Encore infecté par TR/onlinegames.nnu ??? Résolu/Fermé

Question

Bonjour à toutes et tous,

J'ai récemment été infecté par le trojan Win32/PSW.OnLineGames.NNU ainsi que Win32/PSW.OnLineGames.ODJ

Mon Antivirus est Nod32 2.7

Le principal symptôme était que le trojan se régénérait de lui même lorsque j'essayais de le supprimer avec Nod.

Après diverses analyses et désinfections par notamment grâce à Malware Bytes, HijackThis et Spybot, il serait apparement parti.....

MAIS lorsqu'un ami est venu et a connecté sa clé sur l'ordinateur, l'AV s'est à nouveau affolé....

Alors, encore infecté ou pas? Infection venant de mon ami? Telle est la question....

J'ai vérifié sur la toile et je sais bien que diverses méthodes sont proposées, mais vu que ce trojan existe depuis un certain temps, et qu'il existe diverses variantes, je pense que chaque cas devrait être analysé séparément...

C'est pourquoi je vous demande un peu de votre temps.... Merci beaucoup 

Juju

Xplode · Answer

Salut, commence par faire ceci :

-+-+-+-> RSIT <-+-+-+-


[x] Télécharge Random's System Information Tool à cette adresse : http://images.malwareremoval.com/random/RSIT.exe

[x] Double clique sur " RSIT.exe ".

[x] Clique sur " Continue ".

[x] Si hijackthis n'est pas présent il sera automatiquement téléchargé et tu devras accepter la license.

[x] Une fois l'analyse finie, deux fichiers ( info.txt & log.txt ) s'ouvriront.

[x] Copie colle le contenu des deux rapports dans ton prochain message

[o] Si jamais tu as fermé les rapports sans faire attention, ils sont sous C:\rsit

juju666 · Answer

Bonjour Xplode et merci de m'aiguiller

Voilà le rapport RSIT:

Logfile of random's system information tool 1.06 (written by random/random)
Run by juju666 at 2009-10-12 19:23:42
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 106 GB (70%) free of 153 GB
Total RAM: 2047 MB (65% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:23:49, on 12/10/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Eset
od32kui.exe
C:\Program Files\LocalCooling\localcooling.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Eset
od32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Documents and Settings\juju666\Bureau\Téléchargements\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\juju666.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - c:\program filesealealplayerpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NodEnabler] C:\Program Files\ESET\ESET Smart Security\NodEnabler\NodEnabler.exe /s
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /F "C:\WINDOWS\TEMP\E_S2E3.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
od32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [LocalCooling] "C:\Program Files\LocalCooling\localcooling.exe" -s
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: ESET Service (ekrn) - Unknown owner - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe (file missing)
O23 - Service: FsUsbExService - Teruten - C:\WINDOWS\system32\FsUsbExService.Exe
O23 - Service: Service Google Update (gupdate1ca1dac5669ee66) (gupdate1ca1dac5669ee66) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero8\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: Nero Registry InCD Service (NeroRegInCDSrv) - Nero AG - C:\Program Files\Nero\Nero8\InCD\NBHRegInCDSrv.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset
od32krn.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

juju666 · Answer

Et voici le 2eme log:

info.txt logfile of random's system information tool 1.06 2009-10-12 19:23:50

======Uninstall list======

-->C:\Program Files\Nero\Nero8\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\WINDOWS\NuNInst.exe /UNINSTALL
-->C:\WINDOWS\UNNeroVision.exe /UNINSTALL
-->C:\WINDOWS\UNRecode.exe /UNINSTALL
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Acronis True Image Home-->MsiExec.exe /X{37C8899D-FD70-481F-94AA-1F1B08765E22}
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.1.3 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A91000000001}
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
Assistant de connexion Windows Live-->MsiExec.exe /I{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}
AusLogics Disk Defrag-->"C:\Program Files\Auslogics\AusLogics Disk Defrag\unins000.exe"
Bibliothèques GTK+ 2.14.7 rev a (supprimer uniquement)-->C:\Program Files\Fichiers communs\GTK\2.0\uninst.exe
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Correctif pour Lecteur Windows Media 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
Correctif pour Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Correctif pour Windows XP (KB961118)-->"C:\WINDOWS\$NtUninstallKB961118$\spuninst\spuninst.exe"
Correctif pour Windows XP (KB970653-v3)-->"C:\WINDOWS\$NtUninstallKB970653-v3$\spuninst\spuninst.exe"
DivxToDVD 1.99.24-->"C:\Program Files\vso\DivxToDVD\unins000.exe"
D-Link VGA Webcam-->C:\WINDOWS\CleanDev.exe C:\WINDOWS\ov519.TXT
EchoLink-->MsiExec.exe /I{DC33421C-0E1C-470A-BE37-7B7C82677812}
EPSON Logiciel imprimante-->C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\EPUPDATE.EXE /R
EPSON Scan-->C:\Program Files\epson\escndv\setup\setup.exe /r
EVEREST Ultimate Edition v5.00-->"C:\Program Files\Lavalys\EVEREST Ultimate Edition\unins000.exe"
Google Chrome-->"C:\Program Files\Google\Chrome\Application\3.0.195.25\Installer\setup.exe" --uninstall --system-level
Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Google Earth-->MsiExec.exe /X{CC016F21-3970-11DE-B878-005056806466}
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{46ABBC54-1872-4AA3-95E2-F2C063A63F31}
Java(TM) 6 Update 15-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216013FF}
K-Lite Codec Pack 3.7.0 Full-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"
Lecteur Windows Media 11-->"C:\Program Files\Windows Media Player\Setup_wm.exe" /Uninstall
LocalCooling 1.04-->"C:\Program Files\LocalCooling\unins000.exe"
LOGO!Soft Comfort V5.0-->"C:\Program Files\Siemens\LOGOComfort_V5\UninstallerData\Uninstall.exe"
Ma-Config.com-->MsiExec.exe /X{494952B3-AA5A-486C-8495-6BF830962747}
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Messenger Plus! Live-->"C:\Program Files\Messenger Plus! Live\Uninstall.exe"
MeuhMeuhTV Alpha 3.0.0.32-->"C:\Program Files\MeuhMeuhTV Alpha\unins000.exe"
Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Encarta 2009 - Collection-->MsiExec.exe /I{09180081-2C94-4A67-8E55-8483C019C7D2}
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{9011040C-6000-11D3-8CFE-0150048383C9}
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Virtual PC 2007-->MsiExec.exe /X{8A7CAA24-7B23-410B-A7C3-F994B0944160}
Microsoft VM for Java-->RunDll32 advpack.dll,LaunchINFSection java.inf,UnInstall
Microsoft Web Publishing Wizard 1.53-->RunDll32 ADVPACK.DLL,LaunchINFSection C:\WINDOWS\INF\wpie3x86.inf,WebPostUninstall
Mise à jour critique pour Lecteur Windows Media 11 (KB959772)-->"C:\WINDOWS\$NtUninstallKB959772_WM11$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media (KB968816)-->"C:\WINDOWS\$NtUninstallKB968816_WM9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media (KB973540)-->"C:\WINDOWS\$NtUninstallKB973540_WM9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 8 (KB969897)-->"C:\WINDOWS\ie8updates\KB969897-IE8\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 8 (KB971961)-->"C:\WINDOWS\ie8updates\KB971961-IE8\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 8 (KB972260)-->"C:\WINDOWS\ie8updates\KB972260-IE8\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Mise à jour de sécurité pour Windows XP (KB938464-v2)-->"C:\WINDOWS\$NtUninstallKB938464-v2$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956744)-->"C:\WINDOWS\$NtUninstallKB956744$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956844)-->"C:\WINDOWS\$NtUninstallKB956844$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB969897)-->"C:\WINDOWS\$NtUninstallKB969897$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971557)-->"C:\WINDOWS\$NtUninstallKB971557$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971657)-->"C:\WINDOWS\$NtUninstallKB971657$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973354)-->"C:\WINDOWS\$NtUninstallKB973354$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973507)-->"C:\WINDOWS\$NtUninstallKB973507$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973869)-->"C:\WINDOWS\$NtUninstallKB973869$\spuninst\spuninst.exe"
Mise à jour pour Windows Internet Explorer 8 (KB971930)-->"C:\WINDOWS\ie8updates\KB971930-IE8\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB961503)-->"C:\WINDOWS\$NtUninstallKB961503$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB968389)-->"C:\WINDOWS\$NtUninstallKB968389$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB973815)-->"C:\WINDOWS\$NtUninstallKB973815$\spuninst\spuninst.exe"
Module de compatibilité pour Microsoft Office System 2007-->MsiExec.exe /X{90120000-0020-040C-0000-0000000FF1CE}
Module de prise en charge linguistique de Microsoft .NET Framework 2.0 - FRA-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0 Language Pack - FRA\install.exe
Mozilla Firefox (3.5.3)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 6.0 Parser (KB927977)-->MsiExec.exe /I{5A710547-B58E-488B-828D-CA9A25A0533C}
Nero 8-->MsiExec.exe /X{3C5F1B30-B10B-4579-86DD-D00F662E1036}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
NOD32 Antivirus System-->C:\Program Files\Eset\Setup\setup.exe /UNINSTALL
NodEnabler 3.1-->C:\Program Files\ESET\ESET Smart Security\NodEnabler\Uninstall.exe
NVIDIA Drivers-->C:\WINDOWS\system32
vuninst.exe UninstallGUI
NVIDIA PhysX-->MsiExec.exe /X{1C4551A6-4743-4093-91E4-1477CD655043}
OGA Notifier 2.0.0048.0-->MsiExec.exe /I{B2544A03-10D0-4E5E-BA69-0362FFC20D18}
OpenOffice.org 3.1-->MsiExec.exe /I{B2E581DB-C4DD-432C-AC84-ED761AC056BC}
Outil de mise à jour Google-->"C:\Program Files\Google\Google Updater\GoogleUpdater.exe" -uninstall
Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Package de pilotes Windows - Advanced Micro Devices (AmdK8) Processor  (05/27/2006 1.3.2.0)-->C:\PROGRA~1\DIFX\7B44739871F4D539FA473F57A832EA4B6A59EF06\DPInst.exe /d /u C:\WINDOWS\system32\DRVSTORE\amdk8_C7A451815AD6A55564D6F47B5A12C61D8B4DCFD1\amdk8.inf
Package de pilotes Windows - MobileTop (sshpmdm) Modem  (02/23/2007 2.5.0.0)-->C:\PROGRA~1\DIFX\7B44739871F4D539FA473F57A832EA4B6A59EF06\DPInst.exe /u C:\WINDOWS\system32\DRVSTORE\shpacm_18A9B92ED8DEDC602E49E767FA4BE98A30525207\shpacm.inf
Package de pilotes Windows - MobileTop (sshpusb) USB  (02/23/2007 2.5.0.0)-->C:\PROGRA~1\DIFX\7B44739871F4D539FA473F57A832EA4B6A59EF06\DPInst.exe /u C:\WINDOWS\system32\DRVSTORE\shpusb_558D416BCEB984F35885804D3E1A9C3773F1B17C\shpusb.inf
Package de pilotes Windows - Nokia pccsmcfd  (10/12/2007 6.85.4.0)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\pccsmcfd_4A1E30386F4D0DEC8F5DF262CFBD8845EEBAB175\pccsmcfd.inf
PC Connectivity Solution-->MsiExec.exe /I{AC599724-5755-48C1-ABE7-ABB857652930}
Pidgin-->C:\Program Files\Pidgin\pidgin-uninst.exe
Post-it® Digital Notes-->MsiExec.exe /I{AA2DC6BC-F088-46DD-994B-07F6C5A32EC1}
QuickTime-->MsiExec.exe /I{C78EAC6F-7A73-452E-8134-DBB2165C5A68}
RealPlayer-->C:\Program Files\Fichiers communs\Real\Update_OB1puninst.exe RealNetworks|RealPlayer|12.0
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\SETUP.EXE" -l0x40c  -removeonly
RocketDock 1.3.5-->"C:\Program Files\RocketDock\unins000.exe"
SAMSUNG Mobile Composite Device Software-->C:\WINDOWS\system32\Samsung_USB_Drivers\6_old\SSBCUninstall.exe
Samsung Mobile Modem Device Software-->C:\WINDOWS\system32\Samsung_USB_Drivers\7\SSECUninstall.exe
SAMSUNG Mobile Modem Driver Set-->C:\WINDOWS\system32\Samsung_USB_Drivers\3\SSCDUninstall.exe
Samsung Mobile phone USB driver Software-->C:\WINDOWS\system32\Samsung_USB_Drivers\5\SSSDUninstall.exe
SAMSUNG Mobile USB Modem 1.0 Software-->C:\WINDOWS\system32\Samsung_USB_Drivers\1\SS_Uninstall.exe
SAMSUNG Mobile USB Modem Software-->C:\WINDOWS\system32\Samsung_USB_Drivers\2\SSM_Uninstall.exe
Samsung New PC Studio USB Driver Installer-->"C:\Program Files\InstallShield Installation Information\{AF7E85DC-317C-47F5-810E-B82EE093A612}\setup.exe" -runfromtemp -l0x040c -removeonly
Samsung New PC Studio USB Driver Installer-->MsiExec.exe /I{AF7E85DC-317C-47F5-810E-B82EE093A612}
Samsung New PC Studio-->"C:\Program Files\InstallShield Installation Information\{F193FC0E-9E18-40FC-A974-509A1BDD240A}\setup.exe" -runfromtemp -l0x040c -removeonly
Samsung New PC Studio-->MsiExec.exe /X{F193FC0E-9E18-40FC-A974-509A1BDD240A}
SAMSUNG USB Mobile Device Software-->C:\WINDOWS\system32\Samsung_USB_Drivers\6\SS_BUninstall.exe
SamsungConnectivityCableDriver-->MsiExec.exe /X{7E84FAC8-C518-40F9-9807-7455301D6D25}
Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}
Skype™ 3.8-->MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
SSC Service Utility v4.30-->"C:\Program Files\SSC Service Utility\unins000.exe"
Sun xVM VirtualBox-->MsiExec.exe /I{E2EA0C33-43B3-48A4-87CA-2BDA2F8ABF68}
TmNationsForever-->"C:\Program Files\TmNationsForever\unins000.exe"
TNod User & Password Finder 1.0.0-->C:\Program Files\Tukero[X]Team\TNod User & Password Finder\Uninstall.exe
TNod User & Password Finder 1.3.0c-->"C:\Program Files\Tukero[X]Team\TNod User & Password Finder\unins000.exe"
TomTom HOME 2.6.4.1641-->C:\Program Files\TomTom HOME 2\Uninstall TomTom HOME.exe
TomTom HOME Visual Studio Merge Modules-->MsiExec.exe /I{8F3C31C5-9C3A-4AA8-8EFA-71290A7AD533}
Tomtomax Maxi-Box V2.0.18-->"C:\Program Files\Tomtomax Maxi-Box\unins000.exe"
Unlocker 1.8.7-->C:\Program Files\Unlocker\uninst.exe
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
VCRedistSetup-->MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027}
Windows 7 Upgrade Advisor Beta-->MsiExec.exe /I{4394DC3A-5DAC-4C80-A86E-FF462D0AD653}
Windows Internet Explorer 8-->"C:\WINDOWS\ie8\spuninst\spuninst.exe"
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Messenger-->MsiExec.exe /X{770F1BEC-2871-4E70-B837-FB8525FFA3B1}
Windows Live OneCare safety scanner-->RunDll32.exe "C:\Program Files\Windows Live Safety Center\wlscCore.dll",UninstallFunction WLSC_SCANNER_PRODUCT
Windows Media Format 11 runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}

=====HijackThis Backups=====

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) [2009-07-19]
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" [2009-10-10]
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot [2009-10-10]
O23 - Service: Service Google Update (gupdate1ca1dac5669ee66) (gupdate1ca1dac5669ee66) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe [2009-10-10]
O23 - Service: ESET Service (ekrn) - Unknown owner - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe (file missing) [2009-10-10]
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing) [2009-10-10]
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-10-10]

======Hosts File======

127.0.0.1 mpa.one.microsoft.com
127.0.0.1	www.007guard.com
127.0.0.1	007guard.com
127.0.0.1	008i.com
127.0.0.1	www.008k.com
127.0.0.1	008k.com
127.0.0.1	www.00hq.com
127.0.0.1	00hq.com
127.0.0.1	010402.com
127.0.0.1	www.032439.com

======Security center information======

AV: ESET NOD32 antivirus system 2.70

======System event log======

Computer Name: PRIVEE-50E2A1BD
Event Code: 7006
Message: L'appel ScRegSetValueExW a échoué pour DeleteFlag avec l'erreur : 
Accès refusé.


Record Number: 5896
Source Name: Service Control Manager
Time Written: 20090913203326.000000+120
Event Type: error
User: 

Computer Name: PRIVEE-50E2A1BD
Event Code: 7006
Message: L'appel ScRegSetValueExW a échoué pour DeleteFlag avec l'erreur : 
Accès refusé.


Record Number: 5895
Source Name: Service Control Manager
Time Written: 20090913203326.000000+120
Event Type: error
User: 

Computer Name: PRIVEE-50E2A1BD
Event Code: 7006
Message: L'appel ScRegSetValueExW a échoué pour Type avec l'erreur : 
Accès refusé.


Record Number: 5894
Source Name: Service Control Manager
Time Written: 20090913203325.000000+120
Event Type: error
User: 

Computer Name: PRIVEE-50E2A1BD
Event Code: 1007
Message: Votre ordinateur a automatiquement configuré l'adresse IP pour la
carte avec l'adresse réseau 001D7D5DEDF6. L'adresse IP utilisée est 169.254.249.236.

Record Number: 5743
Source Name: Dhcp
Time Written: 20090913102131.000000+120
Event Type: warning
User: 

Computer Name: PRIVEE-50E2A1BD
Event Code: 4226
Message: TCP/IP a atteint la limite de sécurité imposée sur le nombre de tentatives de connexion TCP simultanées.

Record Number: 5670
Source Name: Tcpip
Time Written: 20090912131911.000000+120
Event Type: warning
User: 

=====Application event log=====

Computer Name: PRIVEE-50E2A1BD
Event Code: 11406
Message: Produit : ESET NOD32 Antivirus -- Erreur 1406. Impossible d'écrire la valeur SignaturesEnable dans la clé : \Software\ESET\ESET Security\CurrentVersion\Scanners\01010100\Profiles\@Shellext scan.  Erreur système .. Vérifiez que vous avez les droits d'accès nécessaires ou demandez l'assistance de votre administrateur système.

Record Number: 1300
Source Name: MsiInstaller
Time Written: 20090913203621.000000+120
Event Type: error
User: PRIVEE-50E2A1BD\juju666

Computer Name: PRIVEE-50E2A1BD
Event Code: 11406
Message: Produit : ESET NOD32 Antivirus -- Erreur 1406. Impossible d'écrire la valeur SfxEnable dans la clé : \Software\ESET\ESET Security\CurrentVersion\Scanners\01010100\Profiles\@Shellext scan.  Erreur système .. Vérifiez que vous avez les droits d'accès nécessaires ou demandez l'assistance de votre administrateur système.

Record Number: 1299
Source Name: MsiInstaller
Time Written: 20090913203621.000000+120
Event Type: error
User: PRIVEE-50E2A1BD\juju666

Computer Name: PRIVEE-50E2A1BD
Event Code: 11406
Message: Produit : ESET NOD32 Antivirus -- Erreur 1406. Impossible d'écrire la valeur SectorEnable dans la clé : \Software\ESET\ESET Security\CurrentVersion\Scanners\01010100\Profiles\@Shellext scan.  Erreur système .. Vérifiez que vous avez les droits d'accès nécessaires ou demandez l'assistance de votre administrateur système.

Record Number: 1298
Source Name: MsiInstaller
Time Written: 20090913203621.000000+120
Event Type: error
User: PRIVEE-50E2A1BD\juju666

Computer Name: PRIVEE-50E2A1BD
Event Code: 11406
Message: Produit : ESET NOD32 Antivirus -- Erreur 1406. Impossible d'écrire la valeur RtpEnable dans la clé : \Software\ESET\ESET Security\CurrentVersion\Scanners\01010100\Profiles\@Shellext scan.  Erreur système .. Vérifiez que vous avez les droits d'accès nécessaires ou demandez l'assistance de votre administrateur système.

Record Number: 1297
Source Name: MsiInstaller
Time Written: 20090913203621.000000+120
Event Type: error
User: PRIVEE-50E2A1BD\juju666

Computer Name: PRIVEE-50E2A1BD
Event Code: 11406
Message: Produit : ESET NOD32 Antivirus -- Erreur 1406. Impossible d'écrire la valeur MemoryEnable dans la clé : \Software\ESET\ESET Security\CurrentVersion\Scanners\01010100\Profiles\@Shellext scan.  Erreur système .. Vérifiez que vous avez les droits d'accès nécessaires ou demandez l'assistance de votre administrateur système.

Record Number: 1296
Source Name: MsiInstaller
Time Written: 20090913203620.000000+120
Event Type: error
User: PRIVEE-50E2A1BD\juju666

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=C:\Program Files\PC Connectivity Solution\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\QuickTime\QTSystem\
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 107 Stepping 2, AuthenticAMD
"PROCESSOR_REVISION"=6b02
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"CLASSPATH"=.;C:\Program Files\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre6\lib\ext\QTJava.zip

-----------------EOF-----------------

Xplode · Answer

-+-+-+-> USBfix <-+-+-+-


[x] Télécharge USBfix à cette adresse : https://www.androidworld.fr/

[x] Un tutoriel est disponible ici : https://www.malekal.com/usbfix-supprimer-virus-usb/

[x] Installe le

[x] Branche tout tes médias amovibles ( clés USB, DD externe )

[x] Lance USBfix en cliquant sur l'icône qui est sur ton bureau ( Clique droit -> Executer en tant qu'administrateur pour vista )

[x] Choisis l'option F ( pour français ) et valide en appuyant sur entrée.

[x] Au menu principal, choisi l'option 1

[x] Laisse l'outil travailler puis poste le rapport dans ton prochain message

juju666 · Answer

Eh ben merci tu répond super vite.... 

Voici le rapport:


############################## | UsbFix V6.041 |

User : juju666 (Administrateurs) # PRIVEE-50E2A1BD
Update on 12/10/2009 by Chiquitine29, C_XX & Chimay8
Start at: 19:38:04 | 12/10/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

AMD Athlon(tm) 64 X2 Dual Core Processor 5200+
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : ESET NOD32 antivirus system 2.70 2.70 [ Enabled | Updated ]

C:\ -> Disque fixe local # 149,04 Go (103,83 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque fixe local # 931,51 Go (725,13 Go free) [NONAME] # NTFS
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque CD-ROM
I:\ -> Disque CD-ROM
K:\ -> Disque amovible # 958,09 Mo (905,29 Mo free) [NONAME] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Eset
od32kui.exe
C:\Program Files\LocalCooling\localcooling.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Eset
od32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |


################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{960bb1c2-6588-11de-a894-806d6172696f}
Shell\AutoRun\command =D:\Run.exe 

HKCU\..\..\Explorer\MountPoints2\{efb731b6-67d0-11de-8dc6-001d7d5dedf6}
Shell\AutoRun\command =K:\InstallTomTomHOME.exe 

HKCU\..\..\Explorer\MountPoints2\{ffec1982-b057-11de-8e97-001d7d5dedf6}
Shell\AutoRun\command =J:\sp1jensi.exe 
Shell\open\Command =J:\sp1jensi.exe 

################## | ! Fin du rapport # UsbFix V6.041 ! |

Xplode · Answer

C'est l'habitude ;) -+-+-+-> USBfix - Nettoyage <-+-+-+- [x] Relance USBfix mais cette fois ci choisis l'option 2 /!\ N'oublie pas de laisser tes médias amovibles branchés sur ton PC /!\ [x] Patiente pendant que l'outil travaille. [x] Ton PC redémarrera, puis USBfix analysera tes médias amovibles. [x] Poste le rapport situé sous C:\USBfix.txt -+-+-+-> Malwarebyte's Anti-Malware <-+-+-+- [x] Télécharge Malwarebyte's anti-malware (MBAM) à cette adresse : http://www.malwarebytes.org/mbam/program/mbam-setup.exe [x] Installe le. [x] Met le à jour. [x] Lance un scan complet ! [x] Coche bien tout les éléments trouvés et supprime les ! [x] Un tutoriel pour son utilisation est disponible ici : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ [x] Suis les indications données sur le lien précédent puis copie/colle le rapport généré dans ton prochain message

juju666 · Answer

pour commencer, le log USBFIX:

############################## | UsbFix V6.041 |

User : juju666 (Administrateurs) # PRIVEE-50E2A1BD
Update on 12/10/2009 by Chiquitine29, C_XX & Chimay8
Start at: 20:18:48 | 12/10/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

AMD Athlon(tm) 64 X2 Dual Core Processor 5200+
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : ESET NOD32 antivirus system 2.70 2.70 [ Enabled | Updated ]

C:\ -> Disque fixe local # 149,04 Go (103,78 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque fixe local # 931,51 Go (725,13 Go free) [NONAME] # NTFS
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque CD-ROM
I:\ -> Disque CD-ROM
K:\ -> Disque amovible # 958,09 Mo (905,29 Mo free) [NONAME] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Eset
od32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |


################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{960bb1c2-6588-11de-a894-806d6172696f}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{efb731b6-67d0-11de-8dc6-001d7d5dedf6}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{ffec1982-b057-11de-8e97-001d7d5dedf6}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[30/06/2009 15:24|--a------|0] C:\AUTOEXEC.BAT 
[30/06/2009 16:05|-r-hs----|224] C:\boot.ini 
[28/08/2001 14:00|-rahs----|4952] C:\Bootfont.bin 
[30/06/2009 15:24|--a------|0] C:\CONFIG.SYS 
[30/06/2009 16:06|--a------|206] C:\csb.log 
[30/08/2009 21:13|--a------|32] C:\installer_debug.txt 
[30/06/2009 15:24|-rahs----|0] C:\IO.SYS 
[30/06/2009 15:24|-rahs----|0] C:\MSDOS.SYS 
[13/04/2008 09:43|-rahs----|47564] C:\NTDETECT.COM 
[13/04/2008 11:31|-rahs----|252240] C:
tldr 
[?|?|?] C:\pagefile.sys 
[30/06/2009 16:06|--a------|423] C:\RHDSetup.log 
[12/10/2009 20:21|--a------|2987] C:\UsbFix.txt 
[12/02/2009 01:00|---------|36352] C:\WGASetup.exe 
[05/09/2009 13:20|--a------|7706631] K:\Une mini tornade endommage une rue de Wih‚ries   les images -- RTL info.avi 
[24/09/2009 22:11|--a------|9208] K:\VIERGE.DVG 
[24/09/2009 20:29|--a------|2602] K:\VIERGE.BAK 
[24/09/2009 20:41|--a------|6016] K:\COMPO.DVG 
[21/09/2009 21:28|--a------|2511] K:\COMPO.BAK 
[21/09/2009 21:28|--a------|6423] K:\09JUL1.BAK 
[24/09/2009 22:11|--a------|6423] K:\09JUL1.DVG 
[02/10/2009 23:53|--a------|484499] K:\My7BootLoader Rev4.exe 
[02/08/2009 07:13|--a------|213407] K:\windows seven activation.exe 
[29/09/2009 19:05|--a------|170753] K:\gdhshhde.rar 
[03/10/2009 22:59|--a------|3848994] K:\carte son sempron.zip 
[03/10/2009 23:11|--a------|18734784] K:\WDM_A406.exe 

################## | Vaccination |

# C:\autorun.inf -> Folder created by UsbFix.  
# E:\autorun.inf -> Folder created by UsbFix.  
# K:\autorun.inf -> Folder created by UsbFix.  

################## | ! Fin du rapport # UsbFix V6.041 ! |

juju666 · Answer

Ah oui petite question:

aurais je dû effectuer toutes les manipulations en mode sans échec? et connexion internet coupée?

car je n'ai fait ni l'un ni l'autre.... est-ce grave?

Xplode · Answer

Non ce n'est pas nécéssaire, j'attend ton rapport malwarebyte's

juju666 · Answer

Bonjour Explode, désolé de ce silence mais j'ai dû m'absenter....


Je lance à l'instant une nouvelle analyse MBAM, je te donnerai le log une fois que ça sera terminé.

Mais mon UC est toujours utilisé à 35% en moyenne, donc je pense que l'ordi est toujours infecté par cette satanée bestiole.....

juju666 · Answer

Voici le rapport MBAM:

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2948
Windows 5.1.2600 Service Pack 3

13/10/2009 18:57:07
mbam-log-2009-10-13 (18-57-07).txt

Type de recherche: Examen complet (C:\|E:\|K:\|)
Eléments examinés: 179801
Temps écoulé: 1 hour(s), 4 minute(s), 9 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Xplode · Answer

Ok, refais un RSIT maintenant stp

juju666 · Answer

Logfile of random's system information tool 1.06 (written by random/random)
Run by juju666 at 2009-10-13 20:38:41
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 106 GB (70%) free of 153 GB
Total RAM: 2047 MB (64% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:38:47, on 13/10/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Eset
od32kui.exe
C:\Program Files\LocalCooling\localcooling.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Eset
od32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\juju666\Bureau\Téléchargements\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\juju666.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - c:\program filesealealplayerpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NodEnabler] C:\Program Files\ESET\ESET Smart Security\NodEnabler\NodEnabler.exe /s
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /F "C:\WINDOWS\TEMP\E_S2E3.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
od32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [LocalCooling] "C:\Program Files\LocalCooling\localcooling.exe" -s
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: ESET Service (ekrn) - Unknown owner - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe (file missing)
O23 - Service: FsUsbExService - Teruten - C:\WINDOWS\system32\FsUsbExService.Exe
O23 - Service: Service Google Update (gupdate1ca1dac5669ee66) (gupdate1ca1dac5669ee66) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero8\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: Nero Registry InCD Service (NeroRegInCDSrv) - Nero AG - C:\Program Files\Nero\Nero8\InCD\NBHRegInCDSrv.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset
od32krn.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

juju666 · Answer

En lisant le log, je me demande si cette ligne est normale?? -> 
O23 - Service: ESET Service (ekrn) - Unknown owner - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe (file missing)

Xplode · Answer

-+-+-+-> OTMoveIt <-+-+-+-


[x] Télécharge OTMoveIt (de Old_Timer) à cette adresse : https://www.luanagames.com/index.fr.html sur ton Bureau.

[x] Double-clique sur OTMoveIt.exe.

[x] Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.

[x] Copie le texte en gras ci dessous et colle le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved



:processes
explorer.exe

:services
HWIONT
ar1iqk1x


:files
C:\Documents and Settings\juju666\Bureau\Téléchargements\Nouveau dossier\HWIONT.sys 
C:\WINDOWS\system32\drivers\ar1iqk1x.sys 
C:\Program Files\Patch MsnCreative
C:\Documents and Settings\juju666\Application Data\VSO_HWE
C:\Documents and Settings\juju666\Application Data\VitySoft

:commands
[emptytemp]
[purity]
[start explorer]



[x] Clique sur MoveIt! pour lancer la suppression.

[x] Si OTMoveIt propose de redémarrer ton PC, accepte.

[x] Lorsque un résultat apparaît dans le cadre Results, clique sur Exit.

[x] Dans ta future réponse, envoie le rapport de OTMoveIt situé sous C:\_OTMoveIt\MovedFiles

juju666 · Answer

Re Xplode,
Le voici:

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
Service HWIONT stopped successfully.
Service HWIONT deleted successfully.
Unable to stop service ar1iqk1x .
========== FILES ==========
File/Folder C:\Documents and Settings\juju666\Bureau\Téléchargements\Nouveau dossier\HWIONT.sys not found.
File/Folder C:\WINDOWS\system32\drivers\ar1iqk1x.sys not found.
C:\Program Files\Patch MsnCreative moved successfully.
C:\Documents and Settings\juju666\Application Data\VSO_HWE moved successfully.
C:\Documents and Settings\juju666\Application Data\VitySoft\FRD moved successfully.
C:\Documents and Settings\juju666\Application Data\VitySoft moved successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\juju666\LOCALS~1\Temp\etilqs_XL4BpmuJSqes0VjQRfpg scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS	emp\Perflib_Perfdata_47c.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. C:\Documents and Settings\juju666\Local Settings\Application Data\Mozilla\Firefox\Profiles\1u2o6b0t.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\juju666\Local Settings\Application Data\Mozilla\Firefox\Profiles\1u2o6b0t.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\juju666\Local Settings\Application Data\Mozilla\Firefox\Profiles\1u2o6b0t.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\juju666\Local Settings\Application Data\Mozilla\Firefox\Profiles\1u2o6b0t.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\juju666\Local Settings\Application Data\Mozilla\Firefox\Profiles\1u2o6b0t.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\juju666\Local Settings\Application Data\Mozilla\Firefox\Profiles\1u2o6b0t.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.7.0 log created on 10132009_205457

Files moved on Reboot...
File C:\DOCUME~1\juju666\LOCALS~1\Temp\etilqs_XL4BpmuJSqes0VjQRfpg not found!
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat moved successfully.
File C:\WINDOWS	emp\Perflib_Perfdata_47c.dat not found!
C:\Documents and Settings\juju666\Local Settings\Application Data\Mozilla\Firefox\Profiles\1u2o6b0t.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\juju666\Local Settings\Application Data\Mozilla\Firefox\Profiles\1u2o6b0t.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\juju666\Local Settings\Application Data\Mozilla\Firefox\Profiles\1u2o6b0t.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\juju666\Local Settings\Application Data\Mozilla\Firefox\Profiles\1u2o6b0t.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\juju666\Local Settings\Application Data\Mozilla\Firefox\Profiles\1u2o6b0t.default\urlclassifier3.sqlite moved successfully.
C:\Documents and Settings\juju666\Local Settings\Application Data\Mozilla\Firefox\Profiles\1u2o6b0t.default\XUL.mfl moved successfully.

---

Pourrais tu me dire ce qu'il a fait exactement? Et pourquoi un autre utilitaire n'y arrive(rait) il pas?

Je suis fort intéressé par l'informatique et j'ai vraiment envie d'apprendre =D

Xplode · Answer

OtMoveIt est un logiciel qui sert à supprimer des fichiers / des services ou des clés de registre, il permet d'éviter à l'utilisateur d'aller fouiner lui même dans la base de registre ou de chercher les fichiers puisque le programme le fait lui même.

Fais maintenant ceci stp :

Télécharge GMER à partir de ce lien : http://www.gmer.net#files - clic sur "Download EXE" et télécharge le fichier sur ton bureau.
Voir le tutorial GMER, ça peut peut-être t'aider : https://www.malekal.com/tutorial-gmer/

Désactive tes logiciels de protection (antivirus, antispyware etc) et ferme tous les programmes ouverts.
Double-clic sur le fichier GMER téléchargé.
IMPORTANT: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
Clic sur l'onglet "rootkit"
Laisse tout coché.
Clic sur Scan
Lorsque le scan est terminé, clic sur "Copy"

Ouvre le bloc-note et clic sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle le contenu ici.

juju666 · Answer

Merci pour cette info :))
Concernant GMER....

NOTE: Lors du premier scan GMER s'est fermé, avec comme message: "Fin du programme: Windows a du fermer ce programme car (...)". Soit, le message d'erreur habituel lorsqu'une appli se ferme inopinément....
NOTE: Ma clé USB n'apparaît pas dans les disques à analyser! 



GMER 1.0.15.15125 - http://www.gmer.net
Rootkit scan 2009-10-13 22:15:09
Windows 5.1.2600 Service Pack 3
Running: inuc8k06.exe; Driver: C:\DOCUME~1\juju666\LOCALS~1\Temp\ffryraod.sys


---- System - GMER 1.0.15 ----

SSDT            spvh.sys                                                                                                             ZwCreateKey [0xB7EA80E0]
SSDT            spvh.sys                                                                                                             ZwEnumerateKey [0xB7EC6CA2]
SSDT            spvh.sys                                                                                                             ZwEnumerateValueKey [0xB7EC7030]
SSDT            spvh.sys                                                                                                             ZwOpenKey [0xB7EA80C0]
SSDT            spvh.sys                                                                                                             ZwQueryKey [0xB7EC7108]
SSDT            spvh.sys                                                                                                             ZwQueryValueKey [0xB7EC6F88]
SSDT            spvh.sys                                                                                                             ZwSetValueKey [0xB7EC719A]

INT 0x73        ?                                                                                                                    89DBFBF8
INT 0x83        ?                                                                                                                    89FCDBF8
INT 0xB4        ?                                                                                                                    89DBFBF8

---- Kernel code sections - GMER 1.0.15 ----

?               spvh.sys                                                                                                             Le fichier spécifié est introuvable. !
.text           USBPORT.SYS!DllUnload                                                                                                B60C88AC 5 Bytes  JMP 89DBF1D8 
.text           aciiyl24.SYS                                                                                                         B5790386 35 Bytes  [00, 00, 00, 00, 00, 00, 20, ...]
.text           aciiyl24.SYS                                                                                                         B57903AA 24 Bytes  [00, 00, 00, 00, 00, 00, 00, ...]
.text           aciiyl24.SYS                                                                                                         B57903C4 3 Bytes  [00, 70, 02] {ADD [EAX+0x2], DH}
.text           aciiyl24.SYS                                                                                                         B57903C9 1 Byte  [2E]
.text           aciiyl24.SYS                                                                                                         B57903C9 11 Bytes  [2E, 00, 00, 00, 5A, 02, 00, ...]
.text           ...                                                                                                                  

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                                   [B7EA9040] spvh.sys
IAT             atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                           [B7EA913C] spvh.sys
IAT             atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                                  [B7EA90BE] spvh.sys
IAT             atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                          [B7EA97FC] spvh.sys
IAT             atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                                  [B7EA96D2] spvh.sys
IAT             \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                                   [B7EB9048] spvh.sys
IAT             \SystemRoot\System32\Drivers\aciiyl24.SYS[HAL.dll!KfAcquireSpinLock]                                                 C0840CEC
IAT             \SystemRoot\System32\Drivers\aciiyl24.SYS[HAL.dll!READ_PORT_UCHAR]                                                   053C0D74
IAT             \SystemRoot\System32\Drivers\aciiyl24.SYS[HAL.dll!KeGetCurrentIrql]                                                  57B80974
IAT             \SystemRoot\System32\Drivers\aciiyl24.SYS[HAL.dll!KfRaiseIrql]                                                       8B000000
IAT             \SystemRoot\System32\Drivers\aciiyl24.SYS[HAL.dll!KfLowerIrql]                                                       56C35DE5
IAT             \SystemRoot\System32\Drivers\aciiyl24.SYS[HAL.dll!HalGetInterruptVector]                                             8D08758B
IAT             \SystemRoot\System32\Drivers\aciiyl24.SYS[HAL.dll!HalTranslateBusAddress]                                            8D51FC4D
IAT             \SystemRoot\System32\Drivers\aciiyl24.SYS[HAL.dll!KeStallExecutionProcessor]                                         8D52FD55
IAT             \SystemRoot\System32\Drivers\aciiyl24.SYS[HAL.dll!KfReleaseSpinLock]                                                 8D51FE4D
IAT             \SystemRoot\System32\Drivers\aciiyl24.SYS[HAL.dll!READ_PORT_BUFFER_USHORT]                                           8D52FF55
IAT             \SystemRoot\System32\Drivers\aciiyl24.SYS[HAL.dll!READ_PORT_USHORT]                                                  8D51F84D
IAT             \SystemRoot\System32\Drivers\aciiyl24.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                          5052F455
IAT             \SystemRoot\System32\Drivers\aciiyl24.SYS[HAL.dll!WRITE_PORT_UCHAR]                                                  EACAE856
IAT             \SystemRoot\System32\Drivers\aciiyl24.SYS[WMILIB.SYS!WmiSystemControl]                                               0FC08520
IAT             \SystemRoot\System32\Drivers\aciiyl24.SYS[WMILIB.SYS!WmiCompleteRequest]                                             0001B185

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                               89FCC1F8

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                               tdrpm147.sys (Acronis Try&Decide Volume Filter Driver/Acronis)
AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                               amon.sys (Amon monitor/Eset )

Device          \FileSystem\Fastfat \FatCdrom                                                                                        88DC61F8
Device          \Driver\usbohci \Device\USBPDO-0                                                                                     89DC11F8
Device          \Driver\usbehci \Device\USBPDO-1                                                                                     89E06500
Device          \Driver\dmio \Device\DmControl\DmIoDaemon                                                                            89FCE1F8
Device          \Driver\dmio \Device\DmControl\DmConfig                                                                              89FCE1F8
Device          \Driver\dmio \Device\DmControl\DmPnP                                                                                 89FCE1F8
Device          \Driver\dmio \Device\DmControl\DmInfo                                                                                89FCE1F8
Device          \Driver\Ftdisk \Device\HarddiskVolume1                                                                               89F5F1F8

AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1                                                                               tdrpm147.sys (Acronis Try&Decide Volume Filter Driver/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1                                                                               amon.sys (Amon monitor/Eset )

Device          \Driver\Ftdisk \Device\HarddiskVolume2                                                                               89F5F1F8

AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2                                                                               tdrpm147.sys (Acronis Try&Decide Volume Filter Driver/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2                                                                               amon.sys (Amon monitor/Eset )

Device          \Driver\Cdrom \Device\CdRom0                                                                                         89E011F8
Device          \Driver\Cdrom \Device\CdRom1                                                                                         89E011F8
Device          \Driver\atapi \Device\Ide\IdePort0                                                                                   [B7DFBB40] atapi.sys[unknown section]
Device          \Driver\atapi \Device\Ide\IdePort1                                                                                   [B7DFBB40] atapi.sys[unknown section]
Device          \Driver\Cdrom \Device\CdRom2                                                                                         89E011F8
Device          \Driver\USBSTOR \Device\00000074                                                                                     88BB91F8
Device          \Driver\Cdrom \Device\CdRom3                                                                                         89E011F8
Device          \Driver\USBSTOR \Device\00000075                                                                                     88BB91F8
Device          \Driver\Cdrom \Device\CdRom4                                                                                         89E011F8
Device          \Driver\NetBT \Device\NetBt_Wins_Export                                                                              88F201F8
Device          \Driver\sptd \Device\3545980842                                                                                      spvh.sys
Device          \Driver\USBSTOR \Device\00000079                                                                                     88BB91F8
Device          \Driver\NetBT \Device\NetbiosSmb                                                                                     88F201F8
Device          \Driver\PCI_PNP5842 \Device\0000004d                                                                                 spvh.sys
Device          \Driver
vata \Device\0000006a                                                                                       89FCD1F8
Device          \Driver
vata \Device\0000006b                                                                                       89FCD1F8
Device          \Driver\usbohci \Device\USBFDO-0                                                                                     89DC11F8
Device          \Driver\USBSTOR \Device\0000007a                                                                                     88BB91F8
Device          \Driver\usbehci \Device\USBFDO-1                                                                                     89E06500
Device          \Driver
vata \Device\NvAta0                                                                                         89FCD1F8
Device          \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                    88BC71F8
Device          \FileSystem\MRxSmb \Device\LanmanRedirector                                                                          88BC71F8
Device          \Driver\Ftdisk \Device\FtControl                                                                                     89F5F1F8
Device          \Driver\NetBT \Device\NetBT_Tcpip_{8727DF1B-69C5-4C5A-B26E-614CCF1FA7BC}                                             88F201F8
Device          \Driver\aciiyl24 \Device\Scsi\aciiyl241Port3Path0Target1Lun0                                                         89D40500
Device          \Driver\aciiyl24 \Device\Scsi\aciiyl241Port3Path0Target3Lun0                                                         89D40500
Device          \Driver\aciiyl24 \Device\Scsi\aciiyl241                                                                              89D40500
Device          \Driver\aciiyl24 \Device\Scsi\aciiyl241Port3Path0Target0Lun0                                                         89D40500
Device          \Driver\aciiyl24 \Device\Scsi\aciiyl241Port3Path0Target2Lun0                                                         89D40500
Device          \FileSystem\Fastfat \Fat                                                                                             88DC61F8

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                             tdrpm147.sys (Acronis Try&Decide Volume Filter Driver/Acronis)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                             amon.sys (Amon monitor/Eset )
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                             InCDRec.sys (Nero InCD File System Recognizer/Nero AG)

Device          \FileSystem\Cdfs \Cdfs                                                                                               88BBF1F8

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                   771343423
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                   285507792
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                   1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                     
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                  C:\Program Files\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                  0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                               0xDA 0xF3 0x17 0x11 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                            
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                         0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                      0x58 0x79 0x06 0x25 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                0x7B 0xF7 0x96 0x51 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh                0x06 0x9D 0x87 0xAF ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh                0x06 0x9D 0x87 0xAF ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43@khjeh                0x06 0x9D 0x87 0xAF ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                 
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                      C:\Program Files\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                      0
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                   0xDA 0xF3 0x17 0x11 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)        
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                             0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                          0x58 0x79 0x06 0x25 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                    0x7B 0xF7 0x96 0x51 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh                    0x06 0x9D 0x87 0xAF ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh                    0x06 0x9D 0x87 0xAF ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43@khjeh                    0x06 0x9D 0x87 0xAF ...

---- EOF - GMER 1.0.15 ----

Xplode · Answer

-+-+-+-+-> ComboFix <-+-+-+-


[x] Télécharge ComboFIX ( de sUBs ) à cette adresse : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

[x] /!\ Fermez toutes les fenêtres de programme ouvertes /!\

[x] /!\ Désactivez toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\

[x] Double clique sur " Combofix.exe "

[x] Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le

[x] Combofix va maintenant déconnecter ton PC d'internet

[x] Pendant le scan, ne touche à rien ( souris, clavier )

[x] A la fin du scan, le rapport s'ouvrira automatiquement, copie/colle le dans ton prochain message.

[o] Nb : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt

juju666 · Answer

GRRRRR pas moyen d'arrêter nod
Il revient toujours, même en killant le process (nod32krn.exe)
Screen des process actifs (je pense que ça pourrait t'aider.?) https://www.casimages.com/i/091013103136502350.jpg.html

juju666 · Answer

Désolé Xplode je vais reposer mes yeux, et surtout ma tête ^^

On reprend demain si tu veux bien, bien entendu

En tout cas un grand merci, tu es un excellent helpeur!

Cordialement;

Juju

juju666 · Answer

Bonjour à tous (:

J ai réussi à lancer le scan de CF dont voici le rapport:

ComboFix 09-10-13.01 - juju666 14/10/2009 14:31.1.2 - NTFSx86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.32.1036.18.2047.1534 [GMT 2:00]
Lancé depuis: c:\documents and settings\juju666\Bureau\Téléchargements\ComboFix.exe
AV: ESET NOD32 antivirus system 2.70 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Installer\a6e8d8.msp
c:\windows\Installer\a6e8d9.msp
c:\windows\Installer\a6e8db.msp

.
(((((((((((((((((((((((((((((   Fichiers créés du 2009-09-14 au 2009-10-14  ))))))))))))))))))))))))))))))))))))
.

2009-10-13 18:54 . 2009-10-13 18:54	--------	d-----w-	C:\_OTMoveIt
2009-10-12 17:36 . 2009-10-13 17:15	--------	d-----w-	C:\UsbFix
2009-10-12 17:23 . 2009-10-12 17:23	--------	d-----w-	C:sit
2009-10-10 11:04 . 2009-10-10 11:04	--------	d-----w-	C:\My Music
2009-10-02 19:01 . 2009-10-02 19:01	--------	d-----w-	c:\program files\Microsoft Virtual PC
2009-10-02 18:13 . 2009-10-02 18:47	--------	d-----w-	c:\documents and settings\juju666\.VirtualBox
2009-10-02 14:23 . 2009-10-02 14:23	--------	d-----w-	c:\windows\Performance
2009-10-02 14:21 . 2009-10-02 14:21	--------	d-----w-	c:\documents and settings\juju666\Local Settings\Application Data\Microsoft Corporation
2009-10-02 14:21 . 2009-10-02 14:21	--------	d-----w-	c:\program files\Microsoft Windows 7 Upgrade Advisor
2009-10-02 09:17 . 2009-10-02 09:17	--------	d-----w-	c:\program files\Fichiers communs\xing shared
2009-09-30 15:11 . 2009-09-30 15:11	--------	d-----w-	c:\documents and settings\juju666\Application Data\EPSON
2009-09-24 15:36 . 2009-09-26 07:16	--------	d-----w-	c:\documents and settings\juju666\Application Data\MessengerDiscovery 2
2009-09-20 17:39 . 2009-10-14 12:28	--------	d-----w-	c:\program files\LocalCooling
2009-09-20 11:40 . 2001-08-17 18:12	19017	-c--a-w-	c:\windows\system32\dllcachetl8029.sys
2009-09-20 11:40 . 2001-08-17 18:12	19017	----a-w-	c:\windows\system32\drivers\RTL8029.sys
2009-09-16 18:37 . 2009-09-16 18:37	298104	----a-w-	c:\windows\system32\imon.dll
2009-09-16 18:37 . 2009-09-16 18:37	512096	----a-w-	c:\windows\system32\drivers\amon.sys
2009-09-16 18:37 . 2009-09-16 18:37	15424	----a-w-	c:\windows\system32\drivers
od32drv.sys
2009-09-15 19:22 . 2005-02-24 22:00	46080	----a-w-	c:\windows\system32\escimgd.dll
2009-09-15 19:22 . 2005-02-24 22:00	29696	----a-w-	c:\windows\system32\escwiad.dll
2009-09-15 19:22 . 2005-02-24 22:00	22016	----a-w-	c:\windows\system32\esccmd.dll
2009-09-15 19:21 . 2009-09-15 19:21	--------	d-----w-	C:\EPSON
2009-09-15 19:21 . 2009-09-15 19:22	--------	d-----w-	c:\program files\EPSON
2009-09-15 19:07 . 2009-09-15 19:07	5248	----a-w-	c:\windows\system32\giveio.sys
2009-09-14 19:32 . 2009-09-14 19:32	--------	d-----w-	c:\program files\Tukero[X]Team
2009-09-14 19:15 . 2009-10-07 17:07	--------	d-----w-	c:\program files\ESET
2009-09-14 18:11 . 2009-10-02 21:43	--------	d--h--w-	c:\windows\system32\GroupPolicy
2009-09-14 16:13 . 2009-09-14 16:13	--------	d-sh--w-	c:\documents and settings\LocalService\IETldCache
2009-09-14 16:13 . 2009-09-14 16:13	--------	d-----w-	c:\program files\ma-config.com
2009-09-14 16:13 . 2009-09-14 16:13	--------	d-----w-	c:\documents and settings\All Users\Application Data\ma-config.com

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-14 12:29 . 2001-08-28 12:00	85876	----a-w-	c:\windows\system32\perfc00C.dat
2009-10-14 12:29 . 2001-08-28 12:00	511878	----a-w-	c:\windows\system32\perfh00C.dat
2009-10-12 15:41 . 2009-06-30 18:25	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-10-11 09:50 . 2009-07-01 18:28	--------	d-----w-	c:\documents and settings\juju666\Application Data\.purple
2009-10-09 16:04 . 2009-07-01 10:49	--------	d-----w-	c:\program files
Lite
2009-10-09 16:03 . 2009-07-06 15:50	--------	d-----w-	c:\documents and settings\juju666\Application Data\Broad Intelligence
2009-10-07 16:41 . 2009-07-02 19:22	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-10-02 09:17 . 2009-06-30 18:33	--------	d-----w-	c:\program files\Fichiers communs\Real
2009-10-02 09:17 . 2009-06-30 18:33	499712	----a-w-	c:\windows\system32\msvcp71.dll
2009-10-02 09:17 . 2009-06-30 18:21	348160	----a-w-	c:\windows\system32\msvcr71.dll
2009-09-28 16:59 . 2009-07-03 13:53	--------	d-----w-	c:\program files\Tomtomax Maxi-Box
2009-09-20 11:58 . 2009-09-13 17:56	--------	d-----w-	c:\documents and settings\juju666\Application Data\MeuhMeuhTV
2009-09-20 11:57 . 2009-09-13 17:56	--------	d-----w-	c:\program files\MeuhMeuhTV Alpha
2009-09-13 18:54 . 2009-06-30 18:25	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2009-09-13 11:52 . 2009-09-13 11:52	--------	d-----w-	c:\documents and settings\All Users\Application Data\PC Suite
2009-09-13 11:52 . 2009-09-13 11:52	--------	d-----w-	c:\documents and settings\juju666\Application Data\PC Suite
2009-09-12 18:18 . 2009-09-12 18:18	--------	d-----w-	c:\documents and settings\juju666\Application Data\Office Genuine Advantage
2009-09-12 09:24 . 2009-09-12 09:22	--------	d-----w-	c:\program files\Samsung
2009-09-12 09:23 . 2009-09-12 09:22	--------	d-----w-	c:\program files\PC Connectivity Solution
2009-09-12 09:23 . 2009-09-12 09:23	--------	d-----w-	c:\documents and settings\juju666\Application Data\Samsung
2009-09-12 09:23 . 2009-06-30 14:05	--------	d--h--w-	c:\program files\InstallShield Installation Information
2009-09-12 09:22 . 2009-09-12 09:22	--------	d-----w-	c:\program files\MarkAny
2009-09-11 19:12 . 2009-06-30 18:22	--------	d-----w-	c:\program files\Fichiers communs\Adobe
2009-09-10 12:54 . 2009-07-02 19:22	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-10 12:53 . 2009-07-02 19:22	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-09-09 16:09 . 2009-09-09 16:09	--------	d-----w-	c:\program files\SSC Service Utility
2009-09-01 19:18 . 2009-06-30 17:44	--------	d-----w-	c:\program files\Messenger Plus! Live
2009-09-01 19:17 . 2009-09-01 19:17	--------	d-----w-	c:\program files\Microsoft
2009-08-30 22:11 . 2009-07-27 18:57	--------	d-----w-	c:\program files\Windows Live Safety Center
2009-08-30 19:12 . 2009-08-30 19:12	--------	d--h--w-	c:\program files\Zero G Registry
2009-08-30 19:12 . 2009-08-30 19:12	--------	d-----w-	c:\program files\Siemens
2009-08-23 16:57 . 2009-08-23 16:57	--------	d-----w-	c:\program files\Pidgin
2009-08-22 14:57 . 2009-08-22 14:57	--------	d-----w-	c:\program files\RocketDock
2009-08-18 15:26 . 2009-08-18 13:52	--------	d-----w-	c:\program files\Web Publish
2009-08-18 14:13 . 2009-06-30 18:24	--------	d-----w-	c:\program files\Unlocker
2009-08-18 12:55 . 2009-06-30 17:35	32592	----a-w-	c:\documents and settings\juju666\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-08-18 12:55 . 2009-08-18 12:55	130	----a-w-	c:\documents and settings\juju666\Local Settings\Application Data\fusioncache.dat
2009-08-18 12:55 . 2009-08-18 12:55	--------	d-----w-	c:\program files\3M
2009-08-18 12:44 . 2009-08-18 12:44	--------	d-----w-	c:\documents and settings\juju666\Application Data\3M
2009-08-15 13:29 . 2009-08-15 13:28	--------	d-----w-	c:\program files\Google
2009-08-15 13:28 . 2009-08-15 13:28	--------	d-----w-	c:\documents and settings\All Users\Application Data\Google Updater
2009-08-06 17:24 . 2009-06-30 13:22	327896	----a-w-	c:\windows\system32\wucltui.dll
2009-08-06 17:24 . 2009-06-30 13:22	209632	----a-w-	c:\windows\system32\wuweb.dll
2009-08-06 17:24 . 2009-06-30 13:22	35552	----a-w-	c:\windows\system32\wups.dll
2009-08-06 17:24 . 2008-10-16 12:09	44768	----a-w-	c:\windows\system32\wups2.dll
2009-08-06 17:24 . 2009-06-30 13:22	53472	----a-w-	c:\windows\system32\wuauclt.exe
2009-08-06 17:24 . 2008-04-13 17:33	96480	----a-w-	c:\windows\system32\cdm.dll
2009-08-06 17:23 . 2009-06-30 13:22	575704	----a-w-	c:\windows\system32\wuapi.dll
2009-08-06 17:23 . 2009-07-01 14:16	274288	----a-w-	c:\windows\system32\mucltui.dll
2009-08-06 17:23 . 2009-06-30 13:22	1929952	----a-w-	c:\windows\system32\wuaueng.dll
2009-08-06 17:23 . 2008-10-16 12:07	215920	----a-w-	c:\windows\system32\muweb.dll
2009-08-05 09:00 . 2008-04-13 17:33	205312	----a-w-	c:\windows\system32\mswebdvd.dll
2009-08-03 13:07 . 2009-08-03 13:07	403816	----a-w-	c:\windows\system32\OGACheckControl.dll
2009-08-03 13:07 . 2009-08-03 13:07	322928	----a-w-	c:\windows\system32\OGAAddin.dll
2009-08-03 13:07 . 2009-08-03 13:07	230768	----a-w-	c:\windows\system32\OGAEXEC.exe
2009-07-26 14:44 . 2009-07-26 14:44	48448	----a-w-	c:\windows\system32\sirenacm.dll
2009-07-25 03:23 . 2009-06-30 18:25	411368	----a-w-	c:\windows\system32\deploytk.dll
2009-07-17 19:03 . 2008-04-13 17:33	58880	----a-w-	c:\windows\system32\atl.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\NBHShellExt]
@="{8D2223A2-B3C6-4e32-B096-CDD11F628C60}"
[HKEY_CLASSES_ROOT\CLSID\{8D2223A2-B3C6-4e32-B096-CDD11F628C60}]
2008-02-28 12:04	97064	----a-w-	c:\program files\Nero\Nero8\InCD\NBHShx.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"RocketDock"="c:\program files\RocketDock\RocketDock.exe" [2007-09-02 495616]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-04-30 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-04-30 13750272]
"NodEnabler"="c:\program files\ESET\ESET Smart Security\NodEnabler\NodEnabler.exe" [2009-04-20 373327]
"nod32kui"="c:\program files\Eset
od32kui.exe" [2009-09-16 949376]
"LocalCooling"="c:\program files\LocalCooling\localcooling.exe" [2006-12-01 2056875]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-07-05 16380416]
"nwiz"="nwiz.exe" - c:\windows\system32
wiz.exe [2009-04-30 1657376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\TmNationsForever\TmForever.exe"=
"c:\Program Files\K1RFD\EchoLink\EchoLink.exe"=
"c:\Program Files\Skype\Phone\Skype.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Samsung\Samsung New PC Studio\npsasvr.exe"=
"c:\Program Files\Samsung\Samsung New PC Studio\npsvsvr.exe"=

R0 snapman380;Acronis Snapshots Manager (Build 380);c:\windows\system32\drivers\snman380.sys [30/06/2009 21:12 134272]
R0 tdrpman147;Acronis Try&Decide and Restore Points filter (build 147);c:\windows\system32\drivers	drpm147.sys [30/06/2009 21:12 971232]
R1 nod32drv;nod32drv;c:\windows\system32\drivers
od32drv.sys [16/09/2009 20:37 15424]
R1 VBoxDrv;VirtualBox Service;c:\windows\system32\drivers\VBoxDrv.sys [30/06/2009 20:24 55520]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\drivers\VBoxUSBMon.sys [30/06/2009 20:24 42048]
S1 ehdrv;ehdrv;c:\windows\system32\DRIVERS\ehdrv.sys --> c:\windows\system32\DRIVERS\ehdrv.sys [?]
S2 ekrn;ESET Service;"c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe" --> c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [?]
S2 gupdate1ca1dac5669ee66;Service Google Update (gupdate1ca1dac5669ee66);c:\program files\Google\Update\GoogleUpdate.exe [15/08/2009 15:28 133104]
S3 CrystalSysInfo;CrystalSysInfo;\??\c:\program files\MediaCoder\SysInfo.sys --> c:\program files\MediaCoder\SysInfo.sys [?]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [12/09/2009 11:23 36608]
S3 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [12/09/2009 11:23 233472]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [1/09/2009 8:07 234864]
S3 NeroRegInCDSrv;Nero Registry InCD Service;c:\program files\Nero\Nero8\InCD\NBHRegInCDSrv.exe [28/02/2008 14:04 53032]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S3 ss_bbus;SAMSUNG USB Mobile Device (WDM);c:\windows\system32\drivers\ss_bbus.sys [12/09/2009 11:23 90112]
S3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);c:\windows\system32\drivers\ss_bmdfl.sys [12/09/2009 11:23 14976]
S3 ss_bmdm;SAMSUNG USB Mobile Modem;c:\windows\system32\drivers\ss_bmdm.sys [12/09/2009 11:23 121856]
S3 VBoxUSB;VirtualBox USB;c:\windows\system32\drivers\VBoxUSB.sys [30/06/2009 20:24 32128]
S3 z530bus;Sony Ericsson Z530 Driver driver (WDM);c:\windows\system32\drivers\z530bus.sys [3/08/2009 13:02 58288]
S3 z530mdfl;Sony Ericsson Z530 USB WMC Modem Filter;c:\windows\system32\drivers\z530mdfl.sys [3/08/2009 13:02 8336]
S3 z530mdm;Sony Ericsson Z530 USB WMC Modem Driver;c:\windows\system32\drivers\z530mdm.sys [3/08/2009 13:02 94064]
S3 z530mgmt;Sony Ericsson Z530 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\z530mgmt.sys [3/08/2009 13:02 85408]
S3 z530obex;Sony Ericsson Z530 USB WMC OBEX Interface;c:\windows\system32\drivers\z530obex.sys [3/08/2009 13:02 83344]
.
Contenu du dossier 'Tâches planifiées'

2009-10-14 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-08-15 13:28]

2009-10-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-08-15 13:28]

2009-10-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-08-15 13:28]

2009-10-14 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAEXEC.exe [2009-08-03 13:07]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
LSP: c:\windows\system32\imon.dll
FF - ProfilePath - c:\documents and settings\juju666\Application Data\Mozilla\Firefox\Profiles\1u2o6b0t.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.be/
FF - component: c:\program filesealealplayer\browserrecord\firefox\ext\components
prpffbrowserrecordext.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1636.7222
pCIDetect13.dll
FF - plugin: c:\program files\Google\Update\1.2.183.7
pGoogleOneClick8.dll
FF - plugin: c:\program files\ma-config.com
phardwaredetection.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-NPSStartup - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-14 14:34
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services
pggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]
"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'lsass.exe'(1104)
c:\windows\system32\imon.dll
c:\program files\Eset\pr_imon.dll
.
Heure de fin: 2009-10-14 14:36
ComboFix-quarantined-files.txt  2009-10-14 12:36

Avant-CF: 111.199.887.360 octets libres
Après-CF: 111.163.658.240 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect /usepmtimer

223	--- E O F ---	2009-09-11 21:58



Je ne vous serez jamais assez reconnaissant de m'aider avec autant de patience ^^

Cordialement

Juju

Xplode · Answer

-+-+-+-> ZHPDiag <-+-+-+-


[x] Télécharge ZHPDiag ( de Nicolas coolman ).

[x] Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

[x] Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau

[x] Clique sur l'icône en forme de tournevis en haut à droite, puis dans la liste à gauche, clique sur " Tous ".

[x] Décoche seulement les lignes 061 et 045, toutes les autres doivent être cochées.

[x] Clique maintenant sur la loupe en haut à gauche, puis laisse l'outil scanner.

[x] Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

[x] Rend toi sur www.cjoint.com

[x] Clique sur " Parcourir " dans la partie " Joindre un fichier[...] "

[x] Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

[x] Clique ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message

juju666 · Answer

Re,

Voilà le lien:

https://www.cjoint.com/?koqXCbBNlQ

PS: la première fois, le soft a planté

Xplode · Answer

Comment se porte le PC ?

juju666 · Answer

Assez bien, mais de temps en temps le process (alors que rien n'est lancé) a encore des pointes à 50 voire 60 %

Xplode · Answer

Quel process te prend 50% d'UC ?

juju666 · Answer

Je sais voir ça dans l'onglet processus du taskmgr?

Xplode · Answer

Oui

juju666 · Answer

Je crois que c'est svchost.exe de l'utilisateur SERVICE RESEAU

Encore infecté par TR/onlinegames.nnu ???

30 réponses

Discussions similaires