Clé registre infectée

Résolu
lanalto -  
lanalto Messages postés 99 Date d'inscription   Statut Membre Dernière intervention   -
Bonjour,
peux tu m'aider?
j'ai des clé que mbam n'arrive pas à me supprimer,
voilà le rapport:

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2971
Windows 5.1.2600 Service Pack 3

16/10/2009 15:25:24
mbam-log-2009-10-16 (15-25-24).txt

Type de recherche: Examen rapide
Eléments examinés: 95276
Temps écoulé: 6 minute(s), 35 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\ModuleUsage\C:/Documents and Settings/fabien/Local Settings/Temp/ojamofft.dat (Rootkit.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ojamofft.dat (Rootkit.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ojamofft.dat (Rootkit.Agent) -> Delete on reboot.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> Delete on reboot.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\fabien\Local Settings\Temp\ojamofft.dat (Rootkit.Agent) -> Delete on reboot.
Configuration: Windows XP Internet Explorer 7.0

20 réponses

Résumé de la discussion

Des éléments signent une infection sous Windows XP: Malwarebytes détecte des clés et valeurs du Registre infectées, un fichier ojamofft.dat marqué Delete on reboot, et la présence de Rootkit.Agent et Trojan.Agent.
Plusieurs réponses recommandent une analyse complète avec Malwarebytes et la publication du rapport, puis l’usage d’outils complémentaires comme Toolbar-S&D et ToolsCleaner pour supprimer les traces et générer un nouveau rapport.
En parallèle, il est conseillé de désactiver puis réactiver la Restauration du système et de créer un point de restauration, afin d’éviter que des infections subsistent dans le système.
D'autres échanges évoquent des mises à jour matérielles (ATI) et la nécessité de rapports supplémentaires (RSIT, Navilog1), notant des scans avec des éléments infectés et la présence de deux rapports.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    Bonjour,

    as-tu redémarré le PC pour terminer la suppression ??

    ▶ Télécharge Random's System Information Tool (RSIT).

    ▶ Un tutoriel sera à ta disposition sur mon site web pour l'installer et l'utiliser correctement.

    ▶ Double clique sur RSIT.exe pour lancer l'outil.

    ▶ Clique sur 'Continue' à l'écran Disclaimer.

    ▶ Si l'outil Hijackthis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

    ▶ Une fois le scan fini , 2 rapports vont apparaitre. Poste le contenu des 2 rapports.

    ( C:\RSIT\log.txt et C:\RSIT\info.txt )

    CTRL A pour sélectionner tout, CTRL C pour copier et puis CTRL V pour coller

    Comment héberger les rapports trop longs de RSIT ??
    0
    1. lanalto
       
      aset ce que c'est bon?
      0
  2. lanalto
     
    oui j'ai redemarré mais ça revient toujours

    Logfile of random's system information tool 1.06 (written by random/random)
    Run by fabien at 2009-10-16 16:02:12
    Microsoft Windows XP Professionnel Service Pack 3
    System drive C: has 28 GB (36%) free of 80 GB
    Total RAM: 1023 MB (51% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 16:02:23, on 16/10/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\SuperCopier2\SuperCopier2.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\DAEMON Tools Lite\daemon.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Program Files\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\VIA\RAID\raid_tool.exe
    C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
    C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
    C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
    C:\Program Files\IncrediMail\bin\ImApp.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
    C:\Program Files\CDBurnerXP\NMSAccessU.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\fabien\Bureau\RSIT.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    C:\Program Files\trend micro\fabien.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/webhp?sourceid=navclient&hl=fr&ie=UTF-8&gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: (no name) - {2CBEAC38-FF5E-4B2D-B04E-2A487506CC3C} - C:\WINDOWS\system32\atl7.dll (file missing)
    O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
    O2 - BHO: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll
    O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O3 - Toolbar: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
    O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
    O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
    O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
    O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
    O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Bluetooth Manager.lnk = ?
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: LUMIX Simple Viewer.lnk = ?
    O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://copainsdavant.linternaute.com/...
    O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
    O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
    O23 - Service: Service Google Update (gupdate1c9a0f4ef549232) (gupdate1c9a0f4ef549232) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
    O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
    O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
    0
  3. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    Est-ce que tu te fais déjà aider quelque part sur un forum ??

    ▶ Télécharge Toolbar-S&D (de Team IDN) sur ton Bureau

    ▶ Lance l'installation du programme en exécutant le fichier téléchargé.

    Sous XP : Double-clique sur le raccourci de Toolbar-S&D.

    Sous Vista : Fais un clic droit sur ToolbarSD et sélectionne "Exécuter en tant qu'administrateur".

    ▶ Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.

    ▶ Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.

    ▶ Poste le rapport généré. (C:\TB.txt)
    0
    1. lanalto
       
      non
      0
    2. lanalto
       
      voilà:

      -----------\\ ToolBar S&D 1.2.9 XP/Vista

      Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
      X86-based PC ( Uniprocessor Free : AMD Sempron(tm) 3000+ )
      BIOS : Default System BIOS
      USER : fabien ( Administrator )
      BOOT : Normal boot
      Antivirus : ESET Smart Security 3.0 3.0 (Activated)
      Firewall : Pare-feu personnel d'ESET 3.0.650.0 (Activated)
      A:\ (USB)
      C:\ (Local Disk) - NTFS - Total:78 Go (Free:27 Go)
      D:\ (Local Disk) - NTFS - Total:33 Go (Free:1 Go)
      E:\ (CD or DVD)
      F:\ (CD or DVD)
      G:\ (CD or DVD)

      "C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
      Option : [1] ( 16/10/2009|16:39 )

      -----------\\ Recherche de Fichiers / Dossiers ...


      -----------\\ [..\Internet Explorer\Main]

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
      "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
      "Start Page"="https://www.google.fr/webhp?sourceid=navclient&hl=fr&ie=UTF-8&gws_rd=ssl"
      "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

      [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
      "Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
      "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
      "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
      "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
      "Start Page"="https://www.msn.com/fr-fr/?ocid=iehp"


      --------------------\\ Recherche d'autres infections

      --------------------\\ Cracks & Keygens ..

      C:\DOCUME~1\fabien\Mes documents\EA Games\Les sims 2 - la vie en appartement - [ Full - crack - serial].zip
      C:\DOCUME~1\fabien\Mes documents\EA Games\LES SIMS 2 [PC] - Histoires de Naufrag‚s + Crack NoCD & Keygen by ViTALiTY.rar
      C:\DOCUME~1\fabien\Mes documents\EA Games\14.The Sims 2 Kit Tout pour les ados\CRACK
      C:\DOCUME~1\fabien\Mes documents\EA Games\14.The Sims 2 Kit Tout pour les ados\CRACK\SIMS2SP6.EXE
      C:\DOCUME~1\fabien\Mes documents\EA Games\14.The Sims 2 Kit Tout pour les ados\CRACK\SIMS2SP6.EXE.BACKUP



      1 - "C:\ToolBar SD\TB_1.txt" - 16/10/2009|16:40 - Option : [1]

      -----------\\ Fin du rapport a 16:40:03,20
      0
  4. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    Je vois que tu avais téléchargé FindyKill... L'as-tu utilisé ?? Si oui, poste son rapport stp

    C:\FindyKill.txt
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. lanalto
     
    voilà:

    ----------------- FindyKill V4.712 ------------------

    * User : fabien - FAB-XHZGBHXFDI8
    * Emplacement : C:\Program Files\FindyKill
    * Outils Mis a jours le 14/01/09 par Chiquitine29
    * Recherche effectuée à 16:44:40 le 16/10/2009
    * Windows XP - Internet Explorer 8.0.6001.18702

    ((((((((((((((((( *** Recherche *** ))))))))))))))))))

    --------------- [ Processus actifs ] ----------------

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\SuperCopier2\SuperCopier2.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\DAEMON Tools Lite\daemon.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Program Files\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\VIA\RAID\raid_tool.exe
    C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
    C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
    C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
    C:\Program Files\IncrediMail\bin\ImApp.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
    C:\Program Files\CDBurnerXP\NMSAccessU.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe

    --------------- [ Fichiers/Dossiers infectieux ] ----------------

    »»»» Presence des fichiers dans C:

    »»»» Presence des fichiers dans C:\WINDOWS

    »»»» Presence des fichiers dans C:\WINDOWS\Prefetch

    »»»» Presence des fichiers dans C:\WINDOWS\system32

    »»»» Presence des fichiers dans C:\WINDOWS\system32\drivers

    »»»» Presence des fichiers dans C:\Documents and Settings\fabien\Application Data

    »»»» Presence des fichiers dans C:\DOCUME~1\fabien\LOCALS~1\Temp

    --------------- [ Registre / Startup ] ----------------

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
    CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
    IncrediMail=C:\Program Files\IncrediMail\bin\IncMail.exe /c
    SuperCopier2.exe=C:\Program Files\SuperCopier2\SuperCopier2.exe
    swg="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
    DAEMON Tools Lite="C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
    ATIPTA=C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    egui="C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
    QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
    SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
    HP Software Update=C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    <NO NAME>=
    Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    Adobe ARM="C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
    Malwarebytes Anti-Malware (reboot)="C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
    <NO NAME>=
    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
    Installed=1
    <NO NAME>=
    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
    NoChange=1
    Installed=1
    <NO NAME>=
    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
    Installed=1
    <NO NAME>=

    [HKEY_CURRENT_USER\software\local appwizard-generated applications\PhLeAutoRun]
    [HKEY_CURRENT_USER\software\local appwizard-generated applications\VIA RAID Tool]

    --------------- [ Registre / Clés infectieuses ] ----------------

    --------------- [ Etat / Services ] ----------------

    +- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

    Ndisuio - Type de démarrage = 3

    EapHost - Type de démarrage = 2

    Ip6Fw - Type de démarrage = 2

    SharedAccess - Type de démarrage = 2

    wuauserv - Type de démarrage = 2

    wscsvc - Type de démarrage = 2

    --------------- [ Recherche dans supports amovibles] ----------------

    +- Informations :

    C: - Lecteur fixe

    D: - Lecteur fixe

    +- presence des fichiers :

    --------------- [ Registre / Mountpoint2 ] ----------------

    -> Not found !

    ------------------- ! Fin du rapport ! --------------------
    0
  7. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    Je ne t'avais pas demandé de l'exécuter... Juste au cas où tu l'aurais déjà utilisé lol

    Fais ceci :

    ▶ Désactive ton antivirus

    ▶ Rends toi sur ce site : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr (avec Internet Explorer uniquement)

    ▶ En bas à droite, clique sur Démarrer Online-scanner

    ▶ Dans la nouvelle fenêtre qui s'affiche clique sur J'accepte

    ▶ Accepte les Contrôle ActiveX

    ▶ Choisis Poste de travail pour le scan.

    ▶ Celui-ci terminé, sauvegarde le rapport (choisis fichier texte) et poste le dans ta prochaine réponse.

    ▶ Pour t'aider à utiliser le scan en ligne, consulte ce tutoriel

    NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
    0
    1. lanalto
       
      désolé,
      par contre antivirus est en cours réactualisation
      0
    2. lanalto
       
      l'antivirus en ligne ne fonctionne pas,qu'est ce que je peux faire d'autre?
      0
  8. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    Re,

    en effet ils sont entrain d'améliorer le scanner online et ils l'ont retiré momentanément..

    Fais celui de Bitdefender : http://www.bitdefender.com/scan_fr/scan8/ie.html
    0
    1. lanalto
       
      ça marche pas non plus,le web n'autorise pas les controle actveX
      0
  9. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    Pourrais-tu faire une analyse complète avec Malwarebytes stp ??

    Ensuite poste son rapport après la suppression des éléments infectés
    0
    1. lanalto
       
      c'est ce que je t'ai envoyé au début mais il me remet toujours les mêmes
      0
  10. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    Non... Tu avais fais une analyse rapide :

    Malwarebytes' Anti-Malware 1.41
    Version de la base de données: 2971
    Windows 5.1.2600 Service Pack 3

    16/10/2009 15:25:24
    mbam-log-2009-10-16 (15-25-24).txt

    Type de recherche: Examen rapide
    Eléments examinés: 95276
    Temps écoulé: 6 minute(s), 35 second(s)

    A l'écran principal, tu as le choix :

    - Examen rapide
    - Examen complet

    Suis ce tutoriel
    0
    1. lanalto
       
      ok je fais un examen complet
      0
    2. lanalto
       
      voilà

      Malwarebytes' Anti-Malware 1.41
      Version de la base de données: 2971
      Windows 5.1.2600 Service Pack 3

      16/10/2009 22:18:34
      mbam-log-2009-10-16 (22-18-34).txt

      Type de recherche: Examen complet (A:\|C:\|D:\|E:\|F:\|G:\|)
      Eléments examinés: 152596
      Temps écoulé: 47 minute(s), 10 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 3
      Valeur(s) du Registre infectée(s): 4
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 1

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/Documents and Settings/fabien/Local Settings/Temp/ojamofft.dat (Rootkit.Agent) -> Delete on reboot.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ojamofft.dat (Rootkit.Agent) -> Delete on reboot.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ojamofft.dat (Rootkit.Agent) -> Delete on reboot.

      Valeur(s) du Registre infectée(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> Delete on reboot.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> Delete on reboot.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> Delete on reboot.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> Delete on reboot.

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      C:\Documents and Settings\fabien\Local Settings\Temp\ojamofft.dat (Rootkit.Agent) -> Delete on reboot.
      0
  11. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    Bonjour,

    ▶ Télécharge sur le bureau Navilog1

    *Si ton antivirus s'affole , le désactiver
    sous vista : Clic-droit sur le raccourci Navilog1 présent sur le bureau et choisis "Exécuter en tant qu'administrateur
    sous XP : double-clic dessus pour l'installer et le lancer

    ▶ taper F
    ▶ Appuyer sur une touche jusqu' arriver aux options
    ▶ Choisir Recherche/désinfection automatique ( = taper 1 )

    ▶un rapport : fixnavi.txt dans ==> C:

    ▶le copier et le coller dans la réponse
    0
    1. lanalto Messages postés 99 Date d'inscription   Statut Membre Dernière intervention  
       
      voilà:

      Fix Navipromo version 4.0.3 commencé le 17/10/2009 9:08:57,18

      !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
      !!! Postez ce rapport sur le forum pour le faire analyser !!!

      Outil exécuté depuis C:\Program Files\navilog1

      Mise à jour le 13.10.2009 à 19h00 par IL-MAFIOSO

      Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
      X86-based PC ( Uniprocessor Free : AMD Sempron(tm) 3000+ )
      BIOS : Default System BIOS
      USER : fabien ( Administrator )
      BOOT : Normal boot

      Antivirus : ESET Smart Security 3.0 3.0 (Activated)
      Firewall : Pare-feu personnel d'ESET 3.0.650.0 (Activated)

      A:\ (USB)
      C:\ (Local Disk) - NTFS - Total:78 Go (Free:27 Go)
      D:\ (Local Disk) - NTFS - Total:33 Go (Free:1 Go)
      E:\ (CD or DVD)
      F:\ (CD or DVD)
      G:\ (CD or DVD)


      Recherche executée en mode normal


      [b]Aucune Infection Navipromo/Egdaccess trouvée/b



      *** Scan terminé 17/10/2009 9:09:41,51 ***
      0
    2. lanalto Messages postés 99 Date d'inscription   Statut Membre Dernière intervention  
       
      voilà j'ai réussi à faire une analyse:

      BitDefender Online Scanner - Rapport virus en temps réel



      Généré à: Sat, Oct 17, 2009 - 10:24:32


      --------------------------------------------------------------------------------





      Info d'analyse



      Fichiers scannés
      56635

      Infectés Fichiers
      0








      Virus Détectés



      Aucun virus trouvé.











      --------------------------------------------------------------------------------



      Ce sommaire du processus d'analyse sera utilisé par les laboratoires Antivirus BitDefender pour créer des statistiques agréguées sur l'activité des virus dans le monde.
      0
  12. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    Fais ceci :

    ▶ Le scan va s'éffectuer en Mode sans échec : comme tu n'auras pas accès à Internet, je te conseille d'imprimer cette procédure.

    ▶ Télécharge Dr.Web CureIt! sur ton bureau.

    Redémarre le PC en mode sans échec

    ▶ Double-clique sur drweb-cureit.exe et clique sur Commencer le scan.

    ▶ Si il trouve des processus infectés, clique sur le bouton Oui pour Tout à l'invite.

    ▶ Lorsque le scan rapide est terminé, clique sur Options > Changer la configuration.

    ▶ Choisis l'onglet Scanner, et décoche Analyse heuristique.

    ▶ De retour à la fenêtre principale : choisis Analyse complète.

    ▶ Clique la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, ferme-la.

    ▶ Clique Oui pour Tout si un fichier est détecté.

    ▶ A la fin du scan, si des infections sont trouvées, clique sur Tout sélectionner, puis sur Désinfecter.

    ▶ Si la désinfection est impossible, clique sur Quarantaine.

    ▶ Au menu principal de l'outil, en haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport.

    ▶ Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv.

    ▶ Ferme Dr.Web CureIt!

    /!\ Important /!\ Redémarre ton ordinateur car certains fichiers peuvent être déplacés/réparés au redémarrage.

    ▶ Après le redémarrage, fais un copié/collé du rapport dans ta prochaine réponse
    0
    1. lanalto Messages postés 99 Date d'inscription   Statut Membre Dernière intervention  
       
      voilà:

      je n'arrive pas à copier /coller le rapport,
      mais il a trouvé que findykill infecté
      0
  13. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    Bonjour,

    ce n'est qu'un faux-positif, FindyKill n'est pas une infection ;)

    maintenant fais ceci :

    ▶ Le scan va s'éffectuer en Mode sans échec : comme tu n'auras pas accès à Internet, je te conseille d'imprimer cette procédure.

    ▶ Télécharge le scanner portable AVPTool sur ton bureau.

    ▶ Ensuite redémarre le PC en mode sans échec

    ▶ Choisis ta session habituelle

    ▶ Lance l'exécutable intitulé setup_7.0xxxxx en double-cliquant dessus.

    ▶ Réponds Oui à la question Do you want to continue installation ?

    ▶ Clique sur Next pour les deux fenêtres suivantes.

    ▶ AVPTool s'installe sur ton Bureau dans un dossier nommé Kaspersky Lab Tool.

    ▶ L'outil se lance tout seul : coche toutes les cases dans l'onglet Automatic Scan.

    ▶ Clique maintenant sur Scan.

    ▶ Le scan commence, une nouvelle fenêtre s'ouvre indiquant la progression du balayage en pourcentage.

    ▶ A la fin du scan, AVPTool signale les objets infectés par l'intermédiaire d'un pop-up.

    ▶ Coche alors Apply to all et clique sur Disinfect ou sur Delete selon ce que propose la fenêtre.

    ▶ Une fois les infections traitées par l'intermédiaire des pop-ups, il se peut que des fichiers malsains n'aient pas été supprimés.

    ▶ Ils apparaissent en rouge dans la liste : clique alors sur le bouton Neutralize all de la fenêtre de progression du scan.

    ▶ Si une pop-up indique qu'il faut redémarrer, accepte en cliquant sur OK.

    ▶ Rends-toi maintenant dans l'onglet Events de la fenêtre de progression du scan et décoche Show all events.

    ▶ Clique enfin sur Reports puis Save to file et enregistre le rapport sur ton Bureau sous le nom Rapport AVPTool.

    ▶ Ferme les fenêtres d'AVPTool : un message apparaît proposant de désinstaller le logiciel

    ▶ choisis Yes.

    ▶ Un message d'alerte indique que le PC doit être redémarré pour finir la désinstallation. À la question Would you like to restart now, réponds Oui et laisse ton ordinateur redémarrer en Mode normal.

    ▶ Ensuite poste le rapport dans ta prochaine réponse
    0
    1. lanalto Messages postés 99 Date d'inscription   Statut Membre Dernière intervention  
       
      c'est bon j' ai trouvé avptool sur 01net
      0
  14. lanalto Messages postés 99 Date d'inscription   Statut Membre Dernière intervention  
     
    il me dit que le lien est corrompu
    0
  15. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    Il va pourtant très bien de chez moi...
    0
    1. lanalto Messages postés 99 Date d'inscription   Statut Membre Dernière intervention  
       
      voilà: par contre il ya 2 rapports car j' ai interrompu le 1er



      Scan
      ----
      Scanned: 215232
      Detected: 1
      Untreated: 0
      Start time: 18/10/2009 12:51:47
      Duration: 04:15:49
      Finish time: 18/10/2009 17:07:36


      Detected
      --------
      Status Object
      ------ ------
      deleted: Trojan program Trojan.Win32.Shutdowner.asw File: D:\programme\install_Windows Media Player_.exe


      Events
      ------
      Time Name Status Reason
      ---- ---- ------ ------
      18/10/2009 16:10:50 File: D:\programme\install_Windows Media Player_.exe detected Trojan program 'Trojan.Win32.Shutdowner.asw'
      18/10/2009 16:10:51 File: D:\programme\install_Windows Media Player_.exe not disinfected postponed
      18/10/2009 17:08:17 File: d:\programme\install_windows media player_.exe detected Trojan program 'Trojan.Win32.Shutdowner.asw'
      18/10/2009 17:08:46 File: d:\programme\install_windows media player_.exe deleted


      Statistics
      ----------
      Object Scanned Detected Untreated Deleted Moved to Quarantine Archives Packed files Password protected Corrupted
      ------ ------- -------- --------- ------- ------------------- -------- ------------ ------------------ ---------
      All objects 214315 1 1 0 0 2699 1807 0 0
      System memory 734 0 0 0 0 0 0 0 0
      Startup objects 775 0 0 0 0 0 139 0 0
      Disk boot sectors 3 0 0 0 0 0 0 0 0
      Mes documents 6896 0 0 0 0 83 0 0 0
      Mail databases 2 0 0 0 0 1 0 0 0
      Poste de travail 190013 1 1 0 0 2108 1558 0 0
      Disquette 3.5 (A:) 0 0 0 0 0 0 0 0 0
      Disque local (C:) 15892 0 0 0 0 507 110 0 0
      Disque local (D:) 0 0 0 0 0 0 0 0 0
      Lecteur CD (E:) 0 0 0 0 0 0 0 0 0
      Lecteur CD (F:) 0 0 0 0 0 0 0 0 0
      Lecteur CD (G:) 0 0 0 0 0 0 0 0 0
      Disque amovible (I:) 0 0 0 0 0 0 0 0 0


      Settings
      --------
      Parameter Value
      --------- -----
      Security Level Recommended
      Action Prompt for action when the scan is complete
      Run mode Manually
      File types Scan all files
      Scan only new and changed files No
      Scan archives All
      Scan embedded OLE objects All
      Skip if object is larger than No
      Skip if scan takes longer than No
      Parse email formats No
      Scan password-protected archives No
      Enable iChecker technology No
      Enable iSwift technology No
      Show detected threats on "Detected" tab Yes
      Rootkits search Yes
      Deep rootkits search No
      Use heuristic analyzer Yes


      Quarantine
      ----------
      Status Object Size Added
      ------ ------ ---- -----


      Backup
      ------
      Status Object Size
      ------ ------ ----






      Scan
      ----
      Scanned: 386959
      Detected: 0
      Untreated: 0
      Start time: 18/10/2009 17:50:37
      Duration: 06:58:46
      Finish time: 19/10/2009 00:49:23


      Detected
      --------
      Status Object
      ------ ------


      Events
      ------
      Time Name Status Reason
      ---- ---- ------ ------


      Statistics
      ----------
      Object Scanned Detected Untreated Deleted Moved to Quarantine Archives Packed files Password protected Corrupted
      ------ ------- -------- --------- ------- ------------------- -------- ------------ ------------------ ---------
      All objects 386959 0 0 0 0 4299 3114 0 0
      System memory 744 0 0 0 0 0 0 0 0
      Startup objects 775 0 0 0 0 0 139 0 0
      Disk boot sectors 3 0 0 0 0 0 0 0 0
      Mes documents 6896 0 0 0 0 83 0 0 0
      Mail databases 2 0 0 0 0 1 0 0 0
      Poste de travail 190027 0 0 0 0 2108 1557 0 0
      Disquette 3.5 (A:) 0 0 0 0 0 0 0 0 0
      Disque local (C:) 162753 0 0 0 0 1774 1400 0 0
      Disque local (D:) 25759 0 0 0 0 333 18 0 0
      Lecteur CD (E:) 0 0 0 0 0 0 0 0 0
      Lecteur CD (F:) 0 0 0 0 0 0 0 0 0
      Lecteur CD (G:) 0 0 0 0 0 0 0 0 0


      Settings
      --------
      Parameter Value
      --------- -----
      Security Level Recommended
      Action Prompt for action when the scan is complete
      Run mode Manually
      File types Scan all files
      Scan only new and changed files No
      Scan archives All
      Scan embedded OLE objects All
      Skip if object is larger than No
      Skip if scan takes longer than No
      Parse email formats No
      Scan password-protected archives No
      Enable iChecker technology No
      Enable iSwift technology No
      Show detected threats on "Detected" tab Yes
      Rootkits search Yes
      Deep rootkits search No
      Use heuristic analyzer Yes


      Quarantine
      ----------
      Status Object Size Added
      ------ ------ ---- -----


      Backup
      ------
      Status Object Size
      ------ ------ ----
      0
  16. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    Ok maintenant :

    ▶ Le scan va s'éffectuer en Mode sans échec : comme tu n'auras pas accès à Internet, je te conseille d'imprimer ou de sauvegarder cette procédure.

    ▶ Télécharge eScan Antivirus Toolkit sur ton bureau.

    ▶ Double-clique le fichier mwav.exe qui se trouve sur le Bureau ; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky).

    ▶ Le programme va se lancer mais tu dois le quitter (clique sur Exit puis Exit).

    ▶ Double-clique sur le Poste de travail (Ordinateur sous Vista), puis double-clique sur le lecteur principal (habituellement C:\)

    ▶ Double-clique sur le dossier Kaspersky

    ▶ Ensuite, double-clique sur le fichier kavupd.exe

    ▶ Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

    ▶ Lorsque la mise à jour sera complétée, tu verras Press any key to continue.

    ▶ Tape sur une touche pour continuer.

    ▶ Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).

    ▶ Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky.

    ▶ Accepte à l'invite de remplacer les fichiers existants.

    Ne pas lancer le scan tout de suite !!

    redémarre le PC en mode sans échec

    ▶ Choisis ta session habituelle

    ▶ Pour lancer eScan Antivirus Toolkit, trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky.

    ▶ Double-clique sur mwavscan.com

    ▶ L'interface d'eScan va apparaître à l'écran.

    ▶ Il est très important de bien cocher ces cases sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

    ▶ Coche la case Drive, ce qui donne accès à une nouvelle case Drive (bouton rond) juste dessous

    ▶ Coche ce bouton Drive (très important...), et tu verras une nouvelle boîte de navigation apparaître à la droite

    ▶ Clique sur la petite flèche de cette boîte et choisis la lettre de ton disque dur, habituellement C:\.

    ▶ Juste au-dessous, assure-toi que Scan All Files est coché et non Program Files.

    ▶ Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long...)

    ▶ Lorsque terminé, tu verras Scan Completed

    Ne pas quitter tout de suite !!

    ▶ Ouvre un nouveau fichier Bloc-notes (clique sur "Démarrer" > "Programmes" > "Accessoires" > "Bloc-notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde-le.

    ▶ eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

    ▶ Ferme le programme.

    ▶ Redémarre ton PC en Mode normal.

    ▶ Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.
    0
    1. lanalto Messages postés 99 Date d'inscription   Statut Membre Dernière intervention  
       
      le programme ne se lance pas ,il me mets


      eScan Antivirus Toolkit Utility
      internal error!!! this could be because of incorrect system date setting.if not,send log file to support@mwti.net.
      0
  17. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    Bonjour,

    ▶ Télécharge Combofix de sUBs

    ▶ et enregistre le sur le Bureau.

    ▶ désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)

    Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :

    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Je te conseille d'installer la console de récupération !!

    ensuite envois le rapport stp
    0
  18. lanalto Messages postés 99 Date d'inscription   Statut Membre Dernière intervention  
     
    voilà:

    ComboFix 09-10-18.04 - fabien 19/10/2009 16:18.10.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1023.617 [GMT 2:00]
    Lancé depuis: c:\documents and settings\fabien\Bureau\ComboFix.exe
    AV: ESET Smart Security 3.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
    FW: Pare-feu personnel d'ESET *enabled* {E5E70D32-0101-4340-86A3-A7B0F1C8FFE0}
    .
    Les fichiers ci-dessous ont été désactivés pendant l'exécution:
    c:\program files\SuperCopier2\SC2Hook.dll

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\windows\system32\atl7.dll
    c:\windows\system32\drivers\vrodzaei.sys
    c:\windows\system32\drivers\yhbalegv.sys

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_YHBALEGV
    -------\Service_yhbalegv

    ((((((((((((((((((((((((((((( Fichiers créés du 2009-09-19 au 2009-10-19 ))))))))))))))))))))))))))))))))))))
    .

    2009-10-19 07:44 . 2009-10-19 07:44 -------- d-----w- C:\Kaspersky
    2009-10-17 21:45 . 2009-10-17 21:45 -------- d-----w- c:\documents and settings\fabien\DoctorWeb
    2009-10-17 07:07 . 2009-10-17 07:09 -------- d-----w- c:\program files\Navilog1
    2009-10-16 18:50 . 2009-10-17 08:24 -------- d-----w- c:\windows\BDOSCAN8
    2009-10-16 14:38 . 2009-10-16 14:40 -------- d-----w- C:\ToolBar SD
    2009-10-16 14:02 . 2009-10-16 14:02 -------- d-----w- C:\rsit
    2009-10-16 14:02 . 2009-10-16 14:02 -------- d-----w- c:\program files\trend micro
    2009-10-03 08:29 . 2009-10-03 08:29 -------- d-----w- c:\documents and settings\fabien\Application Data\HpUpdate
    2009-10-03 08:28 . 2009-10-03 08:28 -------- d-----w- c:\windows\Hewlett-Packard
    2009-09-29 14:25 . 2009-09-29 14:25 -------- d-----w- c:\windows\Sun
    2009-09-29 14:24 . 2009-09-29 14:24 411368 ----a-w- c:\windows\system32\deploytk.dll
    2009-09-29 14:24 . 2009-09-29 14:24 -------- d-----w- c:\program files\Java
    2009-09-26 17:21 . 2009-09-26 17:21 165912 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-10-19 14:23 . 2008-06-09 18:22 -------- d-----w- c:\program files\SuperCopier2
    2009-10-17 21:21 . 2009-03-09 20:23 -------- d-----w- c:\documents and settings\All Users\Application Data\Google Updater
    2009-10-16 09:55 . 2008-06-06 16:59 -------- d-----w- c:\program files\Fichiers communs\Adobe
    2009-10-16 07:56 . 2004-04-13 13:18 81386 ----a-w- c:\windows\system32\perfc00C.dat
    2009-10-16 07:56 . 2004-04-13 13:18 503210 ----a-w- c:\windows\system32\perfh00C.dat
    2009-10-03 08:29 . 2008-06-06 19:26 -------- d-----w- c:\program files\HP
    2009-10-03 08:29 . 2008-06-06 19:29 -------- d-----w- c:\program files\Hewlett-Packard
    2009-10-02 14:12 . 2008-11-09 08:02 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2009-09-21 10:01 . 2008-06-30 15:43 -------- d-----w- c:\program files\Windows Media Connect 2
    2009-09-21 10:01 . 2008-07-19 10:46 -------- d-----w- c:\program files\Freeplayer
    2009-09-21 10:01 . 2008-12-26 15:29 -------- d-----w- c:\program files\CDBurnerXP
    2009-09-11 14:18 . 2004-04-13 13:18 136192 ----a-w- c:\windows\system32\msv1_0.dll
    2009-09-10 12:54 . 2008-11-09 08:02 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2009-09-10 12:53 . 2008-11-09 08:02 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
    2009-09-06 18:03 . 2009-09-06 18:03 -------- d-----w- c:\documents and settings\fabien\Application Data\Apple Computer
    2009-09-06 17:44 . 2009-09-06 17:44 -------- d-----w- c:\program files\QuickTime
    2009-09-06 17:44 . 2009-09-06 17:44 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer
    2009-09-06 17:44 . 2009-09-06 17:44 -------- d-----w- c:\program files\Apple Software Update
    2009-09-06 17:44 . 2009-09-06 17:44 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple
    2009-09-04 21:04 . 2004-04-13 13:18 58880 ----a-w- c:\windows\system32\msasn1.dll
    2009-09-02 20:53 . 2009-09-02 20:53 -------- d-----w- c:\documents and settings\All Users\Application Data\HP Product Assistant
    2009-08-29 07:56 . 2004-04-13 13:18 916480 ----a-w- c:\windows\system32\wininet.dll
    2009-08-26 08:01 . 2004-04-13 13:18 247326 ----a-w- c:\windows\system32\strmdll.dll
    2009-08-08 18:09 . 2008-06-06 19:14 74488 ----a-w- c:\documents and settings\fabien\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2009-08-05 09:00 . 2008-06-06 16:48 205312 ----a-w- c:\windows\system32\mswebdvd.dll
    2009-08-04 20:58 . 2004-04-13 13:18 2191232 ----a-w- c:\windows\system32\ntoskrnl.exe
    2009-08-04 17:28 . 2002-08-29 11:42 2068096 ----a-w- c:\windows\system32\ntkrnlpa.exe
    2008-04-14 02:33 . 2004-04-13 13:18 65024 --sha-w- c:\windows\system32\asycfilt.dll
    2008-04-14 02:33 . 2004-04-13 13:18 617472 --sha-w- c:\windows\system32\comctl32.dll
    2008-04-14 02:33 . 2004-04-13 13:18 1028096 --sha-w- c:\windows\system32\mfc42.dll
    2004-04-13 13:18 . 2004-04-13 13:18 57344 --sha-w- c:\windows\system32\mfc42loc.dll
    2008-04-14 02:33 . 2004-04-13 13:18 413696 --sha-w- c:\windows\system32\msvcp60.dll
    2008-04-14 02:33 . 2004-04-13 13:18 343040 --sha-w- c:\windows\system32\msvcrt.dll
    2004-04-13 13:18 . 2004-04-13 13:18 253952 --sha-w- c:\windows\system32\msvcrt20.dll
    2008-04-14 02:33 . 2004-04-13 13:18 551936 --sha-w- c:\windows\system32\oleaut32.dll
    2008-04-14 02:33 . 2004-04-13 13:18 84992 --sha-w- c:\windows\system32\olepro32.dll
    2008-04-14 02:33 . 2004-04-13 13:18 30749 --sha-w- c:\windows\system32\vbajet32.dll
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IncrediMail"="c:\program files\IncrediMail\bin\IncMail.exe" [2009-03-31 251264]
    "SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]
    "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-10-11 68856]
    "DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-12-29 687560]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-09-12 335872]
    "egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-03-13 1443072]
    "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-05-26 413696]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-09-29 149280]
    "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
    "Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
    "Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2007-3-14 2756608]
    HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2004-11-4 258048]
    LUMIX Simple Viewer.lnk - c:\program files\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe [2008-8-15 57344]
    VIA RAID TOOL.lnk - c:\program files\VIA\RAID\raid_tool.exe [2008-6-6 565248]

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "c:\\Program Files\\IncrediMail\\bin\\IncMail.exe"=
    "c:\\Program Files\\IncrediMail\\bin\\ImApp.exe"=
    "c:\\Program Files\\eMule\\emule.exe"=
    "c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=
    "c:\\Program Files\\Freeplayer\\vlc\\vlc.exe"=
    "c:\\WINDOWS\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Malwarebytes' Anti-Malware\\mbam.exe"=
    "c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
    "c:\\Program Files\\Java\\jre6\\bin\\java.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "53470:UDP"= 53470:UDP:port client
    "41890:TCP"= 41890:TCP:port client

    R0 viasraid;viasraid;c:\windows\system32\drivers\viasraid.sys [06/06/2008 18:39 77312]
    R2 ekrn;Eset Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [13/03/2008 17:49 472320]
    S2 gupdate1c9a0f4ef549232;Service Google Update (gupdate1c9a0f4ef549232);c:\program files\Google\Update\GoogleUpdate.exe [09/03/2009 22:23 133104]
    S2 NOD32FiXTemDono;Eset Nod32 Boot;c:\windows\system32\regedt32.exe [13/04/2004 15:18 3584]

    --- Autres Services/Pilotes en mémoire ---

    *NewlyCreated* - YHBALEGV
    *Deregistered* - mchInjDrv
    *Deregistered* - yhbalegv
    .
    Contenu du dossier 'Tâches planifiées'

    2009-09-06 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

    2009-10-19 c:\windows\Tasks\Google Software Updater.job
    - c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-06-18 10:54]

    2009-10-19 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-03-09 20:23]

    2009-10-19 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-03-09 20:23]

    2009-10-19 c:\windows\Tasks\HPpromotions psc 1600 series.job
    - c:\program files\HP\Digital Imaging\bin\HP Promotions\AiOMVC\HPpromo.exe [2005-01-28 11:26]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/webhp?sourceid=navclient&hl=fr&ie=utf-8
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
    DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-10-19 16:24
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet002\Services\mchInjDrv]
    "ImagePath"="\??\c:\docume~1\fabien\LOCALS~1\Temp\mc27.tmp"
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(912)
    c:\windows\system32\Ati2evxx.dll

    - - - - - - - > 'explorer.exe'(2668)
    c:\program files\SuperCopier2\SC2Hook.dll
    c:\windows\system32\eappprxy.dll
    c:\windows\system32\webcheck.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\Java\jre6\bin\jqs.exe
    c:\program files\CDBurnerXP\NMSAccessU.exe
    c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
    c:\combofix\CF12193.exe
    c:\program files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
    c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
    c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtHSP.exe
    c:\program files\IncrediMail\bin\ImApp.exe
    .
    **************************************************************************
    .
    Heure de fin: 2009-10-19 16:27 - La machine a redémarré
    ComboFix-quarantined-files.txt 2009-10-19 14:27
    ComboFix2.txt 2009-01-16 15:34
    ComboFix3.txt 2008-12-10 16:34

    Avant-CF: 36 348 329 984 octets libres
    Après-CF: 36 263 514 112 octets libres

    Current=2 Default=2 Failed=1 LastKnownGood=4 Sets=1,2,3,4
    - - End Of File - - CD02F8F9F8FF0F5005537319DA69AA06
    0
  19. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    Refais un nouveau rapport RSIT stp

    je dois m'absenter pendant 2h, nous continuerons tout à l'heure ;)
    0
    1. lanalto Messages postés 99 Date d'inscription   Statut Membre Dernière intervention  
       
      Logfile of random's system information tool 1.06 (written by random/random)
      Run by fabien at 2009-10-19 17:22:27
      Microsoft Windows XP Professionnel Service Pack 3
      System drive C: has 35 GB (43%) free of 80 GB
      Total RAM: 1023 MB (52% free)

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 17:22:34, on 19/10/2009
      Platform: Windows XP SP3 (WinNT 5.01.2600)
      MSIE: Internet Explorer v8.00 (8.00.6001.18702)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\Program Files\CDBurnerXP\NMSAccessU.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
      C:\WINDOWS\System32\alg.exe
      C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
      C:\Program Files\Java\jre6\bin\jusched.exe
      C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
      C:\Program Files\SuperCopier2\SuperCopier2.exe
      C:\Program Files\DAEMON Tools Lite\daemon.exe
      C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
      C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
      C:\Program Files\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
      C:\Program Files\VIA\RAID\raid_tool.exe
      C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
      C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
      C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
      C:\Program Files\IncrediMail\bin\ImApp.exe
      C:\WINDOWS\explorer.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Documents and Settings\fabien\Bureau\RSIT.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe
      C:\Program Files\trend micro\fabien.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/webhp?sourceid=navclient&hl=fr&ie=UTF-8&gws_rd=ssl
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
      O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
      O2 - BHO: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
      O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll
      O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
      O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
      O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
      O3 - Toolbar: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
      O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
      O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
      O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
      O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
      O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
      O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
      O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
      O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
      O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
      O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
      O4 - Global Startup: Bluetooth Manager.lnk = ?
      O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
      O4 - Global Startup: LUMIX Simple Viewer.lnk = ?
      O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
      O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
      O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
      O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
      O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://copainsdavant.linternaute.com/...
      O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
      O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
      O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
      O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
      O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
      O23 - Service: Service Google Update (gupdate1c9a0f4ef549232) (gupdate1c9a0f4ef549232) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
      O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
      O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
      O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
      O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
      0
  20. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    Re,

    rends-toi à ce chemin : C:\Program Files\trend micro\fabien.exe

    Double-cliques sur fabien.exe

    Cliques sur "Do a systemù scan only" et coches ces lignes stp :

    O2 - BHO: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
    O3 - Toolbar: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
    O4 - Global Startup: Bluetooth Manager.lnk = ?
    O4 - Global Startup: LUMIX Simple Viewer.lnk = ?
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
    O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

    puis tu cliques sur fix checked.

    ensuite :

    ▶ Télécharge CCleaner

    ▶ Tu auras un tutoriel pour l'installer et l'utiliser correctement.

    ▶ Fais le nettoyage et recherche les erreurs du registre comme expliqué en bas du tutoriel.

    Est-ce que tu as encore des problèmes ??
    0
    1. lanalto Messages postés 99 Date d'inscription   Statut Membre Dernière intervention  
       
      tout a l'air de foctionner correctement!
      merci beaucoup pour ton aide,
      par contre j'ai une autre question:
      je voudrez que windows démarre directement car j'ai le choix au démarrage entre windows ou recovery console ( un truc dans le genre...)
      0
  21. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    Pour ça je ne saurais pas t'aider, désolé...

    Tu devrais poser la question sur le forum Windows ;)

    Tu peux faire ceci pour terminer stp, c'est très important :

    Voici un excellent petit logiciel très utile qui te permettra de savoir les nouvelles mises à jour disponibles pour les différents logiciels installés sur ton PC :

    ▶ Télécharge Update Checker

    ▶ Installe le avec les paramètres par défaut en cliquant chaques fois sur Suivant.

    ▶ Une fois installé, patiente quelques secondes et tu verras apparaître une icône verte dans ta barre des tâches te signalant qu'il y a des mises à jour disponibles.

    ▶ Double-cliques sur l'icône pour être redirrigé sur le site de téléchargement des mises à jour.

    Un conseil : n'installe pas les BETA qui sont listées en dessous.

    ▶ Tu installes les mises à jour que tu désires, les plus importantes sont :

    ● Java (désinstaller l'ancienne version avant)

    ● Adobe Reader (désinstaller l'ancienne version avant)

    ● Adobe Flash Player

    ● Internet explorer

    Ensuite :

    Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques :

    ▶ Télécharge Toolscleaner sur ton Bureau

    ▶ Double-clique sur ToolsCleaner2.exe et laisse le travailler
    ▶ Clique sur Recherche et laisse le scan se terminer.
    ▶ Clique sur Suppression pour finaliser.
    ▶ Tu peux, si tu le souhaites, te servir des Options facultatives.
    ▶ Clique sur Quitter, pour que le rapport puisse se créer.
    ▶ Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse

    Ensuite :

    Désactive et réactive la Restauration du système :

    Le fait de faire cette manipulation va supprimer tous les virus qui auraient pu se loger dans les
    points de restauration que tu avais créé auparavant.. Il est donc recommandé de la faire :

    1 Dans la barre des tâches de Windows, clique sur Démarrer.

    2 Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.

    3 Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"

    4 Clique sur Appliquer.

    5 Ensuite décoche "Désactiver la restauration du systeme"

    6 clique sur appliquer puis ok

    7 vas créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires =>

    outils systeme => restauration du systeme => créer un point de restauration => tu mets un nom

    (exemple : après désinfection sur CCM) puis tu valides.

    Tu peux mettre ton problème résolu !! Comment mettre résolu ??

    IMPORTANT : lire les quelques liens pour la prévention et la sécurité de votre PC qui se trouvent en bas de la page !!

    WOT - Extension pour ton navigateur internet :

    Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :

    Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/

    Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp

    ==informations importantes==

    Si tu n'as pas regardé l'envoyé spécial diffusé sur France2, voici les vidéos parlant des hackers :

    https://www.dailymotion.com/video/x97v8f

    https://www.dailymotion.com/video/x982wr

    https://www.dailymotion.com/video/x97v6o

    0
    1. lanalto Messages postés 99 Date d'inscription   Statut Membre Dernière intervention  
       
      [ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

      --> Recherche:

      C:\Combofix.txt: trouvé !
      C:\cleannavi.txt: trouvé !
      C:\TB.txt: trouvé !
      C:\FindyKill.txt: trouvé !
      C:\Qoobox: trouvé !
      C:\Toolbar SD: trouvé !
      C:\Rsit: trouvé !
      C:\Program Files\Navilog1: trouvé !
      C:\Program Files\Navilog1\Navilog1.bat: trouvé !
      C:\Program Files\trend micro\HijackThis.exe: trouvé !
      C:\Program Files\trend micro\hijackthis.log: trouvé !
      C:\Qoobox\Quarantine\catchme.log: trouvé !

      ---------------------------------
      --> Suppression:

      C:\Program Files\Navilog1\Navilog1.bat: supprimé !
      C:\Program Files\trend micro\HijackThis.exe: supprimé !
      C:\Combofix.txt: supprimé !
      C:\cleannavi.txt: supprimé !
      C:\TB.txt: supprimé !
      C:\FindyKill.txt: supprimé !
      C:\Program Files\trend micro\hijackthis.log: supprimé !
      C:\Qoobox\Quarantine\catchme.log: supprimé !
      C:\Qoobox: supprimé !
      C:\Toolbar SD: supprimé !
      C:\Rsit: supprimé !
      C:\Program Files\Navilog1: supprimé !
      0
    2. lanalto Messages postés 99 Date d'inscription   Statut Membre Dernière intervention  
       
      par contre je n'arrive pas à faire la mise à jour ati,quande je l'installe:

      setup n'a pas trouvé de pilote compatible avec votre matériel actuel ou votre système d'exploitation.

      est ce normal?
      0