcw62klCqc
KBQo:lGTn0lf3Q1xDp0XYUCYv1+e36Mcw3Rqj
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Unknown!
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

fab57 · Answer

Fichier qepu.db reçu le 2009.09.21 05:42:51 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/41 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 2.
L'heure estimée de démarrage est entre 50 et 71 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email: 	
	
Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared	4.5.0.24	2009.09.21	-
AhnLab-V3	5.0.0.2	2009.09.19	-
AntiVir	7.9.1.19	2009.09.18	-
Antiy-AVL	2.0.3.7	2009.09.18	-
Authentium	5.1.2.4	2009.09.20	-
Avast	4.8.1351.0	2009.09.20	-
AVG	8.5.0.412	2009.09.20	-
BitDefender	7.2	2009.09.21	-
CAT-QuickHeal	10.00	2009.09.19	-
ClamAV	0.94.1	2009.09.21	-
Comodo	2387	2009.09.21	-
DrWeb	5.0.0.12182	2009.09.21	-
eSafe	7.0.17.0	2009.09.17	-
eTrust-Vet	31.6.6746	2009.09.18	-
F-Prot	4.5.1.85	2009.09.20	-
F-Secure	8.0.14470.0	2009.09.21	-
Fortinet	3.120.0.0	2009.09.21	-
GData	19	2009.09.21	-
Ikarus	T3.1.1.72.0	2009.09.21	-
Jiangmin	11.0.800	2009.09.20	-
K7AntiVirus	7.10.849	2009.09.19	-
Kaspersky	7.0.0.125	2009.09.21	-
McAfee	5747	2009.09.20	-
McAfee+Artemis	5747	2009.09.20	-
McAfee-GW-Edition	6.8.5	2009.09.20	-
Microsoft	1.5005	2009.09.21	-
NOD32	4441	2009.09.19	-
Norman	6.01.09	2009.09.18	-
nProtect	2009.1.8.0	2009.09.20	-
Panda	10.0.2.2	2009.09.20	-
PCTools	4.4.2.0	2009.09.20	-
Prevx	3.0	2009.09.21	-
Rising	21.48.00.00	2009.09.21	-
Sophos	4.45.0	2009.09.21	-
Sunbelt	3.2.1858.2	2009.09.20	-
Symantec	1.4.4.12	2009.09.21	-
TheHacker	6.5.0.2.012	2009.09.18	-
TrendMicro	8.950.0.1094	2009.09.21	-
VBA32	3.12.10.10	2009.09.20	-
ViRobot	2009.9.21.1944	2009.09.21	-
VirusBuster	4.6.5.0	2009.09.20	-
Information additionnelle
File size: 15806 bytes
MD5...: 4180819df4a5222a8296c7f0f6bbdf85
SHA1..: 40392e425a31d0d2ab7dd0c585cb95c8554a2290
SHA256: 258d66112fa125b4ae262e46723ea91999f6b577ed2ac3a4bfe055e1a45a8a7b
ssdeep: 384:vChBG6ROdaFW09L3sDaZl5NTpj3PYyeDn3Xrbeh8YXu:vChhRhf9L3sDal/3
AyereVXu
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Unknown!
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

fab57 · Answer

Fichier himo.lib reçu le 2009.09.21 05:46:37 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/41 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 40 et 57 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email: 	
	
Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared	4.5.0.24	2009.09.21	-
AhnLab-V3	5.0.0.2	2009.09.19	-
AntiVir	7.9.1.19	2009.09.18	-
Antiy-AVL	2.0.3.7	2009.09.18	-
Authentium	5.1.2.4	2009.09.20	-
Avast	4.8.1351.0	2009.09.20	-
AVG	8.5.0.412	2009.09.20	-
BitDefender	7.2	2009.09.21	-
CAT-QuickHeal	10.00	2009.09.19	-
ClamAV	0.94.1	2009.09.21	-
Comodo	2387	2009.09.21	-
DrWeb	5.0.0.12182	2009.09.21	-
eSafe	7.0.17.0	2009.09.17	-
eTrust-Vet	31.6.6746	2009.09.18	-
F-Prot	4.5.1.85	2009.09.20	-
F-Secure	8.0.14470.0	2009.09.21	-
Fortinet	3.120.0.0	2009.09.21	-
GData	19	2009.09.21	-
Ikarus	T3.1.1.72.0	2009.09.21	-
Jiangmin	11.0.800	2009.09.20	-
K7AntiVirus	7.10.849	2009.09.19	-
Kaspersky	7.0.0.125	2009.09.21	-
McAfee	5747	2009.09.20	-
McAfee+Artemis	5747	2009.09.20	-
McAfee-GW-Edition	6.8.5	2009.09.20	-
Microsoft	1.5005	2009.09.21	-
NOD32	4441	2009.09.19	-
Norman	6.01.09	2009.09.18	-
nProtect	2009.1.8.0	2009.09.20	-
Panda	10.0.2.2	2009.09.20	-
PCTools	4.4.2.0	2009.09.20	-
Prevx	3.0	2009.09.21	-
Rising	21.48.00.00	2009.09.21	-
Sophos	4.45.0	2009.09.21	-
Sunbelt	3.2.1858.2	2009.09.20	-
Symantec	1.4.4.12	2009.09.21	-
TheHacker	6.5.0.2.012	2009.09.18	-
TrendMicro	8.950.0.1094	2009.09.21	-
VBA32	3.12.10.10	2009.09.20	-
ViRobot	2009.9.21.1944	2009.09.21	-
VirusBuster	4.6.5.0	2009.09.20	-
Information additionnelle
File size: 13368 bytes
MD5...: be0032f4c4fae544ff2e8c78fc3a218b
SHA1..: 06305ca876b35fa824085660f34d6714e9590586
SHA256: b0d127713bc0099fd65b51f8a8d92eab0fd70a87b15cc49112617313c6cab6d7
ssdeep: 384:NkuwuwahJCXbbs8q9DdKKIZtQMDUgUomaIiBMy:NkSJCc8CDdKnZTH3mq6y
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: MPEG Video (100.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

fab57 · Answer

Par contre je n'ai pas ce fichier la ?

c:\windows\system32\drivers\bee5e174.sys

sKe69 · Answer

Re,


pas grave pour le fichier bee5e174.sys ...


passe à GMER stp .....

fab57 · Answer

Bonsoir voici le rapport GMER

GMER 1.0.15.15087 - http://www.gmer.net
Rootkit scan 2009-09-21 19:47:50
Windows 5.1.2600 Service Pack 2
Running: gmer.exe; Driver: D:\DOCUME~1\FABIEN\LOCALS~1\Temp\fwloikog.sys


---- System - GMER 1.0.15 ----

SSDT            BAF4B16E                                                                                                             ZwCreateKey
SSDT            BAF4B164                                                                                                             ZwCreateThread
SSDT            BAF4B173                                                                                                             ZwDeleteKey
SSDT            BAF4B17D                                                                                                             ZwDeleteValueKey
SSDT            BAF4B182                                                                                                             ZwLoadKey
SSDT            BAF4B150                                                                                                             ZwOpenProcess
SSDT            BAF4B155                                                                                                             ZwOpenThread
SSDT            BAF4B18C                                                                                                             ZwReplaceKey
SSDT            BAF4B187                                                                                                             ZwRestoreKey
SSDT            BAF4B178                                                                                                             ZwSetValueKey
SSDT            BAF4B15F                                                                                                             ZwTerminateProcess

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Fastfat \Fat                                                                                             B421CC8A

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                             fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\controlset001\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318}\Properties@DeviceType                 2
Reg             HKLM\SYSTEM\controlset001\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318}\Properties@DeviceCharacteristics      256
Reg             HKLM\SYSTEM\controlset001\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\Properties@DeviceType                 7
Reg             HKLM\SYSTEM\controlset001\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\Properties@DeviceCharacteristics      256
Reg             HKLM\SYSTEM\controlset001\Control\Class\{4D36E969-E325-11CE-BFC1-08002BE10318}\Properties@DeviceType                 4
Reg             HKLM\SYSTEM\controlset001\Control\Class\{4D36E969-E325-11CE-BFC1-08002BE10318}\Properties@DeviceCharacteristics      256
Reg             HKLM\SYSTEM\controlset001\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\Properties@DeviceType                 4
Reg             HKLM\SYSTEM\controlset001\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\Properties@DeviceCharacteristics      256
Reg             HKLM\SYSTEM\controlset001\Control\Class\{4D36E97B-E325-11CE-BFC1-08002BE10318}\Properties@DeviceType                 4
Reg             HKLM\SYSTEM\controlset001\Control\Class\{4D36E97B-E325-11CE-BFC1-08002BE10318}\Properties@DeviceCharacteristics      256
Reg             HKLM\SYSTEM\controlset001\Control\Class\{4D36E980-E325-11CE-BFC1-08002BE10318}\Properties@DeviceType                 7
Reg             HKLM\SYSTEM\controlset001\Control\Class\{4D36E980-E325-11CE-BFC1-08002BE10318}\Properties@DeviceCharacteristics      256
Reg             HKLM\SYSTEM\controlset001\Services\MRxDAV\EncryptedDirectories@                                                      
Reg             HKLM\SYSTEM\ControlSet002\Services\kbiwkmltltxuoq@start                                                              1
Reg             HKLM\SYSTEM\ControlSet002\Services\kbiwkmltltxuoq@type                                                               1
Reg             HKLM\SYSTEM\ControlSet002\Services\kbiwkmltltxuoq@group                                                              file system
Reg             HKLM\SYSTEM\ControlSet002\Services\kbiwkmltltxuoq@imagepath                                                          \systemroot\system32\drivers\kbiwkmbppqpxmn.sys
Reg             HKLM\SYSTEM\ControlSet002\Services\kbiwkmltltxuoq\main (not active ControlSet)                                       
Reg             HKLM\SYSTEM\ControlSet002\Services\kbiwkmltltxuoq\main@aid                                                           10438
Reg             HKLM\SYSTEM\ControlSet002\Services\kbiwkmltltxuoq\main@sid                                                           0
Reg             HKLM\SYSTEM\ControlSet002\Services\kbiwkmltltxuoq\main@cmddelay                                                      14400
Reg             HKLM\SYSTEM\ControlSet002\Services\kbiwkmltltxuoq\main\delete (not active ControlSet)                                
Reg             HKLM\SYSTEM\ControlSet002\Services\kbiwkmltltxuoq\main\injector (not active ControlSet)                              
Reg             HKLM\SYSTEM\ControlSet002\Services\kbiwkmltltxuoq\main\injector@*                                                    kbiwkmwsp.dll
Reg             HKLM\SYSTEM\ControlSet002\Services\kbiwkmltltxuoq\main	asks (not active ControlSet)                                 
Reg             HKLM\SYSTEM\ControlSet002\Services\kbiwkmltltxuoq\modules (not active ControlSet)                                    
Reg             HKLM\SYSTEM\ControlSet002\Services\kbiwkmltltxuoq\modules@kbiwkmrk.sys                                               \systemroot\system32\drivers\kbiwkmbppqpxmn.sys
Reg             HKLM\SYSTEM\ControlSet002\Services\kbiwkmltltxuoq\modules@kbiwkmcmd.dll                                              \systemroot\system32\kbiwkmjdskiryt.dll
Reg             HKLM\SYSTEM\ControlSet002\Services\kbiwkmltltxuoq\modules@kbiwkmlog.dat                                              \systemroot\system32\kbiwkmgodruyap.dat
Reg             HKLM\SYSTEM\ControlSet002\Services\kbiwkmltltxuoq\modules@kbiwkmwsp.dll                                              \systemroot\system32\kbiwkmqqothtxu.dll
Reg             HKLM\SYSTEM\ControlSet002\Services\kbiwkmltltxuoq\modules@kbiwkm.dat                                                 \systemroot\system32\kbiwkmlolexvky.dat
Reg             HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318}\Properties@DeviceType             2
Reg             HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318}\Properties@DeviceCharacteristics  256
Reg             HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\Properties@DeviceType             7
Reg             HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\Properties@DeviceCharacteristics  256
Reg             HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E969-E325-11CE-BFC1-08002BE10318}\Properties@DeviceType             4
Reg             HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E969-E325-11CE-BFC1-08002BE10318}\Properties@DeviceCharacteristics  256
Reg             HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\Properties@DeviceType             4
Reg             HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\Properties@DeviceCharacteristics  256
Reg             HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E97B-E325-11CE-BFC1-08002BE10318}\Properties@DeviceType             4
Reg             HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E97B-E325-11CE-BFC1-08002BE10318}\Properties@DeviceCharacteristics  256
Reg             HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E980-E325-11CE-BFC1-08002BE10318}\Properties@DeviceType             7
Reg             HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E980-E325-11CE-BFC1-08002BE10318}\Properties@DeviceCharacteristics  256
Reg             HKLM\SYSTEM\CurrentControlSet\Services\MRxDAV\EncryptedDirectories@                                                  
Reg             HKLM\SYSTEM\ControlSet004\Services\kbiwkmltltxuoq@start                                                              1
Reg             HKLM\SYSTEM\ControlSet004\Services\kbiwkmltltxuoq@type                                                               1
Reg             HKLM\SYSTEM\ControlSet004\Services\kbiwkmltltxuoq@group                                                              file system
Reg             HKLM\SYSTEM\ControlSet004\Services\kbiwkmltltxuoq@imagepath                                                          \systemroot\system32\drivers\kbiwkmbppqpxmn.sys
Reg             HKLM\SYSTEM\ControlSet004\Services\kbiwkmltltxuoq\main (not active ControlSet)                                       
Reg             HKLM\SYSTEM\ControlSet004\Services\kbiwkmltltxuoq\main@aid                                                           10438
Reg             HKLM\SYSTEM\ControlSet004\Services\kbiwkmltltxuoq\main@sid                                                           0
Reg             HKLM\SYSTEM\ControlSet004\Services\kbiwkmltltxuoq\main@cmddelay                                                      14400
Reg             HKLM\SYSTEM\ControlSet004\Services\kbiwkmltltxuoq\main\delete (not active ControlSet)                                
Reg             HKLM\SYSTEM\ControlSet004\Services\kbiwkmltltxuoq\main\injector (not active ControlSet)                              
Reg             HKLM\SYSTEM\ControlSet004\Services\kbiwkmltltxuoq\main\injector@*                                                    kbiwkmwsp.dll
Reg             HKLM\SYSTEM\ControlSet004\Services\kbiwkmltltxuoq\main	asks (not active ControlSet)                                 
Reg             HKLM\SYSTEM\ControlSet004\Services\kbiwkmltltxuoq\modules (not active ControlSet)                                    
Reg             HKLM\SYSTEM\ControlSet004\Services\kbiwkmltltxuoq\modules@kbiwkmrk.sys                                               \systemroot\system32\drivers\kbiwkmbppqpxmn.sys
Reg             HKLM\SYSTEM\ControlSet004\Services\kbiwkmltltxuoq\modules@kbiwkmcmd.dll                                              \systemroot\system32\kbiwkmjdskiryt.dll
Reg             HKLM\SYSTEM\ControlSet004\Services\kbiwkmltltxuoq\modules@kbiwkmlog.dat                                              \systemroot\system32\kbiwkmgodruyap.dat
Reg             HKLM\SYSTEM\ControlSet004\Services\kbiwkmltltxuoq\modules@kbiwkmwsp.dll                                              \systemroot\system32\kbiwkmqqothtxu.dll
Reg             HKLM\SYSTEM\ControlSet004\Services\kbiwkmltltxuoq\modules@kbiwkm.dat                                                 \systemroot\system32\kbiwkmlolexvky.dat

---- EOF - GMER 1.0.15 ----

sKe69 · Answer

re,


c'est bien ce qu'il me semblais ...


Tibs semble encore présent .... bizard que ComboFix ne l'ai pas supprimé ...



il me faut encore d'autres infos avant de poursuivre :



1- Télécharge SysProt ( de swatkat ) sur ton bureau :

http://homepages.slingshot.co.nz/~crutches/SysProt/SysProt.exe


!! Déconnecte toi, ferme toutes tes applications et désactives tes défenses ( anti-virus ,anti-spyware,...) le temps de la manipe !!


* double clique sur "SysProt.exe" pour lancer l'outil .

* clique sur l'onglet "log" :

> coche toutes les cases présentes dans l'encadré "Write to log" .

* Puis clique sur le bouton en bas à droite [Create Log] .

* le scan démarre , laisse travailler l'outil ( même si il semble avoir planté ...)

> Au bout d'un moment, une fenêtre va apparaitre : laisse bien "Scan all drives " coché et clique sur [Start] .

> patiente de nouveau ... attends le message de fin indiquant la creation du rapport et clique sur "OK"
 

* ferme SysProt et poste via "Cijoint" le rapport "SysProtLog.txt" qui a été sauvegardé sur ton bureau dans ta prochaine réponse ...



==========================

2- Télécharge OAD ( par !aur3n7) : http://sosvirus.changelog.fr/OAD.exe 
----> Enregistre le sur ton bureau .

Double clique sur l'icone OAD pour le lancer 

- nom du fichier à rechercher :
-->tape ou fais un copier coller de : 

kbiwkm puis tape sur [entrée]

- Type de recherche : sélectionne l'option 6 puis valide ["entrée"] 

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ait terminé. 
Le rapport de recherche s'affichera automatiquement à l’écran dès qu'il aura terminé. 

Note : suivant la taille des disques durs cette recherche peut prendre plusieurs minutes. Sois patient ...

->Sauvegarde ce rapport sur ton Bureau et fais un copier / coller de celui-ci dans ta prochaine réponse ...

fab57 · Answer

VOICI LE RAPPORT

SysProt AntiRootkit v1.0.1.0
by swatkat

******************************************************************************************
******************************************************************************************

Process:
Name: [System Idle Process]
PID: 0
Hidden: No
Window Visible: No

Name: System
PID: 4
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\smss.exe
PID: 564
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\csrss.exe
PID: 668
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\winlogon.exe
PID: 696
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\services.exe
PID: 764
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\lsass.exe
PID: 788
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\svchost.exe
PID: 980
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\svchost.exe
PID: 1044
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\svchost.exe
PID: 1140
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\svchost.exe
PID: 1212
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\svchost.exe
PID: 1408
Hidden: No
Window Visible: No

fab57 · Answer

voici l'autre rapport

21/09/2009 ---- 20:34:27,98  

----------------------------------
§§§§§§ [kbiwkm] §§§§§§
----------------------------------
[X] Registre
[  ] Fichier (rapide)
[  ] Fichier (disque systeme)
[X] Fichier (complete)




********************
     [Registre] 
********************


[HKEY_LOCAL_MACHINE\SYSTEM\controlset001\Enum\Root\LEGACY_KBIWKMLTLTXUOQ]

[HKEY_LOCAL_MACHINE\SYSTEM\controlset001\Enum\Root\LEGACY_KBIWKMLTLTXUOQ\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\controlset001\Enum\Root\LEGACY_KBIWKMLTLTXUOQ\0000]
"Service"="kbiwkmltltxuoq"

[HKEY_LOCAL_MACHINE\SYSTEM\controlset001\Enum\Root\LEGACY_KBIWKMLTLTXUOQ\0000]
"DeviceDesc"="kbiwkmltltxuoq"

[HKEY_LOCAL_MACHINE\SYSTEM\controlset003\Enum\Root\LEGACY_KBIWKMLTLTXUOQ]

[HKEY_LOCAL_MACHINE\SYSTEM\controlset003\Enum\Root\LEGACY_KBIWKMLTLTXUOQ\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\controlset003\Enum\Root\LEGACY_KBIWKMLTLTXUOQ\0000]
"Service"="kbiwkmltltxuoq"

[HKEY_LOCAL_MACHINE\SYSTEM\controlset003\Enum\Root\LEGACY_KBIWKMLTLTXUOQ\0000]
"DeviceDesc"="kbiwkmltltxuoq"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KBIWKMLTLTXUOQ]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KBIWKMLTLTXUOQ\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KBIWKMLTLTXUOQ\0000]
"Service"="kbiwkmltltxuoq"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KBIWKMLTLTXUOQ\0000]
"DeviceDesc"="kbiwkmltltxuoq"

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

sKe69 · Answer

Re,


soit le rapport de SysProt est incomplet , soit tu n'as pas fais la manipe correctement ... recommence SysProtstp et poste le nouveau rapport obtenu ( via "Cijoint" ) pour analyse ...

fab57 · Answer

voici le rapport sysprolog  je pense pas avoir fait de mauvaise manipe par contre c'est assez rapide

http://www.cijoint.fr/cjlink.php?file=cj200909/cij3s3OF3M.txt

sKe69 · Answer

bon ....


fais ceci dans un premier temps :


Télécharge OTM (de Old_Timer) sur ton Bureau. 

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
 
* Double clique sur "OTM.exe" pour ouvrir le prg . 

* Ensuite rends toi sur cette page > https://www.cjoint.com/?jvwgbensuS

* Puis copie tout le texte qui s' y trouve et colle le dans le cadre de gauche de OTM : 
Paste Instructions for items to be moved.
(ne touche à rien d'autre !) 

! Déconnecte toi et ferme toutes tes applications en cours ( navigateur compris ) !
 
-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ... 

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"  
( " xxxx2009_xxxxxx.log "  où les "x" correspondent au jour et à l'heure de l'utilisation  ).

fab57 · Answer

voici le rapport comme demande

All processes killed
========== SERVICES/DRIVERS ==========
Service\Driver kbiwkmltltxuoq not found.
Service\Driver kbiwkmltltxuoq not found.
Service\Driver kbiwkmltltxuoq not found.
Service\Driver bee5e174 deleted successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\controlset001\Enum\Root\LEGACY_KBIWKMLTLTXUOQ\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\controlset003\Enum\Root\LEGACY_KBIWKMLTLTXUOQ\ not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KBIWKMLTLTXUOQ\ not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\kbiwkmltltxuoq\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\kbiwkmltltxuoq\ deleted successfully.
========== FILES ==========
File/Folder C:\Windows\system32\drivers\kbiwkmbppqpxmn.sys not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: FAB
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->FireFox cache emptied: 4871310 bytes
 
User: FABIEN
->Temp folder emptied: 1281 bytes
File delete failed. D:\Documents and Settings\FABIEN\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 480742 bytes
->Java cache emptied: 121250 bytes
->FireFox cache emptied: 41382630 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 402 bytes
 
User: Propriétaire
 
%systemdrive% .tmp files removed: 0 bytes
C:\WINDOWS\msdownld.tmp folder deleted successfully.
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
Windows Temp folder emptied: 296120 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 45,05 mb
 
 
OTM by OldTimer - Version 3.0.0.6 log created on 09212009_221443

Files moved on Reboot...

Registry entries deleted on Reboot...

sKe69 · Answer

bien ....


on va réutiliser GMER pour contrôler :


* Double-clique sur gmer.exe sur le bureau. Si ton antivirus réagit, ne t'inquiète pas et ignore l'alerte. 
* Clique sur l'onglet "rootkit", puis clique sur scan. 
* A la fin du scan, clique sur le bouton copy. 
* Dans démarrer>programmes>accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note. 
* poste le nouveau rapport obtenu stp ...

fab57 · Answer

Voici a nouveau le rapport cette fois je vs le met en fichier lien pour etre sur de nerien oublier


http://www.cijoint.fr/cjlink.php?file=cj200909/cijdSZkSWQ.txt

fab57 · Answer

Une autre info qui peut vs mettre sur la piste avant de vous contacter j'avais essayé de mettre kapersky impossible de le lancer comme bloqué
depuis vos nettoyage j'arrive a le lancer mais la MAJ ne se fait pas le message est impossible de se connecter 
bizarre ...

espérant que cela peut etre vs aide

fab57 · Answer

autant pour moi en activant firefox en navigateur par défaut Kapersky fonctionne parfaitement  
Je lui fait faire un scan du pc peut être que cela vs aidera si je trouve quelque chose

bonne nuit...

sKe69 · Answer

bien ....

Je lui fait faire un scan du pc peut être que cela vs aidera si je trouve quelque chose 

> non , pas pour le moment ... ^^'




.... la suite dans l'ordre :


1- Télécharge se petit soft , ZEB_RESTORE :  

ici http://telechargement.zebulon.fr/zeb-restore.html 
ou https://forum.zebulon.fr/index.php?act=attach&type=blogentry&id=1153

Enregistre ce fichier sur ton bureau. 

!  Ferme toutes tes applications ( navigateur compris ) et déconnecte toi !

-Clique droit Zeb-Restore.zip ==> "Extraire tout" choisis comme lieu d'enregistrement le bureau. 
-Ouvre le dossier ZR_1.0.0.37 ==> double clique sur Zeb-Restore.exe 
---> Coche les cases devant ( et uniquement celles-ci ! ) : 


* Policies : remet en place des éléments désactivés par "Policies" 
* Sites de confiance et sensibles : efface le contenu de ces zones (à utiliser si vous êtes infecté par des malwares) 
* Préfixes et Protocoles Internet : restore les clés des protocoles Internet (ZoneMap etc.) 
* Réinitialiser Fichier Hosts : réinitialise le fichier Hosts  


-Clique sur : " Restaurer " et laisse faire ( pas grand chose se passe et c'est assez rapide ) ....

--> Une fois fait, redémarre ton PC  pour que les répartions prennent effet .


===========================

2- refais un coup de CCleaner ( registre compris ) 


===========================

3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

fab57 · Answer

Ok

concernat ZHPDIAG tjrs obligé de décocher aussi le 62
ci joint rapport

http://www.cijoint.fr/cjlink.php?file=cj200909/cijgDsG8aj.txt

sKe69 · Answer

bien ...

reste encore des merdouilles ... -_-



Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé )  : 
C:\WINDOWS\System32	1p0_797060163642.b1k

Clique sur Send File ( = " Envoyer le fichier " ). 

Un rapport va s'élaborer ligne à ligne. 

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta prochaine réponse ... 

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses


Fais de même pour :

C:\WINDOWS\System32	1p0_526396538599.b1k
C:\WINDOWS\System32	1p0_623823796363.b1k


Poste moi donc ces 3 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...

fab57 · Answer

ci joint les 3 fichiers 


http://www.cijoint.fr/cjlink.php?file=cj200909/cij27rFyCy.txt

http://www.cijoint.fr/cjlink.php?file=cj200909/cij2dnRImH.txt


http://www.cijoint.fr/cjlink.php?file=cj200909/cijAgYAOuE.txt

sKe69 · Answer

bien ...


c'est celan du côté de ces fichiers ...



la suite :


1- Utilsation de l'outil ZHPFix :

> Lance ZHPFix depuis le raccouci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal ( qui est vierge ), copie/colle ce qui est en citation ci-dessous ( et rien d'autre ! ) :


O64 - Services: CurCS - Avertissement AlerterALG (alerteralg) - legacy_alerteralg
O64 - Services: CS003 - Avertissement AlerterALG (alerteralg) - legacy_alerteralg
O64 - Services: CurCS - EvdoServer (EvdoServer) - LEGACY_EVDOSERVER
O64 - Services: CS003 - EvdoServer (EvdoServer) - LEGACY_EVDOSERVER
O64 - Services: CurCS - sofatnet  Service (sofatnet) - legacy_sofatnet
O64 - Services: CS003 - sofatnet  Service (sofatnet) - legacy_sofatnet
O64 - Services: CurCS - fwloikog (fwloikog) - LEGACY_FWLOIKOG
O64 - Services: CS003 - fwloikog (fwloikog) - LEGACY_FWLOIKOG


Vérifie bien que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien ! 

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )
 
 Pense à réactiver tes défenses !... 


==========================

2- Télécharge GenProc  (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
http://www.genproc.com/GenProc.exe 

!! ferme tes applications en cours !!


* double-clique sur GenProc.exe pour lancer le scan et laisse faire ...

* A la question "faites vous aidez sur un forum..." > clique sur " oui " .

-> poste le contenu du rapport qui s'ouvre ... 


Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
 
IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .


=================================

3- Télécharge Ad-remover ( de C_XX ) sur ton bureau : 

http://sd-1.archive-host.com/membres/up/16506160323759868/AD-R.exe

! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) ! 

• Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .
 
• Au menu principal choisis l'option "S" et tape sur [entrée] .

• le scan démarre , laisse travailler l'outil et ne touche à rien ... 

/!\ l'outil donne l'impression qu'il a planté et qu'il ne se passe rien , mais ce n'est pas le cas ! ( le scan est très discret et assez long , donc patience ... ) 


--> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...

( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 


Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus :
(AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


Aides en images (Installation)   : http://pagesperso-orange.fr/NosTools/tuto_ad_r1.html
Aides en images (Recherche)    : http://pagesperso-orange.fr/NosTools/tuto_ad_r2.html

fab57 · Answer

voici le rapport de ZHPFIX 


ZHPFix v1.12.13  by Nicolas Coolman - Rapport de suppression du 22/09/2009 20:14:39
Fichier Registre : 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
O64 - Services: CurCS - Avertissement AlerterALG (alerteralg) - legacy_alerteralg  => Clé supprimée
O64 - Services: CS003 - Avertissement AlerterALG (alerteralg) - legacy_alerteralg  => Clé absente
O64 - Services: CurCS - EvdoServer (EvdoServer) - LEGACY_EVDOSERVER  => Clé supprimée
O64 - Services: CS003 - EvdoServer (EvdoServer) - LEGACY_EVDOSERVER  => Clé absente
O64 - Services: CurCS - sofatnet Service (sofatnet) - legacy_sofatnet  => Clé supprimée
O64 - Services: CS003 - sofatnet Service (sofatnet) - legacy_sofatnet  => Clé absente
O64 - Services: CurCS - fwloikog (fwloikog) - LEGACY_FWLOIKOG  => Clé supprimée
O64 - Services: CS003 - fwloikog (fwloikog) - LEGACY_FWLOIKOG  => Clé absente

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
(Néant)

Logiciel :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 8
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 0
Logiciel : 0
Autre : 0



End of the scan

fab57 · Answer

Rapport GenProc 2.629 [2] - 22/09/2009 à 20:21:42 
@ Windows XP Service Pack 2 - Mode normal
@ Mozilla Firefox (3.5.3) [Navigateur par défaut]

GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante : 


Fais scanner le(s) fichier(s) suivant(s) sur ce site https://www.virustotal.com/gui/ :


C:\ZHPExportRegistry-20-09-2009-09-29-55.txt 
C:\ZHPExportRegistry-22-09-2009-20-14-39.txt 


et poste le(s) rapport(s) obtenu(s) dans ta prochaine réponse.

 


~~~~ INFORMATION COMPLEMENTAIRE ~~~~
 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:22:33, on 22/09/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Bonjour\mDNSResponder.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32\TUProgSt.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtblfs.exe
C:\WINDOWS\system32\cmd.exe
C:\GenProc\outil\FABIEN_GenProc.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\ievkbd.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Clavier &virtuel - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Analyse des &liens - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O23 - Service: a-squared Free Service (a2free) - Unknown owner - C:\Program Files\a-squared Free\a2service.exe (file missing)
O23 - Service: AOL Connectivity Service (AOL ACS) - Unknown owner - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe (file missing)
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Office Source Engine (ose) - Unknown owner - C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE (file missing)
O23 - Service: TuneUp Drive Defrag Service (tuneup.defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (tuneup.programstatisticssvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: Windows Media Player Network Sharing Service (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)

fab57 · Answer

ET ENFIN LE DERNIER RAPPORT


======= RAPPORT D'AD-REMOVER 1.1.4.5_V | UNIQUEMENT XP/VISTA/7 =======
.
Mit à jour par C_XX le 18/09/2009 à 9:00 PM
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 20:26:43, 22/09/2009 | Mode Normal | Option: SCAN
Exécuté de: C:\Program Files\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™  Service Pack 2 v5.1.2600
Nom du PC: 111607730303 | Utilisateur actuel: FABIEN
. 
============== ÉLÉMENT(S) TROUVÉ(S) ============== 
.
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{08165EA0-E946-11CF-9C87-00AA005127ED} 
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.5.3 *
.
 Nom du profil: wicaas86.default (FABIEN)
.
(Prefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.9.1.3"); 
.
.
* Internet Explorer Version 8.0.6001.18702 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
First Home Page: hxxp://www.google.com/toolbar/ie8/intl/fr/done.html
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://www.msn.com/
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
===================================
.
1606 Octet(s) - C:\Ad-Report-SCAN.log 
.
1 Fichier(s) - D:\DOCUME~1\FABIEN\LOCALS~1\Temp 
3 Fichier(s) - C:\WINDOWS\Temp 
.
0 Fichier(s) - C:\Program Files\Ad-Remover\BACKUP
0 Fichier(s) - C:\Program Files\Ad-Remover\QUARANTINE 
.
Fin à: 20:34:40 | 22/09/2009
.
============== E.O.F ==============
.

sKe69 · Answer

bien 



! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) ! 
 

•  Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .
 
•  Au menu principal choisis cette fois l'option "L" et tape sur [entrée] .

•  Le nettoyage débute >  Laisse travailler l'outil et ne touche à rien !... 

/!\ l'outil donne l'impression qu'il a planté et qu'il ne se passe rien , mais ce n'est pas le cas ! ( le scan est très discret et assez long , donc patience ... ) 


--> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ...

( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

fab57 · Answer

.
======= RAPPORT D'AD-REMOVER 1.1.4.5_V | UNIQUEMENT XP/VISTA/7 =======
.
Mit à jour par C_XX le 18/09/2009 à 9:00 PM
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 21:56:41, 22/09/2009 | Mode Normal | Option: CLEAN
Exécuté de: C:\Program Files\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™  Service Pack 2 v5.1.2600
Nom du PC: 111607730303 | Utilisateur actuel: FABIEN
. 
============== ÉLÉMENT(S) NEUTRALISÉ(S) ============== 
.
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{08165EA0-E946-11CF-9C87-00AA005127ED}
 
(!) -- Fichiers temporaires supprimés. 
 
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.5.3 *
.
 Nom du profil: wicaas86.default (FABIEN)
.
(Prefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.9.1.3"); 
.
.
* Internet Explorer Version 8.0.6001.18702 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Start Page: hxxp://fr.msn.com/
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Search bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
===================================
.
1861 Octet(s) - C:\Ad-Report-CLEAN.log 
1918 Octet(s) - C:\Ad-Report-SCAN.log 
.
0 Fichier(s) - D:\DOCUME~1\FABIEN\LOCALS~1\Temp 
3 Fichier(s) - C:\WINDOWS\Temp 
.
19 Fichier(s) - C:\Program Files\Ad-Remover\BACKUP
0 Fichier(s) - C:\Program Files\Ad-Remover\QUARANTINE 
.
Fin à: 22:05:28 | 22/09/2009
.
============== E.O.F ==============
.

sKe69 · Answer

oki ...



fais ce qui suit dans l'ordre ( si le dernier rapport est clean , on finalisera ) :



1- Utilsation de l'outil ZHPFix :

> Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert :

!! ferme tes autres applications en cours !!


A- Clique sur le bouton " Nettoyeur de tools " ( le grand A rouge ) . Des lignes pré-cochées apparaissent alors dans l'encadré principal .

Là tu décoches la case devant ZHPDiag ! 


> Enfin clique en bas sur "Nettoyer" . 


laisse travailler l'outil ... une fois terminé , un nouveau rapport apparait dans l'encadré principal .

Copie/colle le contenu de ce rapport pour analyse ...



B- Clique sur le bouton en haut à droite " Vider la quarantaine " ( la poubelle vide ). 

Au message de confirmation , clique sur "Ok" .


Puis ferme ZHPFix ...


==================

2- Refais un coup de CCleaner ( registre compris ) .

======================================

3- Télécharge et installe le logiciel HijackThis : 

ici https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation . 
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge . 
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : 
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment ) 

======================================

4- Important :
Purge de la restauration système 
*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK 
---> Redémarre ton PC ...

*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK 
--->Redémarre ton PC ...

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).


======================================

5- Fais ce scan en ligne pour vérifier :

( ne rien faire d'autre avec le PC durant le scan ! )


Fais un scan antivirus en ligne, avec Internet Explorer et accepter l'ActiveX :

https://www.bitdefender.fr/ 

* Aide : En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE 
Dans la nouvelle fenêtre, clique sur j’accepte .
La fenêtre change encore, clique sur scanner .
Les signatures se chargent, etc ...

* pour le rapport : clique sur l'onglet "plus de détailles" . A la fin du scan, clique sur " problème détectés " .
-> juste au dessus à droite de la fenêtre des résultats , tu as " cliquer ici pour exporter le rapport " .
-> Clique dessus donc, et choisis d'enregistrer le rapport sur ton bureau .


--> Ouvre le document html que tu viens de sauvegarder ( le rapport ), 
fais un copier/coller de tout son contenu et poste le dans ta prochaine réponse ... 


Rappel : le scan en ligne ne fonctionne que sous Internet Exploreur ! ( et pas sur FireFox ou autres navigateurs )

Tutoriel en images ici : 
http://perso.orange.fr/rginformatique/section%20virus/defender.htm (merci à Balltrap34 pour cette réalisation) 
Et ici : https://www.commentcamarche.net/faq/8872-scanner-en-ligne-avec-bitdefender

fab57 · Answer

Voic le premier rapport ZHPFIX

En tout cas pour l'instant je te tire mon chapeau vous êtes vraiment un pro
je croise aussi les doigts que les rapports soient clean
J'etais bien infecté effectivement wahou

pourrez vs ensuite mon conseiller un bon antimalware/antispyware et est ce Kapersky est un bon outil ?

ZHPFix v1.12.13  by Nicolas Coolman - Rapport de suppression du 22/09/2009 22:29:15
Fichier d'export Registre : 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
C:\ToolBar SD  => Supprimé et mis en quarantaine
C:\UsbFix  => Supprimé et mis en quarantaine

Fichier :
C:\TB.txt  => Supprimé et mis en quarantaine

Logiciel :
O63 - Logiciel: HijackThis 2.0.2  => Logiciel supprimé
O63 - Logiciel: ZHPFix_is1  => Logiciel supprimé
O63 - Logiciel: UsbFix  => Logiciel supprimé

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 2
Fichier : 1
Logiciel : 3
Autre : 0



End of the scan

fab57 · Answer

bonjour
Désolé mais j'ai un souci pour installer internet explorer 
bizarrement l'install se déroule bien a la fin lle soft me dit de rebooter e boum rien ???
Je ressaye ce soir en rentrant du bouloot et vous tiens informé

sKe69 · Answer

re,

essaye avec internet explorer 7 > http://www.microsoft.com/downloads/details.aspx?familyid=9AE91EBE-3385-447C-8A30-081805B2F90B&displaylang=fr

fab57 · Answer

Re,

Ok j'essaye ce soir

merci

fab57 · Answer

bonsoir

ci joint le rapport de bitdefender



BitDefender Online Scanner
	

 
	

 

Rapport d'analyse généré à: Thu, Sep 24, 2009 - 19:49:05

 
	

 
	

 

Voie d'analyse: C:\;D:\;E:\;F:\;
	

 
	

 

 
	

 
	

 

Statistiques

Temps
	

00:21:35

Fichiers
	

70097

Directoires
	

9023

Secteurs de boot
	

0

Archives
	

1240

Paquets programmes
	

8534
	

 
	

 

Résultats

Virus identifiés
	

0

Fichiers infectés
	

0

Fichiers suspects
	

0

Avertissements
	

0

Désinfectés
	

0

Fichiers effacés
	

0
	

 
	

 

Info sur les moteurs

Définition virus
	

4260857

Version des moteurs
	

AVCORE v2.1 Windows/i386 11.0.0.26 (Aug 27 2009)

Analyse des plugins
	

17

Archive des plugins
	

44

Unpack des plugins
	

8

E-mail plugins
	

6

Système plugins
	

4
	

 
	

 

Paramètres d'analyse

Première action
	

Désinfecté

Seconde Action
	

Supprimé

Heuristique
	

Oui

Acceptez les avertissements
	

Oui

Extensions analysées
	

exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

Excludez les extensions
	

 

Analyse d'emails
	

Oui

Analyse des Archives
	

Oui

Analyser paquets programmes
	

Oui

Analyse des fichiers
	

Oui

Analyse de boot
	

Oui
	

 
	

 
 

Fichier analysé
	

 Statut

Aucun virus trouvé.

fab57 · Answer

Et bien merci beaucoup pour tout ce boulot

mon Pc fonctionne a merveille Chapeau l'artiste..

sKe69 · Answer

Salut,


de retour ... ^^


on n'as pas terminé ! .... reste encore à mettre à jours le PC pour le sécuriser ...



dans l'ordre :


1- Mets à jours ce qui suit, c'est important ( des versions pas à jours = failles de sécurité ) :

Version Console Java à jour > 6 Update 16
Version Adobe Reader à jour > v 9.1.3
Version Internet Explorer à jour > v 8

* pour la console Java :
-> désinstalle toutes les versions antérieurs  via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .
-> Puis télécharge et installe la dernière version ici :
https://www.commentcamarche.net/telecharger/developpement/12917-java-runtime-environment/
ou https://www.java.com/fr/

( Autre astuce pour faire cette maj ainsi que la suppression des anciennes versions 
avec l'outil Javara : https://www.commentcamarche.net/faq/15645-supprimer-les-anciennes-versions-de-java-avec-javara )

-> Enfin contrôle ceci : 
Démarrer > Panneau de configuration > Icône Java > onglet Mise à jour > cocher la case "Automatiser la détection des mises à jour".


* Adobe Reader :
-> désinstalle avant l'ancienne version via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .
-> Note : si tu as une imprimante ,éteinds la et débranche la du PC avant de faire la mise à jour.
-> télécharge et installe la dernière version ici : 
https://www.commentcamarche.net/telecharger/bureautique/2625-adobe-reader/


* Internet Explorer :
Même si tu utilises un autre Navigateur , il faut tenir IE à jours ! ( sinon faille de sécurité ) .
->Télécharge le ici : https://support.microsoft.com/fr-fr/allproducts
ou ici : https://www.commentcamarche.net/telecharger/web-internet/12477-internet-explorer-11/

http://www.microsoft.com/downloads/details.aspx?familyid=9AE91EBE-3385-447C-8A30-081805B2F90B&displaylang=fr

 ! Ferme toutes applications en cours ( navigateurs compris ), désactive toutes tes défenses ( antivirus , pare feu , guarde anti-spyware ...), et en restant connecté !

> puis lance l'installe de IE8 et laisse toi guider ...( regarde bien le du tuto ci-dessous )

->Pourquoi mettre à jours IE et tuto ici :
https://forum.malekal.com/viewtopic.php?f=45&t=12405


==========================

2- Fais une mise à jours de ton Système via panneau de config / "Windows Update" : 
-> fais toutes les mises à jours disponibles, surtout les dites "critiques" et "importantes" ( Xp SP3 , ect ... ).
-> tu les télécharges , puis une fois celles-ci téléchargées , lance les installations ( il te sera surement demandé de redémarrer le PC pour finir les installes ...).

Astuce ici :
https://www.commentcamarche.net/faq/273-windows-update-toutes-versions

Note : 
ferme toutes applications en cours et ne fais rien d'autre avec le PC lors de la mise à jour du système .


===========================


3- Une fois tout ceci fait , utilise Hijackthis :

tuto pour utilisation :
Regarde ici, c'est parfaitement expliqué en images (merci balltrap34), 
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm 
( Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement )

>  !! Déconnecte toi et ferme toutes tes applications en cours !! 

Clique sur le raccourci du bureau pour lancer le prg : 
fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile" 

---> Poste le rapport généré pour analyse ...

fab57 · Answer

hello

comme prévu votre rapport de hijacking


http://www.cijoint.fr/cjlink.php?file=cj200909/cij5ejJw3m.txt

sKe69 · Answer

re,


une barre d'outil indésirable lorsque tu as installer SpywareTerminator !


Tu n'as pas fait la mise à jours vers XP SP3 ! ... 


pour supprimer la barre d'outil :


Télécharge ToolBar S&D ( de Eric_71/Team IDN ) sur ton bureau  :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cpVobGk5bHnxrhQ4yaoEUDJvOYNnEGyYjgqHZz5GqZLfutR3fMFPlsC3-CGIilfupPAguYATNyua3csodN_frdMK8sSzUpit10Yac-QJCOkMqJKkbdKcP6ySs8trWPgoNVIq4TGGWCe6o0txXQv-ZueJF9vZzw3RXsGwFYIqN2lvF2LPdQzS8mE1d5kWOVOz6EMzQuE5-lClSJM869uq3oc7-t7yg%3D%3D&attredirects=3

( Tuto : https://sites.google.com/site/toolbarsd/aideenimages )

!! Déconnecte toi et ferme toutes tes applications en cours le temps de la manipe !! 

* Double-clique sur ToolBar SD.exe pour lancer l'outil et laisse toi guider ...  
--> Tapes directement sur 2 ( option " suppression " ) puis tape sur [Entrée]. 

Le nettoyage commence .

! ne touche à rien lors de la suppression ! 

Un rapport sera généré à la fin du processus : poste son contenu dans ta prochaine réponse
accompagné d'un nouveau rapport hijackthis pour analyse ... 

( le rapport est en outre sauvegardé ici -> C:\TB.txt )

fab57 · Answer

hello ci joint le rapport toolbar



   -----------\  ToolBar S&D 1.2.9   XP/Vista

   Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
   X86-based PC ( Multiprocessor Free : AMD Sempron(tm) Processor 3000+ )
   BIOS : Phoenix - AwardBIOS v6.00PG
   USER : FABIEN ( Administrator )
   BOOT : Normal boot
   Antivirus : Kaspersky Anti-Virus 9.0.0.459 (Not Activated)
   C:\ (Local Disk) - NTFS - Total:29 Go (Free:13 Go)
   D:\ (Local Disk) - NTFS - Total:73 Go (Free:42 Go)
   E:\ (CD or DVD)

   "C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
   Option : [2] ( 30/09/2009|20:50 )
   C:\Program Files\Mozilla Firefox\searchplugins\crawlersrch.xml

fab57 · Answer

Et voila le rapport hidjackin


http://www.cijoint.fr/cjlink.php?file=cj200909/cijxZPDDy9.txt

sKe69 · Answer

Salut,



la suite :


1- Va dans "Démarrer" >"tous les programes" > "accessoire" >commande "executer" > tu tapes : services.msc  et valide .

( tu peux aussi accèder à la commande " exécuter " en tapant sur : 
touche Windows (en bas à gauche du clavier) + R ).

Cherche et clique droit sur le service cité -> "  Windows Media Player Network Sharing Service    " 
->va sur "propriétés" .
->et dans "type de démarrage" : mets le sur « désactivé ». 
->Ensuite si le "Status du service" est sur "Démarré", faire : « arrêté » 
->valide la modif ...


Recommence avec ceci :
- Office Source Engine
- a-squared Free Service  
- AOL Connectivity Service 


Tutorial : https://www.zebulon.fr/dossiers/windows/31-services.html 


======================

2-  Ferme toutes tes applications ( navigateur compris ) et déconnecte toi .

Relance Hijackthis mais click sur " Do a scan only " 
Tu vois donc apparaitre le résultat du scan : une multitudes de lignes ,chacunes précédées d'un carré vide . 
Tu vas cliquer sur les carrés des lignes suivantes : 


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=60347
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60347
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60347
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60347
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60347

R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - (no file)

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)



Tu cliques en bas sur le bouton FIX CHECKED et valides .



3- Redémarre l'ordi .
( important pour que certaines modifs faites avec hijakthis soient prises en compte ) 


Puis teste ton PC ainsi que ta navigation sur internet ... Si tout est Ok pour toi , on peut passer à la dernière étape ....

> Poste aussi un dernier rapport Hijackthis de contrôle ...

fab57 · Answer

hello

dsl pour le retard de la réponse

ci joint le rapport après vos instructions

http://www.cijoint.fr/cjlink.php?file=cj200910/cij5rUEpSl.txt 

a bientôt

sKe69 · Answer

oki .... suite et fin dans l'ordre : 1-Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau. http://pc-system.fr/ Déconnecte toi et ferme bien toutes tes applications en cours . Lances le . *Clique sur Recherche et laisse le scan se terminer (cela peut être long). *Clique sur Suppression pour finaliser. *Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) : --> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt . Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection . Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé . ( garde CCleaner et Malwarebytes : très utiles ! ) ====================================== 2- Refais un coup de CCleaner ( registre compris ) . =========================== 3- fait ce check-up pour finir : A-Re-purge la restauration système *Désactive ta restauration : Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK --->Redémarre ton PC ... *Réactive ta restauration : Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK --->Redémarre ton PC ... ( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ). Attention : ne pas toucher au PC pendant qu'il travaille ! B-Nettoyage et Défragmentation de tes Disques *Nettoyage : Clique droit sur "poste de travail" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Général" Clique sur le bouton "nettoyage de disque", OK . tu le fais pour chacun de tes disques ... *Vérifications des erreurs : Clique droit sur "poste de travail" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ... ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" > OK . Tu le fais pour chacun de tes disques ... Note : si tu as un utilitaire pour défragmenter , utilise le à la place ... ( attention , cela peut durer assez longtemps - plus de dix heures dans certains cas ) C-Créer un point de restauration de ton PC : Aller dans le Menu Démarrer puis dans Programmes, - Ensuite dans Accessoires et enfin dans Outils système, - Choisir "Restauration du système", - Sélectionner "Créer un point de restauration", - Cliquer sur "Suivant", - Entrer un nom pour le point de restauration (ce nom doit être assez évocateur), exemple : << Point restauration sain >> . --> Cliquer sur "Créer" et le point de restauration se créé automatiquement. ---> une fois terminé, dis moi ce que cela a donné et comment va le PC ... =)

fab57 · Answer

Bonjour Boss car c'est le terme
merci milles fois tout fonctionne impeccablement

encore merci 

a bientôt et bonne chasse contre les hackers

Fab :-)))

sKe69 · Answer

Re,


il me manque le rapport de Toolscleaner2 ! .... important ...


Il te faut absolument un anti-spyware résident pour épauler ton AV . 
Choisi l'un d'entre eux ( c'est du gratos ) :

Télécharger Spyware Terminator :
https://www.commentcamarche.net/telecharger/securite/20947-spyware-terminator/ 
 
Mais en faisant attention ; lors de l'installation, tu dois décocher devant :
"autoriser Web Security Guard"
 
Ne pas accepter le  'Web Security Guard' !! 

Vérifie régulièrement la mise à jour. 
Active la protection en temps réel comme ceci : http://img220.imageshack.us/img220/1985/screenshot269jn3.png 
et comme ceci dans l'onglet "Avancé" http://img223.imageshack.us/img223/19/screenshot270fm3.png (HIPS activé). 

Note ==> Remarque la fonction 'LANGUE' ;) ==> elle est là : http://img146.imageshack.us/img146/8679/screenshot271db0.png 

Tuto Spyware Terminator :
https://www.malekal.com/tutorial-et-guide-spywareterminator/

Note : si tu n'as pas d'antivirus, Spyware Terminator contient un aussi. 
/!\ Si tu as déjà un antivirus, ne pas mettre en service "Clam Antivirus" (1 seul antivirus actif par PC) :
->http://img210.imageshack.us/img210/3191/screenshot272kq3.png )

OU ************************************************

SpywareBlaster + SpywareGuard: 


* SpywareBlaster :
http://www.brightfort.com/spywareblaster.html 

c´est un resident uniquement ( pas de scan possible ) . Il suffit de le mettre a jour de temps en temps car la version gratuite ne le fait pas toute seul , une fois installé et mis a jour tu mets toutes les protections sur "enable" 

tutos :
http://consultaide.e-monsite.com/rubrique,spywareblaster-tuto-complet,262879.html
https://www.malekal.com/tutorial-spywareblaster/ 


* SpywareGuard :
SpywareGuard offre une protection en temps réel contre les tentatives d'installation des spywares.
https://www.commentcamarche.net/download/telecharger-34055277-spywareguard
Tuto : https://www.zebulon.fr/dossiers/securite/47-spywareguard.html

( controle les mises à jour / " live update " régulièrement )

 
================
================
================

Content d'avoir pu te rendre service .... ^^


Potasse ces quelques recommandations :


=> Comportement à adopter avec son PC : http://assiste.com.free.fr/p/abc/a/safe_cex.html 
et pourquoi ( exemple ) : http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html

=> Surveillance : 
Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus puis avec ton anti-spyware (après les avoir mis à jour bien sur !) et supprime ce qu'ils peuvent trouver (où mets en quarantaine, en pensant à la vider ultérieurement). 

=>  Il faut absolument tenir à jour régulièrement Windows:

Via Internet Explorer ( impératif ), rends toi sur Microsoft Update
http://www.update.microsoft.com/windowsupdate/v6/default.aspx

Effectue toutes les mise à jour critiques proposées.
Tu seras obligé de faire redémarrer ton PC et de retourner à la fonction de mise à jour jusqu'à ce qu'il n'y ait plus rien de signalé.

Par la suite, vérifie que les mises à jours de Windows soient bien en automatiques, pour cela :
Démarrer / Panneau de configuration et dans Centre de sécurité, clique sur Mises à jour automatiques, puis coche Installation automatique (recommandé), en dessous indique une heure où tu es connecté habituellement, puis clique sur Appliquer puis sur OK

=============================================================

=> Il faut mettre a jour la console Java régulièrement aussi : 

( Pourquoi : http://www.secuser.com/vulnerabilite/2008/080305-java.htm )

Donc pour se faire, rends toi sur https://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour) ou ici https://filehippo.com/download_jre_32/?ex=CORE-116.0 
Après avoir installé la dernière version, désinstalle les anciennes versions (de Java) afin d’éliminer les failles de sécurité présentes dans ces anciennes versions. 
via Démarrer / Paramètres / Panneau de config / et dans Ajout/Suppression de programmes navigue jusqu'aux anciennes versions de la console Java qui s'y trouvent, puis clique sur « Supprimer », suis les invites de commandes dans la boite de dialogue qui va s'ouvrir afin d'amener la désinstallation à son terme. 
Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé . 
Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre. 

Autre astuce : https://www.commentcamarche.net/faq/15645-supprimer-les-anciennes-versions-de-java-avec-javara

============================================================= 

=> Afin d’éviter les autres failles de sécurité des différents programmes présents sur ton PC : 

Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l’est pas. https://www.flexera.com/products/operations/software-vulnerability-management.html 
- Tuto https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/ 
- Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page. 

-> autre très bon soft similaire dans cette astuce : 
https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
 
===========================================================
* le pare- feu de Xp vaut rien , je te conseille fortement dans installer un :
( Important > si votre antivirus fait aussi pare-feu , ne pas en installer un autre ! conflits et plantages assurés ! )

Armor ou Comodo sont très bien ( en anglais mais gratuit )...Tu trouveras tout ce qu'il faut ici :
https://www.commentcamarche.net/telecharger/securite/pare-feu/

tutos :
https://www.malekal.com/tutorial-online-armor-free/
https://www.malekal.com/tutorial-comodo-firewall/

( Attention : pour Comodo 3 , choisir uniquement l'installation du pare-feu seul. Ne pas installer la barre d'outil pour les navigateurs ! )

En deuxieme choix ( gratuit aussi ) :
->Comodo ancienne version 2.4 ( en francais ) : 
http://download.comodo.com/cpf/download/setups/release/languages/CFP_Setup_English_French_2.4.16.174.exe
tuto: https://infomars.fr/forum/index.php?s=908072e48ff7cf0359366440cb26c93f&showtopic=389

->PC Tools Firewall Plus (en français) :
https://fr.norton.com/
Tuto : http://www.6ma.fr/tuto/utilisation-pc-tools-firewall-plus/

(Note: pensez bien à désactiver le pare-feu de Windows avant de lancer l'installe de tout autre pare-feu !)

* teste l'efficacité de ton pare-feu ici ( à titre indicatif ):
http://www.zebulon.fr/outils/scanports/test-securite.php

* tests firewall: http://www.matousec.com/index.html 

=> Un complément au pare-feu pour fermer les ports risqués (dangereux, s’ils restent ouverts) : 

ZebProtect (application ne nécessitant pas d’installation à lancer et paramétrer une unique fois) http://telechargement.zebulon.fr/123.html 

-Tuto https://www.zebulon.fr/dossiers/autres/40-zebprotect.html 

================================================================ 

Pour une meilleur sécurité lorsque tu surfes : 

* Je te conseille d'utiliser le navigateur " FireFox " :
télécharge le ici -> http://www.mozilla-europe.org/fr/
ou -> https://www.commentcamarche.net/telecharger/web-internet/9879-firefox/

( Attention : toujours garder IE sur son PC ! Il est indispensable pour les mises à jour de ton système ainsi que pour pas mal de choses, comme les scan d'antivirus en ligne, ect... )

-> Tutorial pour sécuriser Firefox :
https://www.malekal.com/securiser-le-navigateur-web-firefox-2/
https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/ 

* tu peux installer cet Add-ons : WOT ( gratuit / compatible IE et FireFox )
-> Firefox https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp - IE https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp
-> Démo : http://www.mywot.com/fr/demo
Très simple et léger , WOT permet d'avoir un aperçu sur la dangerosité et la fiabilité des sites donnés par les moteurs de recherche tel que Google ou Live Search .
> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

* Noscript est un autre "Add-ons" ( pour Firefox ) qui empêche l'exécution de scripts en provenance des sites Web. 
Il stoppe l'installation de logiciels infectieux via flash, java, javascript et d'autres points d'entrée : 
http://www.geekstogo.com/forum/redirect.php?url=http%3A%2F%2Fwww.noscript.net

=================================================================
=> Rappel sur les principales causes d'infection : 

A lire > https://www.malekal.com/fichiers/projetantimalwares/prevention-protection.pdf
( merci aux auteurs de ce pdf )

* L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci : 

Les dangers des cracks : http://forum.malekal.com/ftopic893.php 

-> Le crack dans toute sa splendeur, journal d'une infection attendue : 
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/ 

-> Fléaux du moment par le biais de pseudo crack sur réseau P2P : Virut/Scrible !
> https://www.futura-sciences.com/tech/actualites/informatique-virut-scribble-retour-infection-redoutable-18310/


* Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent): 

Les conséquences du P2P : https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/ 

Pourquoi éviter le P2P (emule ,Shareaza, kazza ... ect):
> http://www.libellules.ch/... 
> http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793 
> https://lexpansion.lexpress.fr/actualite-economique/
 

* Faire attention avec les ActiveX :
http://assiste.com.free.fr/p/abc/a/activex_dangers.html
et comment : 
http://assiste.com.free.fr/p/abc/c/anti_activex.html


* Prévention sur deux autres types d'infection d'actualité : 

MSN prévention : 
https://forum.zebulon.fr/topic/130590-infection-par-msn-ou-wlm/
-> autre danger grandissant , le " phishing " (= hameçonnage ) :
http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte
 

Infection par supports amovibles (clefs usb, flash, DD externes ..) :
https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/ 
https://forum.malekal.com/viewtopic.php?f=45&t=5544 

* Rappel sur l'utilisation d'une version piratée de Windows :
https://www.commentcamarche.net/faq/2981-j-utilise-une-version-piratee-de-windows

=================================================================

Bon à savoir :

* La "Console de récupération" ( XP ): 
face aux nouvelles menaces (attaque du secteur de boot par exemple), la Console de récupération peut être la seule solution pour pallier à un système très endomagé et particulièrement instable. 
tutoriels ici : 
https://www.pcastuces.com/pratique/windows/xp/console_recuperation/page1.htm .
https://www.informatruc.com

Equivalent Vista : http://www.forum-vista.net/forum/

* Conserve une sauvegarde des fichiers importants ( Sur CD/DVD rom ,DD externe ,ect ...). 

* Ne pas telecharger n'importe quoi, éviter les programes gratuits genre smileys, Macrogaming\SweetIM, Boonty games, ...ect

* Analyser les fichiers reçus/téléchargés :
Pour les adeptes du Peer 2 Peer ( que je déconseille fortement ),toujours analyser les fichiers telechargés avec l'antivirus, l'anti-spyware/malaware du PC avant de les executer ... Cela minimise les risques ( mais ceux-ci restent tout de même présents ! ) 
Ne pas ouvrir les pieces jointes d'un expediteur inconnu et toujours les analyser avant de les ouvrir .
Toujours analyser les fichiers reçus via MSN ou autre avec ton antivirus .

* Idées reçus en sécurité informatique ( très instructif ) > 
http://www.libellules.ch/idees_recues_securite.php

=================================================================
( merci le sioux ) 


Voilà ....


Bonne suite à toi .... =)


A+

Erreur system32\autochk.dll

67 réponses

Votre réponse

Discussions similaires

Newsletters