Bank.Fox.A securituguard2009 questions?

Résolu/Fermé

j-mi57 Messages postés 81 Date d'inscription dimanche 27 mai 2007 Statut Membre Dernière intervention 18 juillet 2011 - 25 oct. 2009 à 02:13
Utilisateur anonyme - 31 oct. 2009 à 03:01

Bonjour,

J’ai plusieurs questions à propos d’une infection par systemguard 2009 ou BankFox.A,

Voila les actions que j’ai réalisé sur mon PC. Je fonctionne avec windows XP et avast v4.8 :

Je me suis fais infecter par system_guard_2009 ou BankFox.A, d'après ce que j'ai compris c'est le même virus mais qui a deux noms différents selon le pays ou l’on se trouve.
Ce virus spam l'ordinateur avec plein d'alertes virus bidons et propose l'achat d'un logiciel antivirus bidon.
Il bloque toute tentative de lancement de programme tel que spybot, hijackthis, malwarebytes, ou des scans antivirus en ligne.
Il vous connecte également à des sites pornos par internet explorer et un site sur le viagra (comme quoi les pirates ont de l’humour).
Je me suis documenté sur internet et ai trouvé un tutoriel, il suffit en fait de lancer une recherche avec malwarebytes et de supprimer les dossiers trouvés.

Le problème c’est que le virus bloque l’application malwarbytes en vous disant qu’elle est infectée.
J’ai réussi à contourner cette interdiction en autorisant aucune exception dans mon firewall et en re-téléchargeant et réinstallant malwarebytes.
Le scan c’est bien passé, l’ordinateur à l’air sain (plus d’alerte bidon).
J’ai lancé ensuite C-cleaner, spyboat, et highjackthis, qui n’étaient plus bloqués.

Mes questions sont les suivantes :
- J’ai de suite transféré des fichiers importants sur une clée USB, mais après la contamination, comment puis-je savoir si ces fichiers sont contaminés sans risquer de re contaminer mon ordi.
Voir dois-je jeter ma clée à la poubelle ?

- Je poste les rapports de Malwarebytes et Highjackthis à la fin du message. Quelqu’un pourrait-il me dire s’il reste encore des fichiers infectés sur mon ordi ?

- S’il reste des fichiers infectés comment puis-je les trouver et les supprimer ?

Merci beaucoup pour votre aide

___________________________________________________________________________
Rapport de Malwarebytes :

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2775
Windows 5.1.2600 Service Pack 3

24/10/2009 19:00:14
mbam-log-2009-10-24 (19-00-14).txt

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 412960
Temps écoulé: 1 hour(s), 49 minute(s), 26 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\System Tool (Fake.SystemTool) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Jean-mi\Application Data\EoRezo\SoftwareUpdate\SoftwareUpdate.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP332\A0072997.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.

Rapport Highjackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:22:25, on 24/10/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16915)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Packard Bell\Packard Bell Software Suite\PowerSave\HDPBSSS.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DellSupport\DSAgnt.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Packard Bell\Packard Bell Software Suite\Launcher.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.fr/ig/dell?hl=fr&client=dell-row&channel=fr&ibd=5071006
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Dell\BAE\BAE.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware2\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [SoftwareHelper] C:\Documents and Settings\Jean-mi\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DellSupport] "C:\Program Files\DellSupport\DSAgnt.exe" /startup
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Packard Bell Software Suite] C:\Program Files\Packard Bell\Packard Bell Software Suite\Launcher.exe /run
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Digital Line Detect.lnk = C:\Program Files\Digital Line Detect\DLG.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: DSBrokerService - Unknown owner - C:\Program Files\DellSupport\brkrsvc.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Packard Bell Software Suite Service 1 (Service1) - Packard Bell Services - C:\Program Files\Packard Bell\Packard Bell Software Suite\PowerSave\HDPBSSS.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Fichiers communs\SureThing Shared\stllssvr.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

97 réponses

Réponse 21 / 97

j-mi57 Messages postés 81 Date d'inscription dimanche 27 mai 2007 Statut Membre Dernière intervention 18 juillet 2011 13
26 oct. 2009 à 21:00

Rapport USBfix après traitement par l'option 2.

############################## | UsbFix V6.045 |

User : Jean-mi (Administrateurs) # ROCH_JM
Update on 24/10/2009 by Chiquitine29, C_XX & Chimay8
Start at: 15:48:30 | 26/10/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU T7500 @ 2.20GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Enabled
AV : Bitdefender Antivirus 8.0 [ (!) Disabled | (!) Outdated ]
AV : avast! antivirus 4.8.1351 [VPS 091026-0] 4.8.1351 [ Enabled | Updated ]
FW : Bitdefender Firewall[ (!) Disabled ]8.0

C:\ -> Disque fixe local # 143,44 Go (15,58 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 961,97 Mo (0,25 Mo free) [CLÉE DE JM] # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Packard Bell\Packard Bell Software Suite\PowerSave\HDPBSSS.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe

################## | Fichiers # Dossiers infectieux |

Supprimé ! C:\WINDOWS\system32\autorun.inf

################## | Registre # Clés Run infectieuses |

Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRecentDocsHistory"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRecentDocsHistory"
Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRecentDocsMenu"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRecentDocsMenu"
Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRun"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRun"

################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{0ac870ca-3d7a-11de-b5ae-001c23951f22}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{2e2eb48a-908c-11dc-9d3e-001c23951f22}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{2f6380fa-af63-11dd-9e8c-001c23951f22}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{33b55c6e-8b37-11dd-9e66-001c23951f22}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{35233e5c-8e1e-11dc-9d37-001c23951f22}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{4486e12e-6f03-11de-b5f1-001c23951f22}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{49ce0593-152a-11dd-9deb-001c23951f22}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{728b8521-16ed-11de-b569-001c23951f22}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{a56a2981-913f-11dc-9d3f-001c23951f22}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{ef374fd6-b5a5-11dd-9e99-001c23951f22}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[26/10/2009 09:22|--a------|3038] C:\Ad-Report-CLEAN[1].log
[25/10/2009 12:03|--a------|2903] C:\Ad-Report-SCAN[1].log
[19/08/2004 08:18|--a------|0] C:\AUTOEXEC.BAT
[17/10/2007 13:14|-rahs----|212] C:\boot.ini
[05/08/2004 07:00|-rahs----|4952] C:\Bootfont.bin
[26/11/2007 16:19|--a------|15087] C:\ComboFix.txt
[26/11/2007 16:16|--a------|15048] C:\ComboFix2.txt
[26/11/2007 16:11|--a------|15041] C:\ComboFix3.txt
[19/08/2004 08:18|--a------|0] C:\CONFIG.SYS
[05/10/2007 13:43|-rah-----|6519] C:\dell.sdr
[21/08/2009 11:45|--a------|1328] C:\FSUIPC_reg.bin
[?|?|?] C:\hiberfil.sys
[17/10/2007 13:32|--a------|4128] C:\INFCACHE.1
[19/08/2004 08:18|--ah-----|0] C:\IO.SYS
[11/11/2007 15:28|--a------|480] C:\LOGD.log
[19/08/2004 08:18|--ah-----|0] C:\MSDOS.SYS
[05/08/2004 07:00|-rahs----|47564] C:\NTDETECT.COM
[02/02/2009 08:31|-rahs----|252240] C:\ntldr
[?|?|?] C:\pagefile.sys
[05/10/2007 14:09|--a------|174] C:\Setup.log
[19/01/2009 13:07|--ah-----|232] C:\sqmdata00.sqm
[28/08/2009 19:19|--ah-----|268] C:\sqmdata01.sqm
[28/08/2009 19:30|--ah-----|316] C:\sqmdata02.sqm
[19/01/2009 13:07|--ah-----|244] C:\sqmnoopt00.sqm
[28/08/2009 19:19|--ah-----|244] C:\sqmnoopt01.sqm
[28/08/2009 19:30|--ah-----|244] C:\sqmnoopt02.sqm
[25/03/2009 12:16|--a------|40] C:\SYSTEM.VER
[26/10/2009 11:53|--a------|2781] C:\TB.txt
[26/10/2009 15:53|--a------|5385] C:\UsbFix.txt
[26/11/2007 15:56|--a------|275] C:\VundoFix.txt
[25/03/2009 12:16|--a------|11032] C:\YP-U3.LOG
[29/09/2009 09:05|--a------|1539776] F:\nad_may24.txt
[01/10/2009 11:56|--a------|2104832] F:\nad_may24.dat
[30/09/2009 16:01|--a------|1654898] F:\nad_may24.xls
[01/10/2009 13:54|--a------|1731646] F:\nad_may2.xls
[29/09/2009 14:19|--a------|498862] F:\nad_may24_time.txt
[02/10/2009 11:22|--a------|408505] F:\DAT_TA.txt
[26/10/2009 15:47|--a------|1254] F:\BOOTEX.LOG

################## | Vaccination |

# C:\autorun.inf -> Folder created by UsbFix.
# F:\autorun.inf -> Folder created by UsbFix.

################## | Suspect | https://www.virustotal.com/gui/ |

################## | Cracks / Keygens / Serials |

################## | Upload |

Veuillez envoyer le fichier : C:\DOCUME~1\Jean-mi\Bureau\UsbFix_Upload_Me_ROCH_JM.zip : https://www.androidworld.fr/
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.045 ! |

Réponse 22 / 97

moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
26 oct. 2009 à 21:04

fais ceci
Veuillez envoyer le fichier : C:\DOCUME~1\Jean-mi\Bureau\UsbFix_Upload_Me_ROCH_JM.zip : https://www.androidworld.fr/

USBFIX option 3 ........vaccination

me manque rapport MBAM mode sans echec AVANT suppression s'il te plait

Réponse 23 / 97

j-mi57 Messages postés 81 Date d'inscription dimanche 27 mai 2007 Statut Membre Dernière intervention 18 juillet 2011 13
26 oct. 2009 à 21:16

Je repost

Rapport MBAM en mode sans echec:

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3036
Windows 5.1.2600 Service Pack 3 (Safe Mode)

26/10/2009 15:38:19
mbam-log-2009-10-26 (15-38-12).txt

Type de recherche: Examen rapide
Eléments examinés: 108062
Temps écoulé: 11 minute(s), 26 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\lsp.dll (Search.Hijacker) -> No action taken.

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\lsp.dll (Search.Hijacker) -> No action taken.

Réponse 24 / 97

j-mi57 Messages postés 81 Date d'inscription dimanche 27 mai 2007 Statut Membre Dernière intervention 18 juillet 2011 13
26 oct. 2009 à 21:19

rapport de vaccination USB fix:

############################## | UsbFix V6.045 |

User : Jean-mi (Administrateurs) # ROCH_JM
Update on 24/10/2009 by Chiquitine29, C_XX & Chimay8
Start at: 16:17:10 | 26/10/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU T7500 @ 2.20GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Enabled
AV : Bitdefender Antivirus 8.0 [ (!) Disabled | (!) Outdated ]
AV : avast! antivirus 4.8.1351 [VPS 091026-0] 4.8.1351 [ Enabled | Updated ]
FW : Bitdefender Firewall[ (!) Disabled ]8.0

C:\ -> Disque fixe local # 143,44 Go (15,63 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 961,97 Mo (0,23 Mo free) [CLÉE DE JM] # FAT

################## | Vaccination |

# C:\autorun.inf -> Folder created by UsbFix.
# F:\autorun.inf -> Folder created by UsbFix.

################## | ! Fin du rapport # UsbFix V6.045 ! |

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 25 / 97

moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
26 oct. 2009 à 21:23

pour les cles c'est ok
reste le post 23

Réponse 26 / 97

j-mi57 Messages postés 81 Date d'inscription dimanche 27 mai 2007 Statut Membre Dernière intervention 18 juillet 2011 13
26 oct. 2009 à 21:35

Ok Merci pour la clef.

Je vais faire un scan avec SUPER antispyware.

Juste une question : (encooooooore ... bon vas-y ;) ).
On a fait deux scans avec MBAM pour lesquels je n'ai pas supprimé les dossiers qu'il a trouvé, ai-je bien fait ?

Vu qu'il se fait tard en France (22h30 si vous n'avez pas encore changé d'heure) je ne vois pas d'inconvénients à ce qu'on reprennent demain matin, je posterais le rapport dans la nuit.

Réponse 27 / 97

moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
26 oct. 2009 à 21:41

tu peux effectivement supprmié maintenant ce qu'a trouvé MBAM
on continue quand tu veux ( ce qui me laisse du temps pour le dernier)
refait demain un RSIT tant que tu y es

et

nous avons changé d'heure (-1h)

Réponse 28 / 97

j-mi57 Messages postés 81 Date d'inscription dimanche 27 mai 2007 Statut Membre Dernière intervention 18 juillet 2011 13
26 oct. 2009 à 21:46

Bien a demain merci encore.

Réponse 29 / 97

j-mi57 Messages postés 81 Date d'inscription dimanche 27 mai 2007 Statut Membre Dernière intervention 18 juillet 2011 13
26 oct. 2009 à 22:45

OUUUUUUUUUUUUUULAAAAAAAAAA!

J'ai fais un scan rapide avec superantispyware en mode normale. J'ai suivi les indications du tuto.
Ai redémarré mon ordi pour mettre les éléments trouvé en quarantaine.

les élements sont:
- Trojan.Agent/Gen-ProxyRedirect(SearchItPro)
-Adware.Tracking Cookie

Au redémarrage spybot m'annonce des modifications importantes du registre concernant la page d'accueil et le browser helper.
Je les accepte car elles paraissent logiques par rapport au fait que superantispyware est sensé protéger ma page d'accueil qui en plus est corrompue. (L'outil de recherche de la toolbar)

Superantispyware à l'air de bien marcher puisque avast m'annonce 4 erreurs:

_Avast ne peut plus protéger les mails entrants (protocole IMAP)
_Avast ne peut plus protéger les news (protocole IMAP)
_Avast ne peut plus protéger les mails sortants (protocole SMTP)
_Avast ne peut plus protéger les mails entrants (protocole POP3)

et je ne peut plus afficher de pages internet quelles qu'elles soient.

La connexion est bien active, mais Mozilla ou internet explorer ne peuvent plus afficher les pages.

Je décide donc d'appeler à l'aide.
Pour pouvoir me reconnecter j'ai dû sortir les dossiers de la zone de quarantaine de SAS (Superantispyware).
J'ai procéder l'un après l'autre.
-Adware.Tracking Cookie était le moins moche je l'ai donc sorti en premier, sans résultat.

- Trojan.Agent/Gen-ProxyRedirect(SearchItPro) une fois sorti m'a permis de me reconnecter.

Il m'apparait que ce programme est responsable des problème au niveau de mon outil de recherche de la ToolBar et que SAS l'a trouvé et le bloque correctement.
Mais après je ne peut plus naviguer sur internet. Et là ... ben j'ai pas trop d'idée.

Je vais essayé de redéfinir complètement ma page d'acceuil pour voir.
Je vais refaire un scan avec SAS, mais cette fois en mode sans échec et un scan complet dès que je ressort du boulot. Peut-être trouvera-t-il plus de chose ce qui me débloquera ma navigation internet.

A part ça j'ai point trop d'idée.

ps: j'ai la possibilité de me connecter à partir d'un autre ordinateur pour ne pas avoir besoin de sortir les dossiers infectés/infectieux de la zone de quarantaine de SAS

Cordialement.

Réponse 30 / 97

moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
27 oct. 2009 à 02:42

bonjour

laisses tomber SAS...
refais un RSIT
et on va faire autre chose ensuite

Réponse 31 / 97

Utilisateur anonyme
27 oct. 2009 à 02:56

bonjour moment de grace.

tu pourrais lui faire passer juste le mode recherche sur mon tool ?

je voudrais verifier quelque chose.

Merci , Cord.
=====================
le canned :

Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent

▶ Télécharge List&Kill'em et enregistre le sur ton bureau

Il ne necessite pas d'installation

▶double clic (clic droit "executer en tant qu'administrateur" pour Vista) pour lancer le scan

choisis la langue puis choisis l'option 1 = Mode Recherche

▶laisse travailler l'outil

le rapport va s'afficher , une fois le scan fini

▶colle le contenu dans ta prochaine réponse

Réponse 32 / 97

moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
27 oct. 2009 à 03:26

bonjour gen-hackman
réponse en mp...

j-mi57, suis les indications de gen-hackman post 31, avec lui, ca va le faire...

Réponse 33 / 97

j-mi57 Messages postés 81 Date d'inscription dimanche 27 mai 2007 Statut Membre Dernière intervention 18 juillet 2011 13
27 oct. 2009 à 14:30

Bonjour, moment de grace et gen-hackman,

Désolé pour le délai:

Voila le rapport de List&Kill'em et pour info le rapport de SAS en mode sans échec dans le post qui suit:

Cordialement

List'em by g3n-h@ckm@n 1.0.4.7

updated on 27.10.2009 ::::: 11.30

Windows_NT

Microsoft Windows XP [version 5.1.2600]

27/10/2009 9:21:37,10

Nom de l'h“te: ROCH_JM
Nom du systŠme d'exploitation: Microsoft Windows XP Professionnel
Version du systŠme: 5.1.2600 Service Pack 3 version 2600
Fabricant du systŠme d'exploitation: Microsoft Corporation
Configuration du systŠme d'exploitation: Station de travail autonome
Type de version du systŠme d'exploitation: Multiprocessor Free
Propri‚taire enregistr‚ÿ: Jean-mi
Organisation enregistr‚eÿ:
Identificateur de produit: 76413-OEM-0011903-00102
Date d'installation originale: 17/10/2007, 13:14:45
Dur‚e d'activit‚ systŠme: 0 jours, 0 heures, 14 minutes, 43 secondes
Fabricant du systŠme: Dell Inc.
ModŠle du systŠme: Inspiron 1520
Type du systŠme: X86-based PC
Processeur(s): 1 processeur(s) install‚(s).
[01]: x86 Family 6 Model 15 Stepping 10 GenuineIntel ~2193 MHz
Version du BIOS: DELL - 27d70810
R‚pertoire Windows: C:\WINDOWS
R‚pertoire systŠme: C:\WINDOWS\system32
P‚riph‚rique d'amor‡age: \Device\HarddiskVolume2
Option r‚gionale du systŠme: fr;Fran‡ais (France)
ParamŠtres r‚gionaux d'entr‚eÿ: fr;Fran‡ais (France)
Fuseau horaire: N/D
M‚moire physique totale: 2ÿ046 Mo
M‚moire physique disponible: 1ÿ557 Mo
M‚moire virtuelle : taille maximale: 2ÿ048 Mo
M‚moire virtuelle : disponible: 2ÿ008 Mo
M‚moire virtuelle : en cours d'utilisation: 40 Mo
Emplacements des fichiers d'‚change: C:\pagefile.sys
Domaine: MSHOME
Serveur d'ouverture de session: \\ROCH_JM
Correctif(s): 185 Corrections install‚es.
[01]: File 1
[02]: File 1
[03]: File 1
[04]: File 1
[05]: File 1
[06]: File 1
[07]: File 1
[08]: File 1
[09]: File 1
[10]: File 1
[11]: File 1
[12]: File 1
[13]: File 1
[14]: File 1
[15]: File 1
[16]: File 1
[17]: File 1
[18]: File 1
[19]: File 1
[20]: File 1
[21]: File 1
[22]: File 1
[23]: File 1
[24]: File 1
[25]: File 1
[26]: File 1
[27]: File 1
[28]: File 1
[29]: File 1
[30]: File 1
[31]: File 1
[32]: File 1
[33]: File 1
[34]: File 1
[35]: File 1
[36]: File 1
[37]: File 1
[38]: File 1
[39]: File 1
[40]: File 1
[41]: File 1
[42]: File 1
[43]: File 1
[44]: File 1
[45]: File 1
[46]: File 1
[47]: File 1
[48]: File 1
[49]: File 1
[50]: File 1
[51]: File 1
[52]: File 1
[53]: File 1
[54]: File 1
[55]: File 1
[56]: File 1
[57]: File 1
[58]: File 1
[59]: File 1
[60]: File 1
[61]: File 1
[62]: File 1
[63]: File 1
[64]: File 1
[65]: File 1
[66]: File 1
[67]: File 1
[68]: File 1
[69]: File 1
[70]: File 1
[71]: File 1
[72]: File 1
[73]: File 1
[74]: File 1
[75]: File 1
[76]: File 1
[77]: File 1
[78]: File 1
[79]: File 1
[80]: File 1
[81]: File 1
[82]: File 1
[83]: File 1
[84]: Q147222
[85]: M953297 - Update
[86]: S867460 - Update
[87]: Q936181
[88]: Q954430
[89]: KB923723 - Update
[90]: IDNMitigationAPIs - Update
[91]: NLSDownlevelMapping - Update
[92]: KB929399
[93]: KB952069_WM9
[94]: KB954155_WM9
[95]: KB968816_WM9
[96]: KB973540_WM9
[97]: KB936782_WMP10
[98]: KB925398_WMP64
[99]: KB923689
[100]: KB941569
[101]: KB938127-IE7 - Update
[102]: KB944533-IE7 - Update
[103]: KB947864-IE7 - Update
[104]: KB950759-IE7 - Update
[105]: KB953838-IE7 - Update
[106]: KB956390-IE7 - Update
[107]: KB958215-IE7 - Update
[108]: KB960714-IE7 - Update
[109]: KB961260-IE7 - Update
[110]: KB963027-IE7 - Update
[111]: KB969897-IE7 - Update
[112]: KB972260-IE7 - Update
[113]: KB974455-IE7 - Update
[114]: KB936929 - Service Pack
[115]: KB923561 - Update
[116]: KB938464 - Update
[117]: KB938464-v2 - Update
[118]: KB946648 - Update
[119]: KB950760 - Update
[120]: KB950762 - Update
[121]: KB950974 - Update
[122]: KB951066 - Update
[123]: KB951072-v2 - Update
[124]: KB951376 - Update
[125]: KB951376-v2 - Update
[126]: KB951698 - Update
[127]: KB951748 - Update
[128]: KB951978 - Update
[129]: KB952004 - Update
[130]: KB952287 - Update
[131]: KB952954 - Update
[132]: KB953839 - Update
[133]: KB954211 - Update
[134]: KB954459 - Update
[135]: KB954550-v5 - Update
[136]: KB954600 - Update
[137]: KB955069 - Update
[138]: KB955839 - Update
[139]: KB956391 - Update
[140]: KB956572 - Update
[141]: KB956744 - Update
[142]: KB956802 - Update
[143]: KB956803 - Update
[144]: KB956841 - Update
[145]: KB956844 - Update
[146]: KB957095 - Update
[147]: KB957097 - Update
[148]: KB958644 - Update
[149]: KB958687 - Update
[150]: KB958690 - Update
[151]: KB958869 - Update
[152]: KB959426 - Update
[153]: KB960225 - Update
[154]: KB960715 - Update
[155]: KB960803 - Update
[156]: KB960859 - Update
[157]: KB961118 - Update
[158]: KB961371 - Update
[159]: KB961373 - Update
[160]: KB961501 - Update
[161]: KB961503 - Update
[162]: KB967715 - Update
[163]: KB968389 - Update
[164]: KB968537 - Update
[165]: KB969059 - Update
[166]: KB969898 - Update
[167]: KB970238 - Update
[168]: KB970653-v3 - Update
[169]: KB971486 - Update
[170]: KB971557 - Update
[171]: KB971633 - Update
[172]: KB971657 - Update
[173]: KB971961 - Update
[174]: KB973346 - Update
[175]: KB973354 - Update
[176]: KB973507 - Update
[177]: KB973525 - Update
[178]: KB973815 - Update
[179]: KB973869 - Update
[180]: KB974112 - Update
[181]: KB974571 - Update
[182]: KB975025 - Update
[183]: KB975467 - Update
[184]: KB835221WXP - Update
[185]: XpsEPSC
Carte(s) r‚seau: 3 carte(s) r‚seau install‚e(s).
[01]: Intel(R) PRO/Wireless 3945ABG Network Connection
Nom de la connexion : Connexion r‚seau sans fil
tat : Support d‚connect‚
[02]: Broadcom 440x 10/100 Integrated Controller
Nom de la connexion : Connexion au r‚seau local
tat : Support d‚connect‚
[03]: Carte r‚seau 1394
Nom de la connexion : Connexion 1394

Nom de l'image PIDÿ Nom de la sessio Num‚ro d Utilisation
========================= ====== ================ ======== ============
System Idle Process 0 Console 0 28 Ko
System 4 Console 0 240 Ko
smss.exe 1336 Console 0 420 Ko
csrss.exe 1528 Console 0 4ÿ180 Ko
winlogon.exe 1812 Console 0 7ÿ444 Ko
services.exe 1856 Console 0 3ÿ636 Ko
lsass.exe 1900 Console 0 1ÿ676 Ko
svchost.exe 232 Console 0 5ÿ152 Ko
svchost.exe 356 Console 0 5ÿ872 Ko
svchost.exe 572 Console 0 34ÿ220 Ko
EvtEng.exe 692 Console 0 12ÿ104 Ko
S24EvMon.exe 896 Console 0 10ÿ156 Ko
WLKEEPER.exe 956 Console 0 13ÿ096 Ko
svchost.exe 1120 Console 0 5ÿ340 Ko
svchost.exe 1224 Console 0 5ÿ276 Ko
aswUpdSv.exe 1452 Console 0 252 Ko
ashServ.exe 1512 Console 0 16ÿ452 Ko
spoolsv.exe 508 Console 0 5ÿ864 Ko
svchost.exe 656 Console 0 3ÿ496 Ko
explorer.exe 1720 Console 0 39ÿ128 Ko
ctfmon.exe 864 Console 0 3ÿ280 Ko
DSAgnt.exe 868 Console 0 13ÿ276 Ko
TeaTimer.exe 880 Console 0 32ÿ868 Ko
Launcher.exe 976 Console 0 7ÿ940 Ko
DLG.exe 1312 Console 0 3ÿ228 Ko
hpqtra08.exe 1328 Console 0 8ÿ944 Ko
svchost.exe 612 Console 0 6ÿ816 Ko
MDM.EXE 840 Console 0 2ÿ972 Ko
svchost.exe 1044 Console 0 2ÿ972 Ko
nvsvc32.exe 2380 Console 0 4ÿ276 Ko
svchost.exe 2392 Console 0 3ÿ324 Ko
RegSrvc.exe 2420 Console 0 3ÿ080 Ko
HDPBSSS.exe 2640 Console 0 4ÿ388 Ko
svchost.exe 2772 Console 0 4ÿ800 Ko
alg.exe 2284 Console 0 4ÿ828 Ko
hpqste08.exe 2764 Console 0 7ÿ012 Ko
wscntfy.exe 2556 Console 0 2ÿ440 Ko
List_Killem.exe 792 Console 0 5ÿ080 Ko
cmd.exe 2260 Console 0 1ÿ760 Ko
wmiprvse.exe 3760 Console 0 8ÿ196 Ko
wmiprvse.exe 740 Console 0 13ÿ720 Ko
tasklist.exe 3888 Console 0 4ÿ592 Ko
======================
Cles de demarrage "Run"
======================
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"DellSupport"="\"C:\\Program Files\\DellSupport\\DSAgnt.exe\" /startup"
"SpybotSD TeaTimer"="C:\\Program Files\\Spybot - Search & Destroy\\TeaTimer.exe"
"Packard Bell Software Suite"="C:\\Program Files\\Packard Bell\\Packard Bell Software Suite\\Launcher.exe /run"
"DAEMON Tools Lite"="\"C:\\Program Files\\DAEMON Tools Lite\\daemon.exe\" -autorun"
"SUPERAntiSpyware"="C:\\Program Files\\SUPERAntiSpyware\\SUPERAntiSpyware.exe"

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Malwarebytes Anti-Malware (reboot)"="\"C:\\Program Files\\Malwarebytes' Anti-Malware2\\mbam.exe\" /runcleanupscript"
"SoftwareHelper"="C:\\Documents and Settings\\Jean-mi\\Application Data\\eoRezo\\SoftwareUpdate\\SoftwareUpdateHP.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

=====================
cles additionnelles
=====================
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

===============
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

===============
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

======
BHO :
======
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{22BF413B-C6D2-4d91-82A9-A0F997BA588C}]
@="Skype add-on (mastermind)"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
"NoExplorer"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CA6319C0-31B7-401E-A518-A07C3DB8F777}]
@="Browser Address Error Redirector"

==========================

===============
Path : C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\Program Files\Fichiers communs\Roxio Shared\DLLShared\;C:\Program Files\Fichiers communs\Roxio Shared\DLLShared\;C:\Program Files\Fichiers communs\Roxio Shared\9.0\DLLShared\;C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322;C:\Program Files\MATLAB\R2008a\bin;C:\Program Files\MATLAB\R2008a\bin\win32
===============
¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents :

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
C:\WINDOWS\System32\_psisdecd.dll
C:\WINDOWS\system32\lsp.dll
C:\WINDOWS\winstart.bat
C:\Documents and Settings\Jean-mi\LOCAL Settings\Temp\SSUPDATE.EXE

¤¤¤¤¤¤¤¤¤¤ Clés de registre Presentes :

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe

¤¤¤¤¤¤¤¤¤¤ C:\WINDOWS\Prefetch :

ACRORD32INFO.EXE-1A3A138E.pf
AD-R.EXE-04BCE7D7.pf
AGENT.EXE-04DFD557.pf
ALG.EXE-275708CF.pf
ASHAVAST.EXE-1EA93A67.pf
ASHSIMPL.EXE-20AB57BA.pf
ASHWEBSV.EXE-3530B302.pf
ATTRIB.EXE-15ACDFFE.pf
AUTORUN.EXE-1FED289F.pf
AVAST.SETUP-295443AF.pf
BYPASS.EXE-3B3931B9.pf
CCLEANER.EXE-09CFC2BC.pf
CHCP.COM-17EDBDC9.pf
CLEANMGR.EXE-31B430FE.pf
CMD.EXE-034B0549.pf
CSCRIPT.EXE-0A13A05C.pf
CTFMON.EXE-05E57A5E.pf
DEFRAG.EXE-2858C7E2.pf
DFRGNTFS.EXE-38C3807C.pf
DRWTSN32.EXE-01DDCF15.pf
DSAGNT.EXE-2DA183E7.pf
DW20.EXE-0A0B1C6C.pf
ECHOX.EXE-1FCE4B11.pf
ERUNT.COM-31252552.pf
EXPLORER.EXE-02121B1A.pf
FIND.EXE-0EEAD1A7.pf
FINDSTR.EXE-1A4FC238.pf
FIREFOX.EXE-06188867.pf
FXSSVC.EXE-140862E7.pf
GH3.EXE-359907E6.pf
GREP.COM-33145439.pf
HDPBSSS.EXE-39D64643.pf
HIJACKTHIS.EXE-241EE54E.pf
HPQSTE08.EXE-007EAA1E.pf
HPRBLOG.EXE-0F621D15.pf
IEXPLORE.EXE-2D97EBE6.pf
IMAPI.EXE-201490BB.pf
ISADMIN.COM-3924D8C2.pf
ISUSPM.EXE-08DF4BAB.pf
IZARC.EXE-0AF6D364.pf
JEAN-MI.EXE-21A7A549.pf
KILL.EXE-2EE28036.pf
KILL_P.EXE-0D52E044.pf
LAUNCHER_FR.EXE-26FBB9D0.pf
Layout.ini
LIVECAMDE.EXE-24123294.pf
LOCKON.EXE-1C72A396.pf
MACSMGR.EXE-37DD461A.pf
MATLAB.EXE-1B056273.pf
MATLAB.EXE-20A3AAE5.pf
MBAM.EXE-07D2AA54.pf
MDM.EXE-1C8F90CC.pf
MODE.COM-318FFE37.pf
MODMAN.EXE-2345AD99.pf
MPNOTIFY.EXE-240461D6.pf
MSIEXEC.EXE-330626DC.pf
MSNMSGR.EXE-0EBDBC56.pf
MSPAINT.EXE-146E0237.pf
NIRCMD.COM-33C104BA.pf
NOTEPAD.EXE-2F2D61E1.pf
NTOSBOOT-B00DFAAD.pf
NVSVC32.EXE-0756FC6B.pf
OSE.EXE-2D1D1CBE.pf
OSV.EXE-06DB5E5C.pf
PHOTOFILTRE.EXE-2E6C8CE5.pf
PROCESS.COM-34130DDA.pf
PV.COM-1D9D2AB8.pf
PV.EXE-37AFB0EC.pf
REG.EXE-07FA5B3F.pf
REGDACL.COM-144657CD.pf
REGEDIT.EXE-2AE3423E.pf
REGSRVC.EXE-1A4FEDDE.pf
REGSVR32.EXE-2200B2DA.pf
ROXWATCH9.EXE-08C9395D.pf
RSIT.EXE-0C938C1A.pf
RUNDLL32.EXE-3C98A3C8.pf
RUNDLL32.EXE-3D479208.pf
RUNDLL32.EXE-41C4C933.pf
RUNDLL32.EXE-45D430F7.pf
RUNDLL32.EXE-4C50DFCF.pf
RUNDLL32.EXE-54023F1C.pf
RUNDLL32.EXE-5560CAC5.pf
RUNDLL32.EXE-57C8756E.pf
RUNDLL32.EXE-5ACE91DC.pf
RUNDLL32.EXE-5F120771.pf
RUNDLL32.EXE-665D89FE.pf
RUNDLL32.EXE-6ACD0C83.pf
RUNDLL32.EXE-6E8D4657.pf
RUNDLL32.EXE-71AB9752.pf
SC.EXE-28F2B663.pf
SED.COM-3599153B.pf
SED.EXE-1BD8EF0F.pf
SETB.TMP-0F49C70C.pf
SETPATH.COM-194EB27D.pf
SETPATH.EXE-27ED3C8A.pf
SETPATH.EXE-280CF3BE.pf
SETUP.EXE-3192D713.pf
SHUTDOWN.EXE-00AD91B0.pf
SKYPENAMES.EXE-150E8F7C.pf
SOFFICE.BIN-0CB047E9.pf
SOFFICE.EXE-04C0B2C2.pf
SOFTWAREUPDATE.EXE-33F0DBF0.pf
SSMYPICS.SCR-2B33A3BB.pf
SUPERANTISPYWARE.EXE-300687E4.pf
SVCHOST.EXE-2D5FBD18.pf
SWREG.COM-32F48A57.pf
SWREG.EXE-33A4ADA3.pf
SWRITER.EXE-07DD1603.pf
SWSC.COM-17A4BEA2.pf
SWXCACLS.COM-1472CBC6.pf
SYSOCMGR.EXE-07A918BD.pf
TASKMGR.EXE-06144C13.pf
TEATIMER.EXE-0390E8A7.pf
THUG2.EXE-1D979A96.pf
TOOLBARSD.EXE-23228888.pf
UNINSTALL.EXE-215BD174.pf
USBFIX.EXE-17361450.pf
USERINIT.EXE-0743FDA9.pf
VCRT_CHECK.EXE-2640ACD6.pf
VERCLSID.EXE-28F52AD2.pf
VLC.EXE-02F29DFD.pf
WGASETUP.EXE-0098D97F.pf
WGATRAY.EXE-350D4455.pf
WINAMP.EXE-22223556.pf
WINWORD.EXE-33AEA629.pf
WLCOMM.EXE-2F4516F1.pf
WMIPRVSE.EXE-0D449B4F.pf
WSCRIPT.EXE-0C5C5251.pf
WUAUCLT.EXE-1360D60A.pf
ZIP.EXE-05438CDB.pf

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Réponse 34 / 97

Utilisateur anonyme
27 oct. 2009 à 14:33

REDEMARRE EN MODE SANS ECHEC , puis :

▶ Relance List&Kill'em comme tu as fait pour l'option 1 (soit en clic droit pour vista),

mais cette fois-ci :

▶ choisis l'option 2 = Mode Destruction

laisse travailler l'outil

apres les verifications , un rapport va s'ouvrir.

▶ ferme-le.

un deuxieme rapport va s'ouvrir ,

▶ colle son contenu dans ta reponse apres avoir redemarré en mode normal

Réponse 35 / 97

j-mi57 Messages postés 81 Date d'inscription dimanche 27 mai 2007 Statut Membre Dernière intervention 18 juillet 2011 13
27 oct. 2009 à 15:16

RE,

Toujours le même problème, une fois le nettoyage fais je n'arrive plus a naviguer sur internet bien que la connexion se fasse.

L'outil diagnostique windows me dit :
Windows a détecté un problème avec le fournisseur du service en couche suivant : ProxyLSP et me propose de le supprimer. (Ce que je n'ai pas fais)

Je recopie une partie des lignes du rapport Kill'em:

Fichiers analysées:

C:\Documents and settings\alluser\applicationdata\microsoft\network\downloader\qmgr0.dat
C:\Documents and settings\alluser\applicationdata\microsoft\network\downloader\qmgr1.dat
C:\Windows\system32\underscorepsisdecd.dll
C:\Windows\system32\lsp.dll
C:\Windows\winstart.bat
C:\Documents and settings\Jean-Mi\LOCAL settings\Temp\SSUPDATE.EXE

Action sur les fichiers:
quarantaine:
LSP.DLL.KILL'EM
QMGR0.DAT.KILL'EM
QMGR1.DAT.KILL'EM
SSUPDATE.EXE.KEILL'EM
winstart.bat.KILL'EM
underscorepsisdecd.dll.kill'em

Cordialement.

Réponse 36 / 97

j-mi57 Messages postés 81 Date d'inscription dimanche 27 mai 2007 Statut Membre Dernière intervention 18 juillet 2011 13
27 oct. 2009 à 15:40

Re,

Bon même problème que avec SAS l'ordi est connecté mais ne peut pas naviguer sur internet sauf que là je ne sais pas ou chercher. (j'utilise l'ordi d'un collègue là)

L'outil de diagnostique d'internet explorer me dit:
Windows a detecté un problème avec le fournisseur de service en couche suivant : ProxyLSP

Voulez-vous que Windows le supprime?

J'ai mis non.

J'ai recopier (deux fois) le rapport de Kill'em, c pour ça que ça a mis du temps désolé le voila:

Cordialement.

Rapport kill'em

Fichier analysés:

fichier et dossiers présents:

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
C:\WINDOWS\System32\_psisdecd.dll
C:\WINDOWS\System32\ldp.dll
C:\WINDOWS\winstart.bat
C:\Documents and Settings\Jean-Mi\LOCAL Settings\Temp\SSUPDAT.EXE

Actions sur les fichiers:

Quarantaine:

LSP.DLL.Kill'em
qmgr0.dat.Kill'em
qmgr1.dat.kill'em
SSUPDATE.EXE.kill'em
winstart.bat.kill'em
_psisdecd.kill'em

vérif'

le path est long vous me le demanderez si besoin

clés de registre présentes
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe

C:\WINDOWS\Preftech
Layout.ini
NTOSBOOT-BOODFAAD.pf

Réponse 37 / 97

Utilisateur anonyme
27 oct. 2009 à 15:44

Télécharge OTL de OLDTimer

▶ enregistre le sur ton Bureau.

▶ Double clic sur OTL.exe pour le lancer.

▶ Coche les 2 cases Lop et Purity

▶ Coche la case devant scan all users

▶ règle-le sur "60 Days"

▶ dans la colonne de gauche , mets tout sur all

▶Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : https://www.cjoint.com/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

Tu feras la meme chose avec le "Extra.txt".

Réponse 38 / 97

j-mi57 Messages postés 81 Date d'inscription dimanche 27 mai 2007 Statut Membre Dernière intervention 18 juillet 2011 13
27 oct. 2009 à 16:11

Désolé d'avoir posté 2 fois le même message. Le premier n'apparaissait pas précédement.

J'ai récupérer ma navigation internet en sortant le fichier lsp.dll de la zone de quarantaine de find&kill'em et en le replaçant à son emplacement original.
Je ne sais pas si j'ai bien fait mais c'est le seul moyen de demander conseil et de télécharger des programmes outils sur mon ordi.

Mon outils de recherche de la page google est a nouveau corrompu. (cad me renvoi toujours les mêmes réponses vers des sites uniquement commerciaux)

Après nettoyage avec l'outil kill'em, j'ai reçu les même avertissement Avast que pour l'outil SAS (super anti spyware).
à savoir:

_Avast ne peut plus protéger les mails entrants (protocole IMAP)
_Avast ne peut plus protéger les news (protocole IMAP)
_Avast ne peut plus protéger les mails sortants (protocole SMTP)
_Avast ne peut plus protéger les mails entrants (protocole POP3)

En gros je suis au même point qu'au poste 29 sauf que ce ne sont pas les mêmes fichiers qui ont été placé en quarantaine.

Je poste le 2eme rapport de kill'em cet fois un peu plus complet.

Cordialement

Kill'em by g3n-h@ckm@n 1.0.4.7

updated on 27.10.2009 ::::: 11.30

Windows_NT

Microsoft Windows XP [version 5.1.2600]

27/10/2009 9:48:13,79

Fichiers analysés :
=================

¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents :

"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat"
"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat"
C:\WINDOWS\System32\_psisdecd.dll
"C:\WINDOWS\system32\lsp.dll"
"C:\WINDOWS\winstart.bat"
C:\Documents and Settings\Jean-mi\LOCAL Settings\Temp\SSUPDATE.EXE

¤¤¤¤¤¤¤¤¤¤ Action sur les fichiers :

Quarantaine :

LSP.DLL.Kill'em
qmgr0.dat.Kill'em
qmgr1.dat.Kill'em
SSUPDATE.EXE.Kill'em
winstart.bat.Kill'em
_psisdecd.dll.Kill'em

¤¤¤¤¤¤¤¤¤¤ Verification :

===============
Path : C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\Program Files\Fichiers communs\Roxio Shared\DLLShared\;C:\Program Files\Fichiers communs\Roxio Shared\DLLShared\;C:\Program Files\Fichiers communs\Roxio Shared\9.0\DLLShared\;C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322;C:\Program Files\MATLAB\R2008a\bin;C:\Program Files\MATLAB\R2008a\bin\win32
===============
¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents :

¤¤¤¤¤¤¤¤¤¤ Clés de registre Presentes :

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe

¤¤¤¤¤¤¤¤¤¤ C:\WINDOWS\Prefetch :

Layout.ini
NTOSBOOT-B00DFAAD.pf

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Réponse 39 / 97

j-mi57 Messages postés 81 Date d'inscription dimanche 27 mai 2007 Statut Membre Dernière intervention 18 juillet 2011 13
27 oct. 2009 à 16:24

Re,

Désoler apparament je n'arrive pas à suivre en temps réel les publi sur ccm.

Voivi le premier lien OTL.txt:

https://www.cjoint.com/?kBqvMTlkNs

et extra.txt:
https://www.cjoint.com/?kBqxWFHuH2

cordialement.

Réponse 40 / 97

Utilisateur anonyme
27 oct. 2009 à 16:42

▶ Télécharge HostXpert sur ton Bureau :

▶ Décompresse-le (Clic droit >> Extraire ici)

▶ Double-clique sur HostsXpert pour le lancer

▶ clique sur le bouton "Restore MS Hosts File" puis ferme le programme

PS : Avant de cliquer sur le bouton "Restore MS Hosts File", vérifie que le cadenas en haut à gauche est ouvert sinon tu vas avoir un message d'erreur.

▶ s'il est fermé , clique dessus :)

ensuite :

▶ Télécharge Zeb-Restoreet enregistre ce fichier sur le bureau.

▶-Clic droit Zeb-Restore.zip ==> Extraire tout choisis comme lieu d'enregistrement le bureau.

▶-Ouvre le dossier ZR_1.0.0.37 ==> double clic sur Zeb-Restore.exe

▶- Coche la case devant :sites de confiance

▶- Ne coche aucune autre case

▶-Clique sur Restaurer

▶-Redémarre ton PC

ensuite :

▶ Double clic sur OTL.exe pour le lancer.

▶Copie la liste qui se trouve en gras ci-dessous,

▶ colle-la dans la zone sous Customs Scans/Fixes :

:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - - No CLSID value found.
O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll File not found
O4 - HKLM..\Run: [SoftwareHelper] C:\Documents and Settings\Jean-mi\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Infodelivery present
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKU\S-1-5-20_Classes\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKU\S-1-5-21-502637277-2929759146-3530914792-1005\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKU\S-1-5-21-502637277-2929759146-3530914792-1005_Classes\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O18 - Protocol\Handler\ipp - No CLSID value found
O18 - Protocol\Handler\msdaipp - No CLSID value found

:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\system32\rundll32.exe" = C:\WINDOWS\system32\rundll32.exe:*:Enabled:Exécuter une DLL en tant qu'application -- (Microsoft Corporation)

:commands
[emptytemp]
[start explorer]
[reboot]

▶ Clique sur RunFix pour lancer la suppression.

▶ Poste le rapport.

j-mi57 Messages postés 81 Date d'inscription dimanche 27 mai 2007 Statut Membre Dernière intervention 18 juillet 2011 13
27 oct. 2009 à 16:54

Ok, dois-je remettre dans la zone de quarantaine le fichier lsp.dll que j'avais sorti pour me connecter à internet avant toute cette manip'.

Merci, je suis impressionné par la rapidité de vos réponses.