besoin d'aide pour exterminer un virus

Question

Bonjour,

j'ai un soucis de virus qui clic tout seul et me met une fenetre de pub sur mon bureau.

voila le rapport hijakthis:

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Program Files\AskSearch\bin\DefaultSearch.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real Alternative\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DivX Free Codec] C:\Program Files\DivX Free Codec\Divx Free Update.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe" /hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [svchost.exe] C:\WINDOWS\system32\sys\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Logitech . Enregistrement du produit.lnk = C:\Program Files\Logitech\Logitech WebCam Software\eReg.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} (Flash Casino Helper Control) - https://plugins.valueactive.eu/flashax/iefax.cab
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: wampapache - Unknown owner - c:\wamp\bin\apache\apache2.2.11\bin\httpd.exe (file missing)
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.36\bin\mysqld.exe (file missing)


merci d'avance pour votre aide
--

neo*** · Answer

slt

ton rapport n,'est pas complet,



    * Télécharge et enregistre le fichier d installation sur ton bureau : https://www.androidworld.fr/
    * Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
    * Sous Vista : clic droit sur AD-Remover et sélectionner "Exécuter en tant qu'administrateur"
    * Au menu principal choisi l'option "L" et tape sur [entrée] .
    * Laisse travailler l'outil et ne touche à rien ...
    * Poste le rapport qui apparait à la fin.


( le rapport est sauvegardé aussi sous C:\Ad-report.log )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :

Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

mandrke · Answer

salut

est ce normal que ca soit si long.une fois le programme lancé le bureau plante et le scan reste bloqué vers la moitier, j'ai attendu plus de 20 minutes et plus rien ne bouge,on dirais que ca tourne dans le vide.

je fait quoi?

mandrke · Answer

j'ai refait un hijack, voila le rapport complet:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:19:10, on 13/11/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\sys\svchost.exe
C:\DOCUME~1\mandrake\LOCALS~1\Temp\RtkBtMnt.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.microsoft.com/fwlink/?linkid=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real Alternative\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DivX Free Codec] C:\Program Files\DivX Free Codec\Divx Free Update.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe" /hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [svchost.exe] C:\WINDOWS\system32\sys\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Logitech . Enregistrement du produit.lnk = C:\Program Files\Logitech\Logitech WebCam Software\eReg.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} (Flash Casino Helper Control) - https://plugins.valueactive.eu/flashax/iefax.cab
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: wampapache - Unknown owner - c:\wamp\bin\apache\apache2.2.11\bin\httpd.exe (file missing)
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.36\bin\mysqld.exe (file missing)

neo*** · Answer

bizarre, s'il ne fonctionne pas, essaies ca :

Télécharge Toolbar-S&D (Team IDN) sur ton Bureau. 

* Lance l'installation du programme en exécutant le fichier téléchargé. 

sous xp : Double-clique 
sous vista : clic doit en tant qu'administrateur 

*maintenant sur le raccourci de Toolbar-S&D. 
* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée. 
* Tape sur "2" puis valide en appuyant sur "Entrée". 

! Ne ferme pas la fenêtre lors de la suppression ! 

Un rapport sera généré, poste son contenu ici. 


NOTE : Si ton Bureau ne réapparait pas, appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches. 
Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..." 
Tape explorer puis valide. 
 


Ce qu'il faut savoir sur les toolbars (barres d'outils)

mandrke · Answer

ok voila le résultat:


   -----------\  ToolBar S&D 1.2.9   XP/Vista

   Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
   X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) Dual  CPU  T2370  @ 1.73GHz )
   BIOS : Default System BIOS
   USER : mandrake ( Administrator )
   BOOT : Normal boot
   Antivirus : AntiVir Desktop 9.0.1.32 (Activated)
   C:\ (Local Disk) - NTFS - Total:19 Go (Free:8 Go)
   D:\ (Local Disk) - NTFS - Total:213 Go (Free:8 Go)
   E:\ (CD or DVD)
   F:\ (CD or DVD)
   G:\ (CD or DVD)

   "C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
   Option : [2] ( 13/11/2009|13:36 )

   -----------\ SUPPRESSION

   Supprime! - C:\Program Files\DAEMON Tools Toolbar\_DTLite.xml
   Supprime! - C:\Program Files\DAEMON Tools Toolbar

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  Extensions

   (mandrake) - {19503e42-ca3c-4c27-b1e2-9cdb2170ee34} => flashgot
   (mandrake) - {20a82645-c095-46ed-80e3-08825760534b} => chrome_user


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\WINDOWS\system32\blank.htm"
   "Start Page"="https://www.msn.com/fr-fr"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Default_search_url"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Default_page_url"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
   "Search bar"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
   "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Start Page"="https://www.msn.com/fr-fr/"
   "Search bar"="http://www.bing.com/spresults.aspx"


   --------------------\  Recherche d'autres infections

   --------------------\  Cracks & Keygens ..

   C:\DOCUME~1\mandrake\Application Data\uTorrent\Anno 1404 + Crack (eng).torrent
   C:\DOCUME~1\mandrake\Application Data\uTorrent\anno.1404.crack.for.windows.7.torrent
   C:\DOCUME~1\mandrake\Application Data\uTorrent\keygen.exe.torrent
   C:\DOCUME~1\mandrake\Application Data\uTorrent\TuneUp Utilities 2009 8.0.3300.1 French + Keygen[trackersurfer.fr].torrent
   C:\DOCUME~1\mandrake\Recent\aircrack-ng-1.0-win.zip.lnk



   1 - "C:\ToolBar SD\TB_1.txt" - 13/11/2009|13:37 - Option : [2]

   -----------\  Fin du rapport a 13:37:40,25

neo*** · Answer

Pour optimiser ton pc :

Relances HIJACKTHIS mais cette fois clic sur 
DO A SYSTEM SCAN ONLY
puis coches toutes ces lignes (et seulement ces lignes : tu pourrais altérer le fonctionnement de ton pc!)
puis clic sur 
FIX CHEKEED et redemarre ton pc 

 R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q= 
 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=%s 
 O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE     
 O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE     
 O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe     
 O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot     
 O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"     
 O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"     
 O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe     
 O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"     
 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')     
 O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')     
 O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')     
 O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')     
 O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} (Flash Casino Helper Control) - https://plugins.valueactive.eu/flashax/iefax.cab 
 O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe     

ENSUITE 

Pour analyser ton pc plus en profondeur : télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau. 

- Double-clique sur RSIT.exe afin de lancer le programme. 

- Clique sur Continue à l'écran Disclaimer. 

- Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. 

- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches). 

Note : Les rapports sont sauvegardés dans le dossier C:\rsit.

mandrke · Answer

ok voila le log:

Logfile of random's system information tool 1.06 (written by random/random)
Run by mandrake at 2009-11-13 13:57:38
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 8 GB (41%) free of 20 GB
Total RAM: 2038 MB (74% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:57:43, on 13/11/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\WINDOWS\system32\sys\svchost.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\mandrake\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\mandrake.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real Alternative\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [DivX Free Codec] C:\Program Files\DivX Free Codec\Divx Free Update.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe" /hide
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [svchost.exe] C:\WINDOWS\system32\sys\svchost.exe
O4 - Startup: Logitech . Enregistrement du produit.lnk = C:\Program Files\Logitech\Logitech WebCam Software\eReg.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: wampapache - Unknown owner - c:\wamp\bin\apache\apache2.2.11\bin\httpd.exe (file missing)
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.36\bin\mysqld.exe (file missing)

neo*** · Answer

/!\ Le logiciel qui suit n'est pas à utiliser à la légère ! Ne le faites que si un helpeur vous l'a recommandé. /!\ 

Ce logiciel est très puissant et une mauvaise utilisation peut faire des dégâts... Suis exactement cette procedure :

Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !). Pour cela, fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " et tape C-Fix  dans la fenêtre qui s'ouvre et valide.

Déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES, antivirus... 
(qui pourraient gêner fortement l'outil...Tu les réactiveras donc après ! )


Tuto ici pour installer la Console de récupération (important en cas de problème) : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

postes le rapport stp

(ne touche a rien pendant que l'outil travaille pour ne pas figer ton pc)

mandrke · Answer

ok voila le résultat: ComboFix 09-11-13.04 - mandrake 13/11/2009 14:25.1.2 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2038.1489 [GMT 1:00] Lancé depuis: c:\documents and settings\mandrake\Bureau\ComboFix.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\program files\AskSearch\bin\DefaultSearch.dll c:\windows\system32\Ijl11.dll c:\windows\system32\sys c:\windows\system32\sys\svchost.exe . ((((((((((((((((((((((((((((( Fichiers créés du 2009-10-13 au 2009-11-13 )))))))))))))))))))))))))))))))))))) . 2009-11-13 12:57 . 2009-11-13 12:57 -------- d-----w- C: sit 2009-11-13 12:35 . 2009-11-13 12:37 -------- d-----w- C:\ToolBar SD 2009-11-13 11:49 . 2009-11-13 12:12 -------- d-----w- c:\program files\Ad-Remover 2009-11-13 11:41 . 2009-11-13 11:41 -------- d-----w- c:\program files\Trend Micro 2009-11-13 11:37 . 2009-11-13 11:37 -------- d-----w- c:\program files\Microsoft CAPICOM 2.1.0.2 2009-11-12 11:59 . 2009-11-12 11:59 -------- d-----w- c:\documents and settings\mandrake\Application Data\Leadertech 2009-11-12 11:59 . 2009-11-13 12:15 -------- d-----w- c:\documents and settings\All Users\Application Data\LogiShrd 2009-11-12 11:59 . 2009-11-12 11:59 -------- d-----w- c:\program files\Logitech 2009-11-12 11:55 . 2008-04-13 19:45 60032 -c--a-w- c:\windows\system32\dllcache\usbaudio.sys 2009-11-12 11:55 . 2008-04-13 19:45 60032 ----a-w- c:\windows\system32\drivers\USBAUDIO.sys 2009-11-12 11:55 . 2009-11-12 11:59 -------- d-----w- c:\program files\Fichiers communs\logishrd 2009-11-07 12:58 . 2009-11-07 12:58 -------- d-----w- c:\program files\Fichiers communs\Adobe 2009-11-05 14:46 . 2009-11-05 14:46 152576 ----a-w- c:\documents and settings\mandrake\Application Data\Sun\Java\jre1.6.0_17\lzma.dll 2009-10-31 14:37 . 2009-10-31 14:37 -------- d-----w- c:\documents and settings\mandrake\Application Data\JGsoft 2009-10-30 16:54 . 2008-04-14 03:33 21504 ----a-w- c:\windows\system32\drivers\hidserv.dll 2009-10-29 08:41 . 2009-03-30 09:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys 2009-10-29 08:41 . 2009-02-13 11:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys 2009-10-29 08:41 . 2009-02-13 11:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys 2009-10-29 08:41 . 2009-10-29 08:41 -------- d-----w- c:\program files\Avira 2009-10-29 08:41 . 2009-10-29 08:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira 2009-10-29 07:49 . 2009-10-31 09:38 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-10-26 18:58 . 2009-10-26 18:58 -------- d--h--w- c:\windows\PIF 2009-10-23 21:47 . 2009-10-23 21:49 -------- d-----w- c:\documents and settings\mandrake\Local Settings\Application Data\Deployment 2009-10-23 21:39 . 2009-10-23 21:39 -------- d-----w- c:\windows\Sun 2009-10-21 17:32 . 2009-10-21 17:32 -------- d-----w- c:\documents and settings\All Users\Application Data\RedfernPlace 2009-10-21 17:29 . 2009-10-21 17:29 -------- d-----w- c:\program files\Ultrapico 2009-10-21 10:10 . 2009-10-21 10:10 -------- d-----w- c:\windows\system32\XPSViewer 2009-10-21 10:10 . 2009-10-21 10:10 -------- d-----w- c:\program files\MSBuild 2009-10-21 10:10 . 2009-10-21 10:10 -------- d-----w- c:\program files\Reference Assemblies 2009-10-21 10:09 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll 2009-10-21 10:09 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll 2009-10-21 10:09 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll 2009-10-21 10:09 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll 2009-10-21 10:09 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll 2009-10-21 10:09 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll 2009-10-21 10:09 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe 2009-10-20 14:32 . 2009-10-20 14:32 -------- d-----w- c:\program files\7-Zip 2009-10-16 09:16 . 2009-11-13 00:17 -------- d-----w- c:\documents and settings\mandrake\Application Data\FileZilla 2009-10-16 09:15 . 2009-10-16 09:15 -------- d-----w- c:\program files\FileZilla FTP Client 2009-10-16 09:06 . 2009-10-16 09:06 -------- d-----w- c:\program files\Capturino V2 2009-10-15 10:00 . 2009-10-15 10:00 -------- d-----w- c:\program files\EasyPHP 3.0 . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-11-13 12:17 . 2009-05-10 16:55 -------- d-----w- c:\documents and settings\mandrake\Application Data\uTorrent 2009-11-05 14:47 . 2009-10-05 14:56 -------- d-----w- c:\program files\Java 2009-11-05 14:47 . 2002-08-30 12:00 80946 ----a-w- c:\windows\system32\perfc00C.dat 2009-11-05 14:47 . 2002-08-30 12:00 501138 ----a-w- c:\windows\system32\perfh00C.dat 2009-11-02 21:33 . 2009-09-05 12:50 -------- d-----w- c:\documents and settings\mandrake\Application Data\vlc 2009-10-30 16:55 . 2009-10-30 16:55 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_NuidFltr_01005.Wdf 2009-10-30 16:55 . 2009-10-30 16:55 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf 2009-10-21 11:26 . 2009-03-28 02:11 13104 ----a-w- c:\documents and settings\mandrake\Local Settings\Application Data\GDIPFONTCACHEV1.DAT 2009-10-14 12:41 . 2009-10-14 12:41 322392 ----a-w- c:\windows\system32\wiaaut.dll 2009-10-14 12:40 . 2009-10-14 12:40 296280 ----a-w- c:\documents and settings\All Users\Application Data\LogiShrd\LQCVFX\Filters\VMSEF.dll 2009-10-14 12:37 . 2009-10-14 12:37 6781272 ----a-w- c:\documents and settings\All Users\Application Data\LogiShrd\LQCVFX\Filters\MMSEF.dll 2009-10-11 09:25 . 2009-10-11 09:25 694822 ----a-w- c:\windows\system32 eobuxblocker.exe 2009-10-11 08:40 . 2009-10-11 08:34 102400 ----a-w- c:\windows\system32\Neobux Autoclicker Bot.exe 2009-10-11 03:17 . 2009-10-05 14:57 411368 ----a-w- c:\windows\system32\deploytk.dll 2009-10-07 00:46 . 2009-10-07 00:46 25752 ----a-w- c:\windows\system32\drivers\LVPr2Mon.sys 2009-10-07 00:25 . 2009-10-07 00:25 85302 ----a-w- c:\windows\system32\drivers\LVFeL102.cfg 2009-10-07 00:25 . 2009-10-07 00:25 69592 ----a-w- c:\windows\system32\drivers\LVFaL100.cfg 2009-10-07 00:25 . 2009-10-07 00:25 227172 ----a-w- c:\windows\system32\drivers\LVFeL100.cfg 2009-10-07 00:25 . 2009-10-07 00:25 146680 ----a-w- c:\windows\system32\drivers\LVFeL101.cfg 2009-10-07 00:23 . 2009-10-07 00:23 13584 ----a-w- c:\windows\system32\drivers\iKeyLFT2.dll 2009-10-06 14:44 . 2009-03-27 00:07 -------- d--h--w- c:\program files\InstallShield Installation Information 2009-10-05 14:56 . 2009-10-05 14:56 152576 ----a-w- c:\documents and settings\mandrake\Application Data\Sun\Java\jre1.6.0_16\lzma.dll 2009-10-02 09:34 . 2009-10-02 09:34 -------- d-----w- c:\documents and settings\All Users\Application Data\Live 8.0.4 2009-10-02 09:34 . 2009-10-02 09:34 -------- d-----w- c:\documents and settings\All Users\Application Data\Ableton 2009-10-02 09:34 . 2009-10-02 09:34 -------- d-----w- c:\documents and settings\mandrake\Application Data\Ableton 2009-10-02 09:17 . 2009-09-28 12:06 -------- d-----w- c:\documents and settings\All Users\Application Data\VMware 2009-10-01 20:54 . 2009-09-14 09:40 -------- d-----w- c:\program files\Google 2009-10-01 20:08 . 2009-09-28 12:09 -------- d-----w- c:\documents and settings\LocalService\Application Data\VMware 2009-10-01 19:50 . 2009-10-01 19:50 -------- d-----w- c:\program files\Ableton 2009-10-01 18:58 . 2009-10-01 18:55 -------- d-----w- c:\documents and settings\mandrake\Application Data\Propellerhead Software 2009-10-01 18:58 . 2009-10-01 18:58 368640 ----a-w- c:\windows\system32\ReWire.dll 2009-10-01 18:58 . 2009-10-01 18:58 233472 ----a-w- c:\windows\system32\REX Shared Library.dll 2009-10-01 18:55 . 2009-10-01 18:55 -------- d-----w- c:\documents and settings\All Users\Application Data\Propellerhead Software 2009-10-01 18:55 . 2009-10-01 18:55 -------- d-----w- c:\program files\Propellerhead 2009-09-28 20:03 . 2009-09-28 12:16 -------- d-----w- c:\documents and settings\mandrake\Application Data\VMware 2009-09-27 14:29 . 2009-03-30 17:48 -------- d-----w- c:\documents and settings\mandrake\Application Data\dvdcss 2009-09-25 05:36 . 2004-08-19 14:09 671232 ----a-w- c:\windows\system32\wininet.dll 2009-09-25 05:36 . 2004-08-19 14:09 81920 ----a-w- c:\windows\system32\ieencode.dll 2009-09-16 11:25 . 2009-09-16 11:25 -------- d-----w- c:\program files\VirtualDub 2009-09-14 13:34 . 2009-04-18 23:28 -------- d-----w- c:\documents and settings\mandrake\Application Data\Apple Computer 2009-09-14 13:14 . 2009-09-14 13:14 79144 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.0.0.70\SetupAdmin.exe 2009-09-12 14:30 . 2009-09-12 14:30 620 ----a-w- c:\windows\eReg.dat 2009-09-11 14:18 . 2004-08-19 14:09 136192 ----a-w- c:\windows\system32\msv1_0.dll 2009-09-09 18:01 . 2009-09-09 18:01 281760 ----a-w- c:\windows\system32\drivers\atksgt.sys 2009-09-09 18:01 . 2009-09-09 18:01 25888 ----a-w- c:\windows\system32\drivers\lirsgt.sys 2009-09-04 21:04 . 2004-08-19 14:09 58880 ----a-w- c:\windows\system32\msasn1.dll 2009-09-03 15:40 . 2009-09-03 15:40 107888 ----a-w- c:\windows\system32\CmdLineExt.dll 2009-09-03 07:36 . 2009-09-03 07:36 721904 ----a-w- c:\windows\system32\drivers\sptd.sys 2009-08-26 08:01 . 2004-08-19 14:09 247326 ----a-w- c:\windows\system32\strmdll.dll 2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll 2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-06-27 141848] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-06-27 162328] "Persistence"="c:\windows\system32\igfxpers.exe" [2007-06-27 137752] "DivX Free Codec"="c:\program files\DivX Free Codec\Divx Free Update.exe" [2007-03-30 274432] "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280] "Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288] "LogitechQuickCamRibbon"="c:\program files\Logitech\Logitech WebCam Software\LWS.exe" [2009-10-14 2793304] c:\documents and settings\mandrake\Menu D‚marrer\Programmes\D‚marrage\ Logitech . Enregistrement du produit.lnk - c:\program files\Logitech\Logitech WebCam Software\eReg.exe [2009-10-14 517384] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "c:\Program Files\VideoLAN\VLC\vlc.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "c:\Program Files\uTorrent\uTorrent.exe"= "c:\Program Files\Messenger\msmsgs.exe"= "c:\Program Files\Bonjour\mDNSResponder.exe"= "c:\Program Files\iTunes\iTunes.exe"= "c:\Program Files\EasyPHP 3.0\mysql\bin\mysqld.exe"= "c:\Program Files\Java\jre6\bin\javaw.exe"= "d:\Logiciels\mRatio 2.3.5\mRatio.exe"= R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [29/10/2009 09:41 108289] --- Autres Services/Pilotes en mémoire --- *NewlyCreated* - MBR *NewlyCreated* - PROCEXP113 *Deregistered* - mbr *Deregistered* - PROCEXP113 . Contenu du dossier 'Tâches planifiées' 2009-11-09 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34] . . ------- Examen supplémentaire ------- . mWindow Title = uInternet Settings,ProxyOverride = *.local FF - ProfilePath - c:\documents and settings\mandrake\Application Data\Mozilla\Firefox\Profiles\iwjhi1uv.default\ FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - hxxp://fr.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q= FF - component: c:\program files\Real Alternative\browserrecord\firefox\ext\components prpffbrowserrecordext.dll FF - plugin: c:\program files\Real Alternative\Netscape6 ppl3260.dll FF - plugin: c:\program files\Real Alternative\Netscape6 prjplug.dll FF - plugin: c:\program files\Real Alternative\Netscape6 prpjplug.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- PARAMETRES FIREFOX ---- c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true); . - - - - ORPHELINS SUPPRIMES - - - - AddRemove-WampServer 2_is1 - c:\wamp\unins000.exe AddRemove-WChat - c:\westwood\WWONLINE\UNINSTWC.EXE ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-11-13 14:29 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntoskrnl.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spkz.sys >>UNKNOWN [0x8A575938]<< kernel: MBR read successfully user & kernel MBR OK Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net atapi.sys @ 0x0 0x0 bytes \Driver\atapi [ IRP_MJ_CREATE ] 0xA6F2 != 0xF7978B40 atapi.sys \Driver\atapi [ IRP_MJ_CLOSE ] 0xA6F2 != 0xF7978B40 atapi.sys \Driver\atapi [ IRP_MJ_DEVICE_CONTROL ] 0xA712 != 0xF7978B40 atapi.sys \Driver\atapi [ IRP_MJ_INTERNAL_DEVICE_CONTROL ] 0x6852 != 0xF7978B40 atapi.sys \Driver\atapi [ IRP_MJ_POWER ] 0xA73C != 0xF7978B40 atapi.sys \Driver\atapi [ IRP_MJ_SYSTEM_CONTROL ] 0x11336 != 0xF7978B40 atapi.sys \Driver\atapi IRP hooks detected ! ************************************************************************** . --------------------- CLES DE REGISTRE BLOQUEES --------------------- [HKEY_USERS\S-1-5-21-583907252-854245398-725345543-1003\Software\Microsoft\SystemCertificates\AddressBook*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) [HKEY_USERS\S-1-5-21-583907252-854245398-725345543-1003\Software\SecuROM\License information*] "datasecu"=hex:0a,b2,5d,1a,f3,4f,2a,d0,c9,85,ee,62,65,c7,09,01,ba,d5,b7,21,a1, 5a,5f,be,fe,a3,cc,4e,ff,b4,6c,fc,d9,9e,61,37,2b,05,8e,12,57,1c,ea,f0,03,4e,\ "rkeysecu"=hex:58,cf,f7,8a,9d,32,78,44,f5,d9,b7,2c,92,3d,18,9f . Heure de fin: 2009-11-13 14:30 ComboFix-quarantined-files.txt 2009-11-13 13:30 Avant-CF: 8 502 190 080 octets libres Après-CF: 9 897 603 072 octets libres WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect - - End Of File - - 611C88AC66EE660B4CC0FC602D93E2EA

neo*** · Answer

il faut que j'epluche ton rapport en profondeur car apparemment il te reste des rootkits, je te prepare la suite et je reviens ;)

mandrke · Answer

merci c'est sympas,
juste un autre truc, quand je redemarre mon ordi j'ai la fenetre divx qui s'ouvre automatiquement,c'est pénible, si y'a moyen d'y faire quelque chose en meme temps ca serait super.

neo*** · Answer

• Télécharge SF (de C_XX) sur ton Bureau
• Lance 'SF.exe' en faisant un double clic sur le fichier
• Saisis la valeur recherchée : atapi.sys 
• Appuie sur la touche Entrée et patiente pendant la recherche.
• Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé, fais en un copier/coller ici stp

mandrke · Answer

voila la suite:

1. ========================= SF 1.0.0.6 - C_XX | 18:09:06,81
2. 
3. Valeur(s) recherchée(s):
4. 
5. atapi.sys
6. 
7. 
8. ========================= Fichier(s)/Dossier(s):
9.  
10. "C:\WINDOWS\$NtServicePackUninstall$\atapi.sys"
11. MD5: cdfe4411a69c224bd1d11b2da92dac51 | -----c--- | 03/08/2004 21:59
12.  
13. =========================
14.  
15. "C:\WINDOWS\ERDNT\cache\atapi.sys"
16. MD5: 9f3a2f5aa6875c72bf062c712cfa2674 | --a------ | 13/04/2008 19:40
17.  
18. =========================
19.  
20. "C:\WINDOWS\ServicePackFiles\i386\atapi.sys"
21. MD5: 9f3a2f5aa6875c72bf062c712cfa2674 | -----c--- | 13/04/2008 19:40
22.  
23. =========================
24.  
25. "C:\WINDOWS\system32\drivers\atapi.sys"
26. MD5: 9f3a2f5aa6875c72bf062c712cfa2674 | --------- | 13/04/2008 19:40
27.  
28. =========================
29.  
30. (!) --- 3 ligne(s) contenant la/les valeur(s) recherchée(s). 
31. "C:\Qoobox\SnapShot@2009-11-13_13.29.09.dat"
32. MD5: 2ec7d8c98fc823af6696fbeaaa66b566 | --a------ | 13/11/2009 14:29
33.  
34. =========================
35.  
36. 
37. ========================= Registre:
38.  
39. 
40. 
41. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\atapi]
42. "ImagePath"="system32\DRIVERS\atapi.sys"
43. 
44. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\atapi]
45. "ImagePath"="system32\DRIVERS\atapi.sys"
46. 
47. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\atapi]
48. "ImagePath"="system32\DRIVERS\atapi.sys"
49. 
50. 
51. ========================= E.O.F | 18:10:29,07

neo*** · Answer

Je te conseille vivement de virer tes cracks sinon ce qu'on fait ne sert a rien ;)
C:\DOCUME~1\mandrake\Application Data\uTorrent\Anno 1404 + Crack (eng).torrent
C:\DOCUME~1\mandrake\Application Data\uTorrent\anno.1404.crack.for.windows.7.torrent
C:\DOCUME~1\mandrake\Application Data\uTorrent\keygen.exe.torrent
C:\DOCUME~1\mandrake\Application Data\uTorrent\TuneUp Utilities 2009 8.0.3300.1 French + Keygen[trackersurfer.fr].torrent
C:\DOCUME~1\mandrake\Recent\aircrack-ng-1.0-win.zip.lnk 

on va vérifier un fichier que Combo a virer :

• Rends toi sur le site https://www.virustotal.com/gui/
• Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide : 
C:\Qoobox\Quarantine\c:\windows\system32\Ijl11.dll 
• Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.
• Fais un copier/coller du rapport sur le forum.

Si tu ne trouves pas le fichier, fais ceci :
• Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
• Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
• Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.

mandrke · Answer

salut neo

j'ai un soucis, j'ai choppé un trojan et j'ai lancé combofix pour l'exterminer, ça a bien fonctionné mais bizarement maintenant quand je tente de lancer un fichier avi sur mon autre disque dur le bureau plante et ce réinitialise.

Je ne vois pas trop comment faire avec ce pb.

Peut tu m'aider svp
--

neo*** · Answer

salut 

1 > voila ce qui arrive quand on abandonne en cours de route une procedure !!! je n'ai jamais dis qu'on avait fini

2 > Pour analyser ton pc :

• Télécharge ZHPDiag
• Laisse toi guider lors de l'installation
• Il se lancera automatiquement à la fin de l'installation
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
• Héberge le rapport ZHPDiag.txt sur ce site : http://www.cijoint.fr , puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

mandrke · Answer

salut

voila le lien:
http://www.cijoint.fr/cjlink.php?file=cj200912/cijdS8Nog7.txt

mon antivirus a encore détecté un nouveau cheval de troie, décidément.

neo*** · Answer

* Télécharge et enregistre le fichier d installation sur ton bureau : https://www.androidworld.fr/
    * Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
    * Sous Vista : clic droit sur AD-Remover et sélectionner "Exécuter en tant qu'administrateur"
    * Au menu principal choisi l'option "L" et tape sur [entrée] .
    * Laisse travailler l'outil et ne touche à rien ...
    * Poste le rapport qui apparait à la fin.


( le rapport est sauvegardé aussi sous C:\Ad-report.log )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :

Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

mandrke · Answer

salut et bonne année Voila le rapport ad-remover: . ======= RAPPORT D'AD-REMOVER 1.1.4.6_C | UNIQUEMENT XP/VISTA/7 ======= . Mit à jour par C_XX le 12.11.2009 à 22:02 Contact: AdRemover.contact@gmail.com Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html . Lancé à: 11:39:15, 01/01/2010 | Mode Normal | Option: CLEAN Exécuté de: C:\Program Files\Ad-Remover\ Système d'exploitation: Microsoft® Windows XP™ Service Pack 3 v5.1.2600 Nom du PC: MANDRAKE-DBF1EB | Utilisateur actuel: mandrake . ============== ÉLÉMENT(S) NEUTRALISÉ(S) ============== . . C:\DOCUME~1\mandrake\APPLIC~1\Mozilla\Firefox\Profiles\iwjhi1uv.default\searchplugins\ask.xml C:\Program Files\AskSearch C:\Program Files\Mozilla FireFox\Components\AskSearch.js C:\DOCUME~1\mandrake\Cookies\mandrake@ask[2].txt (!) -- Fichiers temporaires supprimés. . ============== Scan additionnel ============== . . * Mozilla FireFox Version 3.5.6 [fr] * . Nom du profil: iwjhi1uv.default (mandrake) . (mandrake, prefs.js) Browser.download.dir, C:\Documents and Settings\mandrake\Mes documents\Mes vidÃ©os (mandrake, prefs.js) Browser.download.lastDir, D:\Manga (mandrake, prefs.js) Browser.search.defaultenginename, Ask (mandrake, prefs.js) Browser.search.selectedEngine, Google (mandrake, prefs.js) Browser.startup.homepage, hxxp://fr.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official . (mandrake, prefs.js) EFFACE - Extensions.snipit.chromeURL, hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q={searchTerms}&crm=1 (mandrake, prefs.js) EFFACE - Extensions.veohsearchrecs.SupportedSites, 0 {strQuery = strQuery = metaTags[i].content.substring0, delimIndexifstrQuery.indexOf':' > 0 strQuery = strQuery.substring0,strQuery.indexOf':'ifstrQuery.indexOf'' > 0 strQuery = strQuery.substring0,strQuery.indexOf''}}} }catche{}]]> 0 {strQuery = metaTags[i].content.substring0, delimIndexifstrQuery.indexOf':' > 0 strQuery = strQuery.substring0,strQuery.indexOf':'ifstrQuery.indexOf'' > 0 strQuery = strQuery.substring0,strQuery.indexOf'' }}}ifstrQuery.toLowerCase=='browse'strQuery=''}catche{}]]> 0 {strQuery = metaTags[i].content.substring0, delimIndexifstrQuery.indexOf':' > 0 strQuery = strQuery.substring0,strQuery.indexOf':'ifstrQuery.indexOf'' > 0 strQuery = strQuery.substring0,strQuery.indexOf'' }}}ifstrQuery.toLowerCase=='browse'strQuery=''}catche{}]]> 0 { strQuery = metaTags[i].content.substring0, delimIndexifstrQuery.indexOf':' > 0 strQuery = strQuery.substring0,strQuery.indexOf':'ifstrQuery.indexOf'' > 0 strQuery = strQuery.substring0,strQuery.indexOf'' }}}}catche{}]]> 0 {strQuery = metaTags[i].content.substring0, delimIndexifstrQuery.indexOf':' > 0 strQuery = strQuery.substring0,strQuery.indexOf':'ifstrQuery.indexOf'' > 0 strQuery = strQuery.substring0,strQuery.indexOf'' }}} }catche{}]]> 0{strQuery=titleTags[0].textvar split=strQuery.split'- BestBuy'ifsplit.length>1{strQuery=split[0]split=strQuery.split':'ifsplit.length>1{strQuery=split[1]}}}strQuery=strQuery.replace/^\s+|\s+$/g,''}catche{}]]> 0{strQuery = content.substring0,delimIndex}else ifcontent.length > 0{strQuery = content}strQuery = strQuery.replace/\.*/g, ''break} }}catche{}]]> 0{strQuery = content.substring0,delimIndex}else ifcontent.length > 0{strQuery = content}strQuery = strQuery.replace/\.*/g, ''break}} }catche{}]]> 1strQuery = split[2]}catche{}]]> BF4C0C4D-1219-409d-886F-436D68306B7B veohrecs_fr (mandrake, prefs.js) EFFACE - Keyword.URL, hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q= . . . * Internet Explorer Version 6.0.2900.5512 * . [HKEY_CURRENT_USER\..\Internet Explorer\Main] . Start Page: hxxp://fr.msn.com/ Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896 . [HKEY_LOCAL_MACHINE\..\Internet Explorer\Main] . Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Start Page: hxxp://fr.msn.com/ Search bar: hxxp://search.msn.com/spbasic.htm . [HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS] . Tabs: res://ieframe.dll/tabswelcome.htm . ============== Suspect (Cracks, Serials, ...) ============== . C:\Documents and Settings\mandrake\Application Data\uTorrent\Anno 1404 + Crack (eng).torrent C:\Documents and Settings\mandrake\Application Data\uTorrent\anno.1404.crack.for.windows.7.torrent C:\Documents and Settings\mandrake\Application Data\uTorrent\keygen.exe.torrent C:\Documents and Settings\mandrake\Application Data\uTorrent\TuneUp Utilities 2009 8.0.3300.1 French + Keygen[trackersurfer.fr].torrent C:\Documents and Settings\mandrake\Application Data\uTorrent\Windows Genuine Advantage Validation v1.9.9.1 (WGA) CRACKED.torrent C:\Documents and Settings\mandrake\Application Data\uTorrent\WINDOWS XP KEYGEN+VALIDATION PACK.rar.torrent C:\Documents and Settings\mandrake\Application Data\uTorrent\Windows XP Pro Keygen.torrent C:\Documents and Settings\mandrake\Application Data\uTorrent\Windows.Genuine.Advantage.Validation.v1.9.0040.0.CRACKED-DS9.torrent C:\Documents and Settings\mandrake\Application Data\uTorrent\Windows.Genuine.Advantage.Validation.v1.9.9.1.CRACKED-iND.torrent . =================================== . 16516 Octet(s) - C:\Ad-Report-CLEAN[1].log . 11 Fichier(s) - C:\DOCUME~1\mandrake\LOCALS~1\Temp 2 Fichier(s) - C:\WINDOWS\Temp . 36 Fichier(s) - C:\Program Files\Ad-Remover\BACKUP 3 Fichier(s) - C:\Program Files\Ad-Remover\QUARANTINE . Fin à: 11:44:49 | 01/01/2010 - CLEAN[1] . ============== E.O.F ============== .

neo*** · Answer

bonne année ;)

pour continuer (apres ca on pourra finir)

Imprime ces instructions ou sauvegarde les sur ton Bureau car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

Télécharge Malwarebytes’ Anti-Malware 

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX)

 

- Sur la page cliques sur Télécharger Malwarebyte’s Anti-Malware 
- Enregistres le sur le bureau 
- Double cliques sur le fichier téléchargé pour lancer le processus d’installation 
- Mets le a jour /!\  
-  Double-cliques sur l’icône de malwarebytes pour le relancer 
- Dans l’onglet, Recherche, probablement ouvert par défaut, 
- Sélectionne Exécuter un examen complet et Rechercher 
- A la fin de l’analyse, un message s’affiche : L’examen s’est terminé normalement. Cliquez sur ‘Afficher les résultats’ pour afficher tous les objets trouvés. 
- Cliques sur Ok pour poursuivre. 
- Si des malwares ont été détectés, cliques sur Afficher les résultats 
- Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
- Colle le rapport ici, il se trouve dans l’onglet rapport/log

Si tu as besoin d’aide regarde ce tutorial 

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
ps: s'il te demande de redemarrer : fais le !

neo*** · Answer

Très bien, ton ordinateur n'est plus infecté ! 

Il y a quelques petites choses que tu dois faire pour finir le nettoyage et améliorer sensiblement la sécurité de ton ordinateur, ça t'évitera peut-être de devoir revenir ici avec une nouvelle infection dans le futur ;) 

1)  Tu dois mettre à jour tous tes programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : Update Checker 

pourquoi tenir ses programmes a jour


2) Sécurise ton ordinateur 

 Anti-virus : ok

* En complément, garde MalwareBytes pour son scan de nettoyage performant.(1 fois par mois minimum) 

 Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille vivement d’installer et d'utiliser le navigateur Firefox 3 avec deux extensions : 
AdBlockPlus pour bloquer les publicités ; 


WOT, pour t'avertir des sites web dangereux. 



3) Télécharge ToolsCleaner sur ton Bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé : ToolsCleaner


Lance le, clique sur Recherche et laisse le scan se finir, puis clique sur Suppression pour nettoyer. 
Tu peux aussi supprimer les fichiers temporaires. 
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille). 
S'il ne supprime pas tout, supprime manuellement ce qui reste. 



4) Télécharge et installe Ccleaner (si ce n’est déjà fait) : 

Lance CCleaner 
Option --> avancé --> décoche « effacer uniquement les fichiers plus vieux que 48h » 
Puis nettoyeur --> Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche. 
Enfin, registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs. 

(Tu peux garder ce logiciel et l'utiliser régulièrement). 



5) Pour finir le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés). 

 Fais un clic droit sur poste de travail (qui est sur ton Bureau ou dans le menu démarrer), puis propriétés. 
 Sélectionne l'onglet restauration du système 
 Coche l'option Désactiver la restauration du système sur tous les lecteurs 
 Clique sur OK. 

Puis refais la manipulation inverse pour réactiver la restauration système.

6) Télécharge Mydefrag http://www.mydefrag.com/ sur ton Bureau 

Ce petit programme permet de défragmenter le disque dur (plus efficace que l'utilitaire de défragmentation de Windows). 

Je te conseille de le lancer en mode sans échec pour augmenter son efficacité : pour cela, redémarre ton ordinateur et tapote sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows, et sélectionne "Mode sans échec". 
A la fin, fais redémarrer ton ordinateur, et dis moi si tu constates une amélioration.

 
7) Un peu de lecture sur la prévention et la protection contre les infections :
Prévention et sécurité sur internet


Bon courage, et n'hésite pas à poser des questions en cas de besoin ;)

Et penses a mettre ton sujet en « RESOLU » ;)

mandrke · Answer

merci pour les conseils.

Par contre j'ai toujours le soucis pour lequel je suis venu c'est a dire que depuis que j'ai passé combofix,je ne peut plus mettre ne serait-ce qu'en surbrillance mes fichiers avi.ca mez fait réinitialiser le bureau a chaque fois.

je ne peut les lires qu'en ouvrant d'abord vlc et en les appellant a partir de lui.

Les autres extantions vidéo fonctionnent.

une idée?

neo*** · Answer

pour ca , je t'avais dis quoi faire pour verifier au post 14

mandrke · Answer

c'est arrivé aprés le 14 ca a donc certainement rien à voir avec ce fichier mais voila quand meme le résultat: Fichier ijl11.dll.vir reçu le 2010.01.01 13:56:31 (UTC) Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.43 2010.01.01 - AhnLab-V3 5.0.0.2 2010.01.01 - AntiVir 7.9.1.122 2009.12.31 - Antiy-AVL 2.0.3.7 2009.12.31 - Authentium 5.2.0.5 2009.12.31 - Avast 4.8.1351.0 2009.12.31 - AVG 8.5.0.430 2009.12.31 - BitDefender 7.2 2010.01.01 - CAT-QuickHeal 10.00 2009.12.31 - ClamAV 0.94.1 2010.01.01 - Comodo 3438 2010.01.01 - DrWeb 5.0.1.12222 2010.01.01 - eSafe 7.0.17.0 2009.12.31 - eTrust-Vet 35.1.7210 2010.01.01 - F-Prot 4.5.1.85 2009.12.31 - F-Secure 9.0.15370.0 2010.01.01 - Fortinet 4.0.14.0 2010.01.01 - GData 19 2010.01.01 - Ikarus T3.1.1.79.0 2009.12.31 - Jiangmin 13.0.900 2010.01.01 - K7AntiVirus 7.10.935 2009.12.31 - Kaspersky 7.0.0.125 2010.01.01 - McAfee 5848 2009.12.31 - McAfee+Artemis 5848 2009.12.31 - McAfee-GW-Edition 6.8.5 2010.01.01 - Microsoft 1.5302 2010.01.01 - NOD32 4735 2010.01.01 - Norman 6.04.03 2009.12.31 - nProtect 2009.1.8.0 2009.12.31 - Panda 10.0.2.2 2010.01.01 - PCTools 7.0.3.5 2010.01.01 - Prevx 3.0 2010.01.01 - Rising 22.28.03.04 2009.12.31 - Sophos 4.49.0 2010.01.01 - Sunbelt 3.2.1858.2 2010.01.01 - TheHacker 6.5.0.3.124 2010.01.01 - TrendMicro 9.120.0.1004 2010.01.01 - VBA32 3.12.12.1 2009.12.31 - ViRobot 2009.12.31.2118 2009.12.31 - VirusBuster 5.0.21.0 2009.12.31 - Information additionnelle File size: 180224 bytes MD5...: a0ce0247d48fecaac607edb1e2d87fd8 SHA1..: 346bf586bdf6ae4181c685fa74adf4524328d469 SHA256: 5a0b1c4e5d91fd67a1ad23e5ce869899b79a7282cb6e5533dc5c074eb59306ec ssdeep: 3072:RsZ/nXwWIsHJah2s6ozRcYJi8HqC+B+x/Q67u/TIrnVlm77qYFh5ZKhL3Dc
OgJ06:Re/XwWIOJsK/sroqYX54Lz
PEiD..: - PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1f680
timedatestamp.....: 0x37baf34e (Wed Aug 18 17:54:22 1999)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x23eca 0x24000 6.75 d86d2fb5cc71257ffb25a9e5665e56af
.rdata 0x25000 0x168c 0x2000 4.71 d09b6bae62e0fac92d7540e02c1ff92d
.data 0x27000 0x303c 0x2000 3.57 229eaf8a6a0490e3480bb6053b8f9334
.rsrc 0x2b000 0x418 0x1000 1.10 f3d8625549fe3ed5a39f94ce62579e4e
.reloc 0x2c000 0x17e8 0x2000 4.15 c3f463ac5ddb504ebf1e81182d0c15af

( 4 imports )
> KERNEL32.dll: OutputDebugStringA, CloseHandle, WriteFile, LocalFree, LocalAlloc, SetFilePointer, ReadFile, GetCurrentThreadId, GetModuleFileNameA, GetLastError, FreeEnvironmentStringsW, WideCharToMultiByte, FreeEnvironmentStringsA, RtlUnwind, ExitProcess, TerminateProcess, GetCurrentProcess, GetCommandLineA, GetVersion, GetProcAddress, GetModuleHandleA, HeapAlloc, HeapFree, InitializeCriticalSection, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, TlsSetValue, TlsAlloc, TlsFree, SetLastError, TlsGetValue, CreateFileA, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, GetACP, FlushFileBuffers, GetEnvironmentStrings, GetEnvironmentStringsW, HeapDestroy, HeapCreate, VirtualFree, InterlockedDecrement, InterlockedIncrement, VirtualAlloc, HeapReAlloc, GetCPInfo, GetOEMCP, LoadLibraryA, MultiByteToWideChar, GetStringTypeA, GetStringTypeW, LCMapStringA, LCMapStringW, SetStdHandle
> USER32.dll: PostQuitMessage, wsprintfA, MessageBoxA, PeekMessageA
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA
> ADVAPI32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey

( 6 exports )
ijlErrorStr, ijlFree, ijlGetLibVersion, ijlInit, ijlRead, ijlWrite
RDS...: NSRL Reference Data Set
- pdfid.: - trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%) sigcheck:
publisher....: Intel Corporation
copyright....: Copyright (c) 1999
product......: Intel_ JPEG Library
description..: Intel_ JPEG Library - Retail Version
original name: ijl11.dll
internal name: Intel_ JPEG Library
file version.: 1.1.2
comments.....: Intel_ JPEG Library
signers......: -
signing date.: -
verified.....: Unsigned

neo*** · Answer

salut 

c'est bien ce que je pensais , le fichier que combofix a virer etait legitime (fichier systeme) (ijl11.dll) d'ou tes problemes !

il faut donc que tu restaures ce fichier a sa place :

/!\ ATTENTION /!\ Le script qui suit a été écrit uniquement pour mandrke, il n'est pas transposable sur un autre ordinateur !

fais ceci :

• Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt

CFScript


• Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme sur ce lien : comme ceci

• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.

mandrke · Answer

Salut j'ai fait le scan,par contre je ne peut pas remettre le fichier manquant car il aé été éffacer lors du clean.tout ce qui était en quarantaine a été éffacé. Sinon voila le rapport combofix,le dernier. ComboFix 10-01-01.02 - mandrake 02/01/2010 13:47:32.5.2 - x86 Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2038.1528 [GMT 1:00] Lancé depuis: c:\documents and settings\mandrake\Bureau\ComboFix.exe Commutateurs utilisés :: c:\documents and settings\mandrake\Bureau\CFScript.txt AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\TEMP\logishrd\LVPrcInj01.dll . ((((((((((((((((((((((((((((( Fichiers créés du 2009-12-02 au 2010-01-02 )))))))))))))))))))))))))))))))))))) . 2010-01-01 21:55 . 2010-01-01 21:55 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache 2010-01-01 15:06 . 2010-01-01 15:06 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache 2010-01-01 15:05 . 2010-01-01 15:05 -------- d-sh--w- c:\documents and settings\mandrake\IETldCache 2010-01-01 15:02 . 2010-01-02 12:32 -------- d-----w- c:\windows\ie8updates 2010-01-01 15:00 . 2010-01-01 15:02 -------- dc-h--w- c:\windows\ie8 2010-01-01 14:59 . 2009-10-29 07:42 594432 -c----w- c:\windows\system32\dllcache\msfeeds.dll 2010-01-01 14:59 . 2009-10-29 07:42 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll 2010-01-01 14:59 . 2009-10-29 07:42 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll 2010-01-01 14:59 . 2009-10-29 07:42 1985536 -c----w- c:\windows\system32\dllcache\iertutil.dll 2010-01-01 14:59 . 2009-10-29 07:42 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll 2010-01-01 14:59 . 2009-10-29 07:42 11069952 -c----w- c:\windows\system32\dllcache\ieframe.dll 2010-01-01 14:58 . 2009-10-02 04:44 92160 -c----w- c:\windows\system32\dllcache\iecompat.dll 2010-01-01 14:57 . 2010-01-01 14:57 -------- d-----w- c:\documents and settings\mandrake\Tracing 2010-01-01 14:56 . 2010-01-01 14:56 -------- d-----w- c:\program files\Microsoft 2010-01-01 14:56 . 2010-01-01 14:56 -------- d-----w- c:\program files\Windows Live SkyDrive 2010-01-01 14:56 . 2010-01-01 14:56 -------- d-----w- c:\program files\Windows Live 2010-01-01 14:51 . 2010-01-01 14:51 -------- d-----w- c:\program files\Fichiers communs\Windows Live 2010-01-01 14:23 . 2010-01-01 14:43 -------- d-----w- c:\program files\MyDefrag v4.2.7 2010-01-01 14:23 . 2009-12-16 00:11 935424 ----a-w- c:\windows\system32\MyDefragScreenSaver.exe 2010-01-01 14:23 . 2009-12-15 22:02 93696 ----a-w- c:\windows\system32\MyDefragScreenSaver.scr 2010-01-01 14:14 . 2010-01-01 14:14 -------- d-----w- c:\program files\CCleaner 2010-01-01 13:47 . 2010-01-01 13:47 388096 ----a-r- c:\documents and settings\mandrake\Application Data\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe 2010-01-01 13:47 . 2010-01-01 14:12 -------- d-----w- c:\program files\TrendMicro 2010-01-01 13:40 . 2010-01-01 13:42 -------- d-----w- c:\program files\DAEMON Tools Lite 2010-01-01 12:20 . 2010-01-01 12:20 -------- d-----w- c:\documents and settings\mandrake\Application Data\Malwarebytes 2010-01-01 12:20 . 2009-12-30 13:55 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-01-01 12:20 . 2010-01-01 12:20 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes 2010-01-01 12:20 . 2010-01-01 12:20 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2010-01-01 12:20 . 2009-12-30 13:54 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-12-28 18:24 . 2010-01-01 14:47 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy 2009-12-28 18:24 . 2009-12-29 22:49 -------- d-----w- c:\program files\Spybot - Search & Destroy 2009-12-22 14:03 . 2009-12-22 14:03 177024 ----a-w- c:\documents and settings\mandrake\Application Data\Mozilla\Firefox\Profiles\iwjhi1uv.default\FlashGot.exe 2009-12-15 14:04 . 2009-12-15 14:05 5554688 ----a-w- c:\documents and settings\All Users\Application Data\TuneUp Software\TuneUp Utilities\WinStyler u_logonui.exe 2009-12-14 22:34 . 2009-12-15 13:54 -------- d--h--w- c:\windows\Icons 2009-12-14 22:31 . 2009-12-15 14:01 2287104 ----a-w- c:\windows\system32\TUKernel.exe 2009-12-14 14:57 . 2009-12-14 14:57 -------- d-s---w- c:\documents and settings\mandrake\UserData 2009-12-14 11:32 . 2009-12-14 11:32 -------- d-----w- c:\program files\MOJOSOFT 2009-12-14 11:32 . 2009-12-14 11:32 -------- d-----w- c:\documents and settings\mandrake\Application Data\mojosoft 2009-12-14 11:00 . 2009-12-14 11:00 -------- d-----w- c:\documents and settings\LocalService\Application Data\TuneUp Software 2009-12-14 10:31 . 2009-11-13 11:00 29512 ----a-w- c:\windows\system32\TURegOpt.exe 2009-12-14 10:30 . 2009-11-13 10:53 30024 ----a-w- c:\windows\system32\uxtuneup.dll 2009-12-14 10:30 . 2009-12-14 10:30 -------- d-----w- c:\documents and settings\mandrake\Application Data\TuneUp Software 2009-12-14 10:30 . 2009-12-14 10:32 -------- d-----w- c:\program files\TuneUp Utilities 2010 2009-12-14 10:30 . 2009-12-14 10:30 -------- d-----w- c:\documents and settings\All Users\Application Data\TuneUp Software 2009-12-14 10:30 . 2009-12-14 10:30 -------- d-sh--w- c:\documents and settings\All Users\Application Data\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC} 2009-12-12 01:55 . 2009-12-12 01:55 2560 ----a-w- c:\windows\_MSRSTRT.EXE 2009-12-12 01:20 . 2009-12-12 01:20 -------- d-----w- c:\windows\Performance 2009-12-12 01:20 . 2009-12-12 01:20 -------- d-----w- c:\documents and settings\mandrake\Local Settings\Application Data\Microsoft Corporation 2009-12-12 01:20 . 2009-12-12 01:20 -------- d-----w- c:\program files\Microsoft Windows 7 Upgrade Advisor 2009-12-11 22:17 . 2008-04-26 14:14 42672 ------w- c:\windows\system32\wbsys.dll 2009-12-11 22:17 . 2009-12-11 22:17 -------- d-----w- c:\program files\Stardock 2009-12-11 21:57 . 2009-12-11 21:57 -------- d-----w- c:\program files\TGTSoft 2009-12-11 14:34 . 2009-12-11 14:35 -------- d-----w- c:\windows\Packs 2009-12-07 14:19 . 2009-12-07 14:19 -------- d-----w- c:\program files\iPod 2009-12-07 14:19 . 2009-12-07 14:20 -------- d-----w- c:\program files\iTunes 2009-12-07 14:16 . 2009-12-07 14:17 -------- d-----w- c:\program files\QuickTime 2009-12-07 14:14 . 2009-12-07 14:14 79144 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.0.2.25\SetupAdmin.exe 2009-12-05 12:32 . 2009-12-05 12:32 -------- d-----w- c:\program files\FxPro - MetaTrader 2009-12-04 14:54 . 2009-12-05 09:54 -------- d-----w- c:\program files\CIM Banque Trader . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2010-01-02 12:54 . 2009-05-10 16:55 -------- d-----w- c:\documents and settings\mandrake\Application Data\uTorrent 2010-01-02 12:34 . 2009-09-03 18:57 -------- d-----w- c:\program files\DivX Free Codec 2010-01-01 16:35 . 2009-09-05 12:50 -------- d-----w- c:\documents and settings\mandrake\Application Data\vlc 2010-01-01 15:05 . 2009-03-27 13:36 -------- d-----w- c:\program files\Microsoft Silverlight 2010-01-01 14:57 . 2009-03-28 02:11 17416 ----a-w- c:\documents and settings\mandrake\Local Settings\Application Data\GDIPFONTCACHEV1.DAT 2010-01-01 14:12 . 2009-11-13 11:41 -------- d-----w- c:\program files\Trend Micro 2010-01-01 13:50 . 2009-08-04 12:29 -------- d-----w- c:\program files\Notepad++ 2010-01-01 13:50 . 2009-08-04 12:29 -------- d-----w- c:\documents and settings\mandrake\Application Data\Notepad++ 2010-01-01 13:40 . 2009-09-03 07:36 691696 ----a-w- c:\windows\system32\drivers\sptd.sys 2010-01-01 13:36 . 2009-09-03 07:42 -------- d-----w- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite 2009-12-22 20:46 . 2009-03-30 17:48 -------- d-----w- c:\documents and settings\mandrake\Application Data\dvdcss 2009-12-20 18:08 . 2002-08-30 12:00 80946 ----a-w- c:\windows\system32\perfc00C.dat 2009-12-20 18:08 . 2002-08-30 12:00 501138 ----a-w- c:\windows\system32\perfh00C.dat 2009-12-10 14:26 . 2009-10-29 07:49 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-12-07 14:19 . 2009-09-14 13:16 -------- d-----w- c:\program files\Fichiers communs\Apple 2009-12-06 14:52 . 2009-10-16 09:16 -------- d-----w- c:\documents and settings\mandrake\Application Data\FileZilla 2009-12-04 20:21 . 2009-11-16 15:05 -------- d-----w- c:\documents and settings\mandrake\Application Data\gtk-2.0 2009-12-01 21:22 . 2009-12-01 20:59 -------- d-----w- c:\program files\UWCTrader 4 2009-11-30 16:21 . 2009-11-30 16:21 -------- d-----w- c:\program files\MetaTrader - FXOpen 2009-11-16 15:02 . 2009-11-16 15:02 -------- d-----w- c:\program files\GIMP-2.0 2009-11-15 17:31 . 2009-11-15 17:31 -------- d-----w- c:\documents and settings\All Users\Application Data\PC SOFT 2009-11-15 17:31 . 2009-11-15 17:31 -------- d-----w- c:\program files\Fichiers communs\PC SOFT 2009-11-13 17:10 . 2009-11-13 17:08 -------- d-----w- c:\program files\SF 2009-11-13 12:15 . 2009-11-12 11:59 -------- d-----w- c:\documents and settings\All Users\Application Data\LogiShrd 2009-11-13 11:37 . 2009-11-13 11:37 -------- d-----w- c:\program files\Microsoft CAPICOM 2.1.0.2 2009-11-12 11:59 . 2009-11-12 11:59 -------- d-----w- c:\documents and settings\mandrake\Application Data\Leadertech 2009-11-12 11:59 . 2009-11-12 11:55 -------- d-----w- c:\program files\Fichiers communs\logishrd 2009-11-12 11:59 . 2009-11-12 11:59 -------- d-----w- c:\program files\Logitech 2009-11-07 12:58 . 2009-11-07 12:58 -------- d-----w- c:\program files\Fichiers communs\Adobe 2009-11-05 14:47 . 2009-10-05 14:56 -------- d-----w- c:\program files\Java 2009-11-05 14:46 . 2009-11-05 14:46 152576 ----a-w- c:\documents and settings\mandrake\Application Data\Sun\Java\jre1.6.0_17\lzma.dll 2009-10-29 07:42 . 2004-08-19 14:09 916480 ----a-w- c:\windows\system32\wininet.dll 2009-10-21 05:39 . 2004-08-19 14:09 75776 ----a-w- c:\windows\system32\strmfilt.dll 2009-10-21 05:39 . 2004-08-19 14:09 25088 ----a-w- c:\windows\system32\httpapi.dll 2009-10-20 16:20 . 2004-08-03 21:00 265728 ----a-w- c:\windows\system32\drivers\http.sys 2009-10-14 12:41 . 2009-10-14 12:41 322392 ----a-w- c:\windows\system32\wiaaut.dll 2009-10-14 12:40 . 2009-10-14 12:40 296280 ----a-w- c:\documents and settings\All Users\Application Data\LogiShrd\LQCVFX\Filters\VMSEF.dll 2009-10-14 12:37 . 2009-10-14 12:37 6781272 ----a-w- c:\documents and settings\All Users\Application Data\LogiShrd\LQCVFX\Filters\MMSEF.dll 2009-10-13 10:33 . 2004-08-19 14:09 271360 ----a-w- c:\windows\system32\oakley.dll 2009-10-12 13:39 . 2004-08-19 14:09 79872 ----a-w- c:\windows\system32 aschap.dll 2009-10-12 13:39 . 2004-08-19 14:09 150528 ----a-w- c:\windows\system32 astls.dll 2009-10-11 09:25 . 2009-10-11 09:25 694822 ----a-w- c:\windows\system32 eobuxblocker.exe 2009-10-11 08:40 . 2009-10-11 08:34 102400 ----a-w- c:\windows\system32\Neobux Autoclicker Bot.exe 2009-10-11 03:17 . 2009-10-05 14:57 411368 ----a-w- c:\windows\system32\deploytk.dll 2009-10-07 00:46 . 2009-10-07 00:46 25752 ----a-w- c:\windows\system32\drivers\LVPr2Mon.sys 2009-10-07 00:23 . 2009-10-07 00:23 13584 ----a-w- c:\windows\system32\drivers\iKeyLFT2.dll 2009-10-05 14:56 . 2009-10-05 14:56 152576 ----a-w- c:\documents and settings\mandrake\Application Data\Sun\Java\jre1.6.0_16\lzma.dll . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2009-05-10 274224] "SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480] "DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-06-27 141848] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-06-27 162328] "Persistence"="c:\windows\system32\igfxpers.exe" [2007-06-27 137752] "DivX Free Codec"="c:\program files\DivX Free Codec\Divx Free Update.exe" [2007-03-30 274432] "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280] "Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288] "LogitechQuickCamRibbon"="c:\program files\Logitech\Logitech WebCam Software\LWS.exe" [2009-10-14 2793304] "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-11-10 417792] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "UIHost"="c:\documents and settings\All Users\Application Data\TuneUp Software\TuneUp Utilities\WinStyler u_logonui.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un-] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "c:\Program Files\VideoLAN\VLC\vlc.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "c:\Program Files\uTorrent\uTorrent.exe"= "c:\Program Files\Messenger\msmsgs.exe"= "c:\Program Files\Bonjour\mDNSResponder.exe"= "c:\Program Files\EasyPHP 3.0\mysql\bin\mysqld.exe"= "c:\Program Files\Java\jre6\bin\javaw.exe"= "d:\Logiciels\mRatio 2.3.5\mRatio.exe"= "c:\Program Files\iTunes\iTunes.exe"= "c:\Program Files\Windows Live\Messenger\wlcsdk.exe"= "c:\Program Files\Windows Live\Messenger\msnmsgr.exe"= R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [03/09/2009 08:36 691696] R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [29/10/2009 09:41 108289] R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [13/11/2009 11:57 1021256] R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [14/10/2009 07:24 10064] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Contenu du dossier 'Tâches planifiées' 2009-12-28 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34] 2010-01-02 c:\windows\Tasks\Recherche de problèmes automatique.job - c:\program files\TuneUp Utilities 2010\TuneUpSystemStatusCheck.exe [2009-11-13 11:05] . . ------- Examen supplémentaire ------- . mWindow Title = uInternet Settings,ProxyOverride = *.local FF - ProfilePath - c:\documents and settings\mandrake\Application Data\Mozilla\Firefox\Profiles\iwjhi1uv.default\ FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - hxxp://fr.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official FF - component: c:\program files\Real Alternative\browserrecord\firefox\ext\components prpffbrowserrecordext.dll FF - plugin: c:\program files\Real Alternative\Netscape6 ppl3260.dll FF - plugin: c:\program files\Real Alternative\Netscape6 prjplug.dll FF - plugin: c:\program files\Real Alternative\Netscape6 prpjplug.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- PARAMETRES FIREFOX ---- FF - user.js: network.http.max-persistent-connections-per-server - 4 FF - user.js: nglayout.initialpaint.delay - 600 FF - user.js: content.notify.interval - 600000 FF - user.js: content.max.tokenizing.time - 1800000 FF - user.js: content.switch.threshold - 600000 . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-01-02 13:53 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: TUKERNEL.EXE CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys sphw.sys >>UNKNOWN [0x8A575938]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> CLASSPNP.SYS @ 0xf765bf28 \Driver\ACPI -> ACPI.sys @ 0xf74a2cb8 \Driver\atapi -> atapi.sys @ 0xf7833b40 IoDeviceObjectType -> DeleteProcedure -> TUKERNEL.EXE @ 0x805e668e ParseProcedure -> TUKERNEL.EXE @ 0x8057b6b1 \Device\Harddisk0\DR0 -> DeleteProcedure -> TUKERNEL.EXE @ 0x805e668e ParseProcedure -> TUKERNEL.EXE @ 0x8057b6b1 NDIS: Broadcom NetLink (TM) Gigabit Ethernet -> SendCompleteHandler -> NDIS.sys @ 0xba672bb0 PacketIndicateHandler -> NDIS.sys @ 0xba67fa21 SendHandler -> NDIS.sys @ 0xba65d87b user & kernel MBR OK ************************************************************************** . --------------------- CLES DE REGISTRE BLOQUEES --------------------- [HKEY_USERS\S-1-5-21-583907252-854245398-725345543-1003\Software\Microsoft\SystemCertificates\AddressBook*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) [HKEY_USERS\S-1-5-21-583907252-854245398-725345543-1003\Software\SecuROM\License information*] "datasecu"=hex:0a,b2,5d,1a,f3,4f,2a,d0,c9,85,ee,62,65,c7,09,01,ba,d5,b7,21,a1, 5a,5f,be,fe,a3,cc,4e,ff,b4,6c,fc,d9,9e,61,37,2b,05,8e,12,57,1c,ea,f0,03,4e,\ "rkeysecu"=hex:58,cf,f7,8a,9d,32,78,44,f5,d9,b7,2c,92,3d,18,9f . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'explorer.exe'(2348) c:\windows\TEMP\logishrd\LVPrcInj01.dll c:\windows\system32\eappprxy.dll c:\windows\system32\webcheck.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Autres processus actifs ------------------------ . c:\program files\Avira\AntiVir Desktop\avguard.exe c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\program files\Bonjour\mDNSResponder.exe c:\program files\Java\jre6\bin\jqs.exe c:\program files\Fichiers communs\LightScribe\LSSrvc.exe c:\program files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe c:\windows\system32\igfxsrvc.exe c:\program files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe c:\windows\system32\wbem\wmiapsrv.exe . ************************************************************************** . Heure de fin: 2010-01-02 13:56:50 - La machine a redémarré ComboFix-quarantined-files.txt 2010-01-02 12:56 Avant-CF: 9 037 266 944 octets libres Après-CF: 8 997 089 280 octets libres - - End Of File - - 626A069AE39C0ABAC0BFB1D76CB0800E

neo*** · Answer

salut dsl pour le delai mais boulot oblige ^^

puisque la quarantaine de combo n'est plus la il faut retelecharger le fichier qui pose probleme ;)

par contre , je viens de voir une chose qui ne me plait pas dans ton rapport !!

le trouves tu plus long au demarrage ??

peux tu faire ceci :

Télécharge MBR Rootkit Detector (gmer) et enregistre-le sur le bureau

- Désactive provisoirement les programmes de protection (antivirus, firewall,anti-spyware...) :

- Double-clique sur mbr.exe, une fenêtre d'invite de commande va s'ouvrir et se refermer,

- Un rapport sera généré : mbr.log ==> Copie/colle le résultat de ce log dans ta réponse.

Floflo25 · Answer

Bonsoir ! J'ai eu un assez gros souci avec combofix !
Je l'utilise depuis longtemp, sans aucun probleme, lorsque j'ai de gros soudi, lié a des virus.
Mais cette fois si j'ai oublié de retiré l'antivirus (Je ne sais pas si sa a avoir avec quelque chose dans le probleme que je vais citer)...
Sur le PC de ma petite amie, qui a windows Seven, j'ai donc mis en route combofix; Il a fait une sauvegarde, puis a demaré.
Seulement apres le redemarage de windows, Le theme aero a disparu, laissant l'ancien theme "classique" de windows. Je pensai que cela se limitai a sa.
Mais malheureusement, dans le gestionnaire des tâche, partie "processus", les executif SYSTEM on tous disparu.
Les icones bureau on aussi disparu. Bref, le systeme est Inutilisable.
Et c'est la que je veux en venir: Le fichier de recuperation suffira t'il a reparer ? A faire redevenir le pc comme avant, ou bien semblablement pareil.
Si oui, comment faire ? J'ai la console de recuperation, mais je ne sais pas m'en servir.
Merci d'avance pour votre aide.

Florian.

neo*** · Answer

quand on joue avec le feu ...

combofix n'est pas un jouet et encore moins un outil qu'on passe a la legere !!! c'est pour ca qu'on le conseille avec precaution et surtout en dernier recours ! de plus il est mis a jour regulierement , donc si tu le gardes sur ton pc pour le passer au premier probleme (ce qui est idiot) il n'est pas a jour !!!

combo crée un pt de restauration avant son passage, essaies de restaurer a une date anterieure !

Besoin d'aide pour exterminer un virus

29 réponses

Votre réponse

Discussions similaires

Newsletters