malware defense

Question

Bonjour,
Bonsoir, je suis infecté par malware defense depuis 2 jours.
Fenêtres d'alarme bidon piégées* et tout le bin's...
MCAfee et spybot neutralisés en qlqs secondes...
Centre de sécurité et restauration systeme HS...
Ad-aware: "analyse astucieuse" trouvé qlqs cookies et Malware Defense!!!
Supprimés.
Ad-aware: "analise complète"  trouvé 3 cookies et WIN32Backdoor.Prorat.
Quarantaine et/ou suppression impossible: toutes tentatives se solde par plantage du PC, "figé".
J'ai fait un peu le tour des post sur le sujet alors pour ceux qui peuvent m'aider:
Log rsit: http://www.cijoint.fr/cjlink.php?file=cj200912/cijBgqtY5p.txt
Info rsit: http://www.cijoint.fr/cjlink.php?file=cj200912/cij3tWgtqX.txt
Merci d'avance à tous ceux qui se pencherons sur mon cas.
Parce que là, j'suis grave dans la m.... x-(

XaTon · Answer

Salut ,

Fait ceci mais renomme le en " XaTon "

~~~~~~~~~~~~~~> Malwarebytes <~~~~~~~~~~~~~~~~~~~


&#149; Télécharger Malwarebytes

&#155; https://download.cnet.com/malwarebytes-anti-malware/windows.html?part=dl-10804572&subj=dl&tag=button

&#149; Enregistre le sur le bureau
&#149; Double clique sur le fichier téléchargé pour lancer le processus d’installation
&#149; Lorsqu’il te le sera demandé, mets à jour Malwarebytes anti malware
&#149; Si le pare-feu demande l’autorisation de se connecter pour malwarebytes, acceptes
&#149; Une fois la mise à jour terminée, ferme Malwarebytes

&#149; Double-clique sur l’icône de malwarebytes pour le relancer
&#149; Dans l’onglet, Recherche, probablement ouvert par défaut,
&#149; Sélectionne Exécuter un examen complet
&#149; Clique sur Rechercher
&#149; Le scan démarre

&#149; A la fin de l’analyse, un message s’affiche : L’examen s’est terminé normalement. Cliquez sur ‘Afficher les résultats’ pour afficher tous les objets trouvés.
&#149; Clique sur Ok pour poursuivre.
&#149; Si des malwares ont été détectés, cliques sur Afficher les résultats
&#149; Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

&#149; Malwarebytes va ouvrir le bloc-notes et y copier le rapport d’analyse.
&#149; Rends toi dans l’onglet rapport/log
&#149; Tu clique dessus pour l’afficher.
&#149; Une fois affiché, cliques sur édition en haut du bloc notes, et puis sur sélectionner tout
&#149; Tu recliques sur édition et puis sur copier et tu reviens sur le forum et dans ta réponse
&#149; Tu clique droit dans le cadre de la réponse et coller

moment de grace · Answer

bonjour à vous


C:\WINDOWS\system32\krl32mainweq.dl...TDSS à priori

j'ai le même à côté

amicalement

superfloflo · Answer

Bon,
Je n'arrivais plus à publier sur le forum (pourquoi??? sûrement parce que je m'y suis pris comme un manche...) alors du coup je me suis inscrit( ce qui n'était pas encore le cas) en espérant que cette fois ci ce que j'écris apparait.
Du coup, j'ai changé de pseudo... 
J'essayais donc de dire que malwarebytes ne tourne pas sur mon PC.
Je pense que cette m.... de malware defense le bloque, comme il bloque MCAfee et Spybot.
J'ai renommé comme on me l'avait conseillé, mais rien n'y fait: à l'issue de l'instal' de malwarebytes, impossible de faire la mise à jour(ni de lancer le logiciel, d'ailleurs) le PC plante.
Et obligé de couper l'alim' à l'arrache pour pouvoir redémarrer.
De plus, mon PC ne tient plus la connexion internet (au bout de qlqs mns, il se "fige"... couper alim'... et m....)
Là, j'ecris depuis le PC de ma femme.
Je vais réessayer malwarebytes en mode sans echecs, et je vous dis quoi...

flo · Answer

Bon, bin, même en mode sans echecs, malware bytes ne fonctionne pas sur mon PC.
Je vais tenter de faire ce que j'ai vu sur d'autres post, et je verrais bien ce que ça donne.

moment de grace · Answer

c'est normal
Malware Defense est accompagné d'un rookit tenace

soies patient XaTon saura te sortir de là, attends le....

flo · Answer

OK.
Merci.
Parce que là, c'est de pire en pire et dans pas longtemps j'aurais tout passé par la fenêtre (façon de parler).

flo · Answer

serais absent ce soir.
Ne pourrais pas rendre compte des manip' en direct.
M....
Tant pis...

flo · Answer

Est-ce que quelqu'un peut m'aider ?

Bertrand40 · Answer

Bonjour tu as essayé un hijack this ?

moment de grace · Answer

pour avancer



Attention, avant de commencer, lit attentivement la procédure, et imprime la 

Télécharge ComboFix de sUBs en le renommant MDG.exe avant de l'enregistrer sur ton Bureau 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

/!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ 

---> Double-clique sur ComboFix.exe 
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter 

SURTOUT INSTALLES LA CONSOLE DE RECUPERATION 

---> Mets-le en langue française F 
Tape sur la touche 1 (Yes) pour démarrer le scan. 

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC 

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

Note : Le rapport se trouve également là : C:\ComboFix.txt

superfloflo · Answer

J'sais même pas ce que c'est...
Il me semble que ça sert à diagnostiquer les problèmes, pas à les résoudre.
Du coup je me contente de faire ce que l'on m'indique comme étant La chose à faire pour désinfecter mon PC.
Et comme personne ne m'en a parlé jusque là...

moment de grace · Answer

https://forums.commentcamarche.net/forum/affich-15904254-malware-defense#10

superfloflo · Answer

pour "moment de grâce".
Ok, je vais faire comme ça et je post ensuite.
Mais je post sur le forum? ou plutôt sur "ci-joint" les rapports?

moment de grace · Answer

sur le forum

superfloflo · Answer

bon, c'est la mouise!!!
console de récupération?
Je pensais que combofix me proposerait de la lancer... et comme je ne sais pas comment la lancer...
mon interface MCAfee est inaccessible, je pensais qu'il était HS mais enfait il est juste "invisible".
Du coup, quand combofix m'affiche une fenêtre "attention risque dû au fonctionnement des 2 logiciels en même temps" je ne clic pas sur "OK" mais sur "fermer". Mais combofix m'ouvre une nouvelle fenêtre me disant en gros "vous n'avez pas désactivé l'antivirus, tant pis pour vous..."
Là dessus le PC s'éteint.
Et depuis impossible de le rallumer! Non pas de "redémarrer" mais bien de "rallumer".
Là, j'ai bien les boules.
Il aurait peut-être fallu que je commence par trouver comment désactiver mes "protections" avant de lancer Combofix...
Enfin, cette manip' m'a permis ( je pense... ) de comprendre pourquoi malwarebytes ne marchait pas.
Ce n'est qu'une fois enregistré sur le bureau que je l'ai renommé, donc le souci venait peut-être de là.
Il faut dire aussi que j'ai Gigaget sur mon PC et c'est lui qui gère les téléchargements, alors j'ai loupé le "moment"  idéal pour renommer.
Pour tout dire, là, je suis superdégouté. La nouvelle année se présente sous un mauvais jour.
Je laisse tomber pour aujourd'hui, parce que là, je crois que je vais pleurer.
Je sens bien que toutes les données présentes sur mon PC vont être perdues (photos, docs boulot, etc...)
Un joyeux réveillon à vous quand même...

moment de grace · Answer

Ce n'est qu'une fois enregistré sur le bureau que je l'ai renommé, donc le souci venait peut-être de là. 

je répète la consigne

Télécharge ComboFix de sUBs en le renommant MDG.exe avant ou au moment de l'enregistrer sur ton Bureau 

tout ira beaucoup mieux apres combo

accroches toi

superfloflo · Answer

Ce n'est qu'une fois enregistré sur le bureau que je l'ai renommé, donc le souci venait peut-être de là.
Ceci concernait malwarebytes, et non combofix.
En effet' tu avais souligné avant d'enregistrer.
J'ai donc fait ce que tu avais dit.
C'est malwarebytes que je n'avais pas renommé avant de l'enregistrer.
Mais, du coup, je l'ai désinstallé et effacé le setup, puis j'ai retéléchargé le setup que j'ai renommé au bon moment cette fois ci.
Mais il ne fonctionne tjs pas.
Voici le rapport de combofix:
Pendant le scan, vu que je n'ai pas accés à l'interface de MCAfee je ne peux pas le désactiver, MCAfee a automatiquement "détecté et supprimé" qlqchose pendant l"étape 3" de combofix, mais la notification a été si rapide que je n'ai pas pu voir ce que c'était. Il (MCAfee) m'a aussi demandé 2 fois d'"autoriser ou non" le changement de clés de registre effectuées par MDG(combofix). J'ai accepté les modifs.



ComboFix 09-12-31.06 - Flo 31/12/2009  22:54:58.1.1 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.1279.728 [GMT 1:00]
Lancé depuis: c:\documents and settings\Flo\Bureau\MDG.exe
 * Un antivirus résident est actif

.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:	emp\idWBho2.dll
c:\windows\system32\drivers\H8SRTwnqyfdngmm.sys
c:\windows\system32\H8SRTfreyvbmscu.dat
c:\windows\system32\H8SRTfvitvotlut.dll
c:\windows\system32\H8SRTfybmticamd.dll
c:\windows\system32\H8SRTuseaavlsqf.dll
c:\windows\system32\krl32mainweq.dll
c:\windows\system32\srcr.dat

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_H8SRTd.sys
-------\Legacy_H8SRTd.sys


(((((((((((((((((((((((((((((   Fichiers créés du 2009-11-28 au 2009-12-31  ))))))))))))))))))))))))))))))))))))
.

2009-12-31 21:30 . 2009-12-31 21:33	--------	dc----w-	C:\MDG
2009-12-31 21:05 . 2009-12-30 13:55	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-31 21:05 . 2009-12-31 21:05	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2009-12-31 21:05 . 2009-12-30 13:54	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-12-30 12:57 . 2009-12-31 21:05	--------	d-----w-	c:\program files\xaton
2009-12-29 20:08 . 2009-12-29 20:08	--------	d-----w-	c:\program files	rend micro
2009-12-29 20:08 . 2009-12-29 20:08	--------	dc----w-	C:sit
2009-12-29 09:45 . 2009-12-29 09:45	--------	dc----w-	c:\documents and settings\All Users\Application Data\{BC9FCCF7-E686-494B-8C9B-55C9A39A7CA9}
2009-12-21 20:39 . 2009-12-21 20:39	--------	d-----w-	c:\program files\MSXML 4.0
2009-12-09 10:59 . 2009-12-09 10:59	--------	d-----w-	c:\documents and settings\Flo\Local Settings\Application Data\Scansoft
2009-12-08 17:31 . 2009-12-08 17:31	--------	d-----w-	c:\documents and settings\All Users\Application Data\InstallShield
2009-12-08 17:31 . 2009-12-31 22:09	--------	d---a-w-	c:\documents and settings\All Users\Application Data\TEMP
2009-12-08 17:30 . 2009-12-08 17:30	--------	d-----w-	c:\documents and settings\Flo\Application Data\Nuance
2009-12-08 17:29 . 2009-12-08 17:29	--------	d-----w-	c:\program files\Fichiers communs\ScanSoft Shared
2009-12-08 17:29 . 2009-12-08 17:29	--------	d-----w-	c:\documents and settings\All Users\Application Data\ScanSoft
2009-12-08 17:29 . 2009-12-08 17:29	--------	d-----w-	c:\program files\Fichiers communs\Nuance
2009-12-08 17:28 . 2009-12-08 17:28	--------	d-----w-	c:\program files\Nuance
2009-12-08 17:28 . 2009-12-08 17:28	--------	d-----w-	c:\documents and settings\All Users\Application Data\Nuance
2009-12-08 17:28 . 2009-12-08 17:31	--------	d-----w-	c:\windows\speech

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-31 20:30 . 2008-09-02 09:01	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-12-26 22:15 . 2008-09-16 09:51	--------	d-----w-	c:\documents and settings\Flo\Application Data\uTorrent
2009-12-26 21:15 . 2007-11-01 12:58	--------	d-----w-	c:\program files\eMule
2009-12-26 16:24 . 2009-08-17 19:20	--------	d-----w-	c:\documents and settings\Flo\Application Data\vlc
2009-12-24 16:49 . 2007-12-12 20:14	--------	d-----w-	c:\documents and settings\Flo\Application Data\dvdcss
2009-12-23 23:52 . 2006-03-02 12:00	81196	----a-w-	c:\windows\system32\perfc00C.dat
2009-12-23 23:52 . 2006-03-02 12:00	504108	----a-w-	c:\windows\system32\perfh00C.dat
2009-12-21 20:45 . 2007-11-01 10:28	--------	d-----w-	c:\documents and settings\All Users\Application Data\Microsoft Help
2009-12-18 15:15 . 2007-10-29 21:57	--------	d-----w-	c:\program files\McAfee
2009-12-10 12:56 . 2007-10-30 23:33	--------	d-----w-	c:\documents and settings\Flo\Application Data\Azureus
2009-12-10 08:16 . 2009-12-08 18:17	2194	----a-w-	c:\documents and settings\Flo\Application Data\SAS7_000.DAT
2009-12-08 17:29 . 2007-10-29 20:29	--------	d-----w-	c:\program files\Fichiers communs\InstallShield
2009-12-01 17:07 . 2008-09-02 09:10	--------	d-----w-	c:\program files\Spybot - Search & Destroy 1.6.0
2009-11-30 13:01 . 2009-10-11 12:01	3695616	----a-w-	c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\update\AutoLaunch.exe
2009-11-23 19:47 . 2009-11-23 18:25	--------	d-----w-	c:\documents and settings\Flo\Application Data\Notepad++
2009-11-23 18:31 . 2009-11-23 18:25	--------	d-----w-	c:\program files\Notepad++
2009-11-23 14:26 . 2009-11-23 14:26	--------	d-----w-	c:\program files\KS_MultiKeyboard
2009-11-11 18:00 . 2009-11-11 18:00	--------	d-----w-	c:\program files\Slim Multimedia Keyboard
2009-11-04 23:35 . 2009-11-03 16:38	--------	d-----w-	c:\documents and settings\Flo\Application Data\PirateGalaxy
2009-11-04 08:01 . 2007-10-29 21:31	--------	d-----w-	c:\program files\Fichiers communs\Real
2009-11-04 08:01 . 2009-11-04 08:01	--------	d-----w-	c:\program files\Fichiers communs\xing shared
2009-11-04 08:00 . 2007-10-29 21:30	499712	----a-w-	c:\windows\system32\msvcp71.dll
2009-11-04 08:00 . 2007-10-29 21:30	348160	----a-w-	c:\windows\system32\msvcr71.dll
2009-11-04 08:00 . 2009-11-04 08:00	--------	d-----w-	c:\program files\Real
2009-11-03 16:38 . 2009-11-03 16:38	947826	----a-w-	c:\documents and settings\Flo\Application Data\PirateGalaxy\Launcher.exe
2009-11-03 03:29 . 2007-11-06 19:13	70720	-c--a-w-	c:\documents and settings\Flo\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-11-02 10:11 . 2009-07-02 08:42	--------	d-----w-	c:\documents and settings\Flo\Application Data\Canon
2009-10-29 07:42 . 2006-03-02 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2009-10-25 17:58 . 2009-10-25 17:58	20299296	----a-w-	c:\documents and settings\Flo\Application Data\TomTom\HOME\Profiles\z5u6ip3w.default\Updates\v2_7_2_1825_win.exe
2009-10-21 05:39 . 2006-03-02 12:00	75776	----a-w-	c:\windows\system32\strmfilt.dll
2009-10-21 05:39 . 2006-03-02 12:00	25088	----a-w-	c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2006-03-02 12:00	265728	----a-w-	c:\windows\system32\drivers\http.sys
2009-10-18 12:01 . 2009-10-11 12:00	2353992	----a-w-	c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\update\Ad-Aware.exe
2009-10-13 10:33 . 2006-03-02 12:00	271360	----a-w-	c:\windows\system32\oakley.dll
2009-10-12 13:39 . 2006-03-02 12:00	79872	----a-w-	c:\windows\system32aschap.dll
2009-10-12 13:39 . 2006-03-02 12:00	150528	----a-w-	c:\windows\system32astls.dll
2009-10-11 12:00 . 2009-10-11 12:00	640760	----a-w-	c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\update\AAWWSC.exe
2009-10-11 12:00 . 2009-10-11 12:00	520024	----a-w-	c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\update\AAWTray.exe
2009-10-11 12:00 . 2009-10-11 12:00	1028432	----a-w-	c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\update\AAWService.exe
.

------- Sigcheck -------

[-] 2008-04-14 . 3EFE912DD25D2586E6A0341DB0A66F69 . 979968 . . [6.00.2900.5512] . . c:\windows\explorer.exe
[-] 2008-04-14 . 3EFE912DD25D2586E6A0341DB0A66F69 . 979968 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\explorer.exe
[-] 2007-06-13 . 80A5400514EB32D393654768C4017E46 . 979456 . . [6.00.2900.3156] . . c:\windows\$NtServicePackUninstall$\explorer.exe
[-] 2007-06-13 . B795475444D6D57A572C14B9E1A29839 . 1037312 . . [6.00.2900.3156] . . c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
[7] 2006-03-02 . 2A7BD330924252A2FD80344FC949BB72 . 1036288 . . [6.00.2900.2180] . . c:\windows\$NtUninstallKB938828$\explorer.exe
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy 1.6.0\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"mcagent_exe"="c:\program files\McAfee.com\Agent\mcagent.exe" [2009-10-29 1218008]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"PS2USBMultiKeyboard"="c:\program files\KS_MultiKeyboard\MultiPS2USB.exe" [2008-03-17 296768]
"DNS7reminder"="c:\program files\Nuance\NaturallySpeaking10\Ereg\Ereg.exe" [2007-04-16 259624]

c:\documents and settings\Flo\Menu D‚marrer\Programmes\D‚marrage\
Dragon NaturallySpeaking.lnk - c:\program files\Nuance\NaturallySpeaking10\Program
atspeak.exe [2008-10-16 2811240]
Y'z Shadow.lnk - f:\windows\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe [2006-5-21 155648]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
AOL Compagnon.lnk.disabled [2007-11-12 1646]
Weezo.lnk.disabled [2008-1-22 484]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^AOL 9.0 Icône AOL.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\AOL 9.0 Icône AOL.lnk
backup=c:\windows\pss\AOL 9.0 Icône AOL.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Slim Multimedia Keyboard.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Slim Multimedia Keyboard.lnk
backup=c:\windows\pss\Slim Multimedia Keyboard.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Flo^Menu Démarrer^Programmes^Démarrage^GigaTribe.lnk]
path=c:\documents and settings\Flo\Menu Démarrer\Programmes\Démarrage\GigaTribe.lnk
backup=c:\windows\pss\GigaTribe.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^Flo^Menu Démarrer^Programmes^Démarrage^VirtuaGirl HD.LNK]
path=c:\documents and settings\Flo\Menu Démarrer\Programmes\Démarrage\VirtuaGirl HD.LNK
backup=c:\windows\pss\VirtuaGirl HD.LNKStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonMyPrinter]
2008-03-17 16:06	1848648	----a-w-	c:\program files\Canon\MyPrinter\BJMYPRT.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonSolutionMenu]
2008-03-10 16:20	689488	----a-w-	c:\program files\Canon\SolutionMenu\CNSLMAIN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
2005-02-16 15:15	221184	----a-w-	c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
2005-02-16 15:15	81920	----a-w-	c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVIEW]
2003-07-28 13:19	852038	----a-w-	c:\windows\system32
view.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg
wiz]
2003-07-28 13:19	323584	----a-w-	c:\windows\system32
wiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2008-07-03 19:20	98304	----a-w-	c:\program files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
2006-10-25 08:03	210472	----a-w-	c:\program files\Fichiers communs\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2009-11-04 08:00	198160	----a-w-	c:\program files\Fichiers communs\Real\Update_OBealsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]
2009-04-08 10:38	251240	----a-w-	f:	omtom home 2\TomTomHOMERunner.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversionun-]
"Antivirus"=c:\program files\SAV\sav.exe
"ctfmon.exe"=c:\windows\system32\ctfmon.exe
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" /background
"TomTomHOME.exe"="f:	omtom home 2\HOMERunner.exe"
"Somefox"=c:\docume~1\Flo\LOCALS~1\Temp\setup1038.exe
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun-]
"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
"AOLDialer"=c:\program files\Fichiers communs\AOL\ACS\AOLDial.exe
"AOLSAV"=c:\progra~1\TECHCI~1\AOLSAV\AOLAgent.exe
"HostManager"=c:\program files\Fichiers communs\AOL\1194726042\ee\AOLSoftware.exe
"HP Software Update"=c:\program files\HP\HP Software Update\HPWuSchd2.exe
"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" -atboottime
"RealTray"=c:\program files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
"SpyHunter Security Suite"=c:\program files\Enigma Software Group\SpyHunter\SpyHunter3.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Fichiers communs\AOL\ACS\AOLacsd.exe"=
"c:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe"=
"c:\Program Files\AOL 9.0\waol.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"=
"c:\Program Files\Fichiers communs\AOL\1194726042\ee\aolsoftware.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\uTorrent\uTorrent.exe"=
"c:\Program Files\eMule\emule.exe"=
"c:\Program Files\Giganology\Gigaget\Gigaget.exe"=
"c:\Program Files\Fichiers communs\McAfee\MNA\McNASvc.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [11/10/2009 13:01 64160]
R1 kbfilter;Keyboard Filter Driver;c:\windows\system32\drivers\kbfilter.sys [11/11/2009 19:00 11886]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [03/07/2009 15:49 1028432]
R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\program files\McAfee\SiteAdvisor\McSACore.exe [04/10/2008 12:21 93320]
R2 TomTomHOMEService;TomTomHOMEService;f:	omtom home 2\TomTomHOMEService.exe [08/04/2009 11:38 92008]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [01/11/2007 10:35 685816]
.
Contenu du dossier 'Tâches planifiées'

2009-12-28 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-07-03 12:01]

2009-12-15 c:\windows\Tasks\McDefragTask.job
- c:\progra~1\mcafee\mqc\QcConsol.exe [2007-10-29 10:22]

2009-11-01 c:\windows\Tasks\McQcTask.job
- c:\progra~1\mcafee\mqc\QcConsol.exe [2007-10-29 10:22]

2009-12-28 c:\windows\Tasks\NatSpeak Periodic Acoustic Optimization.job
- c:\program files\Nuance\NaturallySpeaking10\Program\schedmgr.exe [2008-10-16 11:20]

2009-12-25 c:\windows\Tasks\NatSpeak Periodic Data Collection.job
- c:\program files\Nuance\NaturallySpeaking10\Program\datacollector.exe [2008-10-16 11:20]

2009-12-29 c:\windows\Tasks\NatSpeak Periodic Language Model Optimization.job
- c:\program files\Nuance\NaturallySpeaking10\Program\schedmgr.exe [2008-10-16 11:20]

2009-12-31 c:\windows\Tasks\User_Feed_Synchronization-{41E7CDBE-0707-478E-9860-A768ED8B2197}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]

2009-12-30 c:\windows\Tasks\WebReg Deskjet D2300 series.job
- c:\program files\HP\Digital Imaging\bin\hpqwrg.exe [2006-02-19 15:45]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uSearchURL,(Default) = hxxp://fr.search.yahoo.com/search?fr=mcafee&p=%s
IE: &Download All by Gigaget - c:\program files\Giganology\Gigaget\getallurl.htm
IE: &Download by Gigaget - c:\program files\Giganology\Gigaget\geturl.htm
IE: &Recherche AOL Toolbar - c:\program files\AOL Toolbar	oolbar.dll/SEARCH.HTML
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Flo\Application Data\Mozilla\Firefox\Profiles\5my8ywmx.default\
FF - component: c:\program files\McAfee\SiteAdvisor\components\McFFPlg.dll
FF - component: c:\program files\Real\RealPlayer\browserrecord\firefox\ext\components
prpffbrowserrecordext.dll
FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology
pViewpoint.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{1C3B806C-C5DA-4F6E-BA43-B1FF982F0A02} - (no file)
MSConfigStartUp-MsnMsgr - c:\program files\Windows Live\Messenger\msnmsgr.exe
MSConfigStartUp-settdebugx - c:\docume~1\Flo\LOCALS~1\Temp\settdebugx.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-31 23:07
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(4072)
c:\windows\system32\SHDOCVW.dll
f:\windows\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.dll
c:\windows\system32
tshrui.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\credui.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\progra~1\FICHIE~1\AOL\ACS\AOLacsd.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\progra~1\McAfee\MSC\mcmscsvc.exe
c:\progra~1\FICHIE~1\mcafee\mna\mcnasvc.exe
c:\progra~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
c:\progra~1\McAfee\VIRUSS~1\mcshield.exe
c:\program files\McAfee\MPF\MPFSrv.exe
c:\program files\McAfee\MSK\MskSrver.exe
c:\windows\system32
vsvc32.exe
c:\windows\wanmpsvc.exe
c:\progra~1\mcafee.com\agent\mcagent.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\progra~1\McAfee\VIRUSS~1\mcsysmon.exe
c:\program files\Lavasoft\Ad-Aware\AAWTray.exe
.
**************************************************************************
.
Heure de fin: 2009-12-31  23:18:15 - La machine a redémarré
ComboFix-quarantined-files.txt  2009-12-31 22:18

Avant-CF: 5 392 498 688 octets libres
Après-CF: 5 413 326 848 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - 7A0B76A156CC5E7C92269EDDB5D0536B

Voilà, à par ça mon PC a finallement décidé de re-s'allumer (sinon je n'aurais pas pu faire tourner combofix comme tu dois t'en douter) et je souhaite à tous un joyeux réveillon et une bonne nouvelle année.

moment de grace · Answer

bonne année à toi

pour  Malwarebytes , je n'avais pas bien lu ton post

il était bloqué par le rookit et pas besoin de le renommer...

tu peux agir comme indiqué au post 1 s'il ne se lance pas, ce que je doute, vires le et retélécharges le

superfloflo · Answer

Bonne Année !!!
Bon, comme tu disais MBAM fonctionne trés bien maintenant.
Voici son rapport:

Malwarebytes' Anti-Malware 1.43
Version de la base de données: 3468
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

01/01/2010 20:01:42
mbam-log-2010-01-01 (20-01-42).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|L:\|)
Eléments examinés: 212853
Temps écoulé: 1 hour(s), 52 minute(s), 23 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1c3b806c-c5da-4f6e-ba43-b1ff982f0a02} (Adware.SpeedDownloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1c3b806c-c5da-4f6e-ba43-b1ff982f0a02} (Adware.SpeedDownloader) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Qoobox\Quarantine\C\WINDOWS\system32\H8SRTfvitvotlut.dll.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\H8SRTfybmticamd.dll.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\H8SRTuseaavlsqf.dll.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{CD667DE7-29DD-44EE-9C47-0282527B2DBE}\RP363\A0043616.sys (Malware.Packer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{CD667DE7-29DD-44EE-9C47-0282527B2DBE}\RP363\A0043617.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{CD667DE7-29DD-44EE-9C47-0282527B2DBE}\RP363\A0043618.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{CD667DE7-29DD-44EE-9C47-0282527B2DBE}\RP363\A0043619.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\TDdownload\akl.exe (Rogue.Installer) -> Quarantined and deleted successfully.


Voilà.
A priori, tout, ou presque, est rentré dans l'ordre.
A part mes config' perso qui ont été un peu chamboulées: barre de lancement rapide disparue, récupérée mais sans dessus dessous...
Sinon ça a l'air d'aller.
Et, je répète, Bonne Année à tous !!!

moment de grace · Answer

oui j'imagine, combo tape dans le tas en général (à ne pas utilser tout seul)

relances rsit et postes juste le rapport log stp

superfloflo · Answer

Rapport RSIT:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Flo at 2010-01-01 20:37:58
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 5 GB (21%) free of 23 GB
Total RAM: 1279 MB (24% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:38:36, on 01/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\McAfee\SiteAdvisor\McSACore.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
C:\Program Files\McAfee.com\Agent\mcagent.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\KS_MultiKeyboard\MultiPS2USB.exe
C:\Program Files\Spybot - Search & Destroy 1.6.0\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe
C:\Program Files\Nuance\NaturallySpeaking10\Program
atspeak.exe
F:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Program Files\McAfee\MPF\MPFSrv.exe
C:\Program Files\McAfee\MSK\MskSrver.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
F:\TomTom HOME 2\TomTomHOMEService.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
C:\Documents and Settings\Flo\Bureau\RSIT.exe
C:\Program Files	rend micro\Flo.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.search.yahoo.com/search?fr=mcafee&p=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: GigagetIEHelper - {111CAA23-6F4F-42AC-8555-B48C1D87BBAB} - C:\WINDOWS\system32\gigagetbho_v10.dll
O2 - BHO: McAfee Phishing Filter - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\mskapbho.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1.0\SDHelper.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan\scriptsn.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: (no name) - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mcagent_exe] "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [PS2USBMultiKeyboard] C:\Program Files\KS_MultiKeyboard\MultiPS2USB.exe
O4 - HKLM\..\Run: [DNS7reminder] "C:\Program Files\Nuance\NaturallySpeaking10\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Application Data\Nuance\NaturallySpeaking10\Ereg.ini
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy 1.6.0\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Dragon NaturallySpeaking.lnk = C:\Program Files\Nuance\NaturallySpeaking10\Program
atspeak.exe
O4 - Startup: Y'z Shadow.lnk = F:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O4 - Global Startup: AOL Compagnon.lnk.disabled
O4 - Global Startup: Weezo.lnk.disabled
O8 - Extra context menu item: &Download All by Gigaget - C:\Program Files\Giganology\Gigaget\getallurl.htm
O8 - Extra context menu item: &Download by Gigaget - C:\Program Files\Giganology\Gigaget\geturl.htm
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar	oolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1.0\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1.0\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxenligne.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: McAfee SiteAdvisor Service - McAfee, Inc. - C:\Program Files\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee SpamKiller Service (MSK80Service) - McAfee, Inc. - C:\Program Files\McAfee\MSK\MskSrver.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: TomTomHOMEService - TomTom - F:\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

superfloflo · Answer

Salut,
Juste pour savoir si certains sont capable de me dire si, au vu du rapport RSIT ci-dessus, mon PC est maintenant propre.
Merci.

moment de grace · Answer

désolé

je n'avais pas eu l'alerte de ton dernier post

ton rapport semble bon

comment va le pc ?

superfloflo · Answer

Ca a l'air d'aller.
Mais comme j'ai pas mal de doc "confidentiels" à éditer et transmettre en ligne, et que je ne suis pas super pointu en informatique, je voudrais être sûr de ne plus avoir de chevaux de troie ou autres saloperies du genre avant de reprendre mon activité.
Encore Bonne Année, santé et prospérité.
Cordialement.

moment de grace · Answer

pour moi c'est tout bon

on nettoie



Cherches et cliques sur C:\Program Files	rend micro\Flo.exe 
Au menu principal, choisir do a scan only, puis cocher la case devant les lignes suivantes à corriger et cliquer en bas sur Fix Checked

O3 - Toolbar: (no name) - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - (no file) 
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll     
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe     
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"     
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

..............................

IMPORTANT

Purger la restauration systeme XP

http://www.bibou0007.com/windows-xp-f101/purger-la-restauration-du-systeme-sous-windows-xp-t151.htm


........................

Télécharge ToolsCleaner2sur ton Bureau. 
https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/

* Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur ToolsCleaner2.exe pour le lancer. 
* Clique sur Recherche et laisse le scan agir. 
* Clique sur Suppression pour finaliser. 
* Tu peux, si tu le souhaites, te servir des Options Facultatives. 
* Clique sur Quitter pour obtenir le rapport. 
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

superfloflo · Answer

Bon, je couchais mes gosses, alors j'ai pas pu faire plus vite...
J'ai effectué la première manip' et rippé les lignes que tu m'avais indiquées.
Juste pour celle là: O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe , était-ce vraiment indispensable? Réellement, je ne sais qu'une chose à son propos, c'est qu'elle est en rapport avec mon logiciel de gravure/lecteur multimédia (non?)
Et pour celle là: O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe , on m'avait dit qu'il ne fallait pas que je touche à "C:\WINDOWS\system32\ctfmon.exe" car il est utile à mon O.S.
Mais comme tu me l'as recommandé, je les ai virées avec les autres.
Je passe à la suite...

moment de grace · Answer

alors

cela ne supprimes pas le logiciel en lui même
mais ce qui est inutile au demarrage de  ton os

NeroCheck.exe est un pilote provenant de la suite de gravure Nero, il examine vos lecteurs afin que Nero soit exécuté automatiquement lorsqu'un CD / DVD vierge est inséré.

ctfmon.exe est lié aux logiciels de reconnaissance d'écriture, les claviers braille ou toute alternative au clavier.

superfloflo · Answer

Alors voilà le rapport tools cleaner:
[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\Qoobox: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\Flo\Bureau\Rsit.exe: trouvé !
C:\Program Files	rend micro\HijackThis.exe: trouvé !
C:\Program Files	rend micro\hijackthis.log: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\WINDOWS\mbr.exe: trouvé !


Point de restauration crée !
---------------------------------
--> Suppression: 
C:\Program Files	rend micro\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Documents and Settings\Flo\Bureau\Rsit.exe: supprimé !
C:\Program Files	rend micro\hijackthis.log: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\WINDOWS\mbr.exe: supprimé !
C:\Qoobox: supprimé !
C:\Rsit: supprimé !

Point de restauration crée !

Par contre, est-il vraiment indispensable de purger la restauration système?
Parce que ça, ça me fait vraiment flipper.
En plus, ça m'a souvent sorti de la m.... dans le passé.
Si vraiment il faut le faire... mais si je peux m'en passer, ça m'arrange.
Un logiciel de reconnaissance vocale pour traitement de texte (dragon speaking pour ne pas le nommer) peut il fonctionner sans "ctfmon.exe" ?
Si non: comment faire qu'il fonctionne de nouveau? (outil de travail...)
Merci.

superfloflo · Answer

ah oui. Aussi. impossible de sauvegarder la base du registre avec ToolsCleaner (une erreur est survenue... blablabla) et depuis que j'ai été infecté par c'te M.... de MalwareDefense, mon PC rame à mort.
Je pensais qu'il retrouverait sa "vélocité" une fois "guéri" mais il n'en est rien.
Une idée?
Bon, c'est vrai qu'il n'est plus de première jeunesse (CPU Intel Pentium 4/2.40GHz, 1.2GB RAM), mais il a quand même pris une sacrée claque...

moment de grace · Answer

HijackThis.exe: supprimé ! ...dommage


https://www.commentcamarche.net/faq/266-analyser-interpreter-un-log-hijackthis-et-agir-en-consequence#4-1-restaurer-une-ligne-fixee-par-erreur

pour la purge fais là, car elle est gavée de virus

superfloflo · Answer

HijackThis.exe: supprimé ! ...dommage 

Désolé, je me suis contenté de faire ce que tu m'avais conseillé. J'aurais dû poster avant de supp'.
Mais vu que j'ai créé un point de restaur' avant la supp', n'y a-t-il pas moyen de faire autrement que de réinstaller HijackThis?
Pour la purge, du coup je vais la faire (j'aime pas les p'tites bêtes) mais ne risque-je (j'ai réussi à le placer, yeah!) rien? Je veux dire si jamais un autre souci (comme celui qui fait ramer ma machine) était passé à l'as et que je doive revenir en arrière... (comme tu peux le constater, là je psychote à fond).
Alors j'attend tes infos sur ces 2 points avant de continuer.

moment de grace · Answer

tentons de regler le premier point

lis ceci  https://www.pcastuces.com/pratique/windows/ctfmon/page1.htm

et dis moi si t'as vraiment besoin de ca ?

Malware defense

32 réponses

Votre réponse

Discussions similaires

Newsletters