Virus ! Ardamax, LAG PC

Question

Bonjour,
voilà depuis quelque temps mon petit frère télécharge beaucoup de truc et surfe beaucoup sur le net, je souhaiterais savoir sur quel site va-t-il afin de les bloqués si ils sont malveillant.

J'ai pour cela télécharger Ardamax Keylogger 3.0, on m'a dit que c'est un bon révélateur de frappe en mon absence.

J'ai télécharge RSIT pour faire une analyse hijack pour diagnostiquer mon problème, cela viens peut être d'autre chose mais bon :

Logfile of random's system information tool 1.06 (written by random/random)
Run by Ripu at 2009-11-30 20:23:15
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 44 GB (38%) free of 116 GB
Total RAM: 3070 MB (79% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:23:33, on 30/11/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD\CanalPlus.VOD.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\Documents and Settings\****\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\****\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\Java\jre6\bin\jucheck.exe
C:\Documents and Settings\****\Mes documents\Downloads\RSIT.exe
C:\Program Files	rend micro\****.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A057A204-BACC-4D26-8287-79A187E26987} - (no file)
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: (no name) - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - (no file)
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: Search Assistant - {F0626A63-410B-45E2-99A1-3F2475B2D695} - C:\Program Files\SGPSA\BHO.dll
O2 - BHO: XBTBPos00 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - (no file)
O3 - Toolbar: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - (no file)
O3 - Toolbar: (no name) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - (no file)
O3 - Toolbar: (no name) - {A057A204-BACC-4D26-8287-79A187E26987} - (no file)
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKLM\..\Run: [HTV Agent] C:\Program Files\HTV\HTV.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\****\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Livre de reliures HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Sélection intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://ushousecall02.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/fr/uno1/GAME_UNO1.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://fichiers.touslesdrivers.com/maconfig/MaConfig_3_1_2_1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: CanalPlus.VOD - Canal+ Active - C:\Program Files\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD\CanalPlus.VOD.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: Ma-Config Service (maconfservice) - Unknown owner - C:\Program Files\ma-config.com\maconfservice.exe (file missing)
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 9\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 9\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe

Navid_92 · Answer

petit up

gen-hackman · Answer

salut desinstalle Spyware Doctor

ensuite :


&#9654 Télécharge Ad-remover ( de C_XX ) sur ton bureau : 


&#9654 Déconnecte toi et ferme toutes applications en cours ! 

&#9654 Double clique sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut . 

&#9654 Double-clique sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
&#9654 Au menu principal choisis l'option "L" et tape sur [entrée] .

&#9654 Laisse travailler l'outil et ne touche à rien ... 

&#9654 Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

&#9654 Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.     

ensuite :

Desinstalle AD-Remover

ensuite :

&#9654 Télécharge et install UsbFix par Chiquitine29

 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

&#9654 Double clic sur le raccourci UsbFix présent sur ton bureau .

&#9654 Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

&#9654 Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 

&#9654 Laisse travailler l'outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra.

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

 Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Navid_92 · Answer

.
======= RAPPORT D'AD-REMOVER 1.1.4.6_D | UNIQUEMENT XP/VISTA/7 =======
.
Mit à jour par C_XX le 30.11.2009 à 21:32
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 22:18:43, 30/11/2009 | Mode Normal | Option: CLEAN
Exécuté de: C:\Program Files\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™  Service Pack 3 v5.1.2600
Nom du PC: NS-EMAD | Utilisateur actuel: EMAD
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
C:\DOCUME~1\EMAD\APPLIC~1\Mozilla\Firefox\Profiles\ktjiwntp.default\extensions	oolbar@ask.com
C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
C:\Program Files\Ask.com
C:\Program Files\SGPSA
C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job

(!) -- Fichiers temporaires supprimés.
 
.
HKCU\software\Ask.com
HKCU\software\AskToolbar
HKCU\software\microsoft\internet explorer\searchscopes\{19F2B849-4ADE-4d4b-85F9-C31C643DBDE9}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{D4027C7F-154A-4066-A1AD-4243D8127440}
HKLM\software\classes\appid\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
HKLM\software\classes\appid\GenericAskToolbar.DLL
HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
HKLM\Software\Classes\CLSID\{F0626A63-410B-45E2-99A1-3F2475B2D695}
HKLM\software\classes\GenericAskToolbar.ToolbarWnd
HKLM\software\classes\GenericAskToolbar.ToolbarWnd.1
HKLM\software\classes\installer\Products\A28B4D68DEBAA244EB686953B7074FEF
HKLM\Software\Classes\TypeLib\{4509D3CC-B642-4745-B030-645B79522C6D}
HKLM\Software\Classes\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}
HKLM\software\classes\URLSearchHook.ToolbarURLSearchHook
HKLM\software\classes\URLSearchHook.ToolbarURLSearchHook.1
HKLM\Software\Microsoft\Internet Explorer\Toolbar\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
HKLM\Software\Microsoft\Internet Explorer\Toolbar\{D4027C7F-154A-4066-A1AD-4243D8127440}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F0626A63-410B-45E2-99A1-3F2475B2D695}
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\49D4375FE41653242AEA4C969E4E65E0
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\6AA0923513360135B272E8289C5F13FA
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\922525DCC5199162F8935747CA3D8E59
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\BCDA179D619B91648538E3394CAC94CC
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\D677B1A9671D4D4004F6F2A4469E86EA
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\E36E114A0EAD2AD46B381D23AD69CDDF
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\EF8E618DB3AEDFBB384561B5C548F65E
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
HKLM\software\microsoft\windows\currentversion\uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.6b3 [fr] *
.
 Nom du profil: ktjiwntp.default (EMAD)
.
(EMAD, prefs.js) Browser.download.lastDir, C:\Documents and Settings\EMAD\Mes documents\site saeed
(EMAD, prefs.js) Browser.search.defaultenginename, Fast Browser Search
(EMAD, prefs.js) Browser.search.defaulturl, hxxp://www.fastbrowsersearch.com/results/results.aspx?s=DEF&v=4&q=
(EMAD, prefs.js) Browser.search.selectedEngine, Fast Browser Search
. 
(EMAD, prefs.js) EFFACE - Browser.search.defaultenginename, Fast Browser Search
(EMAD, prefs.js) EFFACE - Browser.search.defaulturl, hxxp://www.fastbrowsersearch.com/results/results.aspx?s=DEF&v=4&q=
(EMAD, prefs.js) EFFACE - Browser.search.order.1, Fast Browser Search
(EMAD, prefs.js) EFFACE - Browser.search.selectedEngine, Fast Browser Search
(EMAD, prefs.js) EFFACE - Extensions.asktb.cbid, UG
(EMAD, prefs.js) EFFACE - Extensions.asktb.default-channel-url-mask, hxxp://fr.ask.com/web?q={query}&qsrc={qsrc}&o={o}&l={l}
(EMAD, prefs.js) EFFACE - Extensions.asktb.first-launch-url, file:///C:/Documents%20and%20Settings/EMAD/Bureau/Live%20Iranian%20TV%20Channels%20Online%20-%20IranTvRadio.com.htm
(EMAD, prefs.js) EFFACE - Extensions.asktb.fresh-install, false
(EMAD, prefs.js) EFFACE - Extensions.asktb.l, dis
(EMAD, prefs.js) EFFACE - Extensions.asktb.last-config-req, 1259580411809
(EMAD, prefs.js) EFFACE - Extensions.asktb.locale, fr_FR
(EMAD, prefs.js) EFFACE - Extensions.asktb.o, 15158
(EMAD, prefs.js) EFFACE - Extensions.asktb.overlay-reloaded-using-restart, true
(EMAD, prefs.js) EFFACE - Extensions.asktb.qsrc, 2871
(EMAD, prefs.js) EFFACE - Extensions.asktb.r, 4
(EMAD, prefs.js) EFFACE - Extensions.enabledItems, toolbar@ask.com:3.5.1.110,es-es@dictionaries.addons.mozilla.org:1.2.1,{b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.6.5,fbdislike@doweb.fr:0.2.4,firebug@software.joehewitt.com:1.4.5,{1018e4d6-728f-4b20-ad56-37578a4de76b}:3.3.18,{ef4e370e-d9f0-4e00-b93e-a4f274cfdd5a}:1.2.1,{3b56bcc7-54e5-44a2-9b44-66c3ef58c13e}:0.8.5.8,illimitux@illimitux.net:3.4,{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13,{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}:6.0.15,jqs@sun.com:1.0,{20a82645-c095-46ed-80e3-08825760534b}:1.1,{22c9d8c8-b99c-4b3e-b8de-8769947488cf}:2.2.0.9,{53A03D43-5363-4669-8190-99061B2DEBA5}:1.3.5,{46551EC9-40F0-4e47-8E18-8E5CF550CFB8}:1.0.7,{c45c406e-ab73-11d8-be73-000a95be3b12}:1.1.8,{635abd67-4fe9-1b23-4f01-e679fa7484c1}:1.6.5.200812101546,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5.5
(EMAD, prefs.js) EFFACE - Keyword.URL, hxxp://www.fastbrowsersearch.com/results/results.aspx?s=NAUS&v=4&tid={3F524273-53D5-8AE7-496E-4B11A418BA2D}&q=
. 
. 
.
* Internet Explorer Version 8.0.6001.18702 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Start Page: hxxp://fr.msn.com/
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Start Page Redirect Cache: hxxp://fr.msn.com/?ocid=iehp
Start Page Redirect Cache_TIMESTAMP: NARY     	704111206c6cca01
Start Page Redirect Cache AcceptLangs: fr
Search Bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Search bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials, ...) ==============
.
C:\Documents and Settings\EMAD\Application Data\HouseCall 6.6\patch.exe
C:\Documents and Settings\EMAD\Application Data\uTorrent\pro evolution soccer 2010 pc full patch[4th nov].torrent
.
===================================
.
7320 Octet(s) - C:\Ad-Report-CLEAN[1].log 
.
0 Fichier(s) - C:\DOCUME~1\EMAD\LOCALS~1\Temp 
1 Fichier(s) - C:\WINDOWS\Temp 
.
19 Fichier(s) - C:\Program Files\Ad-Remover\BACKUP
84 Fichier(s) - C:\Program Files\Ad-Remover\QUARANTINE 
.
Fin à: 22:34:29 | 30/11/2009 - CLEAN[1]
.
============== E.O.F ==============
.

Navid_92 · Answer

La seconde partie est inutile car : 
 * pas de clé usb
 * installe des jeux que par CD officiel
 * pas non plus de DD externe. 
=
Donc aucune sources d'infection Externe

Que donne le rapport ADR ?

Navid_92 · Answer

up

gen-hackman · Answer

rapport d'ad-remover bon

fais usbfix quand meme

Navid_92 · Answer

OK mais a quoi bon faire USB FIX si aucun port USB ou ipod est branché ^^ lol

Par contre comme je te l'ai dit avec Ardamax Keylogger 3.0, on m'a dit que c'est un bon révélateur de frappe en mon absence. Le fichier où j'ai d'énorme soupscons est 
C:\Program Files\HTV,
MBAM ET ANTIVIR se sont occupés de les supprimés ainsi que CCleaner du registre mais reste il des traces ?

A part ça j'en ai profiter pour faire une analyse MBAM (version payante) voici son rapport : 

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3263
Windows 5.1.2600 Service Pack 3

01/12/2009 13:16:12
mbam-log-2009-12-01 (13-16-12).txt

Type de recherche: Examen complet (C:\|H:\|)
Eléments examinés: 475156
Temps écoulé: 8 hour(s), 28 minute(s), 39 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Ardamax Keylogger (PUP.ArdamaxKeyLogger) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Program Files\HTV\HTV.007 (PUP.ArdamaxKeyLogger) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Ardamax Keylogger\Ardamax Keylogger.lnk (PUP.ArdamaxKeyLogger) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Ardamax Keylogger\Help.lnk (PUP.ArdamaxKeyLogger) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Ardamax Keylogger\Log Viewer.lnk (PUP.ArdamaxKeyLogger) -> Quarantined and deleted successfully.


et un rapport Antivir : 



Avira AntiVir Personal
Date de création du fichier de rapport : lundi 30 novembre 2009  23:49

La recherche porte sur 1407540 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows XP
Version de Windows      : (Service Pack 3)  [5.1.2600]
Mode Boot               : Démarré normalement
Identifiant             : SYSTEM
Nom de l'ordinateur     : rick

Informations de version :
BUILD.DAT               : 9.0.0.72      21606 Bytes  08/11/2009 10:58:00
AVSCAN.EXE              : 9.0.3.10     466689 Bytes  19/11/2009 20:44:53
AVSCAN.DLL              : 9.0.3.0       49409 Bytes  03/03/2009 09:21:02
LUKE.DLL                : 9.0.3.2      209665 Bytes  20/02/2009 10:35:11
LUKERES.DLL             : 9.0.2.0       13569 Bytes  03/03/2009 09:21:31
VBASE000.VDF            : 7.10.0.0   19875328 Bytes  06/11/2009 20:44:53
VBASE001.VDF            : 7.10.1.0    1372672 Bytes  19/11/2009 20:44:53
VBASE002.VDF            : 7.10.1.1       2048 Bytes  19/11/2009 20:44:53
VBASE003.VDF            : 7.10.1.2       2048 Bytes  19/11/2009 20:44:53
VBASE004.VDF            : 7.10.1.3       2048 Bytes  19/11/2009 20:44:53
VBASE005.VDF            : 7.10.1.4       2048 Bytes  19/11/2009 20:44:53
VBASE006.VDF            : 7.10.1.5       2048 Bytes  19/11/2009 20:44:53
VBASE007.VDF            : 7.10.1.6       2048 Bytes  19/11/2009 20:44:53
VBASE008.VDF            : 7.10.1.7       2048 Bytes  19/11/2009 20:44:53
VBASE009.VDF            : 7.10.1.8       2048 Bytes  19/11/2009 20:44:53
VBASE010.VDF            : 7.10.1.9       2048 Bytes  19/11/2009 20:44:53
VBASE011.VDF            : 7.10.1.10      2048 Bytes  19/11/2009 20:44:53
VBASE012.VDF            : 7.10.1.11      2048 Bytes  19/11/2009 20:44:53
VBASE013.VDF            : 7.10.1.79    209920 Bytes  25/11/2009 20:44:41
VBASE014.VDF            : 7.10.1.80      2048 Bytes  25/11/2009 20:44:41
VBASE015.VDF            : 7.10.1.81      2048 Bytes  25/11/2009 20:44:42
VBASE016.VDF            : 7.10.1.82      2048 Bytes  25/11/2009 20:44:42
VBASE017.VDF            : 7.10.1.83      2048 Bytes  25/11/2009 20:44:42
VBASE018.VDF            : 7.10.1.84      2048 Bytes  25/11/2009 20:44:42
VBASE019.VDF            : 7.10.1.85      2048 Bytes  25/11/2009 20:44:42
VBASE020.VDF            : 7.10.1.86      2048 Bytes  25/11/2009 20:44:42
VBASE021.VDF            : 7.10.1.87      2048 Bytes  25/11/2009 20:44:42
VBASE022.VDF            : 7.10.1.88      2048 Bytes  25/11/2009 20:44:42
VBASE023.VDF            : 7.10.1.89      2048 Bytes  25/11/2009 20:44:42
VBASE024.VDF            : 7.10.1.90      2048 Bytes  25/11/2009 20:44:43
VBASE025.VDF            : 7.10.1.91      2048 Bytes  25/11/2009 20:44:43
VBASE026.VDF            : 7.10.1.92      2048 Bytes  25/11/2009 20:44:43
VBASE027.VDF            : 7.10.1.93      2048 Bytes  25/11/2009 20:44:43
VBASE028.VDF            : 7.10.1.94      2048 Bytes  25/11/2009 20:44:43
VBASE029.VDF            : 7.10.1.95      2048 Bytes  25/11/2009 20:44:43
VBASE030.VDF            : 7.10.1.96      2048 Bytes  25/11/2009 20:44:43
VBASE031.VDF            : 7.10.1.125    197632 Bytes  30/11/2009 22:46:20
Version du moteur       : 8.2.1.88 
AEVDF.DLL               : 8.1.1.2      106867 Bytes  08/10/2009 10:59:57
AESCRIPT.DLL            : 8.1.2.45     586108 Bytes  17/11/2009 20:44:02
AESCN.DLL               : 8.1.2.5      127346 Bytes  08/10/2009 10:59:54
AESBX.DLL               : 8.1.1.1      246132 Bytes  19/11/2009 20:44:53
AERDL.DLL               : 8.1.3.4      479605 Bytes  30/11/2009 20:45:31
AEPACK.DLL              : 8.2.0.3      422261 Bytes  05/11/2009 21:04:19
AEOFFICE.DLL            : 8.1.0.38     196987 Bytes  23/07/2009 08:59:39
AEHEUR.DLL              : 8.1.0.184   2146681 Bytes  30/11/2009 20:45:30
AEHELP.DLL              : 8.1.7.5      237942 Bytes  25/11/2009 20:44:44
AEGEN.DLL               : 8.1.1.78     364917 Bytes  25/11/2009 20:44:43
AEEMU.DLL               : 8.1.1.0      393587 Bytes  08/10/2009 10:59:28
AECORE.DLL              : 8.1.8.4      180599 Bytes  30/11/2009 20:45:29
AEBB.DLL                : 8.1.0.3       53618 Bytes  09/10/2008 13:32:40
AVWINLL.DLL             : 9.0.0.3       18177 Bytes  12/12/2008 07:47:30
AVPREF.DLL              : 9.0.3.0       44289 Bytes  09/10/2009 10:57:45
AVREP.DLL               : 8.0.0.3      155905 Bytes  20/01/2009 13:34:28
AVREG.DLL               : 9.0.0.0       36609 Bytes  07/11/2008 14:24:42
AVARKT.DLL              : 9.0.0.3      292609 Bytes  24/03/2009 14:05:22
AVEVTLOG.DLL            : 9.0.0.7      167169 Bytes  30/01/2009 09:36:37
SQLITE3.DLL             : 3.6.1.0      326401 Bytes  28/01/2009 14:03:49
SMTPLIB.DLL             : 9.2.0.25      28417 Bytes  02/02/2009 07:20:57
NETNT.DLL               : 9.0.0.0       11521 Bytes  07/11/2008 14:40:59
RCIMAGE.DLL             : 9.0.0.25    2438913 Bytes  17/06/2009 12:44:26
RCTEXT.DLL              : 9.0.73.0      88321 Bytes  19/11/2009 20:44:52

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, H:, 
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Recherche optimisée...........................: marche
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+SPR,

Début de la recherche : lundi 30 novembre 2009  23:49

La recherche d'objets cachés commence.
'116580' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mbam.exe' - '1' module(s) sont contrôlés
Processus de recherche 'java.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jucheck.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CPSHelpRunner.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SeaPort.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MDM.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'mbamservice.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CanalPlus.VOD.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CCC.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mbamgui.exe' - '1' module(s) sont contrôlés
Processus de recherche 'realsched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'issch.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MOM.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RoxWatchTray9.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'soundman.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'50' processus ont été contrôlés avec '50' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD1
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD2
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD3
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD4
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD5
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage 'H:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '64' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Program Files\HTV\HTV.003
    [RESULTAT]  Contient le modèle de détection du programme SPR/Ardamax.O.49
C:\Program Files\HTV\HTV.004
    [RESULTAT]  Contient le cheval de Troie TR/Spy.Ardamax.E.79
C:\Program Files\HTV\HTV.007
    [RESULTAT]  Contient le modèle de détection du programme SPR/Ardamax.271.1
C:\Program Files\HTV\Uninstall.exe
  [0] Type d'archive: NSIS
    [RESULTAT]  Contient le modèle de détection  de l'application APPL/Ardamax.A
C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP254\A0099461.exe
    [RESULTAT]  Contient le cheval de Troie TR/Spy.Ardamax.J
C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP254\A0099462.exe
    [RESULTAT]  Contient le modèle de détection du programme SPR/Ardamax.O.35
Recherche débutant dans 'H:\' <Saeed>

Début de la désinfection :
C:\Program Files\HTV\HTV.003
    [RESULTAT]  Contient le modèle de détection du programme SPR/Ardamax.O.49
    [AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
    [AVERTISSEMENT] Impossible de trouver le fichier source.
    [REMARQUE]  Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
    [AVERTISSEMENT] Erreur dans la bibliothèque ARK
    [REMARQUE]  Le fichier a été repéré pour une suppression après un redémarrage.
C:\Program Files\HTV\HTV.004
    [RESULTAT]  Contient le cheval de Troie TR/Spy.Ardamax.E.79
    [AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
    [AVERTISSEMENT] Impossible de trouver le fichier source.
    [REMARQUE]  Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
    [AVERTISSEMENT] Erreur dans la bibliothèque ARK
    [REMARQUE]  Le fichier a été repéré pour une suppression après un redémarrage.
C:\Program Files\HTV\HTV.007
    [RESULTAT]  Contient le modèle de détection du programme SPR/Ardamax.271.1
    [AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
    [AVERTISSEMENT] Impossible de trouver le fichier source.
    [REMARQUE]  Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
    [AVERTISSEMENT] Erreur dans la bibliothèque ARK
    [REMARQUE]  Le fichier a été repéré pour une suppression après un redémarrage.
C:\Program Files\HTV\Uninstall.exe
    [RESULTAT]  Contient le modèle de détection  de l'application APPL/Ardamax.A
    [AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
    [AVERTISSEMENT] Impossible de trouver le fichier source.
    [REMARQUE]  Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
    [AVERTISSEMENT] Erreur dans la bibliothèque ARK
    [REMARQUE]  Le fichier a été repéré pour une suppression après un redémarrage.
C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP254\A0099461.exe
    [RESULTAT]  Contient le cheval de Troie TR/Spy.Ardamax.J
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b44b238.qua' !
C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP254\A0099462.exe
    [RESULTAT]  Contient le modèle de détection du programme SPR/Ardamax.O.35
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '48f73f71.qua' !


Fin de la recherche : mardi 1 décembre 2009  07:04
Temps nécessaire:  5:35:34 Heure(s)

La recherche a été effectuée intégralement

  30046 Les répertoires ont été contrôlés
 1043358 Des fichiers ont été contrôlés
      6 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      2 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      1 Impossible de contrôler des fichiers
 1043351 Fichiers non infectés
   4562 Les archives ont été contrôlées
      5 Avertissements
      7 Consignes
 116580 Des objets ont été contrôlés lors du Rootkitscan
      0 Des objets cachés ont été trouvés

J'ai tout supprimer et redémarre car certain néccésité un redémarrage.

Par la suite, j'ai nettoyer la base de registre avec CCleaner pour enlever les dll obsolètes et reference MUI.



Je ne sais pas si me reste des traces à présent.
Amicalement
Je t'envoie de suite un autre rapport RSIT.

Ma configuration :
MBAM version complète donc comprend un anti malware et protection ip
Antivir 2009 mis a jour régulièrement
CCleaner

Navid_92 · Answer

Logfile of random's system information tool 1.06 (written by random/random)
Run by EMAD at 2009-12-01 17:55:11
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 44 GB (38%) free of 116 GB
Total RAM: 3070 MB (80% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:55:20, on 01/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD\CanalPlus.VOD.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\Documents and Settings\EMAD\Mes documents\Téléchargements\RSIT.exe
C:\Program Files	rend micro\EMAD.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A057A204-BACC-4D26-8287-79A187E26987} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: (no name) - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - (no file)
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: XBTBPos00 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - (no file)
O3 - Toolbar: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - (no file)
O3 - Toolbar: (no name) - {A057A204-BACC-4D26-8287-79A187E26987} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\EMAD\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Livre de reliures HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Sélection intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://ushousecall02.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/fr/uno1/GAME_UNO1.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://fichiers.touslesdrivers.com/maconfig/MaConfig_3_1_2_1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: CanalPlus.VOD - Canal+ Active - C:\Program Files\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD\CanalPlus.VOD.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: Ma-Config Service (maconfservice) - Unknown owner - C:\Program Files\ma-config.com\maconfservice.exe (file missing)
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 9\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 9\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe

gen-hackman · Answer

puisque tu n'executes pas le choses demandées , dans un ordre precis de surcroît , tu n'en fais qu'a ta tete , tu fais ta desinfection tout seul

bonne soirée

Navid_92 · Answer

:') vu que tu as dit le rapport AD remover était bon et que de ma part USB fix ne servait pas, je me suis dit faire des analyses avec mes antivirus le temps de ta réponse.

Merci quand même de m'avoir tout de même aidez
Bonne soirée Gen

Quelqu'un verrai quelque de mauvais dans les rapports

gen-hackman · Answer

ce n'est pas parce que tu n as pas de ports usb utilisés que tu n'es pas dans la detection de usbfix car il ne fait pas uniquement que ca

Navid_92 · Answer

ah ok je le fait de suite alors :)

gen-hackman · Answer

il devrait te sortir : K:\Start.exe

Navid_92 · Answer

############################## | UsbFix V6.059 |

User : Rick  (Administrateurs) # Rick
Update on 01/12/2009 by Chiquitine29, C_XX & Chimay8
Start at: 20:11:08 | 01/12/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Athlon(tm) 64 X2 Dual Core Processor 3800+
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | Updated ]

C:\ -> Disque fixe local # 113,76 Go (43,21 Go free) # NTFS
D:\ -> Disque amovible
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque fixe local # 114,25 Go (43,15 Go free) [Saeed] # NTFS
I:\ -> Disque CD-ROM
J:\ -> Disque amovible

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 612
C:\WINDOWS\system32\csrss.exe 664
C:\WINDOWS\system32\winlogon.exe 696
C:\WINDOWS\system32\services.exe 740
C:\WINDOWS\system32\lsass.exe 752
C:\WINDOWS\system32\Ati2evxx.exe 948
C:\WINDOWS\system32\svchost.exe 964
C:\WINDOWS\system32\svchost.exe 1016
C:\WINDOWS\System32\svchost.exe 1120
C:\WINDOWS\system32\svchost.exe 1160
C:\WINDOWS\system32\svchost.exe 1216
C:\WINDOWS\system32\svchost.exe 1356
C:\WINDOWS\system32\Ati2evxx.exe 1468
C:\WINDOWS\system32\spoolsv.exe 1548
C:\Program Files\Avira\AntiVir Desktop\sched.exe 1648
C:\WINDOWS\system32\svchost.exe 1808
C:\WINDOWS\Explorer.EXE 204
C:\WINDOWS\SOUNDMAN.EXE 344
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 416
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe 440
C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe 448
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe 464
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe 476
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe 488
C:\WINDOWS\system32\ctfmon.exe 1080
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe 1200
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 1636
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 1784
C:\Program Files\Bonjour\mDNSResponder.exe 1836
C:\Program Files\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD\CanalPlus.VOD.exe 1920
C:\WINDOWS\system32\svchost.exe 2244
C:\Program Files\Java\jre6\bin\jqs.exe 2288
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe 2344
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE 2512
C:\WINDOWS\System32\svchost.exe 2528
C:\WINDOWS\System32\svchost.exe 2612
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe 2948
C:\WINDOWS\system32\svchost.exe 3028
C:\WINDOWS\System32\svchost.exe 3676
C:\WINDOWS\system32\wbem\wmiapsrv.exe 756
C:\WINDOWS\System32\alg.exe 3228
C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe 3200
C:\WINDOWS\system32\wbem\wmiprvse.exe 908

################## | Fichiers # Dossiers infectieux |

C:\WINDOWS\System32\autorun.inf 
C:\DOCUME~1\Rick\Bureau\photo.exe 

################## | Spyware.OnlineGames |

C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP191\A0068913.dll  
C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP191\A0068914.dll  
C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP196\A0071126.dll  
C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP198\A0071311.dll  
C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP198\A0071312.dll  
C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP206\A0075049.dll  
C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP206\A0075073.dll  
C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP206\A0075074.dll  
C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP206\A0075075.dll  
C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP206\A0075440.dll  
C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP225\A0080432.dll  
C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP234\A0088277.dll  
C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP234\A0088278.dll  
C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP241\A0089904.dll  
C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP241\A0089905.dll  
C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP246\A0090469.dll  
C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP246\A0090493.dll  
C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP246\A0090494.dll  
C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP246\A0090495.dll  

################## | Registre # Clés infectieuses |


################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{d4168823-d52b-11de-a7a2-00155839c65c}
Shell\AutoRun\command =K:\start.exe 

################## | Cracks / Keygens / Serials |

"C:\Program Files\RAR Password Cracker\rpc.exe"  
25/04/2004 08:51 |Size 157696 |Crc32 869cfa21 |Md5 973a6d6e7c5e21765e0a5339fa95bfd9  
 
"C:\Program Files\RAR Password Cracker\uninstall.exe"  
05/11/2009 21:29 |Size 36499 |Crc32 55cad0f3 |Md5 ae68efdff1c3ad1d70387fac005e90d0  
 
"H:\ps3\Adobe photoshop CS3 FRENCH\Crack\Photoshop.exe"  
11/01/2008 02:14 |Size 44814336 |Crc32 8d075606 |Md5 d450729171238e2ea26b74099327d7aa  
 
"H:\T‚l‚chargement mozilla\Assassin's Creed (FR) By Kolrik\(-- Crack --)\AssassinsCreed_Dx10.exe"  
05/05/2008 13:36 |Size 24182784 |Crc32 52426424 |Md5 74f8c2d34832e7c345690479f2a3ad32  
 
"H:\T‚l‚chargement mozilla\Assassin's Creed (FR) By Kolrik\(-- Crack --)\AssassinsCreed_Dx9.exe"  
05/05/2008 13:25 |Size 24662016 |Crc32 d2acf62a |Md5 dda2ae1c4973fe16111d371366513194  
 

################## | ! Fin du rapport # UsbFix V6.059 ! |

gen-hackman · Answer

alors qu'est-ce-que tu dis de ca ?

&#9654  (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

&#9654 Double clic (clic droit "en tant qu'administrateur" pour Vista)sur le raccourci UsbFix présent sur ton bureau

&#9654 Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

&#9654 Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]  

&#9654 Ton bureau disparaitra et le pc redémarrera .

&#9654 Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Navid_92 · Answer

############################## | UsbFix V6.059 |

User : EMAD (Administrateurs) # NS-EMAD
Update on 01/12/2009 by Chiquitine29, C_XX & Chimay8
Start at: 12:36:29 | 02/12/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Athlon(tm) 64 X2 Dual Core Processor 3800+
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | Updated ]

C:\ -> Disque fixe local # 113,76 Go (43,37 Go free) # NTFS
D:\ -> Disque amovible
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque fixe local # 114,25 Go (43,15 Go free) [Saeed] # NTFS
I:\ -> Disque CD-ROM
J:\ -> Disque amovible

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 612
C:\WINDOWS\system32\csrss.exe 664
C:\WINDOWS\system32\winlogon.exe 696
C:\WINDOWS\system32\services.exe 740
C:\WINDOWS\system32\lsass.exe 752
C:\WINDOWS\system32\Ati2evxx.exe 944
C:\WINDOWS\system32\svchost.exe 960
C:\WINDOWS\system32\svchost.exe 1016
C:\WINDOWS\System32\svchost.exe 1120
C:\WINDOWS\system32\svchost.exe 1160
C:\WINDOWS\system32\svchost.exe 1216
C:\WINDOWS\system32\svchost.exe 1356
C:\WINDOWS\system32\Ati2evxx.exe 1428
C:\WINDOWS\system32\spoolsv.exe 1592
C:\Program Files\Avira\AntiVir Desktop\sched.exe 1644
C:\WINDOWS\system32\svchost.exe 1840
C:\WINDOWS\system32\KB905474\wgasetup.exe 1932
C:\WINDOWS\system32\KB905474\wgasetup.exe 1956
C:\WINDOWS\Explorer.EXE 2028
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 456
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 468
C:\Program Files\Bonjour\mDNSResponder.exe 504
C:\Program Files\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD\CanalPlus.VOD.exe 524
C:\WINDOWS\system32\svchost.exe 1076
C:\Program Files\Java\jre6\bin\jqs.exe 1108
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe 1236
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE 1552
C:\WINDOWS\System32\svchost.exe 1668
C:\WINDOWS\System32\svchost.exe 1568
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe 2240
C:\WINDOWS\system32\svchost.exe 2316
C:\WINDOWS\system32\wuauclt.exe 2496
C:\WINDOWS\system32\wbem\wmiprvse.exe 2680
C:\WINDOWS\System32\svchost.exe 2800
C:\WINDOWS\system32\wbem\wmiapsrv.exe 2840
C:\WINDOWS\system32\wbem\wmiprvse.exe 2988
C:\WINDOWS\System32\alg.exe 3156

################## | Fichiers # Dossiers infectieux |

Supprimé ! C:\WINDOWS\System32\autorun.inf 

################## | Spyware.OnlineGames |

Supprimé ! C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP191\A0068913.dll 
Supprimé ! C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP191\A0068914.dll 
Supprimé ! C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP196\A0071126.dll 
Supprimé ! C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP198\A0071311.dll 
Supprimé ! C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP198\A0071312.dll 
Supprimé ! C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP206\A0075049.dll 
Supprimé ! C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP206\A0075073.dll 
Supprimé ! C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP206\A0075074.dll 
Supprimé ! C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP206\A0075075.dll 
Supprimé ! C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP206\A0075440.dll 
Supprimé ! C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP225\A0080432.dll 
Supprimé ! C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP234\A0088277.dll 
Supprimé ! C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP234\A0088278.dll 
Supprimé ! C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP241\A0089904.dll 
Supprimé ! C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP241\A0089905.dll 
Supprimé ! C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP246\A0090469.dll 
Supprimé ! C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP246\A0090493.dll 
Supprimé ! C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP246\A0090494.dll 
Supprimé ! C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP246\A0090495.dll 
Supprimé ! C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP255\A0102553.cmd 
Supprimé ! C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP255\A0102553.cmd 
Supprimé ! C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP255\A0102553.cmd 
Supprimé ! C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP255\A0102553.cmd 

################## | Registre # Clés infectieuses |


################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{d4168823-d52b-11de-a7a2-00155839c65c}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[30/11/2009 22:34|--a------|7647] C:\Ad-Report-CLEAN[1].log 
[02/12/2009 12:31|--a------|3237] C:\Ad-Report-CLEAN[2].log 
[09/05/2009 23:19|--a------|0] C:\AUTOEXEC.001 
[12/10/2009 17:22|--a------|38] C:\AUTOEXEC.002 
[12/10/2009 17:22|--a------|64] C:\AUTOEXEC.BAT 
[01/12/2009 13:24|-r-hs----|252] C:\boot.ini 
[05/08/2004 13:00|-rahs----|4952] C:\Bootfont.bin 
[26/08/2009 20:15|--a------|47794] C:\changelog.txt 
[09/05/2009 23:19|--a------|0] C:\CONFIG.SYS 
[07/11/2007 08:00|--a------|17734] C:\eula.1028.txt 
[07/11/2007 08:00|--a------|17734] C:\eula.1031.txt 
[07/11/2007 08:00|--a------|10134] C:\eula.1033.txt 
[07/11/2007 08:00|--a------|17734] C:\eula.1036.txt 
[07/11/2007 08:00|--a------|17734] C:\eula.1040.txt 
[07/11/2007 08:00|--a------|118] C:\eula.1041.txt 
[07/11/2007 08:00|--a------|17734] C:\eula.1042.txt 
[07/11/2007 08:00|--a------|17734] C:\eula.2052.txt 
[07/11/2007 08:00|--a------|17734] C:\eula.3082.txt 
[29/11/2009 21:22|--a------|60] C:\FichierLog.txt 
[07/11/2007 08:00|--a------|1110] C:\globdata.ini 
[07/11/2007 08:03|--a------|562688] C:\install.exe 
[07/11/2007 08:00|--a------|843] C:\install.ini 
[07/11/2007 08:03|--a------|76304] C:\install.res.1028.dll 
[07/11/2007 08:03|--a------|96272] C:\install.res.1031.dll 
[07/11/2007 08:03|--a------|91152] C:\install.res.1033.dll 
[07/11/2007 08:03|--a------|97296] C:\install.res.1036.dll 
[07/11/2007 08:03|--a------|95248] C:\install.res.1040.dll 
[07/11/2007 08:03|--a------|81424] C:\install.res.1041.dll 
[07/11/2007 08:03|--a------|79888] C:\install.res.1042.dll 
[07/11/2007 08:03|--a------|75792] C:\install.res.2052.dll 
[07/11/2007 08:03|--a------|96272] C:\install.res.3082.dll 
[09/05/2009 23:19|-rahs----|0] C:\IO.SYS 
[09/05/2009 23:19|-rahs----|0] C:\MSDOS.SYS 
[05/08/2004 13:00|-rahs----|47564] C:\NTDETECT.COM 
[11/05/2009 23:18|-rahs----|252240] C:\ntldr 
[?|?|?] C:\pagefile.sys 
[22/07/2009 11:57|--ahs----|3072] C:\Thumbs.db 
[02/12/2009 12:59|--a------|7422] C:\UsbFix.txt 
[09/05/2009 23:19|--ahs----|768] C:\vawjaw3o.sys 
[07/11/2007 08:00|--a------|5686] C:\vcredist.bmp 
[07/11/2007 08:09|--a------|1442522] C:\VC_RED.cab 
[07/11/2007 08:12|--a------|232960] C:\VC_RED.MSI 
[26/08/2009 20:15|--a------|3648] C:\_stylesheet.css 
[02/11/2009 14:44|--a------|159037] H:\16.jpg 
[01/11/2009 22:51|--a------|14409240] H:\283814.avi 
[02/11/2009 14:47|--a------|8598] H:\4494214_medium.jpg 
[05/11/2009 23:18|--a------|77338] H:\aeG copie.png 
[05/11/2009 23:08|--a------|205276] H:\aeG.png 
[05/11/2009 23:10|--a------|647776] H:\aeG.psd 
[28/10/2009 13:53|--a------|698309] H:\ale_frame copie.jpg 
[29/10/2009 10:55|--a------|6568733] H:\blason copie.eps 
[12/06/2008 13:22|--a------|65982] H:\bouton 1.jpg 
[12/06/2008 13:23|--a------|96565] H:\bouton 2.jpg 
[12/06/2008 13:23|--a------|86856] H:\bouton 3.jpg 
[28/10/2009 13:29|--a------|670397] H:\calair.jpg 
[06/11/2009 13:27|--a------|11111154] H:\CLIP OFFICIEL - MISS FRANCE - HELMUT FRITZ.avi 
[27/10/2009 21:57|--a------|901] H:\conf.inc.php 
[30/10/2009 14:20|--a------|113625] H:\cute-twitters-preview.jpg 
[05/11/2009 21:23|--a------|97260] H:\D4AMENICNOXAMEMA11010.rar 
[03/11/2009 20:33|--a------|71852788] H:\Delnavazan 35.wmv 
[03/11/2009 20:40|--a------|84782773] H:\Delnavazan 36.wmv 
[12/06/2008 13:51|--a------|25165] H:\Dessiner des boutons pour site.atn 
[05/11/2009 19:27|--a------|251922] H:\Dessiner des boutons pour site.rar 
[28/10/2009 14:08|--a------|588800] H:\dofus-eire-II.MSWMM 
[02/07/2009 20:51|--a------|1093] H:\D‚tourage facile.atn 
[05/11/2009 19:22|--a------|510] H:\D‚tourage facile.rar 
[30/10/2009 14:37|--a------|86509] H:\favicon-gallery.jpg 
[28/10/2009 22:09|--a------|8448] H:\footer.html 
[28/10/2009 23:02|--a------|4227] H:\footer2.jpg 
[28/10/2009 12:14|--a------|702560] H:\G‚n‚rique d'ouverture Dofus 1.29 en fran‡ais.avi 
[28/10/2009 23:02|--a------|118734] H:\header.jpg 
[04/11/2009 22:05|--a------|242324] H:\Hgiht For Win.psd 
[04/11/2009 23:05|--a------|328732] H:\Hight For Wi2n.psd 
[04/11/2009 22:14|--a------|394811] H:\Hight For Win.psd 
[06/11/2009 12:50|--a------|15084] H:\index.html 
[28/10/2009 12:26|--a------|576121] H:\Iop_by_gueuzav.jpg 
[02/11/2009 02:30|--a------|56] H:\ip serv.txt 
[02/11/2009 02:07|--a------|27396] H:\logo.jpg 
[02/11/2009 02:06|--a------|18012] H:\logo_trans.png 
[28/10/2009 13:54|--a------|649778] H:\purple_frame copie.jpg 
[06/11/2009 13:24|--a------|7693082] H:\PzK - Les Filles Adorent (Clip Officiel).avi 
[17/12/2008 11:20|--a------|1425] H:\ReadMe.txt 
[28/10/2009 13:50|--a------|54009] H:\Sans titre-1 copie.jpg 
[28/10/2009 13:55|--a------|586752] H:\SansTitre.MSWMM 
[12/06/2008 13:26|--a------|48046] H:\Script boutons.jpg 
[28/10/2009 13:29|--a------|484160] H:\sombre.jpg 
[28/10/2009 12:03|--a------|7851746] H:\System Of A Down - Toxicity.avi 
[17/10/2009 12:24|--ahs----|89600] H:\Thumbs.db 
[28/10/2009 23:03|--a------|27094] H:\titre3.jpg 
[05/11/2009 21:31|--a------|8179] H:\titre3.rar 
[28/10/2009 23:03|--a------|27270] H:\titre4.jpg 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.  
# H:\autorun.inf -> Dossier créé par UsbFix.  

################## | Cracks / Keygens / Serials |

"C:\Program Files\RAR Password Cracker\rpc.exe"  
25/04/2004 08:51 |Size 157696 |Crc32 869cfa21 |Md5 973a6d6e7c5e21765e0a5339fa95bfd9  
 
"C:\Program Files\RAR Password Cracker\uninstall.exe"  
05/11/2009 21:29 |Size 36499 |Crc32 55cad0f3 |Md5 ae68efdff1c3ad1d70387fac005e90d0  
 
"H:\ps3\Adobe photoshop CS3 FRENCH\Crack\Photoshop.exe"  
11/01/2008 02:14 |Size 44814336 |Crc32 8d075606 |Md5 d450729171238e2ea26b74099327d7aa  
 
"H:\T‚l‚chargement mozilla\Assassin's Creed (FR) By Kolrik\(-- Crack --)\AssassinsCreed_Dx10.exe"  
05/05/2008 13:36 |Size 24182784 |Crc32 52426424 |Md5 74f8c2d34832e7c345690479f2a3ad32  
 
"H:\T‚l‚chargement mozilla\Assassin's Creed (FR) By Kolrik\(-- Crack --)\AssassinsCreed_Dx9.exe"  
05/05/2008 13:25 |Size 24662016 |Crc32 d2acf62a |Md5 dda2ae1c4973fe16111d371366513194

Navid_92 · Answer

LOL je ne sais pas si c'est de cela mais depuis, mon PC va pas du tout : 

Trojan-Spy.Win32.Ardamax

C:/ProgramFiles/HTV/HTV006.exe

et quand je fais supprimer mon écran se freeze.

j'essaye de le faire en mode sans echec mais quand je vais en mode sans echec sa reboot automatiquement après la fenetre choix utilisateur.

Navid_92 · Answer

Un nouveau virus encore LOL : 

TR/keylog.ardamax.nal.1

C:/ProgramFiles/HTV/HTV006.exe

gen-hackman · Answer

C:\vawjaw3o.sys 

tu peux me donner les proprietes de ce fichier ?

Navid_92 · Answer

Je ne vois pas ce fichier C:\vawjaw3o.sys

(je déjà activer les voir fichier caché)

A part ça quelque chose d'autre ?

gen-hackman · Answer

ou est ton lecteur K:\ ?

Navid_92 · Answer

De quoi parle tu je n'ai que le lecteur C:/ et H:/

gen-hackman · Answer

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d4168823-d52b-11de-a7a2-00155839c65c}]
shell\AutoRun\command - K:\start.exe

Navid_92 · Answer

Bah dans le poste travail je n'ai pas de K:/

gen-hackman · Answer

donc tu t'es dej aservi des usb ^^ ▶ Télécharge Dr Web CureIt sur ton Bureau : ▶ redemarre en mode sans échec ▶- Double clique (clic droit "en tant qu'admin" sous Vista) et ensuite clique sur ; ▶- Clique à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton . Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X". ▶- Lorsque le scan rapide est terminé, clique sur le menu puis ; Choisis l'onglet , et décoche . Clique ensuite sur . ▶- De retour à la fenêtre principale : clique pour activer ▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera. ▶- Clique pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter". ▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône , au dessous, et choisis . ▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu et choisis . Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv ▶- Ferme Dr.Web Cureit ▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage). ▶- Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse.

Navid_92 · Answer

peut être mais ya lontemps !

Navid_92 · Answer

http://dl.commentcamarche.net/www.commentcamarche.net/download/files/drweb-cureit.exe  POUR LE T2L2CHARGEMENT DE CE LOGICIEL car l'autre me dit 3h d'attente ^^

gen-hackman · Answer

non il n est pas a jour celui-là

Navid_92 · Answer

J'ai fait avec celui-ci car l'autre mettait 5h34 min de téléchargement (1ko/sec) donc ^^

idphotostudio_idphotostudio_2.4.0.18_francais_15341.exe/data002\data004     C:\Documents and Settings\EMAD\Bureau\idphotostudio_idphotostudio_2.4.0.18_francais_15341.exe/data002    Adware.Relevant.10
-----------------------------------------------
data002    C:\Documents and Settings\EMAD\Bureau    L'archive contient des éléments infectés
-----------------------------------------------
idphotostudio_idphotostudio_2.4.0.18_francais_15341.exe    C:\Documents and Settings\EMAD\Bureau    Conteneur comporte des objets infectés     Quarantaine.
-----------------------------------------------
UsbFix.exe\Tools\Kill_P.exe    C:\Documents and Settings\EMAD\Bureau\UsbFix.exe    Tool.Prockill
-----------------------------------------------
UsbFix.exe    C:\Documents and Settings\EMAD\Bureau    L'archive contient des éléments infectés   Quarantaine.
-----------------------------------------------
AD-R.exe\data016    C:\Documents and Settings\EMAD\Mes documents\Téléchargements\AD-R.exe   Tool.Prockill
-----------------------------------------------
AD-R.exe    C:\Documents and Settings\EMAD\Mes documents\Téléchargements    L'archive contient des éléments infectés   Quarantaine.
-----------------------------------------------
Alexander Rybak - Fairytale.mp3    C:\Program Files\eChanblard\Incoming    Trojan.WMALoader   Désinfecté.
-----------------------------------------------

Au redémarrage il y a eu la page Windows, et il a supprimé corriger remplacer je ne sais pas quoi c'est normal ?

-----------------------------------------------


Un rapport RSIT (hijack)

Logfile of random's system information tool 1.06 (written by random/random)
Run by Rick at 2009-12-03 08:43:09
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 43 GB (37%) free of 116 GB
Total RAM: 3070 MB (78% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:43:22, on 03/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD\CanalPlus.VOD.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\EMAD\Mes documents\Téléchargements\RSIT.exe
C:\Program Files	rend microick.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A057A204-BACC-4D26-8287-79A187E26987} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: (no name) - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - (no file)
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: XBTBPos00 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - (no file)
O3 - Toolbar: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - (no file)
O3 - Toolbar: (no name) - {A057A204-BACC-4D26-8287-79A187E26987} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\EMAD\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Livre de reliures HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Sélection intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://ushousecall02.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/fr/uno1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://fichiers.touslesdrivers.com/maconfig/MaConfig_3_1_2_1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: CanalPlus.VOD - Canal+ Active - C:\Program Files\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD\CanalPlus.VOD.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: Ma-Config Service (maconfservice) - Unknown owner - C:\Program Files\ma-config.com\maconfservice.exe (file missing)
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 9\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 9\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe

gen-hackman · Answer

Télécharge OTL de OLDTimer

&#9654 enregistre le sur ton Bureau.

&#9654 Double clic ( pour vista => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.

&#9654 Coche les 2 cases Lop et Purity

&#9654 Coche la case devant scan all users

&#9654 règle-le sur "60 Days"

&#9654 dans la colonne de gauche , mets tout sur all

ne modifie pas ceci : 

"files created whithin" et "files modified whithin" 

&#9654Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt".

Navid_92 · Answer

VOILA :


Extras.Txt
--------------
http://navid.graph.free.fr/Extras.Txt
--------------
OTL.Txt
------------
http://navid.graph.free.fr/OTL.Txt
------------

Navid_92 · Answer

(J'ai toujours le virus Ardamax keylogger) Je viens de lire sur un forum la liste de dossiers et fichiers de ce virus : 

Dossiers utilisés :

    * C:\Documents and Settings\All Users\Start Menu\Programs\Ardamax Keylogger
    * C:\Program Files\HTV

Fichiers utilisés :

    * C:\Program Files\HTV\HTV.007
      [5632 Bytes] 007 File
    * C:\Program Files\HTV\akv.cfg
      [358 Bytes] Microsoft Office Outlook Configuration File
    * C:\Program Files\HTV\AKV.exe
      [418304 Bytes] Application
    * C:\Program Files\HTV\HTV.001
      [2596 Bytes] 001 File
    * C:\Program Files\HTV\HTV.002
      [396 Bytes] 002 File
    * C:\Program Files\HTV\HTV.003
      [4608 Bytes] 003 File
    * C:\Program Files\HTV\HTV.004
      [14848 Bytes] 004 File
    * C:\Documents and Settings\All Users\Start Menu\Programs\Ardamax Keylogger\Help.lnk
      [484 Bytes] Shortcut
    * C:\Program Files\HTV\HTV.005
      [676 Bytes] 005 File
    * C:\Program Files\HTV\HTV.006
      [8192 Bytes] 006 File
    * C:\Documents and Settings\All Users\Start Menu\Programs\Ardamax Keylogger\Log Viewer.lnk
      [542 Bytes] Shortcut
    * C:\Documents and Settings\All Users\Start Menu\Programs\Ardamax Keylogger\Ardamax Keylogger.lnk
      [528 Bytes] Shortcut
    * C:\Program Files\HTV	ray.gif
      [7435 Bytes] GIF Image
    * C:\Program Files\HTV\qs.html
      [1426 Bytes] Firefox Document
    * C:\Program Files\HTV\menu.gif
      [23014 Bytes] GIF Image
    * C:\Program Files\HTV\HTV.exe
      [525824 Bytes] Application
    * C:\Program Files\HTV\HTV.chm
      [34033 Bytes] Compiled HTML Help file

Mais j'ai essayé de les supprimer mais quand je vais dans c:/Program Files/ il n'est pas la ?

gen-hackman · Answer

jez t ai demandé par cijoint.fr !! je n ai pas acces a ton site ;

==> Télécharge  OAD (de Laur3n7!)

&#9654 Enregistre le sur ton bureau

&#9654 Double clique sur le OAD pour le lancer

&#9654 nom de fichier à rechercher ,tape : |Ardamax|

&#9654 Type de recherche : sélectionne l'option 6 puis valide [entree]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.

&#9654 Fais un copier / coller de ce rapport dans ton prochain post.

Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient

Navid_92 · Answer

Tu reveut les Extras et OTL.txt par cijoint ?

Navid_92 · Answer

03/12/2009 ---- 18:51:37,92  

----------------------------------
§§§§§§ [Ardamax] §§§§§§
----------------------------------
[X] Registre
[  ] Fichier (rapide)
[  ] Fichier (disque systeme)
[X] Fichier (complete)




********************
     [Registre] 
********************


[HKEY_LOCAL_MACHINE\SOFTWARE\Avira\AntiVir Desktop]
"LastMalware"="SPR/Ardamax.O.35"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Ardamax Keylogger]

[HKEY_USERS\S-1-5-21-776561741-2052111302-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ardamax.com]

[HKEY_USERS\S-1-5-21-776561741-2052111302-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ardamax.com\www]

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

gen-hackman · Answer

fais d'abord OAD stp on verra ensuite

Navid_92 · Answer

Extras.txt
http://www.cijoint.fr/cjlink.php?file=cj200912/cij5BtCW7X.txt

OTL.txt
http://www.cijoint.fr/cjlink.php?file=cj200912/cij7PiU7Y3.txt

gen-hackman · Answer

&#9654 Télécharge Zeb-Restoreet enregistre ce fichier sur le bureau. 

&#9654-Clic droit Zeb-Restore.zip ==> Extraire tout choisis comme lieu d'enregistrement le bureau.
 
&#9654-Ouvre le dossier ZR_1.0.0.37 ==> double clic sur Zeb-Restore.exe 

&#9654- Coche la case devant :sites de confiance

&#9654- Ne coche aucune autre case 

&#9654-Clique sur Restaurer 

&#9654-Redémarre ton PC

ensuite :

&#9654 Double clic sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous Customs Scans/Fixes :

:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}:6.0.15
O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found.
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (no name) - {A057A204-BACC-4D26-8287-79A187E26987} - No CLSID value found.
O2 - BHO: (no name) - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - No CLSID value found.
O2 - BHO: (no name) - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {A057A204-BACC-4D26-8287-79A187E26987} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: AllowLegacyWebView = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: AllowUnhashedWebView = 1
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} http://fichiers.touslesdrivers.com/maconfig/MaConfig_3_1_2_1.cab (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O20 - Winlogon\Notify\avgrsstarter: DllName - avgrsstx.dll -  File not found
O32 - AutoRun File - [2009/05/09 23:19:11 | 00,000,000 | ---- | M] () - C:\AUTOEXEC.001 -- [ NTFS ]
O32 - AutoRun File - [2009/10/12 17:22:45 | 00,000,038 | ---- | M] () - C:\AUTOEXEC.002 -- [ NTFS ]

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Avira\AntiVir Desktop]
"LastMalware"=""
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Ardamax Keylogger]
[-HKEY_USERS\S-1-5-21-776561741-2052111302-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ardamax.com] 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"ISUSPM Startup"=-
"ISUSScheduler"=-
"QuickTime Task"=-
"TkBellExe"=-

:files
C:\WINDOWS\system32\drivers\kwflower.log
C:\Program Files\HTV
C:\Documents and Settings\EMAD\Mes documents\KeyloggerCFG CS
C:\Documents and Settings\EMAD\Local Settings\Application Data\AskToolbar
C:\Documents and Settings\EMAD\Application Data\vmntoolbar
C:\Documents and Settings\All Users\Application Data\{755AC846-7372-4AC8-8550-C52491DAA8BD}
C:\Documents and Settings\All Users\Application Data\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
@Alternate Data Stream - 140 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:0C1EFF69
@Alternate Data Stream - 133 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:F4CA4D70
@Alternate Data Stream - 103 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:DFC5A2B2


:commands
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur RunFix pour lancer la suppression.


&#9654 Poste le rapport.

Navid_92 · Answer

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named Teatimer.exe was found!
========== OTL ==========
Prefs.js: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13 removed from extensions.enabledItems
Prefs.js: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}:6.0.15 removed from extensions.enabledItems
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A057A204-BACC-4D26-8287-79A187E26987}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A057A204-BACC-4D26-8287-79A187E26987}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E15A8DC0-8516-42A1-81EA-DC94EC1ACF10}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E15A8DC0-8516-42A1-81EA-DC94EC1ACF10}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\{21FA44EF-376D-4D53-9B0F-8A89D3229068} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21FA44EF-376D-4D53-9B0F-8A89D3229068}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\{A057A204-BACC-4D26-8287-79A187E26987} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A057A204-BACC-4D26-8287-79A187E26987}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\AllowLegacyWebView deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\AllowUnhashedWebView deleted successfully.
Starting removal of ActiveX control {867E13F2-7F31-44FB-AC97-CD38E0DC46EF}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{867E13F2-7F31-44FB-AC97-CD38E0DC46EF}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{867E13F2-7F31-44FB-AC97-CD38E0DC46EF}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{867E13F2-7F31-44FB-AC97-CD38E0DC46EF}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{867E13F2-7F31-44FB-AC97-CD38E0DC46EF}\ not found.
Starting removal of ActiveX control {E2883E8F-472F-4FB0-9522-AC9BF37916A7}
C:\WINDOWS\Downloaded Program Files\gp.inf not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avgrsstarter\ deleted successfully.
C:\AUTOEXEC.001 moved successfully.
C:\AUTOEXEC.002 moved successfully.
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Avira\AntiVir Desktop\"LastMalware"|"" /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Ardamax Keylogger\ deleted successfully.
Registry key HKEY_USERS\S-1-5-21-776561741-2052111302-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ardamax.com\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Adobe Reader Speed Launcher deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ISUSPM Startup deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ISUSScheduler deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\QuickTime Task deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\TkBellExe deleted successfully.
========== FILES ==========
C:\WINDOWS\system32\drivers\kwflower.log moved successfully.
C:\Program Files\HTV folder moved successfully.
C:\Documents and Settings\EMAD\Mes documents\KeyloggerCFG CS folder moved successfully.
C:\Documents and Settings\EMAD\Local Settings\Application Data\AskToolbar folder moved successfully.
C:\Documents and Settings\EMAD\Application Data\vmntoolbar\NewCfg folder moved successfully.
C:\Documents and Settings\EMAD\Application Data\vmntoolbar\1 folder moved successfully.
C:\Documents and Settings\EMAD\Application Data\vmntoolbar folder moved successfully.
C:\Documents and Settings\All Users\Application Data\{755AC846-7372-4AC8-8550-C52491DAA8BD}\x86\x86 folder moved successfully.
C:\Documents and Settings\All Users\Application Data\{755AC846-7372-4AC8-8550-C52491DAA8BD}\x86 folder moved successfully.
C:\Documents and Settings\All Users\Application Data\{755AC846-7372-4AC8-8550-C52491DAA8BD} folder moved successfully.
C:\Documents and Settings\All Users\Application Data\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}\x86 folder moved successfully.
C:\Documents and Settings\All Users\Application Data\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906} folder moved successfully.
ADS C:\Documents and Settings\All Users\Application Data\TEMP:0C1EFF69 deleted successfully.
ADS C:\Documents and Settings\All Users\Application Data\TEMP:F4CA4D70 deleted successfully.
ADS C:\Documents and Settings\All Users\Application Data\TEMP:DFC5A2B2 deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: EMAD
->Temp folder emptied: 114691 bytes
->Temporary Internet Files folder emptied: 5505269 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 92142334 bytes
->Google Chrome cache emptied: 18228597 bytes
->Apple Safari cache emptied: 123131 bytes
 
User: LocalService
->Temp folder emptied: 115616 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 1293343 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134506 bytes
%systemroot%\System32 .tmp files removed: 4528640 bytes
Windows Temp folder emptied: 1090 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 23956702 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 17535227 bytes
 
Total Files Cleaned = 158,13 mb
 
 
OTL by OldTimer - Version 3.1.11.4 log created on 12032009_194718

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Navid_92 · Answer

Certains sont not found car je l'ai avait déjà fixer avec hijack, grâce l'analyseur rapport du site hijackthis.de

BREF comment se porte le rapport ?

gen-hackman · Answer

Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent

&#9654 Télécharge List&Kill'em et enregistre le sur ton bureau

&#9654 dezippe-le , (clic droit/ extraire.....)

Il ne necessite pas d'installation 

&#9654 double clic (clic droit "executer en tant qu'administrateur" pour Vista) pour lancer le scan

choisis la langue puis choisis l'option 1 = Mode Recherche

&#9654 laisse travailler l'outil

un rapport du nom de catchme apparait sur ton bureau , ignore-le , mais ne le supprime pas pour l instant

&#9654 Poste le contenu du rapport qui s'ouvre

Navid_92 · Answer

Cela fait 15 MINUTES qu'il est bloqué à la page  :  "Test rookits ... Patience ............"
mon antivirus, anti malware et parefeu sont désactivés.
Je suis sous xp.

gen-hackman · Answer

oui c est un peu long ce passsage je reconnais ^^

Navid_92 · Answer

Ah oui j'avais pas remarqué que c'était ton soft BIEN JOUER.
D'accord je vais attendre mais combien cela dure t il pour savoir a quoi s'attendre une heure ou 4h ou +

gen-hackman · Answer

ca depend des pc

Navid_92 · Answer

Deja 1 heure :) surtout que j'ai un assez bon pc

gen-hackman · Answer

ok stoppe-le et passe-le en mode sans echec

Navid_92 · Answer

ok

Navid_92 · Answer

Ton logiciel bug même en mode sans echec, autre chose à faire ? Je viens de le laisser 45 min même en mode sans echec rien à faire.

Autre solutions pour la désinfection ?

gen-hackman · Answer

regarde dans C:\ tu as un rapport du nom de List'em.txt

Navid_92 · Answer

Voila :

List'em by g3n-h@ckm@n 1.1.0.0 

Thx to Chiquitine29..... 

User : Administrateur (Administrateurs) # Rick
Update on 02/12/2009 by g3n-h@ckm@n ::::: 23:00 
Start at: 22:04:58 | 03/12/2009
Contact : g3n-h@ckm@n sur CCM

AMD Athlon(tm) 64 X2 Dual Core Processor 3800+
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | Updated ]

C:\ -> Disque fixe local | 113,76 Go (43,57 Go free) | NTFS
D:\ -> Disque amovible
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque fixe local | 114,25 Go (49,61 Go free) [Rick] | NTFS
I:\ -> Disque CD-ROM
J:\ -> Disque amovible

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running 

C:\WINDOWS\System32\smss.exe 492
C:\WINDOWS\system32\csrss.exe 556
C:\WINDOWS\system32\winlogon.exe 580
C:\WINDOWS\system32\services.exe 624
C:\WINDOWS\system32\lsass.exe 636
C:\WINDOWS\system32\svchost.exe 796
C:\WINDOWS\system32\svchost.exe 860
C:\WINDOWS\system32\svchost.exe 1016
C:\WINDOWS\system32\svchost.exe 1028
C:\WINDOWS\system32\svchost.exe 1204
C:\WINDOWS\Explorer.EXE 1792
C:\Documents and Settings\Rick\Bureau\List_Kill'em.exe 2000
C:\WINDOWS\system32\cmd.exe 2008
C:\WINDOWS\system32\wbem\wmiprvse.exe 180
C:\Documents and Settings\Administrateur\Local Settings\Temp\2.tmp\pv.exe 252

======================
Keys "Run" 
======================

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    CTFMON.EXE	REG_SZ	C:\WINDOWS\system32\CTFMON.EXE

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    SoundMan	REG_SZ	SOUNDMAN.EXE
    Kernel and Hardware Abstraction Layer	REG_SZ	KHALMNPR.EXE
    AdobeCS4ServiceManager	REG_SZ	"C:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
    Malwarebytes Anti-Malware (reboot)	REG_SZ	"C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
    avgnt	REG_SZ	"C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
    StartCCC	REG_SZ	"C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
    RoxWatchTray	REG_SZ	"C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
    Malwarebytes' Anti-Malware	REG_SZ	"C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents
=====================
Other Keys
=====================

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
    dontdisplaylastusername	REG_DWORD	0x0
    legalnoticecaption	REG_SZ	
    legalnoticetext	REG_SZ	
    shutdownwithoutlogon	REG_DWORD	0x1
    undockwithoutlogon	REG_DWORD	0x1
=============== 

===============
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dimsntfy 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\LBTWlgn 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify	ermsrv 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon 
===============
BHO :
====== 
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0347C33E-8762-4905-BF09-768834316C61}]
@="HP Print Enhancer"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{053F9267-DC04-4294-A72C-58F732D338C0}]
"NoExplorer"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
@="AcroIEHelperStub"
"NoExplorer"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B}]
@="Search Helper"
"NoExplorer"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
"NoExplorer"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
@="JQSIEStartDetectorImpl"
"NoExplorer"=dword:00000001


========
Services
========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 

Ndisuio : 0x3 
EapHost : 0x3 
SharedAccess : 0x2 
wuauserv : 0x2 
=========
 
=========================
Environnement variables :
=========================

ALLUSERSPROFILE=C:\Documents and Settings\All Users
APPDATA=C:\Documents and Settings\Administrateur\Application Data
choix=1
CLASSPATH=.;C:\Program Files\Java\jre6\lib\ext\QTJava.zip
CLIENTNAME=Console
CommonProgramFiles=C:\Program Files\Fichiers communs
COMPUTERNAME=NS-EMAD
ComSpec=C:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Documents and Settings\Administrateur
LOGONSERVER=\Rick
NUMBER_OF_PROCESSORS=2
OS=Windows_NT
Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files\Fichiers communs\DivX Shared\;C:\Program Files\Fichiers communs\Adobe\AGL;C:\Program Files\QuickTime\QTSystem\;C:\Program Files\Fichiers communs\Roxio Shared\DLLShared\;C:\Program Files\Fichiers communs\Roxio Shared\9.0\DLLShared\
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 15 Model 43 Stepping 1, AuthenticAMD
PROCESSOR_LEVEL=15
PROCESSOR_REVISION=2b01
ProgramFiles=C:\Program Files
PROMPT=$P$G
QTJAVA=C:\Program Files\Java\jre6\lib\ext\QTJava.zip
RoxioCentral=C:\Program Files\Fichiers communs\Roxio Shared\9.0\Roxio Central33\
SAFEBOOT_OPTION=NETWORK
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
TMP=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
USERDOMAIN=Rick
USERNAME=Administrateur
USERPROFILE=C:\Documents and Settings\Administrateur
windir=C:\WINDOWS


¤¤¤¤¤¤¤¤¤¤ Files/folders :

C:\install.exe  
C:\Program Files\Windows Live\Messenger\msimg32.dll  
C:\WINDOWS\System32\drivers\etc\hosts.msn  
 
¤¤¤¤¤¤¤¤¤¤ Keys : 

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"  
HKCR\.torrent  
HKLM\SOFTWARE\Classes\.torrent  

=========
Rootkits
=========

gen-hackman · Answer

essaie de faire l option 2

Navid_92 · Answer

Je vais me coucher donc si tu me réponds on verra ça demain bref voilà quand même le rapport après option de 2 de Kill'em :

Kill'em by g3n-h@ckm@n 1.1.0.0 
 
User : Administrateur (Administrateurs) # Rick
Update on 02/12/2009 by g3n-h@ckm@n ::::: 23:00 
Start at: 23:30:36 | 03/12/2009
Contact : g3n-h@ckm@n sur CCM

AMD Athlon(tm) 64 X2 Dual Core Processor 3800+
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | Updated ]

C:\ -> Disque fixe local | 113,76 Go (43,55 Go free) | NTFS
D:\ -> Disque amovible
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque fixe local | 114,25 Go (49,61 Go free) [Rick] | NTFS
I:\ -> Disque CD-ROM
J:\ -> Disque amovible
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running
 
C:\WINDOWS\System32\smss.exe 492
C:\WINDOWS\system32\csrss.exe 556
C:\WINDOWS\system32\winlogon.exe 580
C:\WINDOWS\system32\services.exe 624
C:\WINDOWS\system32\lsass.exe 636
C:\WINDOWS\system32\svchost.exe 796
C:\WINDOWS\system32\svchost.exe 860
C:\WINDOWS\system32\svchost.exe 1016
C:\WINDOWS\system32\svchost.exe 1028
C:\WINDOWS\system32\svchost.exe 1204
C:\WINDOWS\Explorer.EXE 1792
C:\Documents and Settings\Rick\Bureau\List_Kill'em.exe 916
C:\WINDOWS\system32\cmd.exe 536
C:\WINDOWS\system32\wbem\wmiprvse.exe 384
C:\Documents and Settings\Administrateur\Local Settings\Temp\A.tmp\pv.exe 1012
 
Detections : 
========== 
 

¤¤¤¤¤¤¤¤¤¤ Files/folders : 

"C:\install.exe"  
"C:\Program Files\Windows Live\Messenger\msimg32.dll"  
"C:\WINDOWS\System32\drivers\etc\hosts.msn"  
 
 
¤¤¤¤¤¤¤¤¤¤ Files/folders deleted : 
  
Quarantine : 

hosts.msn.Kill'em
install.exe.Kill'em
msimg32.dll.Kill'em

==============
host file OK !
==============

========
Registry
========
Deleted : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe  
Deleted : HKCR\.torrent  

============
Disk Cleaned
============
 
¤¤¤¤¤¤¤¤¤¤ C:\WINDOWS\Prefetch
 
ADOBE AIR APPLICATION INSTALL-0EC2B0FE.pf
Layout.ini
NTOSBOOT-B00DFAAD.pf
 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Navid_92 · Answer

Je passe en attendant un ptit coup de MBAM pendant la nuit pour vérifier si ne reste pas quelques virus par ci par là.
Bref a demain

gen-hackman · Answer

ok à te lire le rapport ^^

Navid_92 · Answer

Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3289
Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

04/12/2009 07:30:46
mbam-log-2009-12-04 (07-30-46).txt

Type de recherche: Examen complet (C:\|H:\|)
Eléments examinés: 524213
Temps écoulé: 55 minute(s), 45 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{D7EBB3E0-89BB-4E0D-A8F0-5C1C868D9B85}\RP258\A0109718.exe (PUP.ArdamaxKeyLogger) -> Quarantined and deleted successfully.

gen-hackman · Answer

bien :

########### [ Option 1  ( Recherche )  ]


&#9654 Télécharge FindyKill de Chiquitine29 sur ton bureau : 

http://pagesperso-orange.fr/NosTools/Chiquitine29/Setup.exe

! Déconnecte toi et ferme toutes applications en cours ! 

&#9654 Double clique (clic droit "en tant qu'administrateur" pour Vista) sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'instalation par défaut . 

&#9654 Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

&#9654 Double-clique (clic droit "en tant qu'administrateur" pour Vista)sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil .
 
&#9654 Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

&#9654 Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 

&#9654 Laisse travailler l'outil et ne touche à rien ... 

&#9654 Poste le rapport qui apparait à la fin , sur le forum ...

( le rapport est sauvegardé aussi sous C:\FindyKill.txt ) 
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Navid_92 · Answer

Je l'ai fait en mode sans échec car j'avais pas éteins encore :


############################## | FindyKill V5.020 |

# User : Administrateur (Administrateurs) # NS-EMAD
# Update on 26/11/2009 by Chiquitine29
# Start at: 08:39:54 | 04/12/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# AMD Athlon(tm) 64 X2 Dual Core Processor 3800+
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Disabled
# AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | Updated ]

# C:\ # Disque fixe local # 113,76 Go (43,54 Go free) # NTFS
# D:\ # Disque amovible
# E:\ # Disque amovible
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque fixe local # 114,25 Go (49,61 Go free) [Saeed] # NTFS
# I:\ # Disque CD-ROM
# J:\ # Disque amovible

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | C: |


################## | C:\WINDOWS |


################## | C:\WINDOWS\system32 |


################## | C:\WINDOWS\system32\drivers |


################## | C:\Documents and Settings\Administrateur\Application Data |


################## | Autres detections ... |

################## | Temporary Internet Files |


################## | Registre / Clés infectieuses |

Présent ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"  
Présent ! [HKLM\software\microsoft\security center] "AntiVirusOverride"  
Présent ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"  
Présent ! [HKLM\software\microsoft\security center] "FirewallOverride"  
Présent ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"  

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK
 
# Mode sans echec : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 ) 
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 


################## | Cracks / Keygens / Serials |

"H:\ps3\Adobe photoshop CS3 FRENCH\Crack\Photoshop.exe"  
11/01/2008 02:14 |Size 44814336 |Crc32 8d075606 |Md5 d450729171238e2ea26b74099327d7aa  
 

################## | ! Fin du rapport # FindyKill V5.020 ! |



Et je me suis permis de faire une petite analyse rapide avec Antivir : 



Avira AntiVir Personal
Date de création du fichier de rapport : vendredi 4 décembre 2009  07:33

La recherche porte sur 1412419 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows XP
Version de Windows      : (Service Pack 3)  [5.1.2600]
Mode Boot               : Mode sans échec avec assistance réseau
Identifiant             : Administrateur
Nom de l'ordinateur     : Rick


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.


Fin de la recherche : vendredi 4 décembre 2009  08:38
Temps nécessaire:  1:05:37 Heure(s)

gen-hackman · Answer

ok

########### [ Option 2  ( Suppression )  ] 



&#9654 Déconnecte toi et ferme toutes application en cours ( navigateur compris ) . 

&#9654 Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

&#9654 Relance "FindyKill" (clic droit "en tant qu'administrateur" pour Vista): au menu principal choisis l'option " F " pour français et tape sur [entrée] .

&#9654 Au second menu choisis l'option 2 (suppression) et tape sur [entrée] 

&#9654 Le pc va redémarrer automatiquement ...

&#9654 le programme va travailler , ne touche à rien ... , ton bureau ne sera pas accessible c est normal !

&#9654 Poste le rapport qui apparait à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt ) 

&#9654 Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide

Navid_92 · Answer

############################## | FindyKill V5.020 |

# User : Rick (Administrateurs) # Rick
# Update on 26/11/2009 by Chiquitine29
# Start at: 09:23:37 | 04/12/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# AMD Athlon(tm) 64 X2 Dual Core Processor 3800+
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Disabled
# AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

# C:\ # Disque fixe local # 113,76 Go (51,33 Go free) # NTFS
# D:\ # Disque amovible
# E:\ # Disque amovible
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque fixe local # 114,25 Go (50,31 Go free) [Rick] # NTFS
# I:\ # Disque CD-ROM
# J:\ # Disque amovible

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD\CanalPlus.VOD.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | C: |


################## | C:\WINDOWS |


################## | C:\WINDOWS\system32 |


################## | C:\WINDOWS\system32\drivers |


################## | C:\Documents and Settings\EMAD\Application Data |


################## | Autres suppressions ... |

################## | Temporary Internet Files |


################## | Registre / Clés infectieuses | 

Supprimé ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"  
Supprimé ! [HKLM\software\microsoft\security center] "AntiVirusOverride"  
Supprimé ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"  
Supprimé ! [HKLM\software\microsoft\security center] "FirewallOverride"  
Supprimé ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"  

################## | Etat / Services / Informations |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 ) 
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 

################## | PEH ... |


################## | Cracks / Keygens / Serials |

"H:\ps3\Adobe photoshop CS3 FRENCH\Crack\Photoshop.exe"  
11/01/2008 02:14 |Size 44814336 |Crc32 8d075606 |Md5 d450729171238e2ea26b74099327d7aa  
 

################## | ! Fin du rapport # FindyKill V5.020 ! |

gen-hackman · Answer

ok refais un  scan OTL stp comme ici :

https://forums.commentcamarche.net/forum/affich-15420556-virus-ardamax-lag-pc?entiere#30

gen-hackman · Answer

c'est a toi tous ces dossiers avec une seule lettre dans tes documents ?

Navid_92 · Answer

Si tu parle de "a" "a2" "v" oui c'est à moi je ne savais pas quoi écrit mdr ^^

A part sa plus de virus ?

Navid_92 · Answer

Un petit rapport Hijack pour affiner je pense le tout :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:43:33, on 04/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD\CanalPlus.VOD.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - Default URLSearchHook is missing
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-776561741-2052111302-725345543-1003\..\Run: [Google Update] "C:\Documents and Settings\EMAD\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c (User 'EMAD')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-776561741-2052111302-725345543-1003 Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe (User 'EMAD')
O4 - S-1-5-21-776561741-2052111302-725345543-1003 User Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe (User 'EMAD')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Livre de reliures HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Sélection intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: CanalPlus.VOD - Canal+ Active - C:\Program Files\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD\CanalPlus.VOD.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: Ma-Config Service (maconfservice) - Unknown owner - C:\Program Files\ma-config.com\maconfservice.exe (file missing)
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 9\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 9\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe

gen-hackman · Answer

https://forums.commentcamarche.net/forum/affich-15420556-virus-ardamax-lag-pc?page=4#61

Navid_92 · Answer

Pourquoi me donnes-tu ce lien vers ma réponse ?
La désinfection est fini ?
Un coup de toolscleaner ?

Navid_92 · Answer

up

gen-hackman · Answer

non je te demande de reeffectuer le post 61 stp

Virus ! Ardamax, LAG PC

68 réponses

Votre réponse

Newsletters