Bonjour, Voilà je vous soumets mon problème informatique. Il y a deux jours, j'ai reçu de nombreuses alertes d'avast (mon antivirus) me signalant que j'étais infecté par un rootkit (Win 32 ou un truc comme ça). Je mettais en quarantaine à chaque fois mais le message d'alerte revenait en boucle ... Depuis, à chaque fois que j allume mon PC, la barre d'outils du Bureau se fige pendant 20 min, je peux plus rien faire ... et d'un seul coup la petite musique de démarrage retentit et tout redevient normal. Au début j avais un espèce de rectangle noir-gris en bas à droite de l'écran mais depuis que j ai passé avast, anti-malware, AVG anti-rootkit, ccleaner, navilog, regcleaner et même hijackthis (où j ai tout supprimé ce qui était peut-être pas une si bonne idée ... ) le rectangle a disparu mais le problème persiste. Et sinon tous ces antivirus ne detectent plus rien d'anormal. Dernière chose, pendant que je passais antivir hier soir, avast a recommencé à m'envoyer plein de messages d'alertes me signifiant que j avais un logiciel espion. Voilà, en esperant avoir été assez précis. J'ai presque tout essayé et c'est la première fois que j arrive pas à nettoyer mon PC, j dois avoir un sacré virus ... Merci d'avance pour votre aide

Problème au démarrage [Résolu]

Réponse 1 / 34

benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
19 déc. 2009 à 11:07

Bonjour,

si tu a 2 antivirus d'installer risque de conflit désinstalle avast stp si tu a toujours antivir

• http://images.malwareremoval.com/random/RSIT.exe

Et enregistre le sur ton Bureau.

• Double clique sur RSIT.exe pour lancer l'outil.
* laisses le chois 1 month
• Clique sur "Continue" à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés stp

ps:Les rapports se trouvent à cet endroit:

C:\rsit\info.txt

C:\rsit\log.txt

Tutoriel pour t'aider

https://forum.pcastuces.com/randoms_system_information_tool_rsit-f31s31.htm

CrumbleBoy
19 déc. 2009 à 12:41

Du coup, j ai desinstallé Antivir hier comme avast me disait que c'était un logiciel espion et puis comme tu dis j voulais pas avoir deux antivirus.
Je telecharge quand même ton lien (RSIT) ??

CrumbleBoy > CrumbleBoy
19 déc. 2009 à 14:42

Premier rapport

info.txt logfile of random's system information tool 1.06 2009-12-19 14:27:09

======Uninstall list======

-->C:\Program Files\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
-->C:\Program Files\Fichiers communs\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
-->C:\WINDOWS\IsUn040c.exe -fC:\WINDOWS\orun32.isu
-->C:\WINDOWS\UNNeroVision.exe /UNINSTALL
-->C:\WINDOWS\UNNMP.exe /UNINSTALL
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{23EFDB58-0874-4883-9810-EDA510B19FAE}\setup.exe" -l0x9
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2BB79C8D-9DCC-4861-8A23-AE1B0B45E2B6}\setup.exe" -l0x9
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{775FFF70-4A8C-4500-908D-3C34DBEB11D5}\setup.exe" -l0x9
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{83021AC3-086F-4B77-ACCD-1BD7C9AB211E}\setup.exe" -l0x9
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B14F9B26-D695-4C4A-8B11-0FE6CDCC797B}\setup.exe" -l0x9
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{E213C271-AEFA-481D-A9B4-914D88925B8D}\setup.exe" -l0x9
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{E06E4F4E-72D6-4497-BFFD-BCB43077C2F4}\Setup.exe" -l0x40c -uninst
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{1A99CB37-AEB0-492F-A85A-8A2536D22393}\setup.exe" -l0x40c
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 7.1.0 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A71000000002}
Adobe Shockwave Player-->C:\WINDOWS\system32\Adobe\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Adobe\SHOCKW~1\Install.log
Apple Software Update-->MsiExec.exe /I{02DFF6B1-1654-411C-8D7B-FD6052EF016F}
Assistant de connexion Windows Live-->MsiExec.exe /I{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}
Athlon 64 Processor Driver-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C151CE54-E7EA-4804-854B-F515368B0798}\setup.exe" -l0x40c
avast! Antivirus-->C:\Program Files\Alwil Software\Avast4\aswRunDll.exe "C:\Program Files\Alwil Software\Avast4\Setup\setiface.dll",RunSetup
CASIO Add-in Installer-->C:\WINDOWS\uninst.exe -f"C:\Program Files\CASIO\Add-in Installer\DeIsL1.isu" -c"C:\Program Files\CASIO\Add-in Installer\_ISREG32.DLL"
Correctif pour Windows Internet Explorer 7 (KB947864)-->"C:\WINDOWS\ie7updates\KB947864-IE7\spuninst\spuninst.exe"
Creative Media Lite-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{1A99CB37-AEB0-492F-A85A-8A2536D22393}\setup.exe" -l0x40c /remove
DivX Codec-->C:\Program Files\DivX\DivXCodecUninstall.exe /CODEC
DivX Converter-->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player-->C:\Program Files\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Plus DirectShow Filters-->C:\Program Files\DivX\DivXDSFiltersUninstall.exe /DSFILTERS
DivX Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
eMule-->"C:\Program Files\eMule\Uninstall.exe"
EPSON CardMonitor-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{109D28C7-FB38-483A-9C91-001CB59E2699}\SETUP.EXE" -l0x40c uninst
EPSON Copy Utility 3-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{67EDD823-135A-4D59-87BD-950616D6E857}\Setup.exe" -l0x40c -UnInstall
EPSON Logiciel imprimante-->C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\EPUPDATE.EXE /R
EPSON PhotoQuicker3.5-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{65F5B7AF-3363-11D7-BB6B-00018021113F}\SETUP.EXE" -l0x40c uninst
EPSON PhotoStarter3.1-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C48817E7-AA05-4151-A99D-1E1E550CE801}\SETUP.EXE" -l0x40c uninst
EPSON PRINT Image Framer Tool2.1-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{23B59ED4-C360-11D7-875B-0090CC005647}\SETUP.EXE" -l0x40c anything
EPSON Scan-->C:\Program Files\epson\escndv\setup\setup.exe /r
EPSON Smart Panel-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{6C11D561-620B-47DA-A693-4C597F3CDF40}\SETUP.EXE" -l0x40c Uninstall
EPSON Web-To-Page-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{7F14F68C-17FA-4F88-B3FD-7F449C1EBF32}\SETUP.EXE" -l0x40c -anything
ESCX3600 Guide de réf.-->C:\Program Files\EPSON\TPMANUAL\ESCX3600\REF_G\DOCUNINS.EXE
ESCX3600 Guide des logiciels-->C:\Program Files\EPSON\TPMANUAL\ESCX3600\PQU_G\DOCUNINS.EXE
Fx-Interface 1.9.6-->"C:\Program Files\CASIO\Fx-Interface\unins000.exe"
Galerie de photos Windows Live-->MsiExec.exe /X{B131E59D-202C-43C6-84C9-68F0C37541F1}
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{46ABBC54-1872-4AA3-95E2-F2C063A63F31}
J2SE Runtime Environment 5.0 Update 11-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150110}
Java(TM) 6 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Junk Mail filter update-->MsiExec.exe /I{E2DFE069-083E-4631-9B6C-43C48E991DE5}
Lecteur Windows Media 11-->"C:\Program Files\Windows Media Player\Setup_wm.exe" /Uninstall
Mega Manager-->C:\Program Files\InstallShield Installation Information\{3B6E3FC6-274C-4B6C-BC85-5C3B15DE18E2}\setup.exe -runfromtemp -l0x0009 -removeonly
Messenger Plus! Live-->"C:\Program Files\Messenger Plus! Live\Uninstall.exe"
Microsoft .NET Framework 1.1 French Language Pack-->MsiExec.exe /X{9A394342-4A68-4EBA-85A6-55B559F4E700}
Microsoft .NET Framework 1.1 Security Update (KB953297)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M953297\M953297Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Beta 2-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50215\Microsoft .NET Framework 2.0 Beta 2\install.exe
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft MSDN Express Library 2005 Beta 2 - English-->C:\Program Files\Microsoft Visual Studio 8\Microsoft MSDN Express Library 2005 Beta 2 - English\install.exe
Microsoft Office Live Add-in 1.3-->MsiExec.exe /I{57F0ED40-8F11-41AA-B926-4A66D0D1A9CC}
Microsoft Office Outlook Connector-->MsiExec.exe /I{95120000-0122-040C-0000-0000000FF1CE}
Microsoft Office PowerPoint Viewer 2003-->MsiExec.exe /X{90AF040C-6000-11D3-8CFE-0150048383C9}
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{9011040C-6000-11D3-8CFE-0150048383C9}
Microsoft Silverlight-->MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft SQL Native Client-->MsiExec.exe /I{C1ACE268-14E1-4AF7-B639-050D1A3F4B8F}
Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}
Microsoft SQL Server 2005 Tools Express Edition CTP-->"C:\Program Files\Microsoft SQL Server\90\Setup Bootstrap\setup.exe" /resumesetup /productcode {2750B389-A2D2-4953-99CA-27C1F2A8E6FD} /X {2750B389-A2D2-4953-99CA-27C1F2A8E6FD} SCCCHECKLEVEL=iisDep:0;PerfMon:0
Microsoft SQL Server 2005 Tools Express Edition CTP-->MsiExec.exe /I{2750B389-A2D2-4953-99CA-27C1F2A8E6FD}
Microsoft SQL Server Setup Support Files (English)-->MsiExec.exe /X{53F5C3EE-05ED-4830-994B-50B2F0D50FCE}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Works 7.0-->MsiExec.exe /I{64D114CE-4234-45C2-B60A-2B07D5A48F72}
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB928090)-->"C:\WINDOWS\ie7updates\KB928090-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB929969)-->"C:\WINDOWS\ie7updates\KB929969\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB931768)-->"C:\WINDOWS\ie7updates\KB931768-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB933566)-->"C:\WINDOWS\ie7updates\KB933566-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB937143)-->"C:\WINDOWS\ie7updates\KB937143-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127)-->"C:\WINDOWS\ie7updates\KB938127-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB939653)-->"C:\WINDOWS\ie7updates\KB939653-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB942615)-->"C:\WINDOWS\ie7updates\KB942615-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB944533)-->"C:\WINDOWS\ie7updates\KB944533-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB950759)-->"C:\WINDOWS\ie7updates\KB950759-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB963027)-->"C:\WINDOWS\ie7updates\KB963027-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 8 (KB969897)-->"C:\WINDOWS\ie8updates\KB969897-IE8\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 8 (KB971961)-->"C:\WINDOWS\ie8updates\KB971961-IE8\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 8 (KB972260)-->"C:\WINDOWS\ie8updates\KB972260-IE8\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 8 (KB974455)-->"C:\WINDOWS\ie8updates\KB974455-IE8\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 8 (KB976325)-->"C:\WINDOWS\ie8updates\KB976325-IE8\spuninst\spuninst.exe"
Mise à jour pour Windows Internet Explorer 8 (KB969497)-->"C:\WINDOWS\ie8updates\KB969497-IE8\spuninst\spuninst.exe"
Mise à jour pour Windows Internet Explorer 8 (KB976749)-->"C:\WINDOWS\ie8updates\KB976749-IE8\spuninst\spuninst.exe"
Module de compatibilité pour Microsoft Office System 2007-->MsiExec.exe /X{90120000-0020-040C-0000-0000000FF1CE}
Mozilla Firefox (3.5.6)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSN-->C:\Program Files\MSN\MsnInstaller\msninst.exe /Action:ARP
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 6.0 Parser (KB933579)-->MsiExec.exe /I{0A869A65-8C94-4F7C-A5C7-972D3C8CED9E}
Nero Suite-->C:\Program Files\Fichiers communs\Ahead\Uninstall\setup.exe /uninstall
O2Micro MemoryCardBus Windows Driver-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{015D937D-9D52-45A4-BDAA-2413938C0564} /l1033
Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
PIF DESIGNER2.1-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{7BD0A2D8-4EA0-43C6-BDF8-DDA87B8031C6}\SETUP.EXE" -l0x40c anything
QuickTime-->MsiExec.exe /I{08CA9554-B5FE-4313-938F-D4A417B81175}
RealPlayer-->C:\Program Files\Fichiers communs\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
SAGEM USB-Serial Mobile Communication Device-->C:\Program Files\SAGEM\USB-Serial\USB-Serial_Uninst.exe
ScanToWeb-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{EBAE381B-60A6-4863-AA9F-FCAB755BC9E5}\SETUP.EXE" ADDREMOVEDLG
Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}
SiS 900 PCI Fast Ethernet Adapter Driver-->C:\Progra~1\SiSLan\Uninst.exe
SiS VGA Utilities-->Rundll32 SiSInst.dll,Uninstall VGA,R,oem1.inf
Smart Link 56K Modem-->C:\WINDOWS\Modio\SLAMR2KV\Setup.exe /Remove
SQLXML 4.0-->MsiExec.exe /I{7547D3B6-7C5B-4F16-A5E6-E841F107BA58}
Synaptics Pointing Device Driver-->rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
TomTom HOME 2.7.3.1894-->C:\Program Files\TomTom HOME 2\Uninstall TomTom HOME.exe
TomTom HOME Visual Studio Merge Modules-->MsiExec.exe /I{8F3C31C5-9C3A-4AA8-8EFA-71290A7AD533}
VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B}
VIA Audio Driver Setup Program-->RunDll32.exe UnAudioNT.dll,UninstallAudio C:\WINDOWS\IsUninst.exe -y-f"C:\PROGRA~1\VIAudioi\SBASetup\Uninst.isu"
Visionneuse Journal Windows Microsoft-->MsiExec.exe /X{43DCF766-6838-4F9A-8C91-D92DA586DFA8}
VLC media player 0.9.8a-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Vuze-->C:\Program Files\Vuze\uninstall.exe
WellPhone DirectSync-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{CFEC7E01-B73C-451D-A366-96978AFD233B}\setup.exe" UNINSTALL
WellPhone-->"C:\Program Files\SmartCom\WellPhone\UnInst32.exe"
Windows Internet Explorer 8-->"C:\WINDOWS\ie8\spuninst\spuninst.exe"
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live FolderShare-->MsiExec.exe /X{2075CB0A-D26F-4DAA-B424-5079296B43BA}
Windows Live Mail-->MsiExec.exe /I{5DD76286-9BE7-4894-A990-E905E91AC818}
Windows Live Messenger-->MsiExec.exe /X{770F1BEC-2871-4E70-B837-FB8525FFA3B1}
Windows Media Format 11 runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
WinRAR archiver-->C:\Program Files\WinRAR\uninstall.exe

=====HijackThis Backups=====

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb [2009-04-14]
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab [2009-04-14]
O23 - Service: PC Tools Security Service (sdCoreService) - Unknown owner - C:\Program Files\Spyware Doctor\swdsvc.exe (file missing) [2009-04-14]
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - Unknown owner - C:\Program Files\Spyware Doctor\svcntaux.exe (file missing) [2009-04-14]
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens [2009-12-18]
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe [2009-12-18]
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe [2009-12-18]
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.cherche.us/keyword/%s [2009-12-18]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp [2009-12-18]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF [2009-12-18]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp [2009-12-18]
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe [2009-12-18]
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll [2009-12-18]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww12.cherche.us [2009-12-18]
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') [2009-12-18]
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll [2009-12-18]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp [2009-12-18]
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing) [2009-12-18]
O8 - Extra context menu item: &Search - http://kx.bar.need2find.com/KX/menusearch.html?p=KX [2009-12-18]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ww12.cherche.us [2009-12-18]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ww12.cherche.us [2009-12-18]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ww12.cherche.us [2009-12-18]
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') [2009-12-18]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF [2009-12-18]
O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll [2009-12-18]
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2009-12-18]
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') [2009-12-18]
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot [2009-12-18]
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') [2009-12-18]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.cherche.us/keyword/%s [2009-12-18]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://ww12.cherche.us [2009-12-18]
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe [2009-12-18]
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-12-18]
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent [2009-12-18]
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll [2009-12-18]
O4 - HKCU\..\Run: [RTEGPRS] "C:\Program Files\Fichiers communs\SmartCom\RTEGPRS.exe" tray [2009-12-18]
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll [2009-12-18]
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background [2009-12-18]
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll [2009-12-18]
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 [2009-12-18]
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) [2009-12-18]
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll [2009-12-18]
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL [2009-12-18]
O15 - Trusted Zone: *.chat-land.org [2009-12-18]
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB [2009-12-18]
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab [2009-12-18]
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe [2009-12-18]
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe [2009-12-18]
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe [2009-12-18]
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe [2009-12-18]
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab [2009-12-18]
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab [2009-12-18]
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab [2009-12-18]
O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} - http://acces.blonde.com/package/op/PackageHtmlCab.CAB [2009-12-18]
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab [2009-12-18]
O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe [2009-12-18]
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab [2009-12-18]
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe [2009-12-18]
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe [2009-12-18]
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing) [2009-12-18]
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe [2009-12-18]
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab [2009-12-18]
O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTDevSrv.exe [2009-12-18]
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - Unknown owner - C:\Program Files\Spyware Doctor\svcntaux.exe (file missing) [2009-12-18]
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe [2009-12-18]
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe [2009-12-18]
O23 - Service: PC Tools Security Service (sdCoreService) - Unknown owner - C:\Program Files\Spyware Doctor\swdsvc.exe (file missing) [2009-12-18]
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe [2009-12-18]
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe [2009-12-18]
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe [2009-12-18]

======Hosts File======

127.0.0.1 localhost

======Security center information======

AV: Norton AntiVirus 2006
AV: avast! antivirus 4.8.1368 [VPS 091218-1]
FW: Norton Internet Worm Protection

======System event log======

Computer Name: *****
Event Code: 7035
Message: Un contrôle Démarrer a correctement été envoyé au service avast! Web Scanner.

Record Number: 84204
Source Name: Service Control Manager
Time Written: 20091106201409.000000+060
Event Type: Informations
User: AUTORITE NT\SYSTEM

Computer Name: *****
Event Code: 7036
Message: Le service avast! Mail Scanner est entré dans l'état : en cours d'exécution.

Record Number: 84203
Source Name: Service Control Manager
Time Written: 20091106201409.000000+060
Event Type: Informations
User:

Computer Name: *****
Event Code: 7035
Message: Un contrôle Démarrer a correctement été envoyé au service avast! Mail Scanner.

Record Number: 84202
Source Name: Service Control Manager
Time Written: 20091106201408.000000+060
Event Type: Informations
User: AUTORITE NT\SYSTEM

Computer Name: *****
Event Code: 7036
Message: Le service Service COM de gravage de CD IMAPI est entré dans l'état : en cours d'exécution.

Record Number: 84201
Source Name: Service Control Manager
Time Written: 20091106201407.000000+060
Event Type: Informations
User:

Computer Name: *****
Event Code: 7035
Message: Un contrôle Démarrer a correctement été envoyé au service Service COM de gravage de CD IMAPI.

Record Number: 84200
Source Name: Service Control Manager
Time Written: 20091106201407.000000+060
Event Type: Informations
User: AUTORITE NT\SYSTEM

=====Application event log=====

Computer Name: *****
Event Code: 301
Message: MsnMsgr (1648) \\.\C:\Documents and Settings\*****\Local Settings\Application Data\Microsoft\Messenger\****@hotmail.fr\SharingMetadata\Working\database_C8B0_8960_B089_55BA\dfsr.db: Le moteur de base de données commence la relecture du fichier journal \\.\C:\Documents and Settings\*****\Local Settings\Application Data\Microsoft\Messenger\*****@hotmail.fr\SharingMetadata\Working\database_C8B0_8960_B089_55BA\fsr01466.log.

Record Number: 37510
Source Name: ESENT
Time Written: 20081117180854.000000+060
Event Type: Informations
User:

Computer Name: ****
Event Code: 301
Message: MsnMsgr (1648) \\.\C:\Documents and Settings\*****\Local Settings\Application Data\Microsoft\Messenger\*****@hotmail.fr\SharingMetadata\Working\database_C8B0_8960_B089_55BA\dfsr.db: Le moteur de base de données commence la relecture du fichier journal \\.\C:\Documents and Settings\*****\Local Settings\Application Data\Microsoft\Messenger\*****@hotmail.fr\SharingMetadata\Working\database_C8B0_8960_B089_55BA\fsr01465.log.

Record Number: 37509
Source Name: ESENT
Time Written: 20081117180853.000000+060
Event Type: Informations
User:

Computer Name: *****
Event Code: 301
Message: MsnMsgr (1648) \\.\C:\Documents and Settings\*****\Local Settings\Application Data\Microsoft\Messenger\*****@hotmail.fr\SharingMetadata\Working\database_C8B0_8960_B089_55BA\dfsr.db: Le moteur de base de données commence la relecture du fichier journal \\.\C:\Documents and Settings\*****\Local Settings\Application Data\Microsoft\Messenger\*****@hotmail.fr\SharingMetadata\Working\database_C8B0_8960_B089_55BA\fsr01464.log.

Record Number: 37508
Source Name: ESENT
Time Written: 20081117180853.000000+060
Event Type: Informations
User:

Computer Name: *****
Event Code: 301
Message: MsnMsgr (1648) \\.\C:\Documents and Settings\*****\Local Settings\Application Data\Microsoft\Messenger\*****@hotmail.fr\SharingMetadata\Working\database_C8B0_8960_B089_55BA\dfsr.db: Le moteur de base de données commence la relecture du fichier journal \\.\C:\Documents and Settings\*****\Local Settings\Application Data\Microsoft\Messenger\*****@hotmail.fr\SharingMetadata\Working\database_C8B0_8960_B089_55BA\fsr01463.log.

Record Number: 37507
Source Name: ESENT
Time Written: 20081117180852.000000+060
Event Type: Informations
User:

Computer Name: *****
Event Code: 301
Message: MsnMsgr (1648) \\.\C:\Documents and Settings\*****\Local Settings\Application Data\Microsoft\Messenger\*****@hotmail.fr\SharingMetadata\Working\database_C8B0_8960_B089_55BA\dfsr.db: Le moteur de base de données commence la relecture du fichier journal \\.\C:\Documents and Settings\*****\Local Settings\Application Data\Microsoft\Messenger\*****@hotmail.fr\SharingMetadata\Working\database_C8B0_8960_B089_55BA\fsr01462.log.

Record Number: 37506
Source Name: ESENT
Time Written: 20081117180852.000000+060
Event Type: Informations
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Microsoft SQL Server\90\Tools\binn\;C:\Program Files\QuickTime\QTSystem\;C:\Program Files\Fichiers communs\DivX Shared\
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 8 Stepping 2, AuthenticAMD
"PROCESSOR_REVISION"=0802
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"lib"=C:\Program Files\SQLXML 4.0\bin\
"CLASSPATH"=.;C:\Program Files\Java\jre1.6.0_05\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre1.6.0_05\lib\ext\QTJava.zip

-----------------EOF-----------------

CrumbleBoy > CrumbleBoy
19 déc. 2009 à 14:49

Deuxième rapport

Logfile of random's system information tool 1.06 (written by random/random)
Run by ***** at 2009-12-19 14:21:27
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 8 GB (21%) free of 38 GB
Total RAM: 479 MB (41% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:25:23, on 19/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Creative\Shared Files\CTDevSrv.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Microsoft\Office Live\OfficeLiveSignIn.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\*****\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\*****.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTDevSrv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - Unknown owner - C:\Program Files\Spyware Doctor\svcntaux.exe (file missing)
O23 - Service: PC Tools Security Service (sdCoreService) - Unknown owner - C:\Program Files\Spyware Doctor\swdsvc.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Réponse 2 / 34

benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
19 déc. 2009 à 15:22

telecharge

http://www.malwarebytes.org/mbam/program/mbam-setup.exe

a l'installation vérifie que mise a jour et lancer programme et scan complet sont bien cocher

Une fois a jour, le programme va se lancer; clic sur l´onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression".

A la fin du scan clique sur Afficher les résultats

Vérifier si tout est coché et clic Supprimer la sélection

S'il t'es demandé de redémarrer >>> clique sur "Yes"

Et tu poste le rapport générer

CrumbleBoy
19 déc. 2009 à 19:09

Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3393
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

19/12/2009 17:39:48
mbam-log-2009-12-19 (17-39-47).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 184293
Temps écoulé: 1 hour(s), 55 minute(s), 24 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Réponse 3 / 34

benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
19 déc. 2009 à 19:14

Telecharge UsbFix de C_XX & Chiquitine29

http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

• Double clic sur "UsbFix.exe" présent sur ton bureau .

• Choisis l'option F pour français et tape sur [entrée] .

• Choisis l'option 1 ( Recherche ) et tape sur [entrée] .

• Laisse travailler l'outil.

• Ensuite post le rapport UsbFix.txt qui apparaitra.

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

CrumbleBoy
19 déc. 2009 à 21:05

############################## | UsbFix V6.065 |

User : ***** (Administrateurs) # *****
Update on 18/12/2009 by Chiquitine29, C_XX & Chimay8
Start at: 20:40:39 | 19/12/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Mobile AMD Sempron(tm) Processor 2800+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : Norton AntiVirus 2006 2005 [ Enabled | Updated ]
AV : avast! antivirus 4.8.1368 [VPS 091219-0] 4.8.1368 [ Enabled | Updated ]
FW : Norton Internet Worm Protection[ Enabled ]2006

C:\ -> Disque fixe local # 37,25 Go (7,45 Go free) [System] # NTFS
D:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 464
C:\WINDOWS\system32\csrss.exe 516
C:\WINDOWS\system32\winlogon.exe 540
C:\WINDOWS\system32\services.exe 584
C:\WINDOWS\system32\lsass.exe 596
C:\WINDOWS\system32\svchost.exe 748
C:\WINDOWS\system32\svchost.exe 808
C:\WINDOWS\System32\svchost.exe 876
C:\WINDOWS\system32\svchost.exe 948
C:\WINDOWS\system32\svchost.exe 1040
C:\WINDOWS\Explorer.EXE 1280
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 1292
C:\Program Files\Alwil Software\Avast4\ashServ.exe 1352
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe 1456
C:\WINDOWS\system32\spoolsv.exe 1744
C:\WINDOWS\system32\svchost.exe 404
C:\Program Files\Creative\Shared Files\CTDevSrv.exe 440
C:\WINDOWS\system32\svchost.exe 600
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 2196
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 2228
C:\WINDOWS\System32\alg.exe 2368
C:\Program Files\Windows Live\Messenger\msnmsgr.exe 2532
C:\Program Files\Windows Live\Contacts\wlcomm.exe 1172
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE 1896
C:\Program Files\Microsoft\Office Live\OfficeLiveSignIn.exe 1884
C:\WINDOWS\system32\wuauclt.exe 2780
C:\Program Files\eMule\emule.exe 2524
C:\Program Files\Mozilla Firefox\firefox.exe 2864
C:\WINDOWS\system32\wbem\wmiprvse.exe 860

################## | Fichiers # Dossiers infectieux |

################## | Registre # Clés infectieuses |

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{11abd8b6-5d54-11dd-9aaf-00030d1ceea7}
Shell\Auto\command =cmd /C launch.bat
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL cmd /C launch.bat

HKCU\..\..\Explorer\MountPoints2\{11bd8984-e364-11de-9ca7-00030d1ceea7}
Shell\AutoRun\command =E:\InstallTomTomHOME.exe

################## | Cracks / Keygens / Serials |

"C:\Program Files\SAGEM\USB-Serial\USB-Serial_Uninst.exe"
06/06/2006 17:36 |Size 73150 |Crc32 5c12fea8 |Md5 4f8289e014c4f431c903e6aa7232d01d

################## | ! Fin du rapport # UsbFix V6.065 ! |

Réponse 4 / 34

benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
19 déc. 2009 à 21:20

Suppression

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe......) susceptibles d'avoir été infectés sans les ouvrir

(1) Double clic sur le raccourci UsbFix présent sur ton bureau

(2) Choisi l option 2 ( Suppression )

Ton bureau disparaitra et le pc redémarrera .

Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

CrumbleBoy
19 déc. 2009 à 23:12

Quand j ai redemarré mon PC, ca a recommencé !! (blocage pendant une demi-heure ... ) Voilà le rapport:

############################## | UsbFix V6.065 |

User : ***** (Administrateurs) # *****
Update on 18/12/2009 by Chiquitine29, C_XX & Chimay8
Start at: 22:33:37 | 19/12/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Mobile AMD Sempron(tm) Processor 2800+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : Norton AntiVirus 2006 2005 [ Enabled | Updated ]
AV : avast! antivirus 4.8.1368 [VPS 091219-1] 4.8.1368 [ Enabled | Updated ]
FW : Norton Internet Worm Protection[ Enabled ]2006

C:\ -> Disque fixe local # 37,25 Go (7,36 Go free) [System] # NTFS
D:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 472
C:\WINDOWS\system32\csrss.exe 520
C:\WINDOWS\system32\winlogon.exe 544
C:\WINDOWS\system32\services.exe 588
C:\WINDOWS\system32\lsass.exe 600
C:\WINDOWS\system32\svchost.exe 756
C:\WINDOWS\system32\svchost.exe 804
C:\WINDOWS\System32\svchost.exe 876
C:\WINDOWS\system32\svchost.exe 936
C:\WINDOWS\system32\svchost.exe 1080
C:\WINDOWS\Explorer.EXE 1260
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 1284
C:\Program Files\Alwil Software\Avast4\ashServ.exe 1332
C:\WINDOWS\system32\spoolsv.exe 1728
C:\Program Files\Alwil Software\Avast4\setup\avast.setup 1780
C:\WINDOWS\system32\svchost.exe 460
C:\Program Files\Creative\Shared Files\CTDevSrv.exe 504
C:\WINDOWS\system32\slserv.exe 848
C:\WINDOWS\system32\svchost.exe 900
C:\WINDOWS\system32\wuauclt.exe 1812
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 168
C:\WINDOWS\system32\wbem\wmiprvse.exe 248
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 276
C:\WINDOWS\System32\alg.exe 1468

################## | Fichiers # Dossiers infectieux |

Supprimé ! C:\Recycler\S-1-5-21-3778505759-2480693887-1966584087-1006

################## | Registre # Clés infectieuses |

################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{11abd8b6-5d54-11dd-9aaf-00030d1ceea7}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{11bd8984-e364-11de-9ca7-00030d1ceea7}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[03/08/2006 09:37|--a------|100] C:\AUTOEXEC.BAT
[25/12/2008 19:55|-rahs----|216] C:\boot.ini
[05/08/2004 13:00|-rahs----|4952] C:\Bootfont.bin
[18/12/2009 23:25|--a------|916] C:\cleannavi.txt
[20/08/2004 21:01|--a------|0] C:\CONFIG.SYS
[?|?|?] C:\hiberfil.sys
[20/08/2004 21:01|-rahs----|0] C:\IO.SYS
[14/09/2004 13:17|--a------|2044] C:\Lang.txt
[20/12/2008 12:34|--a------|0] C:\log_lobby.txt
[20/12/2008 12:34|--a------|0] C:\log_lobby_dumper.txt
[20/08/2004 21:01|-rahs----|0] C:\MSDOS.SYS
[05/08/2004 13:00|-rahs----|47564] C:\NTDETECT.COM
[20/10/2008 18:51|-rahs----|252240] C:\ntldr
[?|?|?] C:\pagefile.sys
[24/12/2008 21:34|--a------|2664] C:\rapport.txt
[19/12/2009 22:40|--a------|3005] C:\UsbFix.txt

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.

################## | Cracks / Keygens / Serials |

"C:\Program Files\SAGEM\USB-Serial\USB-Serial_Uninst.exe"
06/06/2006 17:36 |Size 73150 |Crc32 5c12fea8 |Md5 4f8289e014c4f431c903e6aa7232d01d

################## | Upload |

Veuillez envoyer le fichier : C:\DOCUME~1\*****\Bureau\UsbFix_Upload_Me_*****.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.065 ! |

Réponse 5 / 34

benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
19 déc. 2009 à 23:31

1) Télécharge SDFix d' AndyManchesta

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe sur ton Bureau.

Double clique sur SDFix.exe et choisis Install. L'outil sera extrait à la racine du lecteur système (généralement le C:\)
N y touche pas pour l instant.

2) Redémarre en mode sans échec (Pour cela, tu tapotes la touche F8 dès le début de l’allumage du PC sans t’arrêter)

Ne jamais démarrer en mode sans échec via msconfig

3) SDFix
* Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
* Appuie sur Y pour commencer le processus de nettoyage.
* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
* Appuie sur une touche pour redémarrer le PC.
* Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
· Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

CrumbleBoy
20 déc. 2009 à 01:02

[b]SDFix: Version 1.240 [/b]
Run by ***** on 20/12/2009 at 00:25

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:

Restoring Default Security Values
Restoring Default Hosts File

Rebooting

[b]Checking Files [/b]:

No Trojan Files Found

Removing Temp Files

[b]ADS Check [/b]:

[b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-20 00:36:43
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

[b]Remaining Services [/b]:

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"="C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe:*:Enabled:Assistance … distance - Windows Messenger et voix"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"="C:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe:*:Enabled:Windows Live FolderShare"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"="C:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe:*:Enabled:Windows Live FolderShare"

[b]Remaining Files [/b]:

[b]Files with Hidden Attributes [/b]:

Mon 13 Jun 2005 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Sun 10 Dec 2006 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"

[b]Finished![/b]

Réponse 6 / 34

benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
20 déc. 2009 à 09:58

Bonjour,

télécharge GenProc http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip sur ton bureau

dézippe le dossier, double-clique sur GenProc.bat et poste le contenu du rapport qui s'ouvre

Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

CrumbleBoy
20 déc. 2009 à 12:15

Rapport GenProc 2.660 [1] - 20/12/2009 à 11:17:59
@ Windows XP Service Pack 3 - Mode normal
@ Mozilla Firefox 3.5.6 (fr) [Navigateur par défaut]

GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante :

Poste un rapport NanoScan https://www.micro-astuce.com/securite/NanoScan-Panda.php

~~~~ INFORMATION COMPLEMENTAIRE ~~~~

Rapport de ZHPDiag v1.24.39 par Nicolas Coolman
Run by ***** at 20/12/2009 11:22:11
Web site : http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Platform : Microsoft Windows XP (5.1.2600) Service Pack 3
MSIE: Internet Explorer v8.0.6001.18702
MFIE: Mozilla Firefox (3.5.6)

Boot mode: Normal (Normal boot)
Total RAM: 479 MB (36% free)
System drive C: has 7 GB (19%) free of 37 GB

---\\
[MD5.0A7E9FDF3BF1980CA09FEEAC7F52EFBC] - C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
[MD5.18B4B12358EFCF68D76812058A26181F] - C:\Program Files\Windows Live\Messenger\msnmsgr.exe
[MD5.59DC5BB82E4C8E0B3EADCFDBC44BA6E4] - C:\WINDOWS\system32\ctfmon.exe
[MD5.60EC4BC29892A106942EC0122F5A39DE] - C:\Program Files\eMule\emule.exe
[MD5.5DEBC3519D489411073FA7E56FFB4A93] - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
[MD5.E4BDF223CD75478BF44567B4D5C2634D] - C:\WINDOWS\System32\svchost.exe
[MD5.0AAF6B848185899CF76AE04E62EAB3D2] - C:\Program Files\Alwil Software\Avast4\ashServ.exe
[MD5.A5BEA0E5C297F5F3835638A87E512FBA] - C:\Program Files\Creative\Shared Files\CTDevSrv.exe
[MD5.C3FB1D70CB88722267949694BA51759E] - C:\WINDOWS\system32\services.exe
[MD5.305687EB8C8E0A12A0B2BAE387B6E466] - C:\WINDOWS\system32\fxssvc.exe
[MD5.91E6024D6D4DCDECDB36C43ECF9BBECB] - C:\WINDOWS\system32\lsass.exe
[MD5.460E4CE148BD07218DA0B6A3D31885A9] - C:\WINDOWS\system32\spoolsv.exe

---\\
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr

---\\
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchasst.htm

---\\
R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

---\\
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [msnmsgr] C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - HKLM\..\policies\Explorer: [HonorAutoRunSetting] Data=0
O4 - HKLM\..\policies\Explorer: [NoDriveAutoRun] Data=128
O4 - HKLM\..\policies\Explorer: [NoDriveTypeAutoRun] Data=128
O4 - HKCU\..\policies\Explorer: [NoDriveTypeAutoRun] Data=128
O4 - HKCU\..\policies\Explorer: [NoDriveAutoRun] Data=128
O4 - HKCU\..\policies\Explorer: [HonorAutoRunSetting] Data=0

---\\
O10 - WLSP:\000000000001\Winsock LSP File - C:\WINDOWS\system32\mswsock.dll
O10 - WLSP:\000000000002\Winsock LSP File - C:\WINDOWS\system32\winrnr.dll
O10 - WLSP:\000000000003\Winsock LSP File - C:\WINDOWS\system32\mswsock.dll

---\\
O16 - DPF: Microsoft XML Parser for Java (Microsoft XML Parser for Java) - file:///C:/WINDOWS/Java/classes/xmldso.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} () - http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

---\\
O18 - Handler: cdl - {3dd53d40-7b8b-11D0-b013-00aa0059ce02} - C:\WINDOWS\system32\urlmon.dll
O18 - Handler: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\system32\msvidctl.dll
O18 - Handler: gopher - {79eac9e4-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Handler: mhtml - {05300401-BCBC-11d0-85E3-00C04FD85AB4} - C:\Windows\system32\inetcomm.dll
O18 - Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Handler: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\PROGRA~1\FICHIE~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
O18 - Handler: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~1\FICHIE~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
O18 - Handler: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\Windows\system32\mshtml.dll
O18 - Handler: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\system32\msvidctl.dll
O18 - Handler: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\system32\wiascr.dll
O18 - Handler: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll
O18 - Filter: Class Install Handler - {32B533BB-EDAE-11d0-BD5A-00AA00B92AF1} - C:\WINDOWS\system32\urlmon.dll
O18 - Filter: text/webviewhtml - {733AC4CB-F1A4-11d0-B951-00A0C90312E1} - C:\Windows\system32\SHELL32.dll
O18 - Filter: text/xml - {807553E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE11\MSOXMLMF.DLL

---\\
O20 - Winlogon Notify: dimsntfy - C:\WINDOWS\System32\dimsntfy.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\System32\WgaLogon.dll

---\\
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

---\\
O22 - SharedTaskScheduler: (no name) - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll

---\\
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus (avast! Antivirus) - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: CT Device Query service (CTDevice_Srv) - C:\Program Files\Creative\Shared Files\CTDevSrv.exe
O23 - Service: Fax (Fax) - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: SmartLinkService (SLService) - slserv.exe
O23 - Service: Spouleur d'impression (Spooler) - C:\WINDOWS\system32\spoolsv.exe

---\\
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\Maintenance en 1 clic.job
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\User_Feed_Synchronization-{C97BB390-3356-4E40-9A5D-5B0EA9271A9C}.job

---\\
O41 - Driver: AFD (AFD) - C:\WINDOWS\System32\drivers\afd.sys
O41 - Driver: Pilote de processeur AMD Athlon64 (AmdK8) - C:\WINDOWS\system32\DRIVERS\AmdK8.sys
O41 - Driver: Pilote de CD-ROM (Cdrom) - C:\WINDOWS\system32\DRIVERS\cdrom.sys
O41 - Driver: Pilote pour clavier i8042 et souris sur port PS/2 (i8042prt) - C:\WINDOWS\system32\DRIVERS\i8042prt.sys
O41 - Driver: System Filter Driver (IKSysFlt) - C:\WINDOWS\system32\drivers\iksysflt.sys
O41 - Driver: System Security Driver (IKSysSec) - C:\WINDOWS\system32\drivers\iksyssec.sys
O41 - Driver: Pilote de filtre de gravure CD (Imapi) - C:\WINDOWS\system32\DRIVERS\imapi.sys
O41 - Driver: Pilote IPSEC (IPSec) - C:\WINDOWS\system32\DRIVERS\ipsec.sys
O41 - Driver: Pilote de la classe Clavier (Kbdclass) - C:\WINDOWS\system32\DRIVERS\kbdclass.sys
O41 - Driver: Pilote HID de clavier (kbdhid) - C:\WINDOWS\system32\DRIVERS\kbdhid.sys
O41 - Driver: Pilote de la classe Souris (Mouclass) - C:\WINDOWS\system32\DRIVERS\mouclass.sys
O41 - Driver: MRXSMB (MRxSmb) - C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
O41 - Driver: Interface NetBIOS (NetBIOS) - C:\WINDOWS\system32\DRIVERS\netbios.sys
O41 - Driver: NetBIOS sur TCP/IP (NetBT) - C:\WINDOWS\system32\DRIVERS\netbt.sys
O41 - Driver: Pilote de connexion automatique d'accès distant (RasAcd) - C:\WINDOWS\system32\DRIVERS\rasacd.sys
O41 - Driver: Rdbss (Rdbss) - C:\WINDOWS\system32\DRIVERS\rdbss.sys
O41 - Driver: (no object) (RDPCDD) - C:\WINDOWS\System32\DRIVERS\RDPCDD.sys
O41 - Driver: Pilote de filtre de lecture digitale de CD audio (redbook) - C:\WINDOWS\system32\DRIVERS\redbook.sys
O41 - Driver: (no object) (SiSkp) - C:\WINDOWS\system32\DRIVERS\srvkp.sys
O41 - Driver: Pilote du protocole TCP/IP (Tcpip) - C:\WINDOWS\system32\DRIVERS\tcpip.sys
O41 - Driver: Pilote de périphérique terminal (TermDD) - C:\WINDOWS\system32\DRIVERS\termdd.sys
O41 - Driver: Carte vidéo VGA. (VgaSave) - C:\WINDOWS\System32\drivers\vga.sys
O41 - Driver: Environnement de prise en charge de Fournisseur de services non-IFS Windows Sockets 2.0 (WS2IFSL) - C:\WINDOWS\System32\drivers\ws2ifsl.sys

---\\
O42 - Logiciel: Adobe Flash Player 10 Plugin
O42 - Logiciel: Adobe Reader 7.1.0 - Français
O42 - Logiciel: Adobe Shockwave Player
O42 - Logiciel: Apple Software Update
O42 - Logiciel: Assistant de connexion Windows Live
O42 - Logiciel: Athlon 64 Processor Driver
O42 - Logiciel: CASIO Add-in Installer
O42 - Logiciel: Creative Media Lite
O42 - Logiciel: DivX Codec
O42 - Logiciel: DivX Converter
O42 - Logiciel: DivX Player
O42 - Logiciel: DivX Plus DirectShow Filters
O42 - Logiciel: DivX Web Player
O42 - Logiciel: EPSON CardMonitor
O42 - Logiciel: EPSON Copy Utility 3
O42 - Logiciel: EPSON Logiciel imprimante
O42 - Logiciel: EPSON PRINT Image Framer Tool2.1
O42 - Logiciel: EPSON PhotoQuicker3.5
O42 - Logiciel: EPSON PhotoStarter3.1
O42 - Logiciel: EPSON Scan
O42 - Logiciel: EPSON Smart Panel
O42 - Logiciel: EPSON Web-To-Page
O42 - Logiciel: ESCX3600 Guide de réf.
O42 - Logiciel: ESCX3600 Guide des logiciels
O42 - Logiciel: Fx-Interface 1.9.6
O42 - Logiciel: Galerie de photos Windows Live
O42 - Logiciel: Installation Windows Live
O42 - Logiciel: J2SE Runtime Environment 5.0 Update 11
O42 - Logiciel: Java(TM) 6 Update 5
O42 - Logiciel: Java(TM) 6 Update 7
O42 - Logiciel: Junk Mail filter update
O42 - Logiciel: Lecteur Windows Media 11
O42 - Logiciel: MSN
O42 - Logiciel: MSVCRT
O42 - Logiciel: MSXML 6.0 Parser (KB933579)
O42 - Logiciel: Malwarebytes' Anti-Malware
O42 - Logiciel: Mega Manager
O42 - Logiciel: Messenger Plus! Live
O42 - Logiciel: Microsoft .NET Framework 1.1
O42 - Logiciel: Microsoft .NET Framework 1.1 French Language Pack
O42 - Logiciel: Microsoft .NET Framework 1.1 Security Update (KB953297)
O42 - Logiciel: Microsoft .NET Framework 2.0 Beta 2
O42 - Logiciel: Microsoft Choice Guard
O42 - Logiciel: Microsoft MSDN Express Library 2005 Beta 2 - English
O42 - Logiciel: Microsoft Office Live Add-in 1.3
O42 - Logiciel: Microsoft Office Outlook Connector
O42 - Logiciel: Microsoft Office PowerPoint Viewer 2003
O42 - Logiciel: Microsoft Office Professional Edition 2003
O42 - Logiciel: Microsoft SQL Native Client
O42 - Logiciel: Microsoft SQL Server 2005 Compact Edition [ENU]
O42 - Logiciel: Microsoft SQL Server 2005 Tools Express Edition CTP
O42 - Logiciel: Microsoft SQL Server Setup Support Files (English)
O42 - Logiciel: Microsoft Silverlight
O42 - Logiciel: Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
O42 - Logiciel: Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
O42 - Logiciel: Microsoft Works 7.0
O42 - Logiciel: Module de compatibilité pour Microsoft Office System 2007
O42 - Logiciel: Mozilla Firefox (3.5.6)
O42 - Logiciel: Nero Suite
O42 - Logiciel: O2Micro MemoryCardBus Windows Driver
O42 - Logiciel: Outil de téléchargement Windows Live
O42 - Logiciel: PIF DESIGNER2.1
O42 - Logiciel: QuickTime
O42 - Logiciel: RealPlayer
O42 - Logiciel: SAGEM USB-Serial Mobile Communication Device
O42 - Logiciel: SQLXML 4.0
O42 - Logiciel: ScanToWeb
O42 - Logiciel: Security Update for CAPICOM (KB931906)
O42 - Logiciel: Segoe UI
O42 - Logiciel: SiS 900 PCI Fast Ethernet Adapter Driver
O42 - Logiciel: SiS VGA Utilities
O42 - Logiciel: Smart Link 56K Modem
O42 - Logiciel: Synaptics Pointing Device Driver
O42 - Logiciel: TomTom HOME 2.7.3.1894
O42 - Logiciel: TomTom HOME Visual Studio Merge Modules
O42 - Logiciel: VC80CRTRedist - 8.0.50727.762
O42 - Logiciel: VIA Audio Driver Setup Program
O42 - Logiciel: VLC media player 0.9.8a
O42 - Logiciel: Visionneuse Journal Windows Microsoft
O42 - Logiciel: Vuze
O42 - Logiciel: WellPhone
O42 - Logiciel: WellPhone DirectSync
O42 - Logiciel: WinRAR archiver
O42 - Logiciel: Windows Internet Explorer 8
O42 - Logiciel: Windows Live Call
O42 - Logiciel: Windows Live Communications Platform
O42 - Logiciel: Windows Live FolderShare
O42 - Logiciel: Windows Live Mail
O42 - Logiciel: Windows Live Messenger
O42 - Logiciel: Windows Media Format 11 runtime
O42 - Logiciel: Windows Media Player Firefox Plugin
O42 - Logiciel: avast! Antivirus
O42 - Logiciel: eMule

---\\
O44 - LFC:Last File Created 20/12/2009 - 10:42:41 ---A- C:\WINDOWS\WindowsUpdate.log
O44 - LFC:Last File Created 20/12/2009 - 10:37:58 ---A- C:\WINDOWS\0.log
O44 - LFC:Last File Created 20/12/2009 - 10:37:43 ---A- C:\WINDOWS\ModemLog_Smart Link 56K Modem.txt
O44 - LFC:Last File Created 20/12/2009 - 10:37:27 ---A- C:\WINDOWS\wiadebug.log
O44 - LFC:Last File Created 20/12/2009 - 10:37:26 ---A- C:\WINDOWS\wiaservc.log
O44 - LFC:Last File Created 20/12/2009 - 10:36:43 -S-A- C:\WINDOWS\bootstat.dat
O44 - LFC:Last File Created 20/12/2009 - 01:07:03 ---A- C:\WINDOWS\SchedLgU.Txt
O44 - LFC:Last File Created 20/12/2009 - 00:24:03 ---A- C:\WINDOWS\ntbtlog.txt
O44 - LFC:Last File Created 19/12/2009 - 23:17:23 ---A- C:\drmHeader.bin
O44 - LFC:Last File Created 19/12/2009 - 23:09:05 ---A- C:\UsbFix.txt
O44 - LFC:Last File Created 19/12/2009 - 22:37:30 ---A- C:\WINDOWS\setupact.log
O44 - LFC:Last File Created 19/12/2009 - 22:37:30 ---A- C:\WINDOWS\setuperr.log
O44 - LFC:Last File Created 18/12/2009 - 23:54:15 ---A- C:\WINDOWS\System32\FNTCACHE.DAT
O44 - LFC:Last File Created 18/12/2009 - 23:31:13 ---A- C:\WINDOWS\setupapi.log
O44 - LFC:Last File Created 18/12/2009 - 23:25:58 ---A- C:\cleannavi.txt
O44 - LFC:Last File Created 18/12/2009 - 21:58:30 ---A- C:\WINDOWS\System32\CONFIG.NT
O44 - LFC:Last File Created 18/12/2009 - 21:26:09 ---A- C:\WINDOWS\System32\wpa.dbl
O44 - LFC:Last File Created 17/12/2009 - 14:23:25 ---A- C:\WINDOWS\System32\fjhdyfhsn.bat
O44 - LFC:Last File Created 03/12/2009 - 16:14:06 ---A- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
O44 - LFC:Last File Created 03/12/2009 - 16:13:56 ---A- C:\WINDOWS\System32\drivers\mbam.sys
O44 - LFC:Last File Created 01/12/2009 - 21:06:19 ---A- C:\WINDOWS\System32\MRT.exe
O44 - LFC:Last File Created 28/11/2009 - 17:30:05 ---A- C:\WINDOWS\System32\perfc009.dat
O44 - LFC:Last File Created 28/11/2009 - 17:30:05 ---A- C:\WINDOWS\System32\perfc00C.dat
O44 - LFC:Last File Created 28/11/2009 - 17:30:05 ---A- C:\WINDOWS\System32\perfh009.dat
O44 - LFC:Last File Created 28/11/2009 - 17:30:05 ---A- C:\WINDOWS\System32\perfh00C.dat
O44 - LFC:Last File Created 28/11/2009 - 17:30:04 ---A- C:\WINDOWS\System32\PerfStringBackup.INI
O44 - LFC:Last File Created 26/11/2009 - 14:18:46 ---A- C:\WINDOWS\System32\TZLog.log
O44 - LFC:Last File Created 25/11/2009 - 11:19:02 ---A- C:\WINDOWS\System32\drivers\avgntflt.sys
O44 - LFC:Last File Created 25/11/2009 - 00:54:29 ---A- C:\WINDOWS\System32\aswBoot.exe
O44 - LFC:Last File Created 25/11/2009 - 00:51:09 ---A- C:\WINDOWS\System32\drivers\aswmon.sys
O44 - LFC:Last File Created 25/11/2009 - 00:50:59 ---A- C:\WINDOWS\System32\drivers\aswmon2.sys
O44 - LFC:Last File Created 25/11/2009 - 00:50:12 ---A- C:\WINDOWS\System32\drivers\aswSP.sys
O44 - LFC:Last File Created 25/11/2009 - 00:50:00 ---A- C:\WINDOWS\System32\drivers\aswFsBlk.sys
O44 - LFC:Last File Created 25/11/2009 - 00:49:07 ---A- C:\WINDOWS\System32\drivers\aswTdi.sys
O44 - LFC:Last File Created 25/11/2009 - 00:48:57 ---A- C:\WINDOWS\System32\drivers\aswRdr.sys
O44 - LFC:Last File Created 25/11/2009 - 00:47:54 ---A- C:\WINDOWS\System32\drivers\aavmker4.sys
O44 - LFC:Last File Created 25/11/2009 - 00:47:28 ---A- C:\WINDOWS\System32\AvastSS.scr

---\\
O63 - Logiciel: HijackThis 2.0.2
O63 - Logiciel: RSIT
O63 - Logiciel: UsbFix

End of the scan: 269 lines

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

~~ Fin à 11:23:26 ~~

Réponse 7 / 34

benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
20 déc. 2009 à 16:58

Poste un rapport NanoScan https://www.micro-astuce.com/securite/NanoScan-Panda.php

comme préconiser par genproc

CrumbleBoy
20 déc. 2009 à 18:02

Ok merci, c'est en cours mais là c'est vachement long ... 3 H pour 30 % ... Par contre j ai déjà 14 fichiers infectés et 4 fichiers suspects détectés !

CrumbleBoy > CrumbleBoy
22 déc. 2009 à 10:16

Voilà j ai enfin réussi !!

;***********************************************************************************************************************************************************************************
ANALYSIS: 2009-12-22 10:10:41
PROTECTIONS: 1
MALWARE: 11
SUSPECTS: 3
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
avast! antivirus 4.8.1368 [VPS 091220-1] 4.8.1368 Yes Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\documents and settings\*****\cookies\*****@atdmt[2].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No c:\documents and settings\*****\cookies\*****@serving-sys[2].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No c:\documents and settings\*****\cookies\*****@bs.serving-sys[2].txt
00168106 Cookie/Weborama TrackingCookie No 0 Yes No c:\documents and settings\*****\cookies\*****@weborama[1].txt
00169752 application/need2find HackTools No 0 Yes No hkey_classes_root\need2findbar.settingsplugin.1
00169752 application/need2find HackTools No 0 Yes No hkey_local_machine\software\classes\clsid\{630d6140-04c5-4db0-b27a-020d766ff09b}
00169752 application/need2find HackTools No 0 Yes No hkey_classes_root\need2findbar.settingsplugin
00169752 application/need2find HackTools No 0 Yes No hkey_classes_root\clsid\{630d6140-04c5-4db0-b27a-020d766ff09b}
00169752 application/need2find HackTools No 0 Yes No hkey_classes_root\need2findbar.toolbarplugin.1
00169752 application/need2find HackTools No 0 Yes No hkey_classes_root\need2findbar.toolbarplugin
00169752 application/need2find HackTools No 0 Yes No hkey_classes_root\interface\{4d1c4e8a-a32a-416b-bcdb-33b3ef3617d3}
00213030 application/regclean32 HackTools No 0 Yes No c:\documents and settings\*****\application data\registry cleaner
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No c:\documents and settings\*****\cookies\*****@smartadserver[1].txt
00447834 Adware/Lop Adware No 0 Yes No c:\documents and settings\all users\application data\symantec\norton antivirus\quarantine\6ff02cc3.exe
00484705 Application/IEDefender HackTools No 0 Yes No c:\windows\system32\iedfix.c.exe
00921467 Generic Malware Virus/Trojan No 0 Yes No c:\windows\system32\404fix.exe
01692698 Generic Malware Virus/Trojan No 0 Yes No c:\documents and settings\*****\application data\macromedia\shockwave player\xtras\download\thegroovealliance\3dgroovextrav181\groove.x32
;===================================================================================================================================================================================
SUSPECTS
Sent Location
;===================================================================================================================================================================================
No c:\documents and settings\*****\application data\real\realplayer\setup\au_setup6.exe
No c:\documents and settings\*****\bureau\genproc\outil\getversion.exe
No c:\documents and settings\*****\bureau\genproc.zip[genproc/outil/getversion.exe]
;===================================================================================================================================================================================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================================================
;===================================================================================================================================================================================

Réponse 8 / 34

benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
22 déc. 2009 à 11:24

a tu supprimer se qu'il a trouver?

fait vérifier ce fichier sur virus total

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier:

c:\documents and settings\*****\application data\real\realplayer\setup\au_setup6.exe

Clique sur envoyer le fichier.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

par moment il y'a déjà un rapport de prêt toi tu fera réanalyser le fichier maintenant

CrumbleBoy
22 déc. 2009 à 12:35

Non j ai pas supprimé avec Nanoscan.

Fichier AU_setup6.exe reçu le 2009.12.22 11:31:47 (UTC)
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.43 2009.12.22 -
AhnLab-V3 5.0.0.2 2009.12.22 -
AntiVir 7.9.1.122 2009.12.22 -
Antiy-AVL 2.0.3.7 2009.12.22 -
Authentium 5.2.0.5 2009.12.22 -
Avast 4.8.1351.0 2009.12.22 -
AVG 8.5.0.427 2009.12.22 -
BitDefender 7.2 2009.12.22 -
CAT-QuickHeal 10.00 2009.12.22 -
ClamAV 0.94.1 2009.12.22 -
Comodo 3330 2009.12.22 -
DrWeb 5.0.1.12181 2009.12.22 -
eSafe 7.0.17.0 2009.12.21 -
eTrust-Vet 35.1.7191 2009.12.22 -
F-Prot 4.5.1.85 2009.12.21 -
F-Secure 9.0.15370.0 2009.12.22 -
Fortinet 4.0.14.0 2009.12.22 -
GData 19 2009.12.22 -
Ikarus T3.1.1.79.0 2009.12.22 -
Jiangmin 13.0.900 2009.12.22 TrojanDownloader.Agent.bzkb
K7AntiVirus 7.10.925 2009.12.21 -
Kaspersky 7.0.0.125 2009.12.22 -
McAfee 5839 2009.12.21 -
McAfee+Artemis 5839 2009.12.21 -
McAfee-GW-Edition 6.8.5 2009.12.22 -
Microsoft 1.5302 2009.12.22 -
NOD32 4708 2009.12.22 -
Norman 6.04.03 2009.12.22 W32/Agent.MWOE
nProtect 2009.1.8.0 2009.12.22 -
Panda 10.0.2.2 2009.12.15 Suspicious file
PCTools 7.0.3.5 2009.12.22 -
Prevx 3.0 2009.12.22 -
Rising 22.27.01.04 2009.12.22 -
Sophos 4.49.0 2009.12.22 -
Sunbelt 3.2.1858.2 2009.12.22 -
Symantec 1.4.4.12 2009.12.22 -
TheHacker 6.5.0.3.103 2009.12.22 -
TrendMicro 9.120.0.1004 2009.12.22 -
VBA32 3.12.12.0 2009.12.22 suspected of Win32.Trojan.Downloader (http://...)
ViRobot 2009.12.22.2102 2009.12.22 -
VirusBuster 5.0.21.0 2009.12.21 -
Information additionnelle
File size: 390664 bytes
MD5...: b088e9db6de2ba595f9bba64e7950636
SHA1..: bfd6c212c83c580d79f7bff1b87d673340bddc28
SHA256: 4c39c005573476814bd146b2616b6c7ae5d755b2d6ac65eb4d26d5f6befbc776
ssdeep: 6144:YNsYxnCjFjqNyAF3QJw2V5gZtwfTCEc5u7XIOahfrJUDnBLLwrsdy/5Gl:Y N5xnUjqNyAdg5+ta23g09hfrJUDnBLJ 
PEiD..: -
PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x38440 timedatestamp.....: 0x49a4a425 (Wed Feb 25 01:51:33 2009) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x497d4 0x4a000 6.64 0bf79b2e3b49edd6c7ecd8748e00254b .rdata 0x4b000 0x7809 0x8000 5.34 e9c1553572553235cdfef9c19f1b50e4 .data 0x53000 0x17648 0x2000 3.99 7f91922a7b47ce08a4ebdc62e91e692c .rsrc 0x6b000 0x8948 0x9000 4.67 6bcbababf033e7d280d095ea72fd4522 ( 10 imports ) > ole32.dll: OleCreate, OleSetContainedObject, CoInitialize, OleInitialize, OleUninitialize, CoUninitialize > SHLWAPI.dll: PathFileExistsA, SHDeleteKeyA > WININET.dll: InternetConnectA, HttpOpenRequestA, HttpSendRequestA, InternetSetFilePointer, InternetReadFile, InternetGetConnectedState, InternetOpenA, InternetSetOptionA, InternetOpenUrlA, HttpQueryInfoA, InternetCloseHandle, InternetCrackUrlA, InternetTimeToSystemTime > USER32.dll: GetAsyncKeyState, CharPrevA, CharNextA, MessageBoxA, CreateDialogParamA, SendDlgItemMessageA, LoadStringA, EnumWindows, GetWindowThreadProcessId, PostMessageA, GetClassNameA, GetSysColor, CreatePopupMenu, InsertMenuA, TrackPopupMenu, DestroyMenu, RedrawWindow, PeekMessageA, KillTimer, EnableWindow, GetClassInfoExA, LoadCursorA, LoadIconA, RegisterClassExA, GetSystemMetrics, CreateWindowExA, UpdateWindow, SetTimer, GetMessageA, TranslateMessage, DispatchMessageA, DialogBoxParamA, SetWindowRgn, DestroyWindow, ClientToScreen, GetCursorPos, ScreenToClient, GetFocus, BeginPaint, GetWindowLongA, SetFocus, GetForegroundWindow, GetWindowRect, PtInRect, InvalidateRect, DefWindowProcA, SetWindowTextA, SetDlgItemTextA, SendMessageA, GetDlgItem, SetForegroundWindow, SetActiveWindow, SetWindowPos, ShowWindow, EndDialog, LoadImageA, GetDC, ReleaseDC, DrawTextW, SetWindowLongA, GetClientRect, EndPaint > OLEAUT32.dll: -, -, -, -, -, - > GDI32.dll: SetPixel, BitBlt, SelectClipRgn, GetDeviceCaps, CreateBitmap, GetObjectA, CreateRectRgn, GetPixel, CombineRgn, CreatePatternBrush, StretchBlt, SetBkMode, SetTextColor, GetTextExtentPointW, CreateCompatibleDC, SelectObject, GetCharWidth32W, DeleteDC, CreateFontW, DeleteObject, CreateSolidBrush > ADVAPI32.dll: RegOpenKeyA, RegQueryValueExA, OpenProcessToken, DuplicateTokenEx, GetLengthSid, SetTokenInformation, CreateProcessAsUserA, AllocateAndInitializeSid, RegOpenKeyExA, RegCloseKey, RegSetValueA, RegQueryValueA, GetUserNameA > SHELL32.dll: ShellExecuteExA, SHGetPathFromIDListA, SHBrowseForFolderA, SHGetSpecialFolderPathA, Shell_NotifyIconA > VERSION.dll: GetFileVersionInfoA, GetFileVersionInfoSizeA, VerQueryValueA > KERNEL32.dll: SetUnhandledExceptionFilter, GetTimeZoneInformation, DeleteCriticalSection, FlushFileBuffers, TlsGetValue, TlsSetValue, TlsFree, SetLastError, TlsAlloc, GetCurrentProcessId, GetCurrentThreadId, QueryPerformanceCounter, SetEndOfFile, LocalFileTimeToFileTime, SetFileTime, GetFullPathNameA, SetCurrentDirectoryA, SetEnvironmentVariableA, FileTimeToLocalFileTime, FileTimeToSystemTime, HeapSize, GetDateFormatA, GetTimeFormatA, GetCPInfo, GetOEMCP, GetACP, LeaveCriticalSection, EnterCriticalSection, HeapReAlloc, SetHandleCount, HeapAlloc, GetCommandLineA, GetStartupInfoA, GetLocalTime, RaiseException, RtlUnwind, GetSystemTimeAsFileTime, ExitProcess, CopyFileA, SetFileAttributesA, GetCurrentDirectoryA, SetErrorMode, GetVersion, GetSystemInfo, GetWindowsDirectoryA, MoveFileA, CreateDirectoryA, GetFileAttributesA, GetTempPathA, GetDiskFreeSpaceA, RemoveDirectoryA, GetCurrentProcess, LocalFree, lstrlenA, FindClose, GetFileTime, SystemTimeToFileTime, CompareFileTime, GetDriveTypeA, WaitForSingleObject, GetStdHandle, GetFileType, SetFilePointer, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, IsBadWritePtr, GetStringTypeA, GetStringTypeW, LCMapStringA, LCMapStringW, VirtualProtect, VirtualQuery, SetStdHandle, InterlockedExchange, InitializeCriticalSection, IsBadReadPtr, IsBadCodePtr, CompareStringA, CompareStringW, HeapFree, SetEnvironmentVariableW, FindResourceA, LoadResource, LockResource, GetModuleFileNameA, FreeLibrary, LoadLibraryA, ReadFile, FindFirstFileA, FindNextFileA, GetLastError, GlobalFree, GlobalAlloc, MultiByteToWideChar, WideCharToMultiByte, lstrcpyA, GetModuleHandleA, Sleep, GetTickCount, CreateFileA, CloseHandle, GetFileSize, WriteFile, InterlockedIncrement, InterlockedDecrement, CreateMutexA, OpenMutexA, TerminateProcess, OpenProcess, Process32Next, Process32First, CreateToolhelp32Snapshot, DeleteFileA, CreateThread, GetLocaleInfoA, GetVersionExA, GetProcAddress ( 0 exports ) 
RDS...: NSRL Reference Data Set -
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%)
sigcheck: publisher....: RealNetworks, Inc. copyright....: n/a product......: RealNetworks Installer (32-bit) description..: RealNetworks Installer original name: rnsetup.EXE internal name: RealNetworks Installer file version.: 1.0.9.91 comments.....: n/a signers......: RealNetworks, Inc. Thawte Code Signing CA Thawte Premium Server CA signing date.: 2:53 AM 2/25/2009 verified.....: -

Réponse 9 / 34

benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
22 déc. 2009 à 16:56

ok

4sur 41 pas trop dangereux pour nano il faut s'inscrire pour faire des suppression

fait plutôt house call qui lui supprime directement les fichier infecter

https://www.trendmicro.com/en_us/forHome/products/housecall.html

CrumbleBoy
22 déc. 2009 à 22:49

Ok merci. J'viens de le passer et j ai supprimé tout ce qu il m a trouvé.

Réponse 10 / 34

benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
23 déc. 2009 à 09:36

salut

alléger la base de registre

http://dl.commentcamarche.net/www.commentcamarche.net/download/files/RegCleaner.exe

içi un très bon tuto

http://assiste.com.free.fr/p/logitheque/regcleaner_01.php

CrumbleBoy
23 déc. 2009 à 10:33

Oui oui je l avais passé y a quelques jours regcleaner. J avais aussi passé ccleaner. Et ce matin ca a recommencé au démarrage. Cette fois mon ordi s'est bloqué pendant une grosse demi-heure !!

Réponse 11 / 34

benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
23 déc. 2009 à 15:39

peut-etre un rootkit

Telecharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

-Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. risque de figer l'ordi

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordi (plantage complet)

::Si combofix detecte quelque chose et de demande a redémarrer tu accepte

CrumbleBoy
23 déc. 2009 à 18:01

Et je viens de realiser que dès que je branche un périphérique, ca fait un bruit bizarre (ca sonne deux fois de suite) et la connexion ne se fait plus .. Donc j peux plus brancher de clef USB ni imprimer !!
Sinon j ai pas compris quand il m a dit que j avais norton d actif !! que j ai d ailleurs pas reussi a desactiver ... Je l ai supprimé y a deux ans et j en trouve plus aucune trace nulle part dans mon ordi !
Voilà le rapport de Combofix:

ComboFix 09-12-22.09 - ***** 23/12/2009 17:39:11.1.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.479.227 [GMT 1:00]
Lancé depuis: c:\documents and settings\*****\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1368 [VPS 091223-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
AV: Norton AntiVirus 2006 *On-access scanning enabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Worm Protection *enabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\drivers\FSC__PI__Amilo A 1640__Uniwill_255KI1__BIOS Date 08 31 04 19 06 33 Ver 08.00.11_A M I - 8000431_080011 .MRK
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\system.dat
c:\windows\system32\tmp.reg
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-11-23 au 2009-12-23 ))))))))))))))))))))))))))))))))))))
.

2009-12-22 19:50 . 2009-12-22 17:29 102664 ----a-w- c:\windows\system32\drivers\tmcomm.sys
2009-12-22 17:29 . 2009-12-22 21:37 -------- d-----w- c:\documents and settings\*****\.housecall6.6
2009-12-20 13:32 . 2009-06-30 08:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys
2009-12-20 13:31 . 2009-12-20 13:31 -------- d-----w- c:\program files\Panda Security
2009-12-19 23:23 . 2009-12-19 23:23 579584 ----a-w- c:\windows\system32\dllcache\user32.dll
2009-12-19 23:20 . 2009-12-19 23:20 -------- d-----w- c:\windows\ERUNT
2009-12-19 22:49 . 2009-12-19 23:44 -------- d-----w- C:\SDFix
2009-12-19 22:16 . 2009-12-19 22:17 120 ----a-w- C:\drmHeader.bin
2009-12-19 19:39 . 2009-12-19 21:41 -------- d-----w- C:\UsbFix
2009-12-19 14:41 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-19 14:41 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-19 13:21 . 2009-12-19 13:27 -------- d-----w- C:\rsit
2009-12-18 22:48 . 2009-12-18 22:48 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
2009-12-18 22:30 . 2009-11-25 10:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-18 22:24 . 2009-12-18 22:25 -------- d-----w- c:\program files\Navilog1
2009-12-18 21:29 . 2009-12-18 21:50 -------- d-----w- c:\program files\RegCleaner
2009-12-17 13:44 . 2008-04-13 19:40 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys
2009-12-17 13:44 . 2008-04-13 19:40 34688 ----a-w- c:\windows\system32\dllcache\lbrtfdc.sys
2009-12-17 13:25 . 2001-08-17 19:13 27165 ----a-w- c:\windows\system32\drivers\fetnd5.sys
2009-12-17 13:25 . 2001-08-17 19:13 27165 ----a-w- c:\windows\system32\dllcache\fetnd5.sys
2009-12-17 13:24 . 2008-04-13 19:40 8192 ----a-w- c:\windows\system32\drivers\changer.sys
2009-12-17 13:24 . 2008-04-13 19:40 8192 ----a-w- c:\windows\system32\dllcache\changer.sys
2009-12-17 13:23 . 2009-12-17 13:23 142 ----a-w- c:\windows\system32\fjhdyfhsn.bat
2009-12-07 19:12 . 2009-12-07 19:12 -------- d-----w- c:\documents and settings\All Users\Application Data\TomTom
2009-12-07 19:12 . 2009-12-07 19:12 -------- d-----w- c:\documents and settings\*****\Local Settings\Application Data\TomTom
2009-12-07 19:12 . 2009-12-07 19:12 -------- d-----w- c:\documents and settings\*****\Application Data\TomTom
2009-12-07 19:12 . 2009-12-07 19:12 -------- d-----w- c:\program files\TomTom International B.V
2009-12-07 19:11 . 2009-12-07 19:11 -------- d-----w- c:\program files\TomTom HOME 2
2009-12-07 19:10 . 2009-12-07 19:10 -------- d-----w- c:\program files\TomTom DesktopSuite

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-19 18:47 . 2009-03-22 14:53 -------- d-----w- c:\documents and settings\*****\Application Data\dvdcss
2009-12-19 14:41 . 2008-12-25 10:15 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-19 09:43 . 2005-03-19 10:53 55888 -c--a-w- c:\documents and settings\*****\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-12-18 22:16 . 2008-01-19 15:39 -------- d-----w- c:\documents and settings\*****\Application Data\Azureus
2009-12-17 13:23 . 2009-12-17 13:23 16 ----a-w- c:\windows\system32\config\systemprofile\Application Data\fvgqad.dat
2009-11-28 16:30 . 2004-09-10 01:33 79088 ----a-w- c:\windows\system32\perfc00C.dat
2009-11-28 16:30 . 2004-09-10 01:33 476728 ----a-w- c:\windows\system32\perfh00C.dat
2009-11-24 23:54 . 2008-02-15 18:40 1280480 ----a-w- c:\windows\system32\aswBoot.exe
2009-11-24 23:51 . 2008-02-15 18:40 93424 -c--a-w- c:\windows\system32\drivers\aswmon.sys
2009-11-24 23:50 . 2008-02-15 18:40 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2009-11-24 23:50 . 2008-07-04 08:03 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-11-24 23:50 . 2008-07-04 08:03 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2009-11-24 23:49 . 2008-02-15 18:40 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-11-24 23:48 . 2008-02-15 18:41 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-11-24 23:47 . 2008-02-15 18:40 27408 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2009-11-24 23:47 . 2008-02-15 18:40 97480 -c--a-w- c:\windows\system32\AvastSS.scr
2009-10-29 07:42 . 2004-09-10 01:34 916480 ----a-w- c:\windows\system32\wininet.dll
2009-10-21 05:39 . 2004-09-10 01:33 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:39 . 2004-09-10 01:33 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-09-10 01:35 265728 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-13 10:33 . 2004-09-10 01:33 271360 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:39 . 2004-09-10 01:33 79872 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:39 . 2004-09-10 01:33 150528 ----a-w- c:\windows\system32\rastls.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"eMuleAutoStart"="c:\program files\eMule\emule.exe" [2009-02-22 5668864]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Utility Tray.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Utility Tray.lnk
backup=c:\windows\pss\Utility Tray.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTZDetec.exe]
2007-12-18 12:20 401408 -c----w- c:\program files\Creative\Creative Media Lite\CTZDetec.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus CX3600 Series]
2004-03-04 03:00 98304 ----a-w- c:\windows\system32\spool\drivers\w32x86\3\E_FATI9BE.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50 155648 -c--a-w- c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2008-05-27 08:50 413696 ----a-w- c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2008-06-10 03:27 144784 -c--a-w- c:\program files\Java\jre1.6.0_07\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [20/12/2009 14:32 28552]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [04/07/2008 09:03 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [04/07/2008 09:03 20560]
R3 CONAN;CONAN;c:\windows\system32\drivers\o2mmb.sys [14/09/2004 18:59 191092]
R3 MbxStby;MbxStby;c:\windows\system32\drivers\MbxStby.sys [14/09/2004 18:59 6100]
S2 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\svcntaux.exe --> c:\program files\Spyware Doctor\svcntaux.exe [?]
S3 EraserUtilRebootDrv;EraserUtilRebootDrv;\??\c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys --> c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [?]
S4 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [13/11/2009 12:31 92008]
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://google.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A009900%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A11%3BDIV%3A%23FFFFF0%3B&ie=ISO-8859-1&q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
FF - ProfilePath - c:\documents and settings\HAMEL\Application Data\Mozilla\Firefox\Profiles\qivs66be.default\
FF - prefs.js: browser.startup.homepage - hxxp://fr.yahoo.com/
FF - prefs.js: keyword.URL - hxxp://google.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A009900%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A11%3BDIV%3A%23FFFFF0%3B&ie=ISO-8859-1&q=
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

---- PARAMETRES FIREFOX ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.notify.interval - 600000
FF - user.js: content.switch.threshold - 1000000
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: yahoo.homepage.dontask - true.
- - - - ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-WinampAgent - c:\program files\Winamp\winampa.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-23 17:44
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
Heure de fin: 2009-12-23 17:49:27
ComboFix-quarantined-files.txt 2009-12-23 16:49

Avant-CF: 7 579 582 464 octets libres
Après-CF: 7 547 338 752 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

- - End Of File - - 1F3EC93886D92D0B8FBACAC9AD172DB2

Réponse 12 / 34

benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
23 déc. 2009 à 19:04

****************************************************

/!\ Manip crée spécialement pour cet utilisateur , ne pas reproduire chez soi ... /!\

Ouvre le Bloc-Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)

Copie ce texte ( en gras )d'une traite ( CTRL+C pour copier ) puis colle-le ( CTRL+V dans le bloc-note )

File::
c:\windows\system32\fjhdyfhsn.bat
c:\windows\system32\config\systemprofile\Application Data\fvgqad.dat

Registry::
[-HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]

Sauvegarde ce fichier sur ton bureau sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://img.photobucket.com/albums/v666/sUBs/CFScriptB-4.gif

Cela va relancer Combofix,

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.

****************************************************

CrumbleBoy
23 déc. 2009 à 21:31

ComboFix 09-12-22.09 - ***** 23/12/2009 21:14:18.2.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.479.234 [GMT 1:00]
Lancé depuis: c:\documents and settings\*****\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\*****\Bureau\CFScript.txt
AV: avast! antivirus 4.8.1368 [VPS 091223-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
AV: Norton AntiVirus 2006 *On-access scanning enabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Worm Protection *enabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}

FILE ::
"c:\windows\system32\config\systemprofile\Application Data\fvgqad.dat"
"c:\windows\system32\fjhdyfhsn.bat"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\fjhdyfhsn.bat

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-11-23 au 2009-12-23 ))))))))))))))))))))))))))))))))))))
.

2009-12-22 19:50 . 2009-12-22 17:29 102664 ----a-w- c:\windows\system32\drivers\tmcomm.sys
2009-12-22 17:29 . 2009-12-22 21:37 -------- d-----w- c:\documents and settings\*****\.housecall6.6
2009-12-20 13:32 . 2009-06-30 08:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys
2009-12-20 13:31 . 2009-12-20 13:31 -------- d-----w- c:\program files\Panda Security
2009-12-19 23:23 . 2009-12-19 23:23 579584 ----a-w- c:\windows\system32\dllcache\user32.dll
2009-12-19 23:20 . 2009-12-19 23:20 -------- d-----w- c:\windows\ERUNT
2009-12-19 22:49 . 2009-12-19 23:44 -------- d-----w- C:\SDFix
2009-12-19 22:16 . 2009-12-19 22:17 120 ----a-w- C:\drmHeader.bin
2009-12-19 19:39 . 2009-12-19 21:41 -------- d-----w- C:\UsbFix
2009-12-19 14:41 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-19 14:41 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-19 13:21 . 2009-12-19 13:27 -------- d-----w- C:\rsit
2009-12-18 22:48 . 2009-12-18 22:48 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
2009-12-18 22:30 . 2009-11-25 10:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-18 22:24 . 2009-12-18 22:25 -------- d-----w- c:\program files\Navilog1
2009-12-18 21:29 . 2009-12-18 21:50 -------- d-----w- c:\program files\RegCleaner
2009-12-17 13:44 . 2008-04-13 19:40 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys
2009-12-17 13:44 . 2008-04-13 19:40 34688 ----a-w- c:\windows\system32\dllcache\lbrtfdc.sys
2009-12-17 13:25 . 2001-08-17 19:13 27165 ----a-w- c:\windows\system32\drivers\fetnd5.sys
2009-12-17 13:25 . 2001-08-17 19:13 27165 ----a-w- c:\windows\system32\dllcache\fetnd5.sys
2009-12-17 13:24 . 2008-04-13 19:40 8192 ----a-w- c:\windows\system32\drivers\changer.sys
2009-12-17 13:24 . 2008-04-13 19:40 8192 ----a-w- c:\windows\system32\dllcache\changer.sys
2009-12-07 19:12 . 2009-12-07 19:12 -------- d-----w- c:\documents and settings\All Users\Application Data\TomTom
2009-12-07 19:12 . 2009-12-07 19:12 -------- d-----w- c:\documents and settings\HAMEL\Local Settings\Application Data\TomTom
2009-12-07 19:12 . 2009-12-07 19:12 -------- d-----w- c:\documents and settings\HAMEL\Application Data\TomTom
2009-12-07 19:12 . 2009-12-07 19:12 -------- d-----w- c:\program files\TomTom International B.V
2009-12-07 19:11 . 2009-12-07 19:11 -------- d-----w- c:\program files\TomTom HOME 2
2009-12-07 19:10 . 2009-12-07 19:10 -------- d-----w- c:\program files\TomTom DesktopSuite

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-19 18:47 . 2009-03-22 14:53 -------- d-----w- c:\documents and settings\*****\Application Data\dvdcss
2009-12-19 14:41 . 2008-12-25 10:15 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-19 09:43 . 2005-03-19 10:53 55888 -c--a-w- c:\documents and settings\*****\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-12-18 22:16 . 2008-01-19 15:39 -------- d-----w- c:\documents and settings\*****\Application Data\Azureus
2009-12-17 13:23 . 2009-12-17 13:23 16 ----a-w- c:\windows\system32\config\systemprofile\Application Data\fvgqad.dat
2009-11-28 16:30 . 2004-09-10 01:33 79088 ----a-w- c:\windows\system32\perfc00C.dat
2009-11-28 16:30 . 2004-09-10 01:33 476728 ----a-w- c:\windows\system32\perfh00C.dat
2009-11-24 23:54 . 2008-02-15 18:40 1280480 ----a-w- c:\windows\system32\aswBoot.exe
2009-11-24 23:51 . 2008-02-15 18:40 93424 -c--a-w- c:\windows\system32\drivers\aswmon.sys
2009-11-24 23:50 . 2008-02-15 18:40 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2009-11-24 23:50 . 2008-07-04 08:03 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-11-24 23:50 . 2008-07-04 08:03 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2009-11-24 23:49 . 2008-02-15 18:40 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-11-24 23:48 . 2008-02-15 18:41 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-11-24 23:47 . 2008-02-15 18:40 27408 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2009-11-24 23:47 . 2008-02-15 18:40 97480 -c--a-w- c:\windows\system32\AvastSS.scr
2009-10-29 07:42 . 2004-09-10 01:34 916480 ------w- c:\windows\system32\wininet.dll
2009-10-21 05:39 . 2004-09-10 01:33 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:39 . 2004-09-10 01:33 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-09-10 01:35 265728 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-13 10:33 . 2004-09-10 01:33 271360 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:39 . 2004-09-10 01:33 79872 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:39 . 2004-09-10 01:33 150528 ----a-w- c:\windows\system32\rastls.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"eMuleAutoStart"="c:\program files\eMule\emule.exe" [2009-02-22 5668864]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Utility Tray.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Utility Tray.lnk
backup=c:\windows\pss\Utility Tray.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTZDetec.exe]
2007-12-18 12:20 401408 -c----w- c:\program files\Creative\Creative Media Lite\CTZDetec.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus CX3600 Series]
2004-03-04 03:00 98304 ----a-w- c:\windows\system32\spool\drivers\w32x86\3\E_FATI9BE.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50 155648 -c--a-w- c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2008-05-27 08:50 413696 ----a-w- c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2008-06-10 03:27 144784 -c--a-w- c:\program files\Java\jre1.6.0_07\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [20/12/2009 14:32 28552]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [04/07/2008 09:03 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [04/07/2008 09:03 20560]
R3 CONAN;CONAN;c:\windows\system32\drivers\o2mmb.sys [14/09/2004 18:59 191092]
R3 MbxStby;MbxStby;c:\windows\system32\drivers\MbxStby.sys [14/09/2004 18:59 6100]
S2 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\svcntaux.exe --> c:\program files\Spyware Doctor\svcntaux.exe [?]
S3 EraserUtilRebootDrv;EraserUtilRebootDrv;\??\c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys --> c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [?]
S4 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [13/11/2009 12:31 92008]
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://google.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A009900%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A11%3BDIV%3A%23FFFFF0%3B&ie=ISO-8859-1&q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
FF - ProfilePath - c:\documents and settings\HAMEL\Application Data\Mozilla\Firefox\Profiles\qivs66be.default\
FF - prefs.js: browser.startup.homepage - hxxp://fr.yahoo.com/
FF - prefs.js: keyword.URL - hxxp://google.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A009900%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A11%3BDIV%3A%23FFFFF0%3B&ie=ISO-8859-1&q=
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

---- PARAMETRES FIREFOX ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.notify.interval - 600000
FF - user.js: content.switch.threshold - 1000000
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-23 21:20
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
Heure de fin: 2009-12-23 21:24:10
ComboFix-quarantined-files.txt 2009-12-23 20:24
ComboFix2.txt 2009-12-23 16:49

Avant-CF: 7 569 788 928 octets libres
Après-CF: 7 558 746 112 octets libres

- - End Of File - - F1B81C4E47CCA5209941DBA428D6858C

CrumbleBoy > CrumbleBoy
23 déc. 2009 à 22:27

Puisque mon message précédent a pas fonctionné apparemment, j ai repassé hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:23:25, on 23/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Creative\Shared Files\CTDevSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Microsoft\Office Live\OfficeLiveSignIn.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTDevSrv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - Unknown owner - C:\Program Files\Spyware Doctor\svcntaux.exe (file missing)
O23 - Service: PC Tools Security Service (sdCoreService) - Unknown owner - C:\Program Files\Spyware Doctor\swdsvc.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

CrumbleBoy
23 déc. 2009 à 21:32

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:26:26, on 23/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Creative\Shared Files\CTDevSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTDevSrv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - Unknown owner - C:\Program Files\Spyware Doctor\svcntaux.exe (file missing)
O23 - Service: PC Tools Security Service (sdCoreService) - Unknown owner - C:\Program Files\Spyware Doctor\swdsvc.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Réponse 13 / 34

benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
24 déc. 2009 à 00:11

---> Désactive ton antivirus le temps de la manipulation car OTM est détecté comme une infection à tort.

---> Télécharge OTM (OldTimer) sur ton Bureau :

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

---> Double-clique sur OTM.exe afin de le lancer.

---> Copie (Ctrl+C) le texte suivant ci-dessous :

:processes
explorer.exe

:files
c:\windows\system32\config\systemprofile\Application Data\fvgqad.dat

:reg
[-HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]

:commands
[purity]
[emptytemp]
[start explorer]
[reboot]

CrumbleBoy
24 déc. 2009 à 11:40

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
File/Folder c:\windows\system32\config\systemprofile\Application Data\fvgqad.dat not found.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*\ not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes

User: *****
->Temp folder emptied: 3146 bytes
->Temporary Internet Files folder emptied: 2096457 bytes
->Java cache emptied: 51650744 bytes
->FireFox cache emptied: 104848669 bytes
->Google Chrome cache emptied: 6980015 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
Windows Temp folder emptied: 33432 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 158,00 mb

OTM by OldTimer - Version 3.1.4.0 log created on 12242009_111812

Files moved on Reboot...
C:\WINDOWS\temp\Perflib_Perfdata_538.dat moved successfully.

Registry entries deleted on Reboot...

Réponse 14 / 34

benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
24 déc. 2009 à 18:55

pour nettoyer les fix qui ont servit

Ferme toutes les applications en cours, puis télécharge ToolsCleaner2 sur ton Bureau.
http://pc-system.fr/

Double clique sur ToolsCleaner2.exe >
puis Recherche
et sur Suppression
Note : ton bureau va disparaître, c'est normal. S'il n'apparaît pas à la fin du scan, fais la manip suivante :

CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
Puis rends toi à l'onglet "Processus". Clique en haut à gauche sur Fichiers et choisis "Exécuter"

Tape explorer.exe et valide. Cela fera re-apparaître le Bureau

tu poste le rapport générer après suppression

----apres

tu va télécharger Ccleaner https://www.ccleaner.com/ccleaner/download

ouvre "Ccleaner" vas dans l'onglet "Option" puis "Avancé" puis décoches "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures."

. Puis vas dans l'onglet "Nettoyeur" fais "Analyse" puis "Lancer le nettoyage".
Puis vas dans l'onglet "Registre" puis fait "Chercher des erreurs" puis "Réparer les erreurs sélectionnée"
. Tu refais tous ca 4-5 fois (le nettoyage et le registre).

Puis reste dans "Ccleaner" puis va dans "Option" puis "Propriété" puis coches "Nettoyer automatiquement l'ordinateur au démarrage".

içi mode d'emploi pour ccleaner

https://www.malekal.com/tutoriel-ccleaner/

et tu redémarre

CrumbleBoy
24 déc. 2009 à 19:43

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\Combofix.txt: trouvé !
C:\cleannavi.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\SDFIX: trouvé !
C:\Qoobox: trouvé !
C:\_OTM: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\Backups\catchme.log: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\*****\Bureau\GenProc.zip: trouvé !
C:\Documents and Settings\*****\Bureau\OTM.exe: trouvé !
C:\Documents and Settings\*****\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\*****\Bureau\Rsit.exe: trouvé !
C:\Documents and Settings\*****\Bureau\GenProc: trouvé !
C:\Documents and Settings\*****\Bureau\GenProc\Genproc.exe: trouvé !
C:\Documents and Settings\*****\Bureau\GenProc\Outil\hijackthis.log: trouvé !
C:\Documents and Settings\*****\Bureau\GenProc\Outil\mbr.exe: trouvé !
C:\Documents and Settings\*****\Bureau\GenProc\Outil\ZHPDiag: trouvé !
C:\Documents and Settings\*****\Bureau\GenProc\Outil\ZHPDiag\ZHPdiag.exe: trouvé !
C:\Documents and Settings\*****\Bureau\GenProc\Page\GenProc[*].html: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\Navilog1\Navilog1.bat: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\SDFix\catchme.exe: trouvé !
C:\WINDOWS\mbr.exe: trouvé !

---------------------------------
--> Suppression:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\*****\Bureau\GenProc.zip: supprimé !
C:\Documents and Settings\*****\Bureau\OTM.exe: supprimé !
C:\Documents and Settings\*****\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\*****\Bureau\GenProc\Outil\ZHPDiag\ZHPdiag.exe: supprimé !
C:\Program Files\Navilog1\Navilog1.bat: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\SDFix\catchme.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\cleannavi.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\Backups\catchme.log: supprimé !
C:\Documents and Settings\*****\Bureau\Rsit.exe: supprimé !
C:\Documents and Settings\*****\Bureau\GenProc\Genproc.exe: supprimé !
C:\Documents and Settings\*****\Bureau\GenProc\Outil\hijackthis.log: supprimé !
C:\Documents and Settings\*****\Bureau\GenProc\Outil\mbr.exe: supprimé !
C:\Documents and Settings\*****\Bureau\GenProc\Page\GenProc[*].html: ERREUR DE SUPPRESSION !!
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\WINDOWS\mbr.exe: supprimé !
C:\SDFIX: supprimé !
C:\Qoobox: supprimé !
C:\_OTM: supprimé !
C:\UsbFix: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\*****\Bureau\GenProc: supprimé !
C:\Program Files\Navilog1: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

CrumbleBoy > CrumbleBoy
24 déc. 2009 à 22:12

Voilà, j'ai fait ce que vous m'avez dit.

A chaque démarrage ca bug toujours pendant une demi-heure ... Et les ports USB ne marchent plus non plus. Je commence à désespérer.
Enfin merci beaucoup pour votre aide en tout cas !!

Vous pensez que je vais réussir à sauver mon PC de ce rootkit ou est-ce qu'il est naze ??

Réponse 15 / 34

benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
25 déc. 2009 à 22:00

SALUT

un rootkit est tres difficile a detecter et a suprimer mais en peut l'avoir

telecharge image avira anti-rootkit Avira AntiRootkit

http://dl.antivir.de/down/windows/antivir_rootkit.zip

fait extraire içi avec le clic droit sur le dossier antivir_rootkit.zip

apres tu double clic sur le raccourcie d'antivir anti-rootkit a la première fenêtre tu fait ok

et après tu fait star scan pour lancer le scan

CrumbleBoy
25 déc. 2009 à 22:30

Quand je veux l'ouvrir il me met "Cette application n'a pas pu démarrer car la configuration de l'application est incorrecte. Réinstaller l'application pourrait résoudre le problème."

Je l ai réinstallé 3-4 fois mais ca me met à chaque fois le même message.

Réponse 16 / 34

HSPC Messages postés 72 Date d'inscription samedi 11 avril 2009 Statut Membre Dernière intervention 9 novembre 2010
25 déc. 2009 à 22:39

la tu extrait ?

Réponse 17 / 34

benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
26 déc. 2009 à 01:45

Telecharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

cette fois lance le en mode sans échec

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

-Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. risque de figer l'ordi

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordi (plantage complet)

::Si combofix detecte quelque chose et de demande a redémarrer tu accepte

Réponse 18 / 34

HSPC Messages postés 72 Date d'inscription samedi 11 avril 2009 Statut Membre Dernière intervention 9 novembre 2010
26 déc. 2009 à 11:49

bonjour

car moi aussi je bataille avec un rootkit et j'ai eu se problème car j'avais pas extrait

CrumbleBoy
26 déc. 2009 à 12:30

Oui oui je l ai extrait . Voilà le rapport, j ai passé Combofix en mode sans échec. Par contre j suis pas sur d'avoir réussi à désactiver avast .... Et on m a pas demandé de taper <1> par contre.

ComboFix 09-12-25.04 - ***** 26/12/2009 11:47:08.4.1 - x86 MINIMAL
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.479.281 [GMT 1:00]
Lancé depuis: c:\documents and settings\*****\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1368 [VPS 091226-0] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
AV: Norton AntiVirus 2006 *On-access scanning enabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Worm Protection *enabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
.

((((((((((((((((((((((((((((( Fichiers créés du 2009-11-26 au 2009-12-26 ))))))))))))))))))))))))))))))))))))
.

2009-12-24 18:52 . 2009-12-24 18:55 -------- d-----w- c:\windows\SxsCaPendDel
2009-12-24 18:44 . 2009-12-24 18:44 -------- d-----w- c:\program files\CCleaner
2009-12-22 19:50 . 2009-12-22 17:29 102664 ----a-w- c:\windows\system32\drivers\tmcomm.sys
2009-12-22 17:29 . 2009-12-22 21:37 -------- d-----w- c:\documents and settings\*****\.housecall6.6
2009-12-20 13:32 . 2009-06-30 08:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys
2009-12-20 13:31 . 2009-12-20 13:31 -------- d-----w- c:\program files\Panda Security
2009-12-19 23:23 . 2009-12-19 23:23 579584 ----a-w- c:\windows\system32\dllcache\user32.dll
2009-12-19 23:20 . 2009-12-24 18:37 -------- d-----w- c:\windows\ERUNT
2009-12-19 23:20 . 2009-12-24 18:37 -------- d-----w- C:\Backups
2009-12-19 22:16 . 2009-12-19 22:17 120 ----a-w- C:\drmHeader.bin
2009-12-19 14:41 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-19 14:41 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-18 22:48 . 2009-12-18 22:48 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
2009-12-18 22:30 . 2009-11-25 10:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-18 21:29 . 2009-12-18 21:50 -------- d-----w- c:\program files\RegCleaner
2009-12-17 13:44 . 2008-04-13 19:40 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys
2009-12-17 13:44 . 2008-04-13 19:40 34688 ----a-w- c:\windows\system32\dllcache\lbrtfdc.sys
2009-12-17 13:25 . 2001-08-17 19:13 27165 ----a-w- c:\windows\system32\drivers\fetnd5.sys
2009-12-17 13:25 . 2001-08-17 19:13 27165 ----a-w- c:\windows\system32\dllcache\fetnd5.sys
2009-12-17 13:24 . 2008-04-13 19:40 8192 ----a-w- c:\windows\system32\drivers\changer.sys
2009-12-17 13:24 . 2008-04-13 19:40 8192 ----a-w- c:\windows\system32\dllcache\changer.sys
2009-12-07 19:12 . 2009-12-07 19:12 -------- d-----w- c:\documents and settings\All Users\Application Data\TomTom
2009-12-07 19:12 . 2009-12-07 19:12 -------- d-----w- c:\documents and settings\*****\Local Settings\Application Data\TomTom
2009-12-07 19:12 . 2009-12-07 19:12 -------- d-----w- c:\documents and settings\*****\Application Data\TomTom
2009-12-07 19:12 . 2009-12-07 19:12 -------- d-----w- c:\program files\TomTom International B.V
2009-12-07 19:11 . 2009-12-07 19:11 -------- d-----w- c:\program files\TomTom HOME 2
2009-12-07 19:10 . 2009-12-07 19:10 -------- d-----w- c:\program files\TomTom DesktopSuite

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-24 18:37 . 2008-12-24 16:40 -------- d-----w- c:\program files\Trend Micro
2009-12-19 18:47 . 2009-03-22 14:53 -------- d-----w- c:\documents and settings\*****\Application Data\dvdcss
2009-12-19 14:41 . 2008-12-25 10:15 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-19 09:43 . 2005-03-19 10:53 55888 -c--a-w- c:\documents and settings\*****\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-12-18 22:16 . 2008-01-19 15:39 -------- d-----w- c:\documents and settings\*****\Application Data\Azureus
2009-12-17 13:23 . 2009-12-17 13:23 16 ----a-w- c:\windows\system32\config\systemprofile\Application Data\fvgqad.dat
2009-11-28 16:30 . 2004-09-10 01:33 79088 ----a-w- c:\windows\system32\perfc00C.dat
2009-11-28 16:30 . 2004-09-10 01:33 476728 ----a-w- c:\windows\system32\perfh00C.dat
2009-11-24 23:54 . 2008-02-15 18:40 1280480 ----a-w- c:\windows\system32\aswBoot.exe
2009-11-24 23:51 . 2008-02-15 18:40 93424 -c--a-w- c:\windows\system32\drivers\aswmon.sys
2009-11-24 23:50 . 2008-02-15 18:40 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2009-11-24 23:50 . 2008-07-04 08:03 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-11-24 23:50 . 2008-07-04 08:03 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2009-11-24 23:49 . 2008-02-15 18:40 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-11-24 23:48 . 2008-02-15 18:41 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-11-24 23:47 . 2008-02-15 18:40 27408 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2009-11-24 23:47 . 2008-02-15 18:40 97480 -c--a-w- c:\windows\system32\AvastSS.scr
2009-10-29 07:42 . 2004-09-10 01:34 916480 ------w- c:\windows\system32\wininet.dll
2009-10-21 05:39 . 2004-09-10 01:33 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:39 . 2004-09-10 01:33 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-09-10 01:35 265728 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-13 10:33 . 2004-09-10 01:33 271360 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:39 . 2004-09-10 01:33 79872 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:39 . 2004-09-10 01:33 150528 ----a-w- c:\windows\system32\rastls.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"ccleaner"="c:\program files\CCleaner\ccleaner.exe" [2009-12-21 1803064]
"eMuleAutoStart"="c:\program files\eMule\emule.exe" [2009-02-22 5668864]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Utility Tray.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Utility Tray.lnk
backup=c:\windows\pss\Utility Tray.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTZDetec.exe]
2007-12-18 12:20 401408 -c----w- c:\program files\Creative\Creative Media Lite\CTZDetec.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus CX3600 Series]
2004-03-04 03:00 98304 ----a-w- c:\windows\system32\spool\drivers\w32x86\3\E_FATI9BE.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50 155648 -c--a-w- c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2008-05-27 08:50 413696 ----a-w- c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2008-06-10 03:27 144784 -c--a-w- c:\program files\Java\jre1.6.0_07\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

R3 CONAN;CONAN;c:\windows\system32\drivers\o2mmb.sys [14/09/2004 18:59 191092]
R3 MbxStby;MbxStby;c:\windows\system32\drivers\MbxStby.sys [14/09/2004 18:59 6100]
S0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [20/12/2009 14:32 28552]
S1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [04/07/2008 09:03 114768]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [04/07/2008 09:03 20560]
S2 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\svcntaux.exe --> c:\program files\Spyware Doctor\svcntaux.exe [?]
S3 EraserUtilRebootDrv;EraserUtilRebootDrv;\??\c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys --> c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [?]
S4 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [13/11/2009 12:31 92008]
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://google.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A009900%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A11%3BDIV%3A%23FFFFF0%3B&ie=ISO-8859-1&q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
FF - ProfilePath - c:\documents and settings\HAMEL\Application Data\Mozilla\Firefox\Profiles\qivs66be.default\
FF - prefs.js: browser.startup.homepage - hxxp://fr.yahoo.com/
FF - prefs.js: keyword.URL - hxxp://google.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A009900%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A11%3BDIV%3A%23FFFFF0%3B&ie=ISO-8859-1&q=
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

---- PARAMETRES FIREFOX ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.notify.interval - 600000
FF - user.js: content.switch.threshold - 1000000
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-26 11:55
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(212)
c:\windows\system32\sirenacm.dll
.
Heure de fin: 2009-12-26 12:01:16
ComboFix-quarantined-files.txt 2009-12-26 11:01
ComboFix2.txt 2009-12-26 10:31

Avant-CF: 8 198 488 064 octets libres
Après-CF: 8 162 447 360 octets libres

- - End Of File - - 3CE4BED67B00CC2918977A3DFED12A6E

Réponse 19 / 34

benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
26 déc. 2009 à 13:08

par contre je voit que tu a deux antivirus norton et avast ils sont actif tout les 2

/!\ Manip crée spécialement pour cet utilisateur , ne pas reproduire chez soi ... /!\

Ouvre le Bloc-Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)

Copie ce texte ( en gras )d'une traite ( CTRL+C pour copier ) puis colle-le ( CTRL+V dans le bloc-note )

File::
c:\windows\system32\drivers\tmcomm.sys
c:\documents and settings\*****\.housecall6.6
c:\windows\system32\drivers\pavboot.sys
c:\program files\Panda Security
c:\windows\system32\drivers\avgntflt.sys
c:\windows\system32\drivers\pavboot.sys
c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys
c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys

Driver::
pavboot
avgntflt
tmcomm

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"=-
"eMuleAutoStart"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=-

Folder::
c:\documents and settings\*****\.housecall6.6

Sauvegarde ce fichier sur ton bureau sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://img.photobucket.com/albums/v666/sUBs/CFScriptB-4.gif

Cela va relancer Combofix,

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.

CrumbleBoy
26 déc. 2009 à 14:58

ComboFix 09-12-25.04 - ***** 26/12/2009 14:29:55.5.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.479.234 [GMT 1:00]
Lancé depuis: c:\documents and settings\*****\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\*****\Bureau\CFScript.txt
AV: avast! antivirus 4.8.1368 [VPS 091226-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
AV: Norton AntiVirus 2006 *On-access scanning enabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Worm Protection *enabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}

FILE ::
"c:\documents and settings\*****\.housecall6.6"
"c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys"
"c:\program files\Panda Security"
"c:\windows\system32\drivers\avgntflt.sys"
"c:\windows\system32\drivers\pavboot.sys"
"c:\windows\system32\drivers\tmcomm.sys"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\*****\.housecall6.6
c:\documents and settings\*****\.housecall6.6\8ball.txt
c:\documents and settings\*****\.housecall6.6\AU_Log\TmuDump.txt
c:\documents and settings\*****\.housecall6.6\aucfg.ini
c:\documents and settings\*****\.housecall6.6\BPMNT.dll
c:\documents and settings\*****\.housecall6.6\ciussi32.dll
c:\documents and settings\*****\.housecall6.6\dsvout.dll
c:\documents and settings\*****\.housecall6.6\engine.stat
c:\documents and settings\*****\.housecall6.6\getMac.exe
c:\documents and settings\*****\.housecall6.6\GetServer.ini
c:\documents and settings\*****\.housecall6.6\jsapi.dll
c:\documents and settings\*****\.housecall6.6\jupdate.dll
c:\documents and settings\*****\.housecall6.6\local.conf
c:\documents and settings\*****\.housecall6.6\log\2009-12-22-18-29-12.infections
c:\documents and settings\*****\.housecall6.6\log\dsvout.log
c:\documents and settings\*****\.housecall6.6\log\engine0.log
c:\documents and settings\*****\.housecall6.6\log\engine0.log.lck
c:\documents and settings\*****\.housecall6.6\log\error0.log
c:\documents and settings\*****\.housecall6.6\log\error0.log.lck
c:\documents and settings\*****\.housecall6.6\log\execution0.log
c:\documents and settings\*****\.housecall6.6\log\execution0.log.lck
c:\documents and settings\*****\.housecall6.6\patch.exe
c:\documents and settings\*****\.housecall6.6\PATCHW32.DLL
c:\documents and settings\*****\.housecall6.6\Pattern\lpt$vpn.709
c:\documents and settings\*****\.housecall6.6\Pattern\tmaptn.867
c:\documents and settings\*****\.housecall6.6\Pattern\TMVAmain.ptn
c:\documents and settings\*****\.housecall6.6\Pattern\tsc.ptn
c:\documents and settings\*****\.housecall6.6\ssapi32.dll
c:\documents and settings\*****\.housecall6.6\ssapiptn.da5
c:\documents and settings\*****\.housecall6.6\tmcomm.sys
c:\documents and settings\*****\.housecall6.6\TmEngDrv.dll
c:\documents and settings\*****\.housecall6.6\TmUpdate.dll
c:\documents and settings\*****\.housecall6.6\tsc.exe
c:\documents and settings\*****\.housecall6.6\Update\AU_Cache\housecall65.trendmicro.com\ini_xml.zip
c:\documents and settings\*****\.housecall6.6\Update\AU_Cache\housecall65.trendmicro.com\ini_xml.zip.etag
c:\documents and settings\*****\.housecall6.6\Update\AU_Cache\housecall65.trendmicro.com\server.ini
c:\documents and settings\*****\.housecall6.6\Update\AU_Cache\housecall65.trendmicro.com\server.ini.etag
c:\documents and settings\*****\.housecall6.6\usrbl.dat
c:\documents and settings\*****\.housecall6.6\usrwl.dat
c:\documents and settings\*****\.housecall6.6\vsapi32.dll
c:\documents and settings\*****\.housecall6.6\vscan.dat
c:\windows\system32\drivers\avgntflt.sys
c:\windows\system32\drivers\pavboot.sys
c:\windows\system32\drivers\tmcomm.sys

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_AVGNTFLT
-------\Legacy_PAVBOOT
-------\Legacy_TMCOMM
-------\Service_pavboot
-------\Service_tmcomm

((((((((((((((((((((((((((((( Fichiers créés du 2009-11-26 au 2009-12-26 ))))))))))))))))))))))))))))))))))))
.

2009-12-07 19:12 . 2009-12-07 19:12 -------- d-----w- c:\documents and settings\All Users\Application Data\TomTom
2009-12-07 19:12 . 2009-12-07 19:12 -------- d-----w- c:\documents and settings\*****\Application Data\TomTom

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-24 18:44 . 2009-12-24 18:44 -------- d-----w- c:\program files\CCleaner
2009-12-24 18:37 . 2008-12-24 16:40 -------- d-----w- c:\program files\Trend Micro
2009-12-20 13:31 . 2009-12-20 13:31 -------- d-----w- c:\program files\Panda Security
2009-12-19 22:17 . 2009-12-19 22:16 120 ----a-w- C:\drmHeader.bin
2009-12-19 18:47 . 2009-03-22 14:53 -------- d-----w- c:\documents and settings\*****\Application Data\dvdcss
2009-12-19 14:41 . 2008-12-25 10:15 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-19 09:43 . 2005-03-19 10:53 55888 -c--a-w- c:\documents and settings\*****\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-12-18 22:16 . 2008-01-19 15:39 -------- d-----w- c:\documents and settings\*****\Application Data\Azureus
2009-12-18 21:50 . 2009-12-18 21:29 -------- d-----w- c:\program files\RegCleaner
2009-12-17 13:23 . 2009-12-17 13:23 16 ----a-w- c:\windows\system32\config\systemprofile\Application Data\fvgqad.dat
2009-12-07 19:12 . 2009-12-07 19:12 -------- d-----w- c:\program files\TomTom International B.V
2009-12-07 19:11 . 2009-12-07 19:11 -------- d-----w- c:\program files\TomTom HOME 2
2009-12-07 19:10 . 2009-12-07 19:10 -------- d-----w- c:\program files\TomTom DesktopSuite
2009-12-03 15:14 . 2009-12-19 14:41 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-03 15:13 . 2009-12-19 14:41 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-11-28 16:30 . 2004-09-10 01:33 79088 ----a-w- c:\windows\system32\perfc00C.dat
2009-11-28 16:30 . 2004-09-10 01:33 476728 ----a-w- c:\windows\system32\perfh00C.dat
2009-11-24 23:54 . 2008-02-15 18:40 1280480 ----a-w- c:\windows\system32\aswBoot.exe
2009-11-24 23:51 . 2008-02-15 18:40 93424 -c--a-w- c:\windows\system32\drivers\aswmon.sys
2009-11-24 23:50 . 2008-02-15 18:40 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2009-11-24 23:50 . 2008-07-04 08:03 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-11-24 23:50 . 2008-07-04 08:03 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2009-11-24 23:49 . 2008-02-15 18:40 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-11-24 23:48 . 2008-02-15 18:41 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-11-24 23:47 . 2008-02-15 18:40 27408 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2009-11-24 23:47 . 2008-02-15 18:40 97480 -c--a-w- c:\windows\system32\AvastSS.scr
2009-10-29 07:42 . 2004-09-10 01:34 916480 ------w- c:\windows\system32\wininet.dll
2009-10-21 05:39 . 2004-09-10 01:33 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:39 . 2004-09-10 01:33 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-09-10 01:35 265728 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-13 10:33 . 2004-09-10 01:33 271360 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:39 . 2004-09-10 01:33 79872 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:39 . 2004-09-10 01:33 150528 ----a-w- c:\windows\system32\rastls.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"ccleaner"="c:\program files\CCleaner\ccleaner.exe" [2009-12-21 1803064]
"eMuleAutoStart"="c:\program files\eMule\emule.exe" [2009-02-22 5668864]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Utility Tray.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Utility Tray.lnk
backup=c:\windows\pss\Utility Tray.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTZDetec.exe]
2007-12-18 12:20 401408 -c----w- c:\program files\Creative\Creative Media Lite\CTZDetec.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus CX3600 Series]
2004-03-04 03:00 98304 ----a-w- c:\windows\system32\spool\drivers\w32x86\3\E_FATI9BE.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50 155648 -c--a-w- c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2008-05-27 08:50 413696 ----a-w- c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2008-06-10 03:27 144784 -c--a-w- c:\program files\Java\jre1.6.0_07\bin\jusched.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [04/07/2008 09:03 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [04/07/2008 09:03 20560]
R3 CONAN;CONAN;c:\windows\system32\drivers\o2mmb.sys [14/09/2004 18:59 191092]
R3 MbxStby;MbxStby;c:\windows\system32\drivers\MbxStby.sys [14/09/2004 18:59 6100]
S2 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\svcntaux.exe --> c:\program files\Spyware Doctor\svcntaux.exe [?]
S3 EraserUtilRebootDrv;EraserUtilRebootDrv;\??\c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys --> c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [?]
S4 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [13/11/2009 12:31 92008]
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://google.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A009900%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A11%3BDIV%3A%23FFFFF0%3B&ie=ISO-8859-1&q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
FF - ProfilePath - c:\documents and settings\*****\Application Data\Mozilla\Firefox\Profiles\qivs66be.default\
FF - prefs.js: browser.startup.homepage - hxxp://fr.yahoo.com/
FF - prefs.js: keyword.URL - hxxp://google.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A009900%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A11%3BDIV%3A%23FFFFF0%3B&ie=ISO-8859-1&q=
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

---- PARAMETRES FIREFOX ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.notify.interval - 600000
FF - user.js: content.switch.threshold - 1000000
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-26 14:40
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'Explorer.EXE'(1284)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Creative\Shared Files\CTDevSrv.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
.
**************************************************************************
.
Heure de fin: 2009-12-26 14:49:13 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-12-26 13:49
ComboFix2.txt 2009-12-26 11:01
ComboFix3.txt 2009-12-26 10:31

Avant-CF: 7 650 865 152 octets libres
Après-CF: 7 527 788 544 octets libres

- - End Of File - - 95BCA705BFCDF314F268EF0631CE6B01

CrumbleBoy > CrumbleBoy
26 déc. 2009 à 15:02

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:00:02, on 26/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Creative\Shared Files\CTDevSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\HAMEL\Bureau\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTDevSrv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - Unknown owner - C:\Program Files\Spyware Doctor\svcntaux.exe (file missing)
O23 - Service: PC Tools Security Service (sdCoreService) - Unknown owner - C:\Program Files\Spyware Doctor\swdsvc.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Réponse 20 / 34

benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
26 déc. 2009 à 16:24

dans ajout et suppression regarde si ta pas norton (symantec)

CrumbleBoy
26 déc. 2009 à 16:54

J'ai rien du tout. J ai juste trouvé un fichier "Symantec shared" dans C:/program files/ Fichiers communs

Problème au démarrage

34 réponses

Discussions similaires