Virus MAL_OTORUN2

aaarrrggghhh Messages postés 15 Statut Membre -  
 Utilisateur anonyme -
Bonjour,
depuis quelques jours, et suite à un ralentissement notoire de ma connexion et un bruit continue de mon disque dur j'ai fait un scan avec secuser.com. il est apparue que j'avais ce truc : mal_otorun2

de plus j'ai fait un scan avec antivir qui m'annonce que j'ai plein de truc. je comprend rien à l'informatique
HELP !
merci d'avance
A voir également:

23 réponses

  • 1
  • 2
Réponse 1 / 23
Utilisateur anonyme
 
salut :

▶ Télécharge et install UsbFix par Chiquitine29

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

▶ Double clic sur le raccourci UsbFix présent sur ton bureau .

▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

▶ Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

▶ Laisse travailler l'outil.

▶ Ensuite post le rapport UsbFix.txt qui apparaitra.

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
0
Réponse 2 / 23
aaarrrggghhh Messages postés 15 Statut Membre
 
voilà le rapport
(j'ai juste enlevé mon "user"

############################## | UsbFix V6.065 |

User :
Update on 18/12/2009 by Chiquitine29, C_XX & Chimay8
Start at: 01:46:36 | 19/12/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Quad CPU Q6600 @ 2.40GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

C:\ -> Disque fixe local # 149,04 Go (23,91 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 672
C:\WINDOWS\system32\csrss.exe 724
C:\WINDOWS\system32\winlogon.exe 760
C:\WINDOWS\system32\services.exe 804
C:\WINDOWS\system32\lsass.exe 816
C:\WINDOWS\system32\Ati2evxx.exe 1028
C:\WINDOWS\system32\svchost.exe 1044
C:\WINDOWS\system32\svchost.exe 1120
C:\WINDOWS\System32\svchost.exe 1232
C:\WINDOWS\system32\svchost.exe 1352
C:\WINDOWS\system32\svchost.exe 1428
C:\WINDOWS\system32\spoolsv.exe 1528
C:\WINDOWS\system32\Ati2evxx.exe 1560
C:\Program Files\Avira\AntiVir Desktop\sched.exe 1640
C:\WINDOWS\system32\svchost.exe 1900
C:\WINDOWS\Explorer.EXE 1224
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe 1556
C:\Program Files\ASUS\AI Suite\AiNap\AiNap.exe 1624
C:\Program Files\ASUS\AI Suite\AiGear3\CpuPowerMonitor.exe 1696
C:\Program Files\Analog Devices\Core\smax4pnp.exe 1764
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe 1784
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 1852
C:\Program Files\Java\jre6\bin\jusched.exe 1964
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE 1968
C:\Program Files\DAEMON Tools Lite\daemon.exe 2040
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe 1756
C:\Program Files\Messenger\msmsgs.exe 2060
C:\WINDOWS\system32\ctfmon.exe 2080
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe 2228
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe 2340
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe 2388
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 2524
C:\Program Files\Java\jre6\bin\jqs.exe 2680
C:\WINDOWS\system32\svchost.exe 2924
C:\WINDOWS\System32\alg.exe 1948
C:\WINDOWS\system32\wbem\wmiapsrv.exe 1100
C:\WINDOWS\system32\wbem\wmiprvse.exe 1488
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe 2332
C:\WINDOWS\system32\msiexec.exe 2592
C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE 2776
C:\Program Files\Internet Explorer\iexplore.exe 1064
C:\Program Files\Internet Explorer\iexplore.exe 2444
C:\WINDOWS\system32\wbem\wmiprvse.exe 1396

################## | Fichiers # Dossiers infectieux |

C:\autorun.inf
C:\autorun.inf -> fichier appelé : "C:\mbvd.exe" ( Absent ! )

################## | Registre # Clés infectieuses |

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "cdoosoft"
[HKLM\SOFTWARE\Classes\CLSID\MADOWN]
[HKCR\CLSID\MADOWN]

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{24ad966a-d597-11dc-9c79-001e8c53421a}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs

HKCU\..\..\Explorer\MountPoints2\{5209d4ba-04be-11dd-9cbf-001e8c53421a}
Shell\AutoRun\command =curqp.exe
Shell\open\Command =curqp.exe

HKCU\..\..\Explorer\MountPoints2\{609c888f-df69-11de-9fa3-001e8c53421a}
Shell\AutoRun\command =curqp.exe
Shell\open\Command =curqp.exe

HKCU\..\..\Explorer\MountPoints2\{7e889a28-d695-11dc-9c7d-001e8c53421a}
Shell\AutoRun\command =curqp.exe
Shell\open\Command =curqp.exe

HKCU\..\..\Explorer\MountPoints2\{8d973372-889a-11de-9f01-001e8c53421a}
Shell\AutoRun\command =WDSetup.exe

HKCU\..\..\Explorer\MountPoints2\{b600107e-e48e-11dc-9ca4-001e8c53421a}
Shell\Auto\command =AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{d5af320b-c63a-11de-9f93-001e8c53421a}
Shell\Auto\command =F:\launcher.exe
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL launcher.exe

################## | Cracks / Keygens / Serials |

j'ai enlevé aussi


################## | ! Fin du rapport # UsbFix V6.065 ! |
0
Réponse 3 / 23
Utilisateur anonyme
 
lol ^^

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

▶ Double clic (clic droit "en tant qu'administrateur" pour Vista)sur le raccourci UsbFix présent sur ton bureau

▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

▶ Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]

▶ Ton bureau disparaitra et le pc redémarrera .

▶ Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
0
Réponse 4 / 23
aaarrrggghhh Messages postés 15 Statut Membre
 
c'est celui là de rapport ?

############################## | UsbFix V6.065 |

User :
Update on 18/12/2009 by Chiquitine29, C_XX & Chimay8
Start at: 01:58:42 | 19/12/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Quad CPU Q6600 @ 2.40GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

C:\ -> Disque fixe local # 149,04 Go (23,87 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 672
C:\WINDOWS\system32\csrss.exe 724
C:\WINDOWS\system32\winlogon.exe 760
C:\WINDOWS\system32\services.exe 804
C:\WINDOWS\system32\lsass.exe 816
C:\WINDOWS\system32\Ati2evxx.exe 1028
C:\WINDOWS\system32\svchost.exe 1044
C:\WINDOWS\system32\svchost.exe 1120
C:\WINDOWS\System32\svchost.exe 1232
C:\WINDOWS\system32\svchost.exe 1352
C:\WINDOWS\system32\svchost.exe 1428
C:\WINDOWS\system32\Ati2evxx.exe 1528
C:\WINDOWS\system32\spoolsv.exe 1576
C:\Program Files\Avira\AntiVir Desktop\sched.exe 1672
C:\WINDOWS\system32\svchost.exe 1872
C:\Program Files\Google\Update\GoogleUpdate.exe 1284
C:\WINDOWS\Explorer.EXE 1292
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 1056
C:\Program Files\Google\Update\GoogleUpdate.exe 1792
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe 1744
C:\Program Files\Java\jre6\bin\jqs.exe 2072
C:\Program Files\Google\Update\GoogleUpdate.exe 2128
C:\WINDOWS\system32\HPZipm12.exe 2148
C:\WINDOWS\system32\svchost.exe 2484
C:\WINDOWS\system32\wuauclt.exe 2752
C:\WINDOWS\System32\alg.exe 3232
C:\WINDOWS\system32\wbem\wmiprvse.exe 3240
C:\WINDOWS\system32\wbem\wmiapsrv.exe 3356
C:\WINDOWS\system32\wbem\wmiprvse.exe 3516

################## | Fichiers # Dossiers infectieux |

C:\autorun.inf -> fichier appelé : "C:\mbvd.exe" ( Absent ! )
Supprimé ! C:\autorun.inf
Supprimé ! C:\Recycler\S-1-5-21-1659004503-1035525444-725345543-1003

################## | Registre # Clés infectieuses |

Supprimé ! [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "cdoosoft"
Supprimé ! [HKLM\SOFTWARE\Classes\CLSID\MADOWN]

################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{24ad966a-d597-11dc-9c79-001e8c53421a}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{5209d4ba-04be-11dd-9cbf-001e8c53421a}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{609c888f-df69-11de-9fa3-001e8c53421a}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{7e889a28-d695-11dc-9c7d-001e8c53421a}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{8d973372-889a-11de-9f01-001e8c53421a}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{b600107e-e48e-11dc-9ca4-001e8c53421a}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{d5af320b-c63a-11de-9f93-001e8c53421a}\Shell\Auto\Command

################## | Listing des fichiers présent |

[09/02/2008 01:21|--a------|898756] C:\adorage-protocol.txt
[09/02/2008 00:48|--a------|95] C:\autoexec.000
[05/07/2009 10:06|--a------|139] C:\autoexec.bat
[09/02/2008 11:48|---------|12314375] C:\avg7qt.dat
[19/12/2009 01:35|-rahs----|217] C:\boot.ini
[02/03/2006 13:00|-rahs----|4952] C:\Bootfont.bin
[07/02/2008 16:36|--a------|0] C:\CONFIG.SYS
[05/10/2009 18:48|--a------|0] C:\conmgr.log
[07/02/2008 16:36|-rahs----|0] C:\IO.SYS
[07/02/2008 16:36|-rahs----|0] C:\MSDOS.SYS
[02/03/2006 13:00|-rahs----|47564] C:\NTDETECT.COM
[12/04/2009 09:13|-rahs----|252240] C:\ntldr
[?|?|?] C:\pagefile.sys
[19/12/2009 02:01|--a------|3815] C:\UsbFix.txt

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.

################## | Cracks / Keygens / Serials |
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 23
Utilisateur anonyme
 
oui

▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
* - Coche Afficher les fichiers et dossiers cachés
* - Décoche Masquer les extensions des fichiers dont le type est connu
* - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)

▶ clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

* Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers :

C:\avg7qt.dat

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
* Une nouvelle fenêtre de ton navigateur va apparaître
* Clique alors sur les deux fleches
* Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
* Enfin colle le résultat dans ta prochaine réponse.

Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.

ensuite :

Télécharge OTL de OLDTimer

enregistre le sur ton Bureau.

▶ Double clic ( pour vista => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.

▶ Coche les 2 cases Lop et Purity

▶ Coche la case devant scan all users

▶ règle-le sur "60 Days"

▶ dans la colonne de gauche , mets tout sur all

ne modifie pas ceci :

"files created whithin" et "files modified whithin"

▶Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

▶▶ Tu feras la meme chose avec le "Extra.txt".
0
Réponse 6 / 23
aaarrrggghhh Messages postés 15 Statut Membre
 
oh fan ! ça m'a l'air compliqué tout ça. Bon je tente
Fichier avg7qt.dat reçu le 2009.12.19 01:28:01 (UTC)Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.43 2009.12.18 -
AhnLab-V3 5.0.0.2 2009.12.18 -
AntiVir 7.9.1.114 2009.12.18 -
Antiy-AVL 2.0.3.7 2009.12.18 -
Authentium 5.2.0.5 2009.12.02 -
Avast 4.8.1351.0 2009.12.18 -
AVG 8.5.0.427 2009.12.18 -
BitDefender 7.2 2009.12.19 -
CAT-QuickHeal 10.00 2009.12.18 -
ClamAV 0.94.1 2009.12.18 -
Comodo 3291 2009.12.19 -
DrWeb 5.0.0.12182 2009.12.19 -
eSafe 7.0.17.0 2009.12.16 -
eTrust-Vet 35.1.7184 2009.12.19 -
F-Prot 4.5.1.85 2009.12.18 -
F-Secure 9.0.15370.0 2009.12.18 -
Fortinet 4.0.14.0 2009.12.18 -
GData 19 2009.12.19 -
Ikarus T3.1.1.79.0 2009.12.18 -
Jiangmin 13.0.900 2009.12.18 -
K7AntiVirus 7.10.923 2009.12.17 -
Kaspersky 7.0.0.125 2009.12.19 -
McAfee 5836 2009.12.18 -
McAfee+Artemis 5836 2009.12.18 -
McAfee-GW-Edition 6.8.5 2009.12.18 -
Microsoft 1.5302 2009.12.18 -
NOD32 4700 2009.12.18 -
Norman 6.04.03 2009.12.18 -
nProtect 2009.1.8.0 2009.12.18 -
Panda 10.0.2.2 2009.12.15 -
PCTools 7.0.3.5 2009.12.19 -
Prevx 3.0 2009.12.19 -
Rising 22.26.05.01 2009.12.19 -
Sophos 4.49.0 2009.12.18 -
Sunbelt 3.2.1858.2 2009.12.19 -
Symantec 1.4.4.12 2009.12.18 -
TheHacker 6.5.0.2.098 2009.12.18 -
TrendMicro 9.100.0.1001 2009.12.18 -
VBA32 3.12.12.0 2009.12.18 -
ViRobot 2009.12.18.2097 2009.12.18 -
VirusBuster 5.0.21.0 2009.12.18 -

Information additionnelle
File size: 12314375 bytes
MD5...: a77aef5a55b739c0c7ee1a307538f374
SHA1..: 57784955c77f0772129f6ce3b92ac54c85089ebe
SHA256: a990e355a14490ad6979ee0ff26a660c40d945ea7d4c67b26d780007e77b8b2a
ssdeep: 196608:C8Yl/rwhcL6i7hKh+Js4H+BgBfmYNzDY5tqampnga8HhQQ+iv:f8/Eri1<BR>Kh+JsjBgBFNzampLc+iv<BR>
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set<BR>-
pdfid.: -
sigcheck:<BR>publisher....: n/a<BR>copyright....: n/a<BR>product......: n/a<BR>description..: n/a<BR>original name: n/a<BR>internal name: n/a<BR>file version.: n/a<BR>comments.....: n/a<BR>signers......: -<BR>signing date.: -<BR>verified.....: Unsigned<BR>
trid..: Windows Program Information (88.3%)<BR>PVA video (11.6%)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.43 2009.12.18 -
AhnLab-V3 5.0.0.2 2009.12.18 -
AntiVir 7.9.1.114 2009.12.18 -
Antiy-AVL 2.0.3.7 2009.12.18 -
Authentium 5.2.0.5 2009.12.02 -
Avast 4.8.1351.0 2009.12.18 -
AVG 8.5.0.427 2009.12.18 -
BitDefender 7.2 2009.12.19 -
CAT-QuickHeal 10.00 2009.12.18 -
ClamAV 0.94.1 2009.12.18 -
Comodo 3291 2009.12.19 -
DrWeb 5.0.0.12182 2009.12.19 -
eSafe 7.0.17.0 2009.12.16 -
eTrust-Vet 35.1.7184 2009.12.19 -
F-Prot 4.5.1.85 2009.12.18 -
F-Secure 9.0.15370.0 2009.12.18 -
Fortinet 4.0.14.0 2009.12.18 -
GData 19 2009.12.19 -
Ikarus T3.1.1.79.0 2009.12.18 -
Jiangmin 13.0.900 2009.12.18 -
K7AntiVirus 7.10.923 2009.12.17 -
Kaspersky 7.0.0.125 2009.12.19 -
McAfee 5836 2009.12.18 -
McAfee+Artemis 5836 2009.12.18 -
McAfee-GW-Edition 6.8.5 2009.12.18 -
Microsoft 1.5302 2009.12.18 -
NOD32 4700 2009.12.18 -
Norman 6.04.03 2009.12.18 -
nProtect 2009.1.8.0 2009.12.18 -
Panda 10.0.2.2 2009.12.15 -
PCTools 7.0.3.5 2009.12.19 -
Prevx 3.0 2009.12.19 -
Rising 22.26.05.01 2009.12.19 -
Sophos 4.49.0 2009.12.18 -
Sunbelt 3.2.1858.2 2009.12.19 -
Symantec 1.4.4.12 2009.12.18 -
TheHacker 6.5.0.2.098 2009.12.18 -
TrendMicro 9.100.0.1001 2009.12.18 -
VBA32 3.12.12.0 2009.12.18 -
ViRobot 2009.12.18.2097 2009.12.18 -
VirusBuster 5.0.21.0 2009.12.18 -

Information additionnelle
File size: 12314375 bytes
MD5...: a77aef5a55b739c0c7ee1a307538f374
SHA1..: 57784955c77f0772129f6ce3b92ac54c85089ebe
SHA256: a990e355a14490ad6979ee0ff26a660c40d945ea7d4c67b26d780007e77b8b2a
ssdeep: 196608:C8Yl/rwhcL6i7hKh+Js4H+BgBfmYNzDY5tqampnga8HhQQ+iv:f8/Eri1<BR>Kh+JsjBgBFNzampLc+iv<BR>
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set<BR>-
pdfid.: -
sigcheck:<BR>publisher....: n/a<BR>copyright....: n/a<BR>product......: n/a<BR>description..: n/a<BR>original name: n/a<BR>internal name: n/a<BR>file version.: n/a<BR>comments.....: n/a<BR>signers......: -<BR>signing date.: -<BR>verified.....: Unsigned<BR>
trid..: Windows Program Information (88.3%)<BR>PVA video (11.6%)
0
Réponse 7 / 23
aaarrrggghhh Messages postés 15 Statut Membre
 
Sur OTL, Quand tu dis de mettre les colonne de gauche sur "all" ce sont les 6 cases à gauches (module, drivers, extra registry....) ??
0
Réponse 8 / 23
Utilisateur anonyme
 
toute la moitié gauche sauf "file age" que tu mets sur 60 days
0
Réponse 9 / 23
aaarrrggghhh Messages postés 15 Statut Membre
 
ok c'est en cours
0
Réponse 10 / 23
aaarrrggghhh Messages postés 15 Statut Membre
 
http://www.cijoint.fr/cjlink.php?file=cj200912/cijsBnJLof.txt
0
Réponse 11 / 23
aaarrrggghhh Messages postés 15 Statut Membre
 
http://www.cijoint.fr/cjlink.php?file=cj200912/cijPF8PaQR.txt
0
Réponse 12 / 23
Utilisateur anonyme
 
▶ Double clic sur OTL.exe pour le lancer.


▶Copie la liste qui se trouve en gras ci-dessous,

▶ colle-la dans la zone sous Customs Scans/Fixes :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {ABB49B3B-AB7D-4ED0-9135-93FD5AA4F69F} - No CLSID value found.
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Reg Error: Key error.)

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"HP Software Update"=-
"NeroFilterCheck"=-
"QuickTime Task"=-
"SoundMAX"=-

:files
C:\Documents and Settings\Propriétaire\Application Data\TMP
C:\Documents and Settings\All Users\Application Data\avg7
C:\Documents and Settings\LocalService\Application Data\AVG7
C:\Documents and Settings\Propriétaire\Application Data\AVG7

:commands
[emptytemp]
[start explorer]
[reboot]


▶ Clique sur RunFix pour lancer la suppression.


▶ Poste le rapport.
0
Réponse 13 / 23
aaarrrggghhh Messages postés 15 Statut Membre
 
All processes killed
========== PROCESSES ==========
Process explorer.exe killed successfully!
Process iexplore.exe killed successfully!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named Teatimer.exe was found!
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{ABB49B3B-AB7D-4ED0-9135-93FD5AA4F69F} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ABB49B3B-AB7D-4ED0-9135-93FD5AA4F69F}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}\ not found.
File EY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] not found.
========== FILES ==========
C:\Documents and Settings\Propriétaire\Application Data\TMP\Readmes folder moved successfully.
C:\Documents and Settings\Propriétaire\Application Data\TMP folder moved successfully.
C:\Documents and Settings\All Users\Application Data\avg7\QUEUE\TEMP folder moved successfully.
C:\Documents and Settings\All Users\Application Data\avg7\QUEUE\OUT folder moved successfully.
C:\Documents and Settings\All Users\Application Data\avg7\QUEUE\ACTIVE folder moved successfully.
C:\Documents and Settings\All Users\Application Data\avg7\QUEUE folder moved successfully.
C:\Documents and Settings\All Users\Application Data\avg7\Log folder moved successfully.
C:\Documents and Settings\All Users\Application Data\avg7 folder moved successfully.
C:\Documents and Settings\LocalService\Application Data\AVG7 folder moved successfully.
C:\Documents and Settings\Propriétaire\Application Data\AVG7 folder moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: HelpAssistant
->Temp folder emptied: 71762419 bytes
->Temporary Internet Files folder emptied: 73336426 bytes
->Java cache emptied: 13954233 bytes

User:
->Temp folder emptied: 58224049 bytes
->Temporary Internet Files folder emptied: 21791462 bytes
->Java cache emptied: 13950390 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 6196643 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Propriétaire
->Temp folder emptied: 396625669 bytes
->Temporary Internet Files folder emptied: 55658050 bytes
->Java cache emptied: 29405110 bytes

User: PropriÚtaire

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2250555 bytes
%systemroot%\System32 .tmp files removed: 3614208 bytes
Windows Temp folder emptied: 41934031 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 23967240 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 775,18 mb


OTL by OldTimer - Version 3.1.18.0 log created on 12192009_025908

Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\temp\$$$dq3e scheduled to be moved on reboot.
File move failed. C:\WINDOWS\temp\$67we.$ scheduled to be moved on reboot.

Registry entries deleted on Reboot...
0
Réponse 14 / 23
Utilisateur anonyme
 
Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent(car il est detecté a tort comme infection)

▶ Télécharge et installe List&Kill'em et enregistre le sur ton bureau

double clique ( clic droit "executer en tant qu'administrateur pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

une fois terminée , clic sur "terminer" et le programme se lancer seul

choisis la langue puis choisis l'option 1 = Mode Recherche

▶ laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , mais ne le supprime pas pour l instant, le scan n'est pas fini.

▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

tu peux supprimer le rapport catchme.log de ton bureau maintenant.

0
Réponse 15 / 23
aaarrrggghhh Messages postés 15 Statut Membre
 
List'em by g3n-h@ckm@n 1.1.6.0

Thx to Chiquitine29.....& CCM team

User : Propriétaire (Administrateurs)
Update on 18/12/2009 by g3n-h@ckm@n ::::: 20:30
Start at: 03:10:21 | 19/12/2009
Contact : g3n-h@ckm@n sur CCM

Intel(R) Core(TM)2 Quad CPU Q6600 @ 2.40GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | Updated ]

C:\ -> Disque fixe local | 149,04 Go (24,63 Go free) | NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

C:\WINDOWS\System32\smss.exe 672
C:\WINDOWS\system32\csrss.exe 724
C:\WINDOWS\system32\winlogon.exe 760
C:\WINDOWS\system32\services.exe 804
C:\WINDOWS\system32\lsass.exe 816
C:\WINDOWS\system32\Ati2evxx.exe 1028
C:\WINDOWS\system32\svchost.exe 1044
C:\WINDOWS\system32\svchost.exe 1120
C:\WINDOWS\System32\svchost.exe 1232
C:\WINDOWS\system32\svchost.exe 1352
C:\WINDOWS\system32\svchost.exe 1428
C:\WINDOWS\system32\Ati2evxx.exe 1520
C:\WINDOWS\system32\spoolsv.exe 1588
C:\Program Files\Avira\AntiVir Desktop\sched.exe 1672
C:\WINDOWS\system32\svchost.exe 1992
C:\WINDOWS\Explorer.EXE 1196
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 1600
C:\Program Files\Java\jre6\bin\jqs.exe 1924
C:\WINDOWS\system32\svchost.exe 2304
C:\WINDOWS\system32\wbem\wmiapsrv.exe 2928
C:\WINDOWS\System32\alg.exe 3164
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe 4004
C:\Program Files\ASUS\AI Suite\AiNap\AiNap.exe 4020
C:\Program Files\ASUS\AI Suite\AiGear3\CpuPowerMonitor.exe 4040
C:\Program Files\Analog Devices\Core\smax4pnp.exe 4064
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE 4088
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe 132
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 408
C:\Program Files\Java\jre6\bin\jusched.exe 704
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe 2040
C:\Program Files\DAEMON Tools Lite\daemon.exe 2032
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe 1652
C:\Program Files\Messenger\msmsgs.exe 2128
C:\WINDOWS\system32\ctfmon.exe 2140
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe 2436
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe 3272
C:\Program Files\Internet Explorer\iexplore.exe 1544
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe 1360
C:\Program Files\Internet Explorer\iexplore.exe 3024
C:\Program Files\Internet Explorer\iexplore.exe 2680
c:\program files\avira\antivir desktop\avcenter.exe 1780
C:\WINDOWS\system32\wscntfy.exe 968
C:\Program Files\List_Kill'em\List_Kill'em.exe 2872
C:\WINDOWS\system32\cmd.exe 3264
C:\WINDOWS\system32\wbem\wmiprvse.exe 3464
C:\Documents and Settings\Propriétaire\Local Settings\Temp\B.tmp\pv.exe 3376

======================
Keys "Run"
======================
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
DAEMON Tools Lite REG_SZ "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
swg REG_SZ "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
MSMSGS REG_SZ "C:\Program Files\Messenger\msmsgs.exe" /background
ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
SoundMAX REG_SZ "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
Ai Nap REG_SZ "C:\Program Files\ASUS\AI Suite\AiNap\AiNap.exe"
CPU Power Monitor REG_SZ "C:\Program Files\ASUS\AI Suite\AiGear3\CpuPowerMonitor.exe"
Cpu Level Up help REG_SZ C:\Program Files\ASUS\AI Suite\CpuLevelUpHelp.exe
SoundMAXPnP REG_SZ C:\Program Files\Analog Devices\Core\smax4pnp.exe
StartCCC REG_SZ "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
HP Software Update REG_SZ C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
NeroFilterCheck REG_SZ C:\WINDOWS\system32\NeroCheck.exe
QuickTime Task REG_SZ "C:\Program Files\QuickTime\qttask.exe" -atboottime
avgnt REG_SZ "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre6\bin\jusched.exe"
Adobe Reader Speed Launcher REG_SZ "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
Adobe ARM REG_SZ "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

=====================
Other Keys
=====================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
dontdisplaylastusername REG_DWORD 0 (0x0)
legalnoticecaption REG_SZ
legalnoticetext REG_SZ
shutdownwithoutlogon REG_DWORD 1 (0x1)
undockwithoutlogon REG_DWORD 1 (0x1)

===============
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoDriveTypeAutoRun REG_DWORD 128 (0x80)
NoDriveAutoRun REG_DWORD 128 (0x80)
HonorAutoRunSetting REG_DWORD 0 (0x0)

===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
HonorAutoRunSetting REG_DWORD 0 (0x0)
NoDriveAutoRun REG_DWORD 128 (0x80)
NoDriveTypeAutoRun REG_DWORD 128 (0x80)

===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLS REG_SZ

===============
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\AtiExtEvent]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\crypt32chain]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cryptnet]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cscdll]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ScCertProp]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Schedule]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sclgntfy]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\SensLogn]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\termsrv]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wlballoon]

===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{AEB6717E-7E19-11d0-97EE-00C04FD91972} REG_SZ

===============
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
%windir%\system32\sessmgr.exe REG_SZ %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
C:\Program Files\Pinnacle\Studio 11\programs\RM.exe REG_SZ C:\Program Files\Pinnacle\Studio 11\programs\RM.exe:*:Enabled:Render Manager
C:\Program Files\Pinnacle\Studio 11\programs\Studio.exe REG_SZ C:\Program Files\Pinnacle\Studio 11\programs\Studio.exe:*:Enabled:Studio
C:\Program Files\Pinnacle\Studio 11\programs\PMSRegisterFile.exe REG_SZ C:\Program Files\Pinnacle\Studio 11\programs\PMSRegisterFile.exe:*:Enabled:PMSRegisterFile
C:\Program Files\Pinnacle\Studio 11\programs\umi.exe REG_SZ C:\Program Files\Pinnacle\Studio 11\programs\umi.exe:*:Enabled:umi
C:\Program Files\Codemasters\DiRT\DiRT.exe REG_SZ C:\Program Files\Codemasters\DiRT\DiRT.exe:*:Enabled:DiRT Executable
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe REG_SZ C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe:*:Enabled:hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe REG_SZ C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe:*:Enabled:hpqste08.exe
C:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe REG_SZ C:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe
C:\Program Files\HP\Digital Imaging\bin\hposfx08.exe REG_SZ C:\Program Files\HP\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe
C:\Program Files\HP\Digital Imaging\bin\hposid01.exe REG_SZ C:\Program Files\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe
C:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe REG_SZ C:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe:*:Enabled:hpqscnvw.exe
C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe REG_SZ C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe:*:Enabled:hpqkygrp.exe
C:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe REG_SZ C:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe:*:Enabled:hpqcopy.exe
C:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe REG_SZ C:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe:*:Enabled:hpfccopy.exe
C:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe REG_SZ C:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe
C:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe REG_SZ C:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe:*:Enabled:hpqphunl.exe
C:\Program Files\HP\Digital Imaging\Unload\HpqDIA.exe REG_SZ C:\Program Files\HP\Digital Imaging\Unload\HpqDIA.exe:*:Enabled:hpqdia.exe
C:\Program Files\HP\Digital Imaging\bin\hpoews01.exe REG_SZ C:\Program Files\HP\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe
C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe REG_SZ C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe:*:Enabled:hpqnrs08.exe
C:\Program Files\Messenger\msmsgs.exe REG_SZ C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger
%windir%\Network Diagnostic\xpnetdiag.exe REG_SZ %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000
C:\Program Files\VideoLAN\VLC\vlc.exe REG_SZ C:\Program Files\VideoLAN\VLC\vlc.exe:*:Disabled:VLC media player
C:\Program Files\Freeplayer\vlc\vlc.exe REG_SZ C:\Program Files\Freeplayer\vlc\vlc.exe:*:Enabled:VLC media player
C:\Program Files\adslTV\adsltv.exe REG_SZ C:\Program Files\adslTV\adsltv.exe:*:Enabled:adsltv
C:\Program Files\adslTV\vlc.exe REG_SZ C:\Program Files\adslTV\vlc.exe:*:Enabled:VLC media player
C:\Program Files\HomePlayer\HomePlayer.exe REG_SZ C:\Program Files\HomePlayer\HomePlayer.exe:*:Enabled:HomePlayer
C:\Program Files\HomePlayer\VLC\vlc.exe REG_SZ C:\Program Files\HomePlayer\VLC\vlc.exe:*:Enabled:VLC HomePlayer
C:\Program Files\Internet Explorer\iexplore.exe REG_SZ C:\Program Files\Internet Explorer\iexplore.exe:*:Enabled:Internet Explorer

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
%windir%\system32\sessmgr.exe REG_SZ %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
%windir%\Network Diagnostic\xpnetdiag.exe REG_SZ %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000

===============
BHO :
======
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]

================
Internet Explorer :
================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.msn.com/fr-fr

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.google.com/?gws_rd=ssl

========
Services
========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]

Ndisuio : 0x3
EapHost : 0x3
SharedAccess : 0x2
wuauserv : 0x2

=========

=======
Drive :
=======

D‚fragmenteur de disque Windows
Copyright (c) 2001 Microsoft Corp. et Executive Software International Inc.

Rapport d'analyse
149 Go total, 24,63 Go libre (16%), 17% fragment‚ (fragmentation du fichier 35%)

Vous devriez d‚fragmenter ce volume.

¤¤¤¤¤¤¤¤¤¤ Files/folders :


¤¤¤¤¤¤¤¤¤¤ Keys :

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"
HKLM\SOFTWARE\Classes\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}

================
Other infections
================

catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-19 03:11:21
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:32,76,ac,51,68,50,78,9c,b5,c6,a2,5a,d4,1e,5e,61,e4,a7,f7,c0,e5,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,24,66,ab,21,44,c5,a1,74,8c,ef,49,52,18,67,5c,9b,ea,..
"khjeh"=hex:28,c2,68,de,2f,df,d1,8b,9c,35,4f,99,7f,99,5c,d8,82,f0,cc,13,73,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:55,c1,f7,11,39,fa,ac,85,ce,be,a7,24,62,dc,c9,f0,cf,bf,8f,bd,bd,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:32,76,ac,51,68,50,78,9c,b5,c6,a2,5a,d4,1e,5e,61,e4,a7,f7,c0,e5,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,24,66,ab,21,44,c5,a1,74,8c,ef,49,52,18,67,5c,9b,ea,..
"khjeh"=hex:28,c2,68,de,2f,df,d1,8b,9c,35,4f,99,7f,99,5c,d8,82,f0,cc,13,73,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:55,c1,f7,11,39,fa,ac,85,ce,be,a7,24,62,dc,c9,f0,cf,bf,8f,bd,bd,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:32,76,ac,51,68,50,78,9c,b5,c6,a2,5a,d4,1e,5e,61,e4,a7,f7,c0,e5,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,24,66,ab,21,44,c5,a1,74,8c,ef,49,52,18,67,5c,9b,ea,..
"khjeh"=hex:28,c2,68,de,2f,df,d1,8b,9c,35,4f,99,7f,99,5c,d8,82,f0,cc,13,73,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:55,c1,f7,11,39,fa,ac,85,ce,be,a7,24,62,dc,c9,f0,cf,bf,8f,bd,bd,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x8a8142a0
NDIS: Marvell Yukon 88E8056 PCI-E Gigabit Ethernet Controller -> SendCompleteHandler -> 0x89c23460
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x012A14C00
malicious code @ sector 0x012A14C03 !
PE file found in sector at 0x012A14C19 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

==========
Programs
==========

AdorageI-GfxDatas
AdorageI-SAL
adslTV
AGEIA Technologies
Ahead
Analog Devices
Apple Software Update
ASUS
ATI Technologies
Avira
Codemasters
ComPlus Applications
DAEMON Tools Lite
Digital Camera
FastStone Image Viewer
Fichiers communs
Google
Grisoft
Hewlett-Packard
HomePlayer
HP
InstallShield Installation Information
Intel
Internet Explorer
IZArc
Java
K-Lite Codec Pack
List_Kill'em
Marvell
MegaWorld
Messenger
microsoft frontpage
Microsoft Office
Movie Maker
MPMAN
MSBuild
MSN
MSN Gaming Zone
MSXML 4.0
NetMeeting
Online Services
Online TV Player 4
OpenOffice.org 2.3
Outlook Express
proDAD
QuickTime
Reference Assemblies
Rockstar Games
Samsung
Services en ligne
TVPlayerClassic
Ulead Systems
Uninstall Information
VideoLAN
VLC
Windows Live Safety Center
Windows Media Connect 2
Windows Media Player
Windows NT
WindowsUpdate
WinFreeTV
WinRAR
xerox

============
Lecteur C:
============

$VAULT$.AVG
0cbbc88a10c6a60f8ec6180357
6edfd901c64ffaca0cd72378669ff9
adorage-protocol.txt
autoexec.000
autoexec.bat
autorun.inf
avg7qt.dat
bin
boot.ini
Bootfont.bin
Config.Msi
CONFIG.SYS
conmgr.log
ddd29013f21d102304e7fd6238b2
Documents and Settings
Intel
IO.SYS
Kill'em
List'em.txt
MSDOS.SYS
MSOCache
NTDETECT.COM
ntldr
pagefile.sys
Program Files
RECYCLER
sauvegarde prog
System Volume Information
temp
UsbFix
UsbFix.txt
WINDOWS
_OTL

¤¤¤¤¤¤¤¤¤¤ Cracks | Keygens | Serials


C:\WINDOWS\PatchInstall1Debug.log




¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0
Réponse 16 / 23
Utilisateur anonyme
 
▶ Relance List&Kill'em comme tu as fait pour l'option 1 (soit en clic droit pour vista),

mais cette fois-ci :

▶ choisis l'option 2 = Mode Destruction

laisse travailler l'outil.

en fin de scan un rapport s'ouvre

▶ colle le contenu dans ta reponse

ensuite :

▶ Télécharge FindyKill de Chiquitine29 sur ton bureau :

http://pagesperso-orange.fr/NosTools/Chiquitine29/Setup.exe

! Déconnecte toi et ferme toutes applications en cours !

▶ Double clique (clic droit "en tant qu'administrateur" pour Vista) sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'instalation par défaut .

▶ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

▶ Double-clique (clic droit "en tant qu'administrateur" pour Vista)sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil .

▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

▶ Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

▶ Laisse travailler l'outil et ne touche à rien ...

▶ Poste le rapport qui apparait à la fin , sur le forum ...

( le rapport est sauvegardé aussi sous C:\FindyKill.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
0
Réponse 17 / 23
aaarrrggghhh Messages postés 15 Statut Membre
 
Kill'em by g3n-h@ckm@n 1.1.6.0

User : Propriétaire (Administrateurs)
Update on 18/12/2009 by g3n-h@ckm@n ::::: 20:30
Start at: 03:37:29 | 19/12/2009
Contact : g3n-h@ckm@n sur CCM

Intel(R) Core(TM)2 Quad CPU Q6600 @ 2.40GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | Updated ]

C:\ -> Disque fixe local | 149,04 Go (24,62 Go free) | NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

C:\WINDOWS\System32\smss.exe 672
C:\WINDOWS\system32\csrss.exe 724
C:\WINDOWS\system32\winlogon.exe 760
C:\WINDOWS\system32\services.exe 804
C:\WINDOWS\system32\lsass.exe 816
C:\WINDOWS\system32\Ati2evxx.exe 1028
C:\WINDOWS\system32\svchost.exe 1044
C:\WINDOWS\system32\svchost.exe 1120
C:\WINDOWS\System32\svchost.exe 1232
C:\WINDOWS\system32\svchost.exe 1352
C:\WINDOWS\system32\svchost.exe 1428
C:\WINDOWS\system32\Ati2evxx.exe 1520
C:\WINDOWS\system32\spoolsv.exe 1588
C:\Program Files\Avira\AntiVir Desktop\sched.exe 1672
C:\WINDOWS\system32\svchost.exe 1992
C:\WINDOWS\Explorer.EXE 1196
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 1600
C:\Program Files\Java\jre6\bin\jqs.exe 1924
C:\WINDOWS\system32\svchost.exe 2304
C:\WINDOWS\system32\wbem\wmiapsrv.exe 2928
C:\WINDOWS\System32\alg.exe 3164
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe 4004
C:\Program Files\ASUS\AI Suite\AiNap\AiNap.exe 4020
C:\Program Files\ASUS\AI Suite\AiGear3\CpuPowerMonitor.exe 4040
C:\Program Files\Analog Devices\Core\smax4pnp.exe 4064
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE 4088
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe 132
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 408
C:\Program Files\Java\jre6\bin\jusched.exe 704
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe 2040
C:\Program Files\DAEMON Tools Lite\daemon.exe 2032
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe 1652
C:\Program Files\Messenger\msmsgs.exe 2128
C:\WINDOWS\system32\ctfmon.exe 2140
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe 2436
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe 3272
C:\Program Files\Internet Explorer\iexplore.exe 1544
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe 1360
C:\Program Files\Internet Explorer\iexplore.exe 3024
c:\program files\avira\antivir desktop\avcenter.exe 1780
C:\Program Files\Internet Explorer\iexplore.exe 1172
c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe 2936
C:\WINDOWS\system32\wscntfy.exe 1696
C:\Program Files\List_Kill'em\List_Kill'em.exe 1796
C:\WINDOWS\system32\cmd.exe 1096
C:\WINDOWS\system32\wbem\wmiprvse.exe 1644
C:\Documents and Settings\Propriétaire\Local Settings\Temp\E.tmp\pv.exe 2312

Detections :
==========


¤¤¤¤¤¤¤¤¤¤ Files/folders :



¤¤¤¤¤¤¤¤¤¤ Files/folders deleted :

Quarantine :


==============
host file OK !
==============

========
Registry
========
Deleted : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe
Deleted : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe

============
Disk Cleaned
============

================
Prefetch cleaned
================



¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0
Réponse 18 / 23
aaarrrggghhh Messages postés 15 Statut Membre
 
############################## | FindyKill V5.021 |

# User : Propriétaire (Administrateurs) #
# Update on 10/12/2009 by Chiquitine29
# Start at: 03:41:27 | 19/12/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# Intel(R) Core(TM)2 Quad CPU Q6600 @ 2.40GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | Updated ]

# C:\ # Disque fixe local # 149,04 Go (24,63 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\ASUS\AI Suite\AiNap\AiNap.exe
C:\Program Files\ASUS\AI Suite\AiGear3\CpuPowerMonitor.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | C: |


################## | C:\WINDOWS |


################## | C:\WINDOWS\system32 |


################## | C:\WINDOWS\system32\drivers |


################## | C:\Documents and Settings\Propri‚taire\Application Data |

################## | Temporary Internet Files |


################## | Registre / Clés infectieuses |

Présent ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "AntiVirusOverride"
Présent ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "FirewallOverride"
Présent ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK

# Mode sans echec : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )


################## | Cracks / Keygens / Serials |




################## | ! Fin du rapport # FindyKill V5.021 ! |
0
Réponse 19 / 23
Utilisateur anonyme
 
Télécharge mbr.exe de Gmer ici :
http://www2.gmer.net/mbr/mbr.exe
et enregistre le fichier sur le Bureau.


Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Double clique sur mbr.exe
Un rapport sera généré : mbr.log
En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.

Si c'est le cas, continue comme ça :

Dans le menu Démarrer- Exécuter tape : "%userprofile%\Bureau\mbr" -f
Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"

Réactive tes protections
Poste ce rapport et supprimes-le ensuite.

Pour vérifier

Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Relance mbr.exe

Réactive tes protections.

Le nouveau mbr.log devrait être celui-ci :

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK


Sous Vista, ne pas oublier de lancer mbr.exe par clic droit et Exécuter en tant qu'administrateur.
Note : Si le fichier mbr.exe se trouve dans Téléchargement, cela fonctionne aussi et mbr.log s'y inscrira.

ensuite :

########### [ Option 2 ( Suppression ) ]



▶ Déconnecte toi et ferme toutes application en cours ( navigateur compris ) .

▶ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

▶ Relance "FindyKill" (clic droit "en tant qu'administrateur" pour Vista): au menu principal choisis l'option " F " pour français et tape sur [entrée] .

▶ Au second menu choisis l'option 2 (suppression) et tape sur [entrée]

▶ Le pc va redémarrer automatiquement ...

▶ le programme va travailler , ne touche à rien ... , ton bureau ne sera pas accessible c est normal !

▶ Poste le rapport qui apparait à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt )

▶ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide

ensuite :

desinstalle List_Kill'em
0
Réponse 20 / 23
aaarrrggghhh Messages postés 15 Statut Membre
 
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x8a8142a0
NDIS: Marvell Yukon 88E8056 PCI-E Gigabit Ethernet Controller -> SendCompleteHandler -> 0x89c23460
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x012A14C00
malicious code @ sector 0x012A14C03 !
PE file found in sector at 0x012A14C19 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses
virus Artemis!
mabiche37 -
Malekal_morte- -

14 réponses