Clé usb infectée.Utiliser Flash Disinfector ?

julie08 -  
 julie08 -
Bonjour, un virus a infecté ma clé usb (au niveau du fichier autorun.inf apparemment) dans un cyber café. Comme j'aimerais sauver les données qu'elle contient, j'ai visité plusieurs forums pour trouver une solution autre que son reformatage. Problème: mon pc possède TRES peu de mémoire et je ne peux pas installer d'antivirus dessus. Voyant que Flash Disinfector donnait de bons résultats pour les autres internautes, je l'ai essayé; mais, lorsque je lance le scan de mon ordi et de ma clé, le Bloc-Note s'ouvre systématiquement avec un de ces quatre messages dans une fenêtre:
1) "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\regedit.exe/ a temp 00 "hkey_local_machine\software\wingolon"" introuvable.
2) "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\regedit.exe/a temp 00 "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main"" introuvable.
3) "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\regedit.exe/a temp 00 "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows"" introuvable.
4) "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\regedit.exe/s fix.reg" introuvable.
A chaque fois, la même question est répétée: "Souhaitez-vous créer ce fichier ?". Si je clique sur NON, le message réapparaît; si je clique sur OUI, le pc répond: "Erreur au chargement de (un de ces 4 fichiers). Vérifier que ce fichier n'est pas utilisé par une autre appliaction."
Puis, une fenêtre m'annonce que Flash D. a terminé; et, quand j'ouvre ma clé, les fichiers sont toujours aussi anormaux. Est-ce quelqu'un pourrait m'expliquer ce que signifie ce charabia, svp ?? Que dois-je faire ?
Merci d'avance.
Configuration: Windows XP Internet Explorer 6.0

10 réponses

  1. Utilisateur anonyme
     
    Salut ,

    ▶ Télécharge random's system information tool (RSIT) et sauvegarde-le sur le Bureau.

    • Double-clique sur RSIT.exe afin de lancer RSIT.

    • Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).

    • Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

    • Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

    Poste le contenu de log.txt .

    • Tuto : https://forum.pcastuces.com/randoms_system_information_tool_rsit-f31s31.htm
    0
    1. julie08
       
      Voici la copie de log.txt. Bon courage !

      Logfile of random's system information tool 1.06 (written by random/random)
      Run by Administrateur at 2009-10-26 16:00:15
      Microsoft Windows XP Professionnel Service Pack 2
      System drive C: has 262 MB (6%) free of 4 GB
      Total RAM: 127 MB (18% free)

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 16:00:54, on 26/10/2009
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Documents and Settings\Administrateur\Modèles\O85068Z\service.exe
      C:\WINDOWS\M70373\smss.exe
      C:\WINDOWS\M70373\EmangEloh.exe
      C:\Documents and Settings\Administrateur\Modèles\O85068Z\winlogon.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Winsudate\gibsvc.exe
      C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
      C:\Program Files\Winsudate\gibusr.exe
      C:\Documents and Settings\Administrateur\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
      C:\Program Files\Java\jre1.6.0_07\bin\jucheck.exe
      C:\WINDOWS\explorer.exe
      C:\O85068Z\service.exe
      C:\O85068Z\winlogon.exe
      C:\WINDOWS\explorer.exe
      C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\PDUUKGOZ\RSIT[1].exe
      C:\Program Files\trend micro\Administrateur.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=D4322FEE7CF74A348CB9CE970F098EF5
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      F2 - REG:system.ini: Shell=explorer.exe, "C:\Documents and Settings\Administrateur\Modèles\O85068Z\TuxO85068Z.exe"
      F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe , "C:\WINDOWS\M70373\Ja856720bLay.com"
      O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O2 - BHO: Download Manager Browser Helper Object - {19C8E43B-07B3-49CB-BFFC-6777B593E6F8} - C:\PROGRA~1\FICHIE~1\fluxDVD\DOWNLO~1\XEBDLH~1.DLL
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
      O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O4 - HKLM\..\Run: [CanalPlayer] C:\Program Files\Lecteur CANALPLAY\CanalPlayer.exe
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [T68Z730] C:\WINDOWS\sa-866388.exe
      O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
      O4 - HKCU\..\Run: [AdobeUpdater] C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe
      O4 - HKCU\..\Run: [WinUsr] C:\Program Files\Winsudate\gibusr.exe
      O4 - HKCU\..\Run: [T1703388TT4] C:\WINDOWS\system32\773043634862l.exe
      O4 - HKUS\S-1-5-18\..\Run: [T1703388TT4] C:\WINDOWS\system32\773043634862l.exe (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [T1703388TT4] C:\WINDOWS\system32\773043634862l.exe (User 'Default user')
      O4 - Startup: Notification de cadeaux MSN.lnk = C:\Documents and Settings\Administrateur\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
      O4 - Global Startup: Z773043cie.cmd
      O4 - Global User Startup: Z773043cie.cmd
      O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
      O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
      O15 - Trusted Zone: *.canalplay.com (HKLM)
      O15 - Trusted Zone: *.canalplusactive.com (HKLM)
      O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
      O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game07.zylom.com/activex/zylomgamesplayer.cab
      O20 - AppInit_DLLs: sockspy.dll
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
      O23 - Service: Gestionnaire de mise à jour Winsudate (WinSvc) - Winsudate - C:\Program Files\Winsudate\gibsvc.exe
      0
  2. Utilisateur anonyme
     
    tu es tres infecté , y a du ménage a faire :

    Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    -> Double clique sur combofix.exe.
    -> Tape sur la touche 1 (Yes) pour démarrer le scan.
    -> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    Avant d'utiliser ComboFix :

    -> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

    -> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

    Une fois fait, sur ton bureau double-clic sur Combofix.exe.

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

    - En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    -> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    -> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
    0
  3. julie08
     
    Sorry Chiquitine29, il y a un pb avec Combofix ! J'ai réussi à l'installer ds le bureau mais qd j'ai voulu le lancer, un message est apparu: "Combofix ne fonctionne qu'avec Windows 2000 et XP."
    Après avoir fermé cette fenêtre, une autre s'est ouverte: "32788R22FWJFW\EXE reg.exe" introuvable. Puis "32788R22FWJFW\hidec reg.exe" introuvable ... Cette machine va me rendre dingue !
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Utilisateur anonyme
     
    ▶ Télécharge OTM de OldTimer sur ton Bureau.

    • Double-clique sur OTM.exe afin de le lancer.

    • Copie (Ctrl+C) le texte suivant ci-dessous :

    :processes
    explorer.exe

    :files
    C:\O85068Z
    C:\Documents and Settings\Administrateur\Modèles\O85068Z\TuxO85068Z.exe
    C:\Documents and Settings\Administrateur\Modèles\O85068Z
    C:\WINDOWS\M70373\Ja856720bLay.com
    C:\WINDOWS\M70373
    C:\Program Files\Winsudate\gibusr.exe
    C:\Program Files\Winsudate
    C:\WINDOWS\sa-866388.exe
    C:\WINDOWS\system32\sti_ci.dll
    C:\WINDOWS\system32\773043634862l.exe
    C:\WINDOWS\system32\X26801go
    C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\Z773043cie.cmd

    :reg
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    "T68Z730"=-
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "WIAWizardMenu"=-
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    "WinUsr"=-
    "T1703388TT4"=-
    [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    "DisableRegistryTools"=-

    :commands
    [emptytemp]
    [reboot]


    • Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

    • Clique maintenant sur le bouton MoveIt! puis ferme OTM.

    ▶ Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
    ▶ Accepte en cliquant sur YES.

    Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\
    Le nom du rapport correspond au moment de sa création : date_heure.log

    0
    1. julie08
       
      Merci Chiquitine29 pour ta 2ème solution mais Combofix a finalement fonctionné (après plusieurs essais...). Voici le rapport. Merci. Bonne soirée.

      ComboFix 09-10-25.02 - Administrateur 26/10/2009 17:26.1.1 - NTFSx86
      Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      c:\documents and settings\Administrateur\Application Data\.#
      c:\windows\command
      c:\windows\system\msvbvm60.dll
      c:\windows\system32\msconfig.exe

      c:\windows\system32\srsvc.dll . . . est infecté!!

      .
      ((((((((((((((((((((((((((((( Fichiers créés du 2009-09-26 au 2009-10-26 ))))))))))))))))))))))))))))))))))))
      .

      2009-10-26 15:00 . 2009-10-26 15:00 -------- d-----w- c:\program files\trend micro
      2009-10-26 15:00 . 2009-10-26 15:01 -------- d-----w- C:\rsit
      2009-10-23 20:29 . 2009-10-23 20:29 -------- d-----w- c:\program files\Amazon
      2009-10-23 20:10 . 2009-10-23 20:42 -------- d-----w- c:\documents and settings\All Users\Application Data\Yahoo! Companion
      2009-10-23 20:10 . 2009-10-23 20:10 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Yahoo!
      2009-10-23 20:10 . 2009-10-23 20:11 -------- d-----w- c:\program files\Yahoo!
      2009-10-23 20:09 . 2009-10-23 20:11 -------- d-----w- c:\program files\CCleaner
      2009-10-20 10:36 . 2009-10-20 10:36 -------- d-----w- C:\O85068Z
      2009-10-18 14:19 . 2009-06-22 16:29 195072 --sh--w- c:\windows\Ti634862ta.exe
      2009-10-18 14:19 . 2009-06-22 16:29 195072 --sh--w- c:\windows\system32\773043634862l.exe
      2009-10-18 14:19 . 2009-06-22 16:29 195072 --sh--w- c:\windows\sa-866388.exe
      2009-10-18 14:19 . 2009-10-18 14:19 -------- d-sh--r- c:\windows\M70373
      2009-10-18 14:19 . 2009-10-18 14:19 -------- d-----w- c:\windows\system32\X26801go

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2009-10-26 17:53 . 2007-12-09 15:39 25479200 --sha-w- c:\windows\system32\drivers\fidbox.dat
      2009-10-25 19:36 . 2007-12-09 15:39 297764 --sha-w- c:\windows\system32\drivers\fidbox.idx
      2009-10-25 18:24 . 2008-11-16 17:24 -------- d-----w- c:\program files\Fichiers communs\Teleca Shared
      2009-10-25 18:24 . 2005-08-10 13:06 -------- d-----w- c:\program files\Fichiers communs\Adaptec Shared
      2009-10-25 13:55 . 2005-07-09 19:40 351782 ----a-w- c:\windows\system32\perfh00C.dat
      2009-10-25 13:55 . 2005-07-09 19:40 43254 ----a-w- c:\windows\system32\perfc00C.dat
      2009-10-06 16:47 . 2009-03-17 14:08 1636 ----a-w- c:\windows\system32\d3d9caps.dat
      2009-09-08 10:25 . 2009-02-01 14:28 -------- d-----w- c:\program files\LGGSM
      2009-08-19 22:04 . 2007-12-16 13:00 15128 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
      2009-08-10 13:16 . 2009-08-10 13:16 9 ----a-w- c:\documents and settings\Administrateur\Application Data\mdb.bin
      2006-09-29 17:48 . 2009-02-06 20:21 611 ----a-w- c:\program files\PowerDVD.lnk
      2006-09-29 17:35 . 2009-02-06 20:25 1910 ----a-w- c:\program files\Digital Media Studio.lnk
      2005-08-10 09:59 . 2005-08-10 09:59 11208 ---ha-w- c:\program files\folder.htt
      2009-06-22 16:29 . 2009-10-18 14:19 195072 --sh--w- c:\windows\sa-866388.exe
      2009-06-22 16:29 . 2009-10-18 14:19 195072 --sh--w- c:\windows\Ti634862ta.exe
      2009-06-22 16:29 . 2009-10-18 14:19 195072 --sh--w- c:\windows\M70373\EmangEloh.exe
      2009-06-22 16:29 . 2009-10-18 14:19 195072 --sh--w- c:\windows\M70373\Ja856720bLay.com
      2009-06-22 16:29 . 2009-10-18 14:19 195072 --sha-w- c:\windows\M70373\smss.exe
      2009-06-22 16:29 . 2009-10-18 14:19 195072 --sh--w- c:\windows\SYSTEM32\773043634862l.exe
      2005-07-09 19:40 . 2005-07-09 19:40 1392671 --sh--r- c:\windows\SYSTEM32\msvbvm60.dll
      2009-06-22 16:29 . 2009-10-18 14:19 195072 --sha-w- c:\windows\SYSTEM32\X26801go\Z773043cie.cmd
      .

      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "WinUsr"="c:\program files\Winsudate\gibusr.exe" [2009-07-27 88304]
      "T1703388TT4"="c:\windows\system32\773043634862l.exe" [2009-06-22 195072]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
      "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-05-27 413696]
      "T68Z730"="c:\windows\sa-866388.exe" [2009-06-22 195072]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
      "WIAWizardMenu"="c:\windows\system32\sti_ci.dll" [2005-07-09 138240]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "T1703388TT4"="c:\windows\system32\773043634862l.exe" [2009-06-22 195072]

      c:\windows\SYSTEM32\X26801go\
      Z773043cie.cmd [2009-6-22 195072]

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
      "NoSMBalloonTip"= 0 (0x0)

      [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
      "ForceClassicControlPanel"= 1 (0x1)
      "NoSMBalloonTip"= 0 (0x0)

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
      "AVGEMS"=2 (0x2)
      "Avg7UpdSvc"=2 (0x2)
      "Avg7Alrt"=2 (0x2)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "c:\\Program Files\\LimeWire\\LimeWire.exe"=
      "c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
      "c:\\Program Files\\MSN Messenger\\livecall.exe"=

      R3 DCamUSBPremier;USB Video Camera;c:\windows\system32\Drivers\mpixvid.sys [2004-07-01 81921]
      S2 WinSvc;Gestionnaire de mise à jour Winsudate;c:\program files\Winsudate\gibsvc.exe [2009-07-27 70896]


      --- Autres Services/Pilotes en mémoire ---

      *NewlyCreated* - MBR
      *Deregistered* - mbr

      [COLOR=RED]NETSVCS DOIT ÊTRE RÉPARÉ - liste des éléments présents/COLOR
      6to4
      AppMgmt
      AudioSrv
      Browser
      CryptSvc
      DMServer
      DHCP
      EventSystem
      FastUserSwitchingCompatibility
      HidServ
      Ias
      Iprip
      Irmon
      LanmanServer
      LanmanWorkstation
      Netman
      Nla
      Ntmssvc
      NWCWorkstation
      Nwsapagent
      Rasauto
      Rasman
      Remoteaccess
      Schedule
      Seclogon
      SENS
      Sharedaccess
      Tapisrv
      Themes
      TrkWks
      WZCSVC
      Wmi
      WmdmPmSp
      winmgmt
      xmlprov
      BITS
      wuauserv
      ShellHWDetection
      helpsvc
      WmdmPmSN

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

      .
      Contenu du dossier 'Tâches planifiées'

      2009-10-02 c:\windows\Tasks\AppleSoftwareUpdate.job
      - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
      .
      .
      ------- Examen supplémentaire -------
      .
      Trusted Zone: canalplay.com
      Trusted Zone: canalplusactive.com
      DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game07.zylom.com/activex/zylomgamesplayer.cab
      .
      - - - - ORPHELINS SUPPRIMES - - - -

      HKCU-Run-AdobeUpdater - c:\program files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe
      HKLM-Run-CanalPlayer - c:\program files\Lecteur CANALPLAY\CanalPlayer.exe



      **************************************************************************

      catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2009-10-26 18:51
      Windows 5.1.2600 Service Pack 2 NTFS

      Recherche de processus cachés ...

      Recherche d'éléments en démarrage automatique cachés ...

      Recherche de fichiers cachés ...

      Scan terminé avec succès
      Fichiers cachés: 0

      **************************************************************************
      .
      Heure de fin: 2009-10-26 19:13
      ComboFix-quarantined-files.txt 2009-10-26 18:12

      Avant-CF: 218 799 104 octets libres
      Après-CF: 251 163 136 octets libres

      WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
      [boot loader]
      timeout=2
      default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
      [operating systems]
      c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
      multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect /kernel=oemkrnl.exe

      - - End Of File - - E16E56A02B8D254CE96418A278671939
      0
  6. Utilisateur anonyme
     
    Copie le texte ci-dessous :

    Driver::
    WinSvc

    NetSvc::
    6to4

    File::
    c:\windows\Ti634862ta.exe
    c:\windows\system32\773043634862l.exe
    c:\windows\sa-866388.exe
    c:\program files\folder.htt
    c:\windows\sa-866388.exe
    c:\windows\Ti634862ta.exe
    c:\windows\M70373\EmangEloh.exe
    c:\windows\M70373\Ja856720bLay.com
    c:\windows\M70373\smss.exe
    c:\windows\SYSTEM32\773043634862l.exe
    c:\windows\SYSTEM32\msvbvm60.dll
    c:\windows\SYSTEM32\X26801go\Z773043ci­e.cmd
    c:\program files\Winsudate\gibusr.exe
    c:\program files\Winsudate\gibsvc.exe
    c:\windows\system32\sti_ci.dll

    Folder::
    C:\Documents and Settings\Administrateur\Modèles\O85068Z
    C:\O85068Z
    c:\windows\M70373
    c:\windows\system32\X26801go
    c:\program files\Winsudate

    Registry::
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "WinUsr"=-
    "T1703388TT4"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "T68Z730"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
    "WIAWizardMenu"=-
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "T1703388TT4"=-


    Ouvre le Bloc-Notes puis colle le texte copié.
    (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
    Sauvegarde ce fichier sous le nom de CFScript.txt

    Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ceci :

    Cela va relancer Combofix,

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Après redémarrage, poste le contenu du rapport Combofix.txt .

    S'il n'y a pas de rédémarrage, poste quand même le rapport.
    0
    1. julie08
       
      Le scan vient de se terminer. Voici le nouveau rapport Combofix.

      ComboFix 09-10-25.02 - Administrateur 27/10/2009 16:32.2.1 - NTFSx86
      Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
      Commutateurs utilisés :: c:\documents and settings\Administrateur\CFScript.txt
      * Un nouveau point de restauration a été créé

      FILE ::
      "c:\program files\folder.htt"
      "c:\program files\Winsudate\gibsvc.exe"
      "c:\program files\Winsudate\gibusr.exe"
      "c:\windows\M70373\EmangEloh.exe"
      "c:\windows\M70373\Ja856720bLay.com"
      "c:\windows\M70373\smss.exe"
      "c:\windows\sa-866388.exe"
      "c:\windows\SYSTEM32\773043634862l.exe"
      "c:\windows\SYSTEM32\msvbvm60.dll"
      "c:\windows\system32\sti_ci.dll"
      "c:\windows\SYSTEM32\X26801go\Z773043ci­e.cmd"
      "c:\windows\Ti634862ta.exe"
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      C:\O85068Z
      c:\o85068z\service.exe
      c:\o85068z\TuxO85068Z.exe
      c:\o85068z\winlogon.exe
      c:\program files\folder.htt
      c:\program files\Winsudate
      c:\program files\Winsudate\gibcom.dll
      c:\program files\Winsudate\gibidl.dll
      c:\program files\Winsudate\gibsvc.exe
      c:\program files\Winsudate\gibupt.exe
      c:\program files\Winsudate\gibusr.exe
      c:\windows\M70373
      c:\windows\M70373\EmangEloh.exe
      c:\windows\M70373\Ja856720bLay.com
      c:\windows\M70373\smss.exe
      c:\windows\sa-866388.exe
      c:\windows\system\msvbvm60.dll
      c:\windows\SYSTEM32\773043634862l.exe
      c:\windows\Ti634862ta.exe

      c:\windows\system32\srsvc.dll . . . est infecté!!

      .
      ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
      .

      -------\Legacy_WINSVC
      -------\Service_WinSvc


      ((((((((((((((((((((((((((((( Fichiers créés du 2009-09-27 au 2009-10-27 ))))))))))))))))))))))))))))))))))))
      .

      2009-10-27 15:03 . 2009-10-27 15:03 -------- d-s---w- c:\documents and settings\Administrateur\UserData
      2009-10-26 18:25 . 2009-10-26 18:25 -------- d-sh--w- c:\windows\system32\dllcache
      2009-10-26 15:00 . 2009-10-26 15:00 -------- d-----w- c:\program files\trend micro
      2009-10-26 15:00 . 2009-10-26 15:01 -------- d-----w- C:\rsit
      2009-10-23 20:29 . 2009-10-23 20:29 -------- d-----w- c:\program files\Amazon
      2009-10-23 20:10 . 2009-10-23 20:42 -------- d-----w- c:\documents and settings\All Users\Application Data\Yahoo! Companion
      2009-10-23 20:10 . 2009-10-23 20:10 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Yahoo!
      2009-10-23 20:10 . 2009-10-23 20:11 -------- d-----w- c:\program files\Yahoo!
      2009-10-23 20:09 . 2009-10-23 20:11 -------- d-----w- c:\program files\CCleaner
      2009-10-18 14:19 . 2009-10-18 14:19 -------- d-----w- c:\windows\system32\X26801go

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2009-10-27 16:22 . 2007-12-09 15:39 25534496 --sha-w- c:\windows\system32\drivers\fidbox.dat
      2009-10-27 16:19 . 2007-12-09 15:39 300236 --sha-w- c:\windows\system32\drivers\fidbox.idx
      2009-10-27 12:27 . 2005-08-10 13:06 -------- d-----w- c:\program files\Fichiers communs\Adaptec Shared
      2009-10-27 09:43 . 2008-11-16 17:24 -------- d-----w- c:\program files\Fichiers communs\Teleca Shared
      2009-10-26 18:30 . 2005-07-09 19:40 43254 ----a-w- c:\windows\system32\perfc00C.dat
      2009-10-26 18:30 . 2005-07-09 19:40 351782 ----a-w- c:\windows\system32\perfh00C.dat
      2009-10-06 16:47 . 2009-03-17 14:08 1636 ----a-w- c:\windows\system32\d3d9caps.dat
      2009-09-08 10:25 . 2009-02-01 14:28 -------- d-----w- c:\program files\LGGSM
      2009-08-19 22:04 . 2007-12-16 13:00 15128 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
      2009-08-10 13:16 . 2009-08-10 13:16 9 ----a-w- c:\documents and settings\Administrateur\Application Data\mdb.bin
      2006-09-29 17:48 . 2009-02-06 20:21 611 ----a-w- c:\program files\PowerDVD.lnk
      2006-09-29 17:35 . 2009-02-06 20:25 1910 ----a-w- c:\program files\Digital Media Studio.lnk
      2005-07-09 19:40 . 2005-07-09 19:40 1392671 --sh--r- c:\windows\SYSTEM32\msvbvm60.dll
      2009-06-22 16:29 . 2009-10-18 14:19 195072 --sha-w- c:\windows\SYSTEM32\X26801go\Z773043cie.cmd
      .

      ((((((((((((((((((((((((((((( SnapShot@2009-10-26_17.55.04 )))))))))))))))))))))))))))))))))))))))))
      .
      - 2005-07-09 19:40 . 2009-10-25 13:55 35394 c:\windows\SYSTEM32\perfc009.dat
      + 2005-07-09 19:40 . 2009-10-26 18:30 35394 c:\windows\SYSTEM32\perfc009.dat
      - 2005-07-09 19:40 . 2009-10-25 13:55 296054 c:\windows\SYSTEM32\perfh009.dat
      + 2005-07-09 19:40 . 2009-10-26 18:30 296054 c:\windows\SYSTEM32\perfh009.dat
      - 2009-10-20 10:36 . 2009-06-22 16:29 195072 c:\windows\SoftwareDistribution\Download\Titip Folder Jangan DiHapus .exe
      + 2009-10-18 14:19 . 2009-06-22 16:29 195072 c:\windows\pchealth\UploadLB\Blink 182 .exe
      + 2009-10-20 10:36 . 2009-06-22 16:29 195072 c:\windows\Downloaded Program Files\TutoriaL HAcking .exe
      + 2009-10-18 14:19 . 2009-06-22 16:29 195072 c:\windows\Downloaded Installations\Windows Vista setup .scr
      - 2009-10-20 10:36 . 2009-06-22 16:29 195072 c:\windows\Downloaded Installations\Windows Vista setup .scr
      + 2009-10-18 14:19 . 2009-06-22 16:29 195072 c:\windows\Downloaded Installations\TutoriaL HAcking .exe
      .
      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
      "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-05-27 413696]

      c:\documents and settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\
      Notification de cadeaux MSN.lnk - c:\documents and settings\Administrateur\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-3-20 135680]

      c:\windows\SYSTEM32\X26801go\
      Z773043cie.cmd [2009-6-22 195072]

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
      "NoSMBalloonTip"= 0 (0x0)

      [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
      "ForceClassicControlPanel"= 1 (0x1)
      "NoSMBalloonTip"= 0 (0x0)

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
      "AVGEMS"=2 (0x2)
      "Avg7UpdSvc"=2 (0x2)
      "Avg7Alrt"=2 (0x2)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "c:\\Program Files\\LimeWire\\LimeWire.exe"=
      "c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
      "c:\\Program Files\\MSN Messenger\\livecall.exe"=

      S3 DCamUSBPremier;USB Video Camera;c:\windows\SYSTEM32\DRIVERS\MPIXVID.SYS [13/07/2008 10:56 81921]

      --- Autres Services/Pilotes en mémoire ---

      *Deregistered* - mbr

      [COLOR=RED]NETSVCS DOIT ÊTRE RÉPARÉ - liste des éléments présents/COLOR
      6to4
      AppMgmt
      AudioSrv
      Browser
      CryptSvc
      DMServer
      DHCP
      EventSystem
      FastUserSwitchingCompatibility
      HidServ
      Ias
      Iprip
      Irmon
      LanmanServer
      LanmanWorkstation
      Netman
      Nla
      Ntmssvc
      NWCWorkstation
      Nwsapagent
      Rasauto
      Rasman
      Remoteaccess
      Schedule
      Seclogon
      SENS
      Sharedaccess
      Tapisrv
      Themes
      TrkWks
      WZCSVC
      Wmi
      WmdmPmSp
      winmgmt
      xmlprov
      BITS
      wuauserv
      ShellHWDetection
      helpsvc
      WmdmPmSN

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

      .
      Contenu du dossier 'Tâches planifiées'

      2009-10-02 c:\windows\Tasks\AppleSoftwareUpdate.job
      - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
      .
      .
      ------- Examen supplémentaire -------
      .
      Trusted Zone: canalplay.com
      Trusted Zone: canalplusactive.com
      DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game07.zylom.com/activex/zylomgamesplayer.cab
      .

      **************************************************************************

      catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2009-10-27 17:21
      Windows 5.1.2600 Service Pack 2 NTFS

      Recherche de processus cachés ...

      Recherche d'éléments en démarrage automatique cachés ...

      Recherche de fichiers cachés ...

      Scan terminé avec succès
      Fichiers cachés: 0

      **************************************************************************
      .
      --------------------- DLLs chargées dans les processus actifs ---------------------

      - - - - - - - > 'explorer.exe'(1492)
      c:\windows\system32\msi.dll
      .
      ------------------------ Autres processus actifs ------------------------
      .
      c:\windows\system32\wdfmgr.exe
      c:\combofix\CF8454.exe
      c:\program files\Java\jre1.6.0_07\bin\jucheck.exe
      c:\combofix\PEV.cfxxe
      .
      **************************************************************************
      .
      Heure de fin: 2009-10-27 17:30 - La machine a redémarré
      ComboFix-quarantined-files.txt 2009-10-27 16:30
      ComboFix2.txt 2009-10-26 18:13

      Avant-CF: 253 067 264 octets libres
      Après-CF: 218 121 728 octets libres

      - - End Of File - - 7E3278D4E6E5C353E5CD946EFB64C1B5
      0
  7. Utilisateur anonyme
     
    l infection resiste :

    Copie le texte ci-dessous :

    Rootkit::
    c:\windows\SYSTEM32\msvbvm60.dll

    File::
    c:\windows\SYSTEM32\X26801go\Z773043cie.cmd
    c:\windows\SoftwareDistribution\Download\Titip Folder Jangan DiHapus .exe
    c:\windows\pchealth\UploadLB\Blink 182 .exe
    c:\windows\Downloaded Program Files\TutoriaL HAcking .exe
    c:\windows\Downloaded Installations\Windows Vista setup .scr
    c:\windows\Downloaded Installations\Windows Vista setup .scr
    c:\windows\Downloaded Installations\TutoriaL HAcking .exe
    c:\windows\SYSTEM32\msvbvm60.dll

    NetSvc::
    6to4
    AppMgmt
    AudioSrv
    Browser
    CryptSvc
    DMServer
    DHCP
    EventSystem
    FastUserSwitchingCompatibility
    HidServ
    Ias
    Iprip
    Irmon
    LanmanServer
    LanmanWorkstation
    Netman
    Nla
    Ntmssvc
    NWCWorkstation
    Nwsapagent
    Rasauto
    Rasman
    Remoteaccess
    Schedule
    Seclogon
    SENS
    Sharedaccess
    Tapisrv
    Themes
    TrkWks
    WZCSVC
    Wmi
    WmdmPmSp
    winmgmt
    xmlprov
    BITS
    wuauserv
    ShellHWDetection
    helpsvc
    WmdmPmSN

    Folder::
    c:\windows\SYSTEM32\X26801go


    Ouvre le Bloc-Notes puis colle le texte copié.
    (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
    Sauvegarde ce fichier sous le nom de CFScript.txt

    Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ceci :

    Cela va relancer Combofix,

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Après redémarrage, poste le contenu du rapport Combofix.txt .

    S'il n'y a pas de rédémarrage, poste quand même le rapport.
    0
    1. julie08
       
      Bonsoir Chiquitine 29, voici le nouveau rapport Combofix. Merci de ta persévérance.

      ComboFix 09-10-25.02 - Administrateur 28/10/2009 23:50.3.1 - NTFSx86
      Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
      Commutateurs utilisés :: c:\documents and settings\Administrateur\CFScript.txt
      * Un nouveau point de restauration a été créé

      FILE ::
      "c:\windows\Downloaded Installations\TutoriaL HAcking .exe"
      "c:\windows\Downloaded Installations\Windows Vista setup .scr"
      "c:\windows\Downloaded Program Files\TutoriaL HAcking .exe"
      "c:\windows\pchealth\UploadLB\Blink 182 .exe"
      "c:\windows\SoftwareDistribution\Download\Titip Folder Jangan DiHapus .exe"
      "c:\windows\SYSTEM32\msvbvm60.dll"
      "c:\windows\SYSTEM32\X26801go\Z773043cie.cmd"
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      c:\windows\SYSTEM32\X26801go\Z773043cie.cmd

      c:\windows\system32\srsvc.dll . . . est infecté!!

      .
      ((((((((((((((((((((((((((((( Fichiers créés du 2009-09-28 au 2009-10-28 ))))))))))))))))))))))))))))))))))))
      .

      2009-10-27 15:03 . 2009-10-27 15:03 -------- d-s---w- c:\documents and settings\Administrateur\UserData
      2009-10-26 18:25 . 2009-10-26 18:25 -------- d-sh--w- c:\windows\system32\dllcache
      2009-10-26 15:00 . 2009-10-26 15:00 -------- d-----w- c:\program files\trend micro
      2009-10-26 15:00 . 2009-10-26 15:01 -------- d-----w- C:\rsit
      2009-10-23 20:29 . 2009-10-23 20:29 -------- d-----w- c:\program files\Amazon
      2009-10-23 20:10 . 2009-10-23 20:42 -------- d-----w- c:\documents and settings\All Users\Application Data\Yahoo! Companion
      2009-10-23 20:10 . 2009-10-23 20:10 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Yahoo!
      2009-10-23 20:10 . 2009-10-23 20:11 -------- d-----w- c:\program files\Yahoo!
      2009-10-23 20:09 . 2009-10-23 20:11 -------- d-----w- c:\program files\CCleaner
      2009-10-18 14:19 . 2009-10-28 23:17 -------- d-----w- c:\windows\system32\X26801go

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2009-10-28 23:29 . 2007-12-09 15:39 25722912 --sha-w- c:\windows\system32\drivers\fidbox.dat
      2009-10-28 23:26 . 2007-12-09 15:39 302444 --sha-w- c:\windows\system32\drivers\fidbox.idx
      2009-10-27 12:27 . 2005-08-10 13:06 -------- d-----w- c:\program files\Fichiers communs\Adaptec Shared
      2009-10-27 09:43 . 2008-11-16 17:24 -------- d-----w- c:\program files\Fichiers communs\Teleca Shared
      2009-10-26 18:30 . 2005-07-09 19:40 43254 ----a-w- c:\windows\system32\perfc00C.dat
      2009-10-26 18:30 . 2005-07-09 19:40 351782 ----a-w- c:\windows\system32\perfh00C.dat
      2009-10-06 16:47 . 2009-03-17 14:08 1636 ----a-w- c:\windows\system32\d3d9caps.dat
      2009-09-08 10:25 . 2009-02-01 14:28 -------- d-----w- c:\program files\LGGSM
      2009-08-19 22:04 . 2007-12-16 13:00 15128 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
      2009-08-10 13:16 . 2009-08-10 13:16 9 ----a-w- c:\documents and settings\Administrateur\Application Data\mdb.bin
      2006-09-29 17:48 . 2009-02-06 20:21 611 ----a-w- c:\program files\PowerDVD.lnk
      2006-09-29 17:35 . 2009-02-06 20:25 1910 ----a-w- c:\program files\Digital Media Studio.lnk
      .

      ------- Sigcheck -------

      [-] 2005-07-09 . 6A603809F598332DBEDD535BDBCE313E . 359040 . . [5.1.2600.2180] . . c:\windows\SYSTEM32\DRIVERS\tcpip.sys

      [-] 2005-07-05 . D061A74AED7A5AC09E9422757628DB16 . 1242112 . . [6.00.2900.2180] . . c:\windows\explorer.exe



      [-] 2005-07-09 19:40 . AB3D62010AF342203FFA60C2D94DBC68 . 8704 . . [1] . . c:\windows\SYSTEM32\sfcfiles.dll


      c:\windows\system32\srsvc.dll ... manque !!
      c:\windows\system32\wscntfy.exe ... manque !!
      c:\windows\system32\regsvc.dll ... manque !!
      .
      ((((((((((((((((((((((((((((( SnapShot@2009-10-26_17.55.04 )))))))))))))))))))))))))))))))))))))))))
      .
      - 2005-07-09 19:40 . 2009-10-25 13:55 35394 c:\windows\SYSTEM32\perfc009.dat
      + 2005-07-09 19:40 . 2009-10-26 18:30 35394 c:\windows\SYSTEM32\perfc009.dat
      - 2005-07-09 19:40 . 2009-10-25 13:55 296054 c:\windows\SYSTEM32\perfh009.dat
      + 2005-07-09 19:40 . 2009-10-26 18:30 296054 c:\windows\SYSTEM32\perfh009.dat
      - 2009-10-20 10:36 . 2009-06-22 16:29 195072 c:\windows\SoftwareDistribution\Download\Titip Folder Jangan DiHapus .exe
      + 2009-10-18 14:19 . 2009-06-22 16:29 195072 c:\windows\pchealth\UploadLB\Blink 182 .exe
      + 2009-10-20 10:36 . 2009-06-22 16:29 195072 c:\windows\Downloaded Program Files\TutoriaL HAcking .exe
      + 2009-10-18 14:19 . 2009-06-22 16:29 195072 c:\windows\Downloaded Installations\Windows Vista setup .scr
      - 2009-10-20 10:36 . 2009-06-22 16:29 195072 c:\windows\Downloaded Installations\Windows Vista setup .scr
      + 2009-10-18 14:19 . 2009-06-22 16:29 195072 c:\windows\Downloaded Installations\TutoriaL HAcking .exe
      .
      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
      "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-05-27 413696]

      c:\documents and settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\
      Notification de cadeaux MSN.lnk - c:\documents and settings\Administrateur\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-3-20 135680]

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
      "NoSMBalloonTip"= 0 (0x0)

      [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
      "ForceClassicControlPanel"= 1 (0x1)
      "NoSMBalloonTip"= 0 (0x0)

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
      "AVGEMS"=2 (0x2)
      "Avg7UpdSvc"=2 (0x2)
      "Avg7Alrt"=2 (0x2)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "c:\\Program Files\\LimeWire\\LimeWire.exe"=
      "c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
      "c:\\Program Files\\MSN Messenger\\livecall.exe"=

      S3 DCamUSBPremier;USB Video Camera;c:\windows\SYSTEM32\DRIVERS\MPIXVID.SYS [13/07/2008 10:56 81921]

      --- Autres Services/Pilotes en mémoire ---

      *Deregistered* - mbr

      [COLOR=RED]NETSVCS DOIT ÊTRE RÉPARÉ - liste des éléments présents/COLOR
      AppMgmt
      AudioSrv
      Browser
      CryptSvc
      DMServer
      DHCP
      EventSystem
      FastUserSwitchingCompatibility
      HidServ
      Ias
      Iprip
      Irmon
      LanmanServer
      LanmanWorkstation
      Netman
      Nla
      Ntmssvc
      NWCWorkstation
      Nwsapagent
      Rasauto
      Rasman
      Remoteaccess
      Schedule
      Seclogon
      SENS
      Sharedaccess
      Tapisrv
      Themes
      TrkWks
      WZCSVC
      Wmi
      WmdmPmSp
      winmgmt
      xmlprov
      BITS
      wuauserv
      ShellHWDetection
      helpsvc
      WmdmPmSN

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

      .
      Contenu du dossier 'Tâches planifiées'

      2009-10-02 c:\windows\Tasks\AppleSoftwareUpdate.job
      - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
      .
      .
      ------- Examen supplémentaire -------
      .
      Trusted Zone: canalplay.com
      Trusted Zone: canalplusactive.com
      DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game07.zylom.com/activex/zylomgamesplayer.cab
      .

      **************************************************************************

      catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2009-10-29 00:28
      Windows 5.1.2600 Service Pack 2 NTFS

      Recherche de processus cachés ...

      Recherche d'éléments en démarrage automatique cachés ...

      Recherche de fichiers cachés ...

      Scan terminé avec succès
      Fichiers cachés: 0

      **************************************************************************
      .
      --------------------- DLLs chargées dans les processus actifs ---------------------

      - - - - - - - > 'explorer.exe'(1724)
      c:\windows\system32\msi.dll
      .
      ------------------------ Autres processus actifs ------------------------
      .
      c:\windows\system32\wdfmgr.exe
      c:\combofix\CF19093.exe
      c:\program files\Java\jre1.6.0_07\bin\jucheck.exe
      c:\combofix\PEV.cfxxe
      .
      **************************************************************************
      .
      Heure de fin: 2009-10-28 0:38 - La machine a redémarré
      ComboFix-quarantined-files.txt 2009-10-28 23:37
      ComboFix2.txt 2009-10-27 16:30
      ComboFix3.txt 2009-10-26 18:13

      Avant-CF: 221 009 408 octets libres
      Après-CF: 199 938 048 octets libres

      - - End Of File - - CBA38C3FF8FCFD88C5E43AD7F33821B6
      0
  8. Utilisateur anonyme
     
    • Telecharge malwarebytes

    • Tu l´instale, le programme va se mettre automatiquement a jour.

    • Une fois a jour, le programme va se lancer.

    • Click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".

    • Click maintenant sur l´onglet recherche et coche la case : "executer un examen rapide".

    • Puis click sur "rechercher".

    • Laisse le scanner le pc...

    • Si des elements on ete trouvés > click sur supprimer la selection.

    • Si il t´es demandé de redemarrer > click sur "yes".

    • A la fin un rapport va s´ouvrir, sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.

    • Copie et colle le rapport stp.

    ▶ PS : les rapport sont aussi rangé dans l onglet rapport/log
    ▶ Tuto : https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm
    ▶ Tuto : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    0
    1. julie08
       
      Bonsoir Chiquitine29, j'ai essayé plusieurs fois d'installer Malwarebytes; mais, avant la finalisation de l'installation, le message suivant m'empêche de continuer:

      " mbam.exe. Composant introuvable.

      Cette application n'a pas pu démarrer car MSVBVM60.DLL est introuvable. La réalisation de cette application peut corriger ce problème. "

      Que dois-je faire ?
      0
  9. michelbastos
     
    t du 08?
    -1
    1. julie08
       
      Pas du tout ! Pourquoi ?
      0