Infectée par malware defense Résolu/Fermé

Question

Bonjour,
comme le titre l'indique j'ai été infectée par malware defense et je n'arrive pas à m'en débarrasser. Quelqu'un pour m'aider ? merci
j'ai essayé d'ouvrir malwarebytes antimalware mais rien à faire

toptitbal · Answer

Bonjour

• Télécharge Random's System Information Tool (RSIT) de Random / Random et sauvegarde-le sur ton Bureau, 

-> http://images.malwareremoval.com/random/RSIT.exe

• Double-clique sur RSIT.exe pour lancer le programme, 
• Clique sur continuer sur l'écran Disclaimer, 
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence. 
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
Ferme info.txt (<<qui sera réduit dans la Barre des Tâches), il ne te sera demandé qu’en cas de besoin. 

Tuto si besoin : https://forum.pcastuces.com/randoms_system_information_tool_rsit-f31s31.htm

didou32 · Answer

voici le log

Logfile of random's system information tool 1.06 (written by random/random)
Run by brigitte at 2009-12-31 17:49:24
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 259 GB (92%) free of 281 GB
Total RAM: 958 MB (55% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:49:34, on 31/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\issch.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDE.EXE
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\PROGRA~1\Magentic\bin\MgApp.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\Application Updater\ApplicationUpdater.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\Program Files\IncrediMail\bin\IMApp.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
c:\windows\system\hpsysdrv.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Documents and Settings\brigitte\Local Settings\Temporary Internet Files\Content.IE5\SUQH0T4W\RSIT[1].exe
C:\Program Files	rend micro\brigitte.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredimail.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Statut HONcode - {4340E603-67EE-4A8F-9861-7D79044D9696} - C:\Documents and Settings\brigitte\Mes documents\Nouveau dossier\HONcodeFR\HONstatus.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Statut HONcode - {4340E603-67EE-4A8F-9861-7D79044D9696} - C:\Documents and Settings\brigitte\Mes documents\Nouveau dossier\HONcodeFR\HONstatus.dll
O3 - Toolbar: Recherche HONcode - {E2550E4B-5DD6-4DD7-81BF-B25CD007E324} - C:\Documents and Settings\brigitte\Mes documents\Nouveau dossier\HONcodeFR\HONBar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [HPBootOp] "C:\Program Files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" /run
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\issch.exe" -start
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\pdfforge Toolbar\SearchSettings.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus DX7400 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDE.EXE /FU "C:\DOCUME~1\brigitte\LOCALS~1\Temp\E_S23.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - .DEFAULT User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: &Recherche HONcode - res://C:\Documents and Settings\brigitte\Mes documents\Nouveau dossier\HONcodeFR\HONBar.dll/HONLOOKUP_FR.HTML
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
O9 - Extra button: Statut HONcode - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - C:\Documents and Settings\brigitte\Mes documents\Nouveau dossier\HONcodeFR\HONstatus.dll
O9 - Extra 'Tools' menuitem: Statut HONcode - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - C:\Documents and Settings\brigitte\Mes documents\Nouveau dossier\HONcodeFR\HONstatus.dll
O9 - Extra button: Recherche HONcode - {E2550E4B-5DD6-4DD7-81BF-B25CD007E324} - C:\Documents and Settings\brigitte\Mes documents\Nouveau dossier\HONcodeFR\HONBar.dll
O9 - Extra 'Tools' menuitem: Recherche HONcode - {E2550E4B-5DD6-4DD7-81BF-B25CD007E324} - C:\Documents and Settings\brigitte\Mes documents\Nouveau dossier\HONcodeFR\HONBar.dll
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skyline - {3A4F9195-65A8-11D5-85C1-0001023952C1} - C:\Program Files\Skyline\TerraExplorer\TerraExplorerX.dll
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Application Updater - Spigot, Inc. - C:\Program Files\Application Updater\ApplicationUpdater.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe

toptitbal · Answer

Télécharge Rkill 

https://download.bleepingcomputer.com/grinler/rkill.exe 

Enregistre-le sur ton Bureau 
Double-clique sur l'icone rkill ( pour Vista/Seven clic-droit Exécuter en tant qu'Administrateur) 

Un bref écran noir t'indiquera que le tool s'est correctement exécuté.

didou32 · Answer

je me suis rendue compte que je n'étais pas sur la session infectée, faut-il que je recommence ?

toptitbal · Answer

L'infection est bien présente dans ton rapport.
Lance rkill et regarde après si tu peux utiliser MBAM. Ne le passe pas, regarde juste s'il fonctionne.

didou32 · Answer

J'ai recommencé rkill sur la session infectée et malware defense a disparu (merci beaucoup) et mbam s'ouvre.
il faut maintenant que je m'occupe de relancer mon antivirus non ? il avait fondu un plomb suite à l'infection

toptitbal · Answer

Non, non, ce n'est pas terminé, loin de là !

On a simplement levé le blocage des outils mais l'infection est toujours là.


Télécharges ComboFix à partir d'un de ces liens : 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/


A lire 
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Et important, enregistre le sur le bureau.


Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur votre PC avant toute suppression de nuisibles. Elle vous permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage. 
Suivez les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela vous est demandé, acceptez le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows. 

Sous XP 
https://support.microsoft.com/en-us/help/310994 

Sous Vista 
https://www.commentcamarche.net/list 13735 console de recuperation vista sur cd bootable 
**Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.


Avant d'utiliser ComboFix : 

&#9658; Déconnecte-toi d'internet et referme les fenêtres de tous les programmes en cours. 

&#9658; Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 


Une fois fait, sur ton bureau double-clic sur Combofix.exe. 

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes, ne touche ni à la souris, ni au clavier.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 

&#9658; Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

&#9658; Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

didou32 · Answer

voilà le rapport de combofix.
merci pour ton aide
je reviendrai demainb voir s'il faut faire quaelque chose (réveillon oblige)



ComboFix 09-12-31.01 - Compaq_Propriétaire 31/12/2009  18:14:43.1.2 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.958.605 [GMT 1:00]
Lancé depuis: c:\documents and settings\Compaq_Propriétaire\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Sunbelt Personal Firewall *enabled* {82B1150E-9B37-49FC-83EB-D52197D900D0}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\docume~1\COMPAQ~1\LOCALS~1\Temp	mp1.tmp
c:\docume~1\COMPAQ~1\LOCALS~1\Temp	mp2.tmp
c:\docume~1\COMPAQ~1\LOCALS~1\Temp\wscsvc32.exe
c:\program files\Malware Defense
c:\program files\Malware Defense\md.db
c:\program files\Malware Defense\mdext.dll
c:\program files\Malware Defense\uninstall.exe
c:\program files\pdfforge Toolbar\SearchSettings.dll
c:\windows\system32\drivers\H8SRTfxltehrmlt.sys
c:\windows\system32\H8SRTcnqufgoicq.dat
c:\windows\system32\H8SRThdsfxhesmk.dll
c:\windows\system32\H8SRTivquaswyhb.dll
c:\windows\system32\H8SRTowfoewcdpu.dll
c:\windows\system32\H8SRTuftiqqmmvp.dat
c:\windows\system32\ps2.bat
c:\windows\system32\srcr.dat
c:\windows\system32\Thumbs.db
D:\Autorun.inf

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_H8SRTd.sys
-------\Legacy_H8SRTd.sys


(((((((((((((((((((((((((((((   Fichiers créés du 2009-11-28 au 2009-12-31  ))))))))))))))))))))))))))))))))))))
.

2009-12-31 16:49 . 2009-12-31 16:49	--------	d-----w-	c:\program files	rend micro
2009-12-31 16:49 . 2009-12-31 16:49	--------	d-----w-	C:sit
2009-12-31 16:14 . 2009-12-31 16:17	6853096	----a-w-	C:\SpyHunter-Compact-OS.exe
2009-12-31 16:14 . 2009-12-31 16:24	--------	d-----w-	c:\program files\Enigma Software Group
2009-12-31 09:01 . 2009-12-31 09:01	873	----a-w-	c:\windows\system32\krl32mainweq.dll
2009-12-27 17:20 . 2009-12-27 17:20	--------	d-----w-	c:\documents and settings\Alexandre\Application Data\Search Settings
2009-12-27 17:20 . 2009-12-27 17:20	--------	d-----w-	c:\documents and settings\Alexandre\Application Data\pdfforge
2009-12-23 17:20 . 2009-12-23 17:20	--------	d-----w-	c:\documents and settings\brigitte\Application Data\Search Settings
2009-12-23 17:20 . 2009-12-23 17:20	--------	d-----w-	c:\documents and settings\brigitte\Application Data\pdfforge
2009-12-23 17:16 . 2009-12-23 17:16	--------	d-----w-	c:\windows\system32\config\systemprofile\Application Data\Application Updater
2009-12-23 17:16 . 2009-12-31 17:22	--------	d-----w-	c:\program files\pdfforge Toolbar
2009-12-23 17:16 . 2009-12-23 17:16	--------	d-----w-	c:\program files\Application Updater
2009-12-23 17:15 . 2001-10-28 16:42	116224	----a-w-	c:\windows\system32\pdfcmnnt.dll
2009-12-23 17:15 . 2009-12-23 17:16	--------	d-----w-	c:\program files\PDFCreator
2009-12-23 17:15 . 1998-07-13 01:08	59904	----a-w-	c:\windows\system32\MSCC2FR.DLL
2009-12-23 17:15 . 1998-07-13 01:08	141312	----a-w-	c:\windows\system32\MSCMCFR.DLL
2009-12-23 17:15 . 1998-07-06 00:00	23552	----a-w-	c:\windows\system32\MSMPIDE.DLL

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-29 13:10 . 2009-02-13 17:24	2398	----a-w-	c:\documents and settings\brigitte\Application Data\wklnhst.dat
2009-12-27 14:40 . 2009-02-13 17:09	1	----a-w-	c:\documents and settings\brigitte\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-12-25 11:13 . 2004-11-23 14:26	545998	----a-w-	c:\windows\system32\perfh00C.dat
2009-12-25 11:13 . 2004-11-23 14:26	100520	----a-w-	c:\windows\system32\perfc00C.dat
2009-12-23 16:14 . 2006-04-24 23:10	--------	d-----w-	c:\program files\Google
2009-12-10 11:10 . 2009-08-13 15:22	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-11-20 11:27 . 2009-10-30 18:54	--------	d-----w-	c:\program files\B-Association
2009-11-04 17:08 . 2009-11-04 17:08	2304	----a-w-	c:\program files\OPTSAUVE.TPS
2009-11-04 17:08 . 2009-11-04 17:08	4634	----a-w-	c:\program files\Adhesct.htm
2009-11-03 20:17 . 2009-02-11 14:48	--------	d-----w-	c:\program files\IncrediMail
2009-10-29 07:44 . 2004-08-05 11:00	832512	----a-w-	c:\windows\system32\wininet.dll
2009-10-29 07:44 . 2004-08-05 11:00	78336	----a-w-	c:\windows\system32\ieencode.dll
2009-10-29 07:44 . 2004-08-05 11:00	17408	----a-w-	c:\windows\system32\corpol.dll
2009-10-21 05:39 . 2004-08-05 11:00	75776	----a-w-	c:\windows\system32\strmfilt.dll
2009-10-21 05:39 . 2004-08-05 11:00	25088	----a-w-	c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-08-05 11:00	265728	----a-w-	c:\windows\system32\drivers\http.sys
2009-10-13 10:33 . 2004-08-05 11:00	271360	----a-w-	c:\windows\system32\oakley.dll
2009-10-12 13:39 . 2004-08-05 11:00	79872	----a-w-	c:\windows\system32aschap.dll
2009-10-12 13:39 . 2004-08-05 11:00	150528	----a-w-	c:\windows\system32astls.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}]
2009-12-16 17:12	700416	----a-w-	c:\program files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{B922D405-6D13-4A2B-AE89-08A030DA4402}"= "c:\program files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll" [2009-12-16 700416]

[HKEY_CLASSES_ROOT\clsid\{b922d405-6d13-4a2b-ae89-08a030da4402}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IncrediMail"="c:\program files\IncrediMail\bin\IncMail.exe" [2009-09-07 251336]
"LightScribe Control Panel"="c:\program files\Fichiers communs\LightScribe\LightScribeControlPanel.exe" [2007-06-20 451872]
"OM2_Monitor"="c:\program files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe" [2007-09-04 95536]
"PC Suite Tray"="c:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe" [2008-12-03 1205760]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-04-12 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-01-23 15969280]
"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2005-07-22 237568]
"HPBootOp"="c:\program files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" [2005-11-10 249856]
"HP Software Update"="c:\program files\HP\HP Software Update\HPwuSchd2.exe" [2005-02-17 49152]
"ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]
"ISUSScheduler"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\issch.exe" [2004-07-27 81920]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-09-01 282624]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OBealsched.exe" [2006-04-24 180269]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"SearchSettings"="c:\program files\pdfforge Toolbar\SearchSettings.exe" [2009-12-16 975360]

c:\documents and settings\Alexandre\Menu D‚marrer\Programmes\D‚marrage\
Pin.lnk - c:\hp\bin\CLOAKER.EXE [2006-4-24 27136]

c:\documents and settings\Soci‚t‚ de chasse\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
Pin.lnk - c:\hp\bin\CLOAKER.EXE [2006-4-24 27136]

c:\documents and settings\Compaq_Propri‚taire\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]

c:\documents and settings\brigitte\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
Pin.lnk - c:\hp\bin\CLOAKER.EXE [2006-4-24 27136]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
D‚marrage rapide de HP Photosmart Premier.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2005-9-24 73728]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-10-03 03:08	35696	----a-w-	c:\program files\Adobe\Reader 9.0\Readereader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
2007-06-20 11:49	451872	----a-w-	c:\program files\Fichiers communs\LightScribe\LightScribeControlPanel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OM2_Monitor]
2007-09-04 13:52	54576	----a-w-	c:\program files\OLYMPUS\OLYMPUS Master 2\FirstStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
2006-02-25 00:46	147456	------w-	c:\program files\CyberLink\PowerCinema\PCMService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2006-09-01 14:57	282624	----a-w-	c:\program files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"usnjsvc"=3 (0x3)
"SbPF.Launcher"=2 (0x2)
"NMIndexingService"=3 (0x3)
"NBService"=3 (0x3)
"LightScribeService"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)
"IDriverT"=3 (0x3)
"CyberLink Media Library Service"=2 (0x2)
"CLSched"=2 (0x2)
"CLCapSvc"=2 (0x2)
"Ati HotKey Poller"=2 (0x2)
"WMPNetworkSvc"=3 (0x3)
"ServiceLayer"=3 (0x3)
"idsvc"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\CyberLink\PowerCinema\PowerCinema.exe"=
"c:\Program Files\CyberLink\PowerCinema\PCMService.exe"=
"c:\Program Files\IncrediMail\bin\ImApp.exe"=
"c:\Program Files\IncrediMail\bin\IncMail.exe"=
"c:\Program Files\IncrediMail\bin\ImpCnt.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Magentic\bin\MgImp.exe"=
"c:\Program Files\Magentic\bin\Magentic.exe"=
"c:\Program Files\Magentic\bin\MgApp.exe"=

R1 SbFw;SbFw;c:\windows\system32\drivers\SbFw.sys [11/02/2009 15:37 270888]
R1 sbhips;Sunbelt HIPS Driver;c:\windows\system32\drivers\sbhips.sys [21/06/2008 04:54 66600]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [13/08/2009 16:22 108289]
R2 Application Updater;Application Updater;c:\program files\Application Updater\ApplicationUpdater.exe [16/12/2009 17:38 375296]
R2 SPF4;Sunbelt Personal Firewall 4;c:\program files\Sunbelt Software\Personal Firewall\SbPFSvc.exe [31/10/2008 07:24 1365288]
R3 SBFWIMCL;Sunbelt Software Firewall NDIS IM Filter Miniport;c:\windows\system32\drivers\SbFwIm.sys [11/02/2009 15:37 65576]
S2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [18/07/2009 14:53 133104]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers
mwcdnsu.sys [28/08/2009 15:41 136704]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers
mwcdnsuc.sys [28/08/2009 15:41 8320]
S4 SbPF.Launcher;SbPF.Launcher;c:\program files\Sunbelt Software\Personal Firewall\SbPFLnch.exe [31/10/2008 07:24 95528]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-06-20 11:47	451872	----a-w-	c:\program files\Fichiers communs\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'Tâches planifiées'

2009-11-10 c:\windows\Tasks\Connexion facile à Internet.job
- c:\program files\Hewlett-Packard\SDP\HPSdpApp.exe [2005-09-08 17:23]

2009-12-31 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-04-12 14:11]

2009-12-31 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-07-18 13:53]

2009-12-31 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-07-18 13:53]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://mystart.incredimail.com/
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
.
- - - - ORPHELINS SUPPRIMES - - - -

URLSearchHooks-{E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
HKCU-Run-MsnMsgr - c:\program files\MSN Messenger\MsnMsgr.Exe
HKCU-Run-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
HKCU-Run-Malware Defense - c:\program files\Malware Defense\mdefense.exe
HKLM-Run-PCDrProfiler - (no file)
MSConfigStartUp-NeroFilterCheck - c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-31 18:26
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1012)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3940)
c:\program files\IncrediMail\bin\B4ImApp.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\program files\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
c:\program files\Nokia\Nokia PC Suite 7\NGSCM.DLL
c:\program files\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_fre.nlr
c:\program files\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\drivers\CDAC11BA.EXE
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Sunbelt Software\Personal Firewall\SbPFCl.exe
c:\windows\RTHDCPL.EXE
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\program files\HP\Digital Imaging\bin\hpqimzone.exe
c:\program files\IncrediMail\bin\IMApp.exe
c:\program files\PC Connectivity Solution\ServiceLayer.exe
c:\program files\PC Connectivity Solution\Transports\NclUSBSrv.exe
c:\program files\PC Connectivity Solution\Transports\NclRSSrv.exe
.
**************************************************************************
.
Heure de fin: 2009-12-31  18:32:19 - La machine a redémarré
ComboFix-quarantined-files.txt  2009-12-31 17:32

Avant-CF: 271 796 813 824 octets libres
Après-CF: 271 936 892 928 octets libres

- - End Of File - - A3C9F271D0A13D511E61D5BBEF24ABC7

toptitbal · Answer

Bien, ça devrait déjà aller mieux.

Télécharge Toolbar-S&D (Team IDN) sur ton Bureau. 

https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cpVobGk5bHnxrhQ4yaoEUDJvOYNnEGyYjgqHZz5GqZLfutR3fMFPlsC3-CGIilfupPAguYATNyua3csodN_frdMK8sSzUpit10Yac-QJCOkMqJKkbdKcP6ySs8trWPgoNVIq4TGGWCe6o0txXQv-ZueJF9vZzw3RXsGwFYIqN2lvF2LPdQzS8mE1d5kWOVOz6EMzQuE5-lClSJM869uq3oc7-t7yg%3D%3D&attredirects=3 

* Lance l'installation du programme en exécutant le fichier téléchargé. 
* Double-clique maintenant sur le raccourci de Toolbar-S&D. 
* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée. 
* Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche. 
* Poste le rapport généré. (C:\TB.txt)

didou32 · Answer

Voilà le résultat de l'analyse

BOOT : Normal boot
   Antivirus : AntiVir Desktop 9.0.1.32 (Activated)
   Firewall  : Sunbelt Personal Firewall 4.6.1861 T (Activated)
   C:\ (Local Disk) - NTFS - Total:274 Go (Free:253 Go)
   D:\ (Local Disk) - FAT32 - Total:5 Go (Free:0 Go)
   E:\ (CD or DVD)
   F:\ (USB)
   G:\ (USB)
   H:\ (USB)
   I:\ (USB)
 
   "C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
   Option : [1] ( 01/01/2010|11:20 )
 
   -----------\  Recherche de Fichiers / Dossiers ...
 
   C:\DOCUME~1\ALEXAN~1\APPLIC~1\Search Settings
   C:\DOCUME~1\ALEXAN~1\APPLIC~1\Search Settings\kb130
   C:\DOCUME~1\ALEXAN~1\APPLIC~1\Search Settings\kb130	emp
   C:\DOCUME~1\ALEXAN~1\APPLIC~1\Search Settings\kb130	emp\ws-14605.log
   C:\DOCUME~1\ALEXAN~1\APPLIC~1\Search Settings\kb130	emp\ws-14606.log
   C:\DOCUME~1\brigitte\APPLIC~1\Search Settings
   C:\DOCUME~1\brigitte\APPLIC~1\Search Settings\kb130
   C:\DOCUME~1\brigitte\APPLIC~1\Search Settings\kb130	emp
   C:\DOCUME~1\brigitte\APPLIC~1\Search Settings\kb130	emp\ws-14609.log
   C:\DOCUME~1\COMPAQ~1\APPLIC~1\Search Settings
   C:\DOCUME~1\COMPAQ~1\APPLIC~1\Search Settings\kb130
   C:\DOCUME~1\COMPAQ~1\APPLIC~1\Search Settings\kb130	emp
   C:\DOCUME~1\COMPAQ~1\APPLIC~1\Search Settings\kb130	emp\ws-14607.log
   C:\DOCUME~1\COMPAQ~1\APPLIC~1\Search Settings\kb130	emp\ws-14609.log
   C:\DOCUME~1\COMPAQ~1\APPLIC~1\Search Settings\kb130	emp\ws-14610.log
 
   -----------\  [..\Internet Explorer\Main]
 
   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\WINDOWS\system32\blank.htm"
   "Start Page"="http://mystart.incredimail.com/"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
 
   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
   "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Start Page"="https://www.msn.com/fr-fr/?ocid=iehp"
 

   --------------------\  Recherche d'autres infections
 

   Aucune autre infection trouvée  !
 

   1 - "C:\ToolBar SD\TB_1.txt" - 01/01/2010|11:22 - Option : [1]
 
   -----------\  Fin du rapport a 11:22:46,12

toptitbal · Answer

Relance Toolbar-S&D en double-cliquant sur le raccourci. Tape sur "2" puis valide en appuyant sur "Entrée". 

! Ne ferme pas la fenêtre lors de la suppression ! 

Un rapport sera généré, poste son contenu ici. 

NOTE : Si ton Bureau ne réapparait pas, appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches. 
Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..." 
Tape explorer puis valide.

didou32 · Answer

voici le rapport



  -----------\  ToolBar S&D 1.2.9   XP/Vista
 
   Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
   X86-based PC ( Multiprocessor Free :               Intel(R) Pentium(R) 4 CPU 3.06GHz )
   BIOS : Phoenix - AwardBIOS v6.00PG
   USER : Compaq_Propriétaire ( Administrator )
   BOOT : Normal boot
   Antivirus : AntiVir Desktop 9.0.1.32 (Activated)
   Firewall  : Sunbelt Personal Firewall 4.6.1861 T (Activated)
   C:\ (Local Disk) - NTFS - Total:274 Go (Free:253 Go)
   D:\ (Local Disk) - FAT32 - Total:5 Go (Free:0 Go)
   E:\ (CD or DVD)
   F:\ (USB)
   G:\ (USB)
   H:\ (USB)
   I:\ (USB)
 
   "C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
   Option : [2] ( 01/01/2010|12:08 )
 
   -----------\ SUPPRESSION
 
   Supprime! - C:\DOCUME~1\ALEXAN~1\APPLIC~1\Search Settings\kb130
   Supprime! - C:\DOCUME~1\brigitte\APPLIC~1\Search Settings\kb130
   Supprime! - C:\DOCUME~1\COMPAQ~1\APPLIC~1\Search Settings\kb130
   Supprime! - C:\DOCUME~1\ALEXAN~1\APPLIC~1\Search Settings
   Supprime! - C:\DOCUME~1\brigitte\APPLIC~1\Search Settings
   Supprime! - C:\DOCUME~1\COMPAQ~1\APPLIC~1\Search Settings
 
   -----------\  Recherche de Fichiers / Dossiers ...
 

   -----------\  [..\Internet Explorer\Main]
 
   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\WINDOWS\system32\blank.htm"
   "Start Page"="http://mystart.incredimail.com/"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
 
   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
   "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Start Page"="https://www.msn.com/fr-fr/"
 

   --------------------\  Recherche d'autres infections
 

   Aucune autre infection trouvée  !
 

   1 - "C:\ToolBar SD\TB_1.txt" - 01/01/2010|11:22 - Option : [1]
   2 - "C:\ToolBar SD\TB_2.txt" - 01/01/2010|12:10 - Option : [2]
 
   -----------\  Fin du rapport a 12:10:41,50

toptitbal · Answer

Bien

Fais un nouveau RSIT pour faire le point stp.

didou32 · Answer

voilà le résultat


Logfile of random's system information tool 1.06 (written by random/random)
Run by Compaq_Propriétaire at 2010-01-01 15:20:10
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 259 GB (92%) free of 281 GB
Total RAM: 958 MB (49% free)
 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:20:11, on 01/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Application Updater\ApplicationUpdater.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\issch.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\IncrediMail\bin\IMApp.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
c:\windows\system\hpsysdrv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FAMTCDE.EXE
C:\Documents and Settings\Compaq_Propriétaire\Bureau\RSIT.exe
C:\Program Files	rend micro\Compaq_Propriétaire.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredimail.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Statut HONcode - {4340E603-67EE-4A8F-9861-7D79044D9696} - C:\Documents and Settings\brigitte\Mes documents\Nouveau dossier\HONcodeFR\HONstatus.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Statut HONcode - {4340E603-67EE-4A8F-9861-7D79044D9696} - C:\Documents and Settings\brigitte\Mes documents\Nouveau dossier\HONcodeFR\HONstatus.dll
O3 - Toolbar: Recherche HONcode - {E2550E4B-5DD6-4DD7-81BF-B25CD007E324} - C:\Documents and Settings\brigitte\Mes documents\Nouveau dossier\HONcodeFR\HONBar.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [HPBootOp] "C:\Program Files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" /run
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\issch.exe" -start
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [OM2_Monitor] "C:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe" -NoStart
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-21-4246833138-2870211089-2895413468-1010\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User 'brigitte')
O4 - HKUS\S-1-5-21-4246833138-2870211089-2895413468-1010\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c (User 'brigitte')
O4 - HKUS\S-1-5-21-4246833138-2870211089-2895413468-1010\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'brigitte')
O4 - HKUS\S-1-5-21-4246833138-2870211089-2895413468-1010\..\Run: [EPSON Stylus DX7400 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDE.EXE /FU "C:\DOCUME~1\brigitte\LOCALS~1\Temp\E_S23.tmp" /EF "HKCU" (User 'brigitte')
O4 - HKUS\S-1-5-21-4246833138-2870211089-2895413468-1010\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c (User 'brigitte')
O4 - HKUS\S-1-5-21-4246833138-2870211089-2895413468-1010\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" (User 'brigitte')
O4 - S-1-5-21-4246833138-2870211089-2895413468-1010 Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe (User 'brigitte')
O4 - S-1-5-21-4246833138-2870211089-2895413468-1010 Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'brigitte')
O4 - S-1-5-21-4246833138-2870211089-2895413468-1010 User Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe (User 'brigitte')
O4 - S-1-5-21-4246833138-2870211089-2895413468-1010 User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'brigitte')
O4 - .DEFAULT User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
O9 - Extra button: Statut HONcode - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - C:\Documents and Settings\brigitte\Mes documents\Nouveau dossier\HONcodeFR\HONstatus.dll
O9 - Extra 'Tools' menuitem: Statut HONcode - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - C:\Documents and Settings\brigitte\Mes documents\Nouveau dossier\HONcodeFR\HONstatus.dll
O9 - Extra button: Recherche HONcode - {E2550E4B-5DD6-4DD7-81BF-B25CD007E324} - C:\Documents and Settings\brigitte\Mes documents\Nouveau dossier\HONcodeFR\HONBar.dll
O9 - Extra 'Tools' menuitem: Recherche HONcode - {E2550E4B-5DD6-4DD7-81BF-B25CD007E324} - C:\Documents and Settings\brigitte\Mes documents\Nouveau dossier\HONcodeFR\HONBar.dll
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skyline - {3A4F9195-65A8-11D5-85C1-0001023952C1} - C:\Program Files\Skyline\TerraExplorer\TerraExplorerX.dll
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Application Updater - Spigot, Inc. - C:\Program Files\Application Updater\ApplicationUpdater.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe

toptitbal · Answer

Procédure strictement réservée à didou32.


---> Clique sur Démarrer, Exécuter, tape notepad clique sur OK. 

---> Copie le texte ci-dessous par sélection puis Ctrl+C : 



File:: 
C:\WINDOWS\system32\krl32mainweq.dll       
C:\Documents and Settings\All Users\Application Data\sysReserve.ini       

 

---> Colle la sélection dans le bloc-notes 

---> Enregistre ce fichier sur le bureau (Impératif) 

---> Nom du fichier : CFScript 
---> Type du fichier : tous les fichiers 
---> Clique sur Enregistrer 
---> Quitte le bloc-notes 



---> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture : 

https://searchengines.pl/ 


[*] Une fenêtre bleue va apparaître : au message qui apparaît, tu acceptes. 

[*] Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal ! 
Ne touche à rien tant que le scan n'est pas terminé. 

[*] Une fois le scan achevé, un rapport va s'afficher : poste-le 

[*] Si le fichier ne s'ouvre pas, il se trouve ici C:\ComboFix.txt

didou32 · Answer

Voici le log


ComboFix 09-12-31.01 - Compaq_Propriétaire 01/01/2010  16:47:28.2.2 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.958.497 [GMT 1:00]
Lancé depuis: c:\documents and settings\Compaq_Propriétaire\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Compaq_Propriétaire\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Sunbelt Personal Firewall *enabled* {82B1150E-9B37-49FC-83EB-D52197D900D0}

FILE ::
"c:\documents and settings\All Users\Application Data\sysReserve.ini"
"c:\windows\system32\krl32mainweq.dll"
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\sysReserve.ini
c:\windows\system32\krl32mainweq.dll

.
(((((((((((((((((((((((((((((   Fichiers créés du 2009-12-01 au 2010-01-01  ))))))))))))))))))))))))))))))))))))
.

2010-01-01 10:19 . 2010-01-01 11:10	--------	d-----w-	C:\ToolBar SD
2009-12-31 16:49 . 2010-01-01 14:24	--------	d-----w-	c:\program files	rend micro
2009-12-31 16:49 . 2009-12-31 16:49	--------	d-----w-	C:sit
2009-12-31 16:14 . 2009-12-31 16:17	6853096	----a-w-	C:\SpyHunter-Compact-OS.exe
2009-12-31 16:14 . 2009-12-31 16:24	--------	d-----w-	c:\program files\Enigma Software Group
2009-12-27 17:20 . 2009-12-27 17:20	--------	d-----w-	c:\documents and settings\Alexandre\Application Data\pdfforge
2009-12-23 17:20 . 2009-12-23 17:20	--------	d-----w-	c:\documents and settings\brigitte\Application Data\pdfforge
2009-12-23 17:16 . 2009-12-23 17:16	--------	d-----w-	c:\windows\system32\config\systemprofile\Application Data\Application Updater
2009-12-23 17:16 . 2009-12-31 17:22	--------	d-----w-	c:\program files\pdfforge Toolbar
2009-12-23 17:16 . 2009-12-23 17:16	--------	d-----w-	c:\program files\Application Updater
2009-12-23 17:15 . 2001-10-28 16:42	116224	----a-w-	c:\windows\system32\pdfcmnnt.dll
2009-12-23 17:15 . 2009-12-23 17:16	--------	d-----w-	c:\program files\PDFCreator
2009-12-23 17:15 . 1998-07-13 01:08	59904	----a-w-	c:\windows\system32\MSCC2FR.DLL
2009-12-23 17:15 . 1998-07-13 01:08	141312	----a-w-	c:\windows\system32\MSCMCFR.DLL
2009-12-23 17:15 . 1998-07-06 00:00	23552	----a-w-	c:\windows\system32\MSMPIDE.DLL

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-29 13:10 . 2009-02-13 17:24	2398	----a-w-	c:\documents and settings\brigitte\Application Data\wklnhst.dat
2009-12-27 14:40 . 2009-02-13 17:09	1	----a-w-	c:\documents and settings\brigitte\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-12-25 11:13 . 2004-11-23 14:26	545998	----a-w-	c:\windows\system32\perfh00C.dat
2009-12-25 11:13 . 2004-11-23 14:26	100520	----a-w-	c:\windows\system32\perfc00C.dat
2009-12-23 16:14 . 2006-04-24 23:10	--------	d-----w-	c:\program files\Google
2009-12-10 11:10 . 2009-08-13 15:22	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-11-20 11:27 . 2009-10-30 18:54	--------	d-----w-	c:\program files\B-Association
2009-11-04 17:08 . 2009-11-04 17:08	2304	----a-w-	c:\program files\OPTSAUVE.TPS
2009-11-04 17:08 . 2009-11-04 17:08	4634	----a-w-	c:\program files\Adhesct.htm
2009-11-03 20:17 . 2009-02-11 14:48	--------	d-----w-	c:\program files\IncrediMail
2009-10-29 07:44 . 2004-08-05 11:00	832512	------w-	c:\windows\system32\wininet.dll
2009-10-29 07:44 . 2004-08-05 11:00	78336	----a-w-	c:\windows\system32\ieencode.dll
2009-10-29 07:44 . 2004-08-05 11:00	17408	----a-w-	c:\windows\system32\corpol.dll
2009-10-21 05:39 . 2004-08-05 11:00	75776	----a-w-	c:\windows\system32\strmfilt.dll
2009-10-21 05:39 . 2004-08-05 11:00	25088	----a-w-	c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-08-05 11:00	265728	----a-w-	c:\windows\system32\drivers\http.sys
2009-10-13 10:33 . 2004-08-05 11:00	271360	----a-w-	c:\windows\system32\oakley.dll
2009-10-12 13:39 . 2004-08-05 11:00	79872	----a-w-	c:\windows\system32aschap.dll
2009-10-12 13:39 . 2004-08-05 11:00	150528	----a-w-	c:\windows\system32astls.dll
.

(((((((((((((((((((((((((((((   SnapShot@2009-12-31_17.27.06   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-01-01 08:50 . 2010-01-01 08:50	16384              c:\windows\Temp\Perflib_Perfdata_6f0.dat
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}]
2009-12-16 17:12	700416	----a-w-	c:\program files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{B922D405-6D13-4A2B-AE89-08A030DA4402}"= "c:\program files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll" [2009-12-16 700416]

[HKEY_CLASSES_ROOT\clsid\{b922d405-6d13-4a2b-ae89-08a030da4402}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IncrediMail"="c:\program files\IncrediMail\bin\IncMail.exe" [2009-09-07 251336]
"LightScribe Control Panel"="c:\program files\Fichiers communs\LightScribe\LightScribeControlPanel.exe" [2007-06-20 451872]
"OM2_Monitor"="c:\program files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe" [2007-09-04 95536]
"PC Suite Tray"="c:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe" [2008-12-03 1205760]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-04-12 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-01-23 15969280]
"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2005-07-22 237568]
"HPBootOp"="c:\program files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" [2005-11-10 249856]
"HP Software Update"="c:\program files\HP\HP Software Update\HPwuSchd2.exe" [2005-02-17 49152]
"ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]
"ISUSScheduler"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\issch.exe" [2004-07-27 81920]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-09-01 282624]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OBealsched.exe" [2006-04-24 180269]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]

c:\documents and settings\Alexandre\Menu D‚marrer\Programmes\D‚marrage\
Pin.lnk - c:\hp\bin\CLOAKER.EXE [2006-4-24 27136]

c:\documents and settings\Soci‚t‚ de chasse\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
Pin.lnk - c:\hp\bin\CLOAKER.EXE [2006-4-24 27136]

c:\documents and settings\Compaq_Propri‚taire\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]

c:\documents and settings\brigitte\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
Pin.lnk - c:\hp\bin\CLOAKER.EXE [2006-4-24 27136]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
D‚marrage rapide de HP Photosmart Premier.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2005-9-24 73728]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-10-03 03:08	35696	----a-w-	c:\program files\Adobe\Reader 9.0\Readereader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
2007-06-20 11:49	451872	----a-w-	c:\program files\Fichiers communs\LightScribe\LightScribeControlPanel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OM2_Monitor]
2007-09-04 13:52	54576	----a-w-	c:\program files\OLYMPUS\OLYMPUS Master 2\FirstStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
2006-02-25 00:46	147456	------w-	c:\program files\CyberLink\PowerCinema\PCMService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2006-09-01 14:57	282624	----a-w-	c:\program files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"usnjsvc"=3 (0x3)
"SbPF.Launcher"=2 (0x2)
"NMIndexingService"=3 (0x3)
"NBService"=3 (0x3)
"LightScribeService"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)
"IDriverT"=3 (0x3)
"CyberLink Media Library Service"=2 (0x2)
"CLSched"=2 (0x2)
"CLCapSvc"=2 (0x2)
"Ati HotKey Poller"=2 (0x2)
"WMPNetworkSvc"=3 (0x3)
"ServiceLayer"=3 (0x3)
"idsvc"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\CyberLink\PowerCinema\PowerCinema.exe"=
"c:\Program Files\CyberLink\PowerCinema\PCMService.exe"=
"c:\Program Files\IncrediMail\bin\ImApp.exe"=
"c:\Program Files\IncrediMail\bin\IncMail.exe"=
"c:\Program Files\IncrediMail\bin\ImpCnt.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Magentic\bin\MgImp.exe"=
"c:\Program Files\Magentic\bin\Magentic.exe"=
"c:\Program Files\Magentic\bin\MgApp.exe"=

R1 SbFw;SbFw;c:\windows\system32\drivers\SbFw.sys [11/02/2009 15:37 270888]
R1 sbhips;Sunbelt HIPS Driver;c:\windows\system32\drivers\sbhips.sys [21/06/2008 04:54 66600]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [13/08/2009 16:22 108289]
R2 Application Updater;Application Updater;c:\program files\Application Updater\ApplicationUpdater.exe [16/12/2009 17:38 375296]
R2 SPF4;Sunbelt Personal Firewall 4;c:\program files\Sunbelt Software\Personal Firewall\SbPFSvc.exe [31/10/2008 07:24 1365288]
R3 SBFWIMCL;Sunbelt Software Firewall NDIS IM Filter Miniport;c:\windows\system32\drivers\SbFwIm.sys [11/02/2009 15:37 65576]
S2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [18/07/2009 14:53 133104]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers
mwcdnsu.sys [28/08/2009 15:41 136704]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers
mwcdnsuc.sys [28/08/2009 15:41 8320]
S4 SbPF.Launcher;SbPF.Launcher;c:\program files\Sunbelt Software\Personal Firewall\SbPFLnch.exe [31/10/2008 07:24 95528]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-06-20 11:47	451872	----a-w-	c:\program files\Fichiers communs\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'Tâches planifiées'

2009-11-10 c:\windows\Tasks\Connexion facile à Internet.job
- c:\program files\Hewlett-Packard\SDP\HPSdpApp.exe [2005-09-08 17:23]

2010-01-01 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-04-12 14:11]

2010-01-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-07-18 13:53]

2010-01-01 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-07-18 13:53]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://mystart.incredimail.com/
mWindow Title = 
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-01 16:55
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1008)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'winlogon.exe'(780)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2010-01-01  16:58:21
ComboFix-quarantined-files.txt  2010-01-01 15:58
ComboFix2.txt  2009-12-31 17:32

Avant-CF: 271 762 010 112 octets libres
Après-CF: 271 795 748 864 octets libres

- - End Of File - - 845954AB50DE06F01559502865A62D9F

toptitbal · Answer

OK
Maintenant relance MBAM et supprime tout ce qu'il trouve.

didou32 · Answer

ok
ça c'est du routinier !
et ce sera fini après ????

toptitbal · Answer

Après on fera un peu de nettoyage car tu as beaucoup de programmes inutilement démarrés automatiquement, un nettoyage du registre et, si tu n'as plus de problème, ce sera fini.

didou32 · Answer

Mbam a bientot fini, il n'a pour l'instant rien trouvé. Qu'elle est la suite des opérations ?

toptitbal · Answer

Quand MBAM sera terminé :

Désinstalle ComboFix :

Clique sur Démarrer puis Exécuter 

tape 

ComboFix /uninstall    
dans la zone de saisie puis OK. 



Lance Hijackthis

Pour cela rends-toi à C:\Program Files	rend micro\Compaq_Propriétaire.exe       
et double clique sur Compaq_Propriétaire.exe (C'est Hijackthis renommé par RSIT).

Clique sur Do a System Scan Only et coche les lignes suivantes : 

R3 - Default URLSearchHook is missing
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll    
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll   
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE  
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe   
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup    
O4 - HKLM\..\Run: [ISUSScheduler] "C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\issch.exe" -start   
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime   
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe" -osboot   
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"    
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"   
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe    
O4 - HKUS\S-1-5-21-4246833138-2870211089-2895413468-1010\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c (User 'brigitte')    
O4 - HKUS\S-1-5-21-4246833138-2870211089-2895413468-1010\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'brigitte')    
O4 - HKUS\S-1-5-21-4246833138-2870211089-2895413468-1010\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" (User 'brigitte')   
O9 - Extra button: Statut HONcode - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - C:\Documents and Settings\brigitte\Mes documents\Nouveau dossier\HONcodeFR\HONstatus.dll    
O9 - Extra 'Tools' menuitem: Statut HONcode - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - C:\Documents and Settings\brigitte\Mes documents\Nouveau dossier\HONcodeFR\H
 
Ferme toutes les autres fenêtres, tous les autres programmes. Pas de connection Internet. 

Clique sur Fix checked puis clique sur OK 
Puis ferme HijackThis.

Tuto : https://forum.pcastuces.com/hijackthis__fixer_les_elements_indesirables-f31s16.htm

didou32 · Answer

Mission accomplie
rien à mbam et je n'ai pas trouvé certaines lignes du log, j'en déduis que les fichiers en question n'y étaient plus

didou32 · Answer

par contre petit souci, je ne peux pas redémarrer kerio

toptitbal · Answer

OK

On nettoie le registre maintenant :

* Télécharge CCleaner. 
(attention à l'installation penser à DECOCHER l'installation de Yahoo toolbar discrètement proposé en plus de CCleaner). 

https://www.ccleaner.com/ccleaner/download


Installe le dans un répertoire dédié. 

Décoche pendant l'installation 

--- les deux cases "Ajouter l'option ... " 
--- Contrôler les mises à jour 

* Lance Ccleaner pour un nettoyage complet :

 Déconnecte-toi et ferme toutes les applications en cours 
* va dans "nettoyeur" : fait analyse puis nettoyage 
* va dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

Tutorial ici : 

https://www.malekal.com/tutoriel-ccleaner/ 

ET 

http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

didou32 · Answer

J'ai une extension de fichier invalide qui ne veut pas partir.

As-tu une sloolution pour kerio ?
(voir ci-dessus)

est ce que je peux utiliser cet onglet registre à chaque fois que je me sers de CCleaner (et oui, je suis adepte de mbam ET ccleaner...suite à de nombreux passages par ici)

toptitbal · Answer

Une extension qui ne veut pas partir, ça arrive, pas grave :-)

Oui, tu peux passer MBAM (après mise à jour) de temps en temps ainsi que CCLeaner.

Comment se comporte ton PC ?

didou32 · Answer

A merveille depuis hier soir.
Kerio avait disparu alors je l'ai supprimé et réinstallé mais il a de nouveau disparu et pour y accéder on me demande des codes que je n'ai pas...tu saurais pas quoi faire ?

toptitbal · Answer

Je ne le connais pas bien, regarde si ce site peut t'aider :

https://www.vulgarisation-informatique.com/kerio.php


Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques : 

Télécharge toolscleaner (de A. Rothstein et Dj Quiou) sur ton Bureau : 
https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/
* Double-clique sur ToolsCleaner2.exe et laisse le travailler 
* Clique sur Recherche et laisse le scan se terminer. 
* Clique sur Suppression pour finaliser. 
* Tu peux, si tu le souhaites, te servir des Options facultatives. 
* Clique sur Quitter, pour que le rapport puisse se créer. 
* Le rapport (TCleaner.txt) se trouve à la racine de ton disque dur (C:\)...colle le dans ta réponse

didou32 · Answer

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\TB.txt: trouvé !
C:\Combofix: trouvé !
C:\Toolbar SD: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\Compaq_Propriétaire\Bureau\ToolBarSD.exe: trouvé !
C:\Documents and Settings\Compaq_Propriétaire\Bureau\Rsit.exe: trouvé !
C:\Program Files	rend micro\HijackThis.exe: trouvé !
C:\Program Files	rend micro\hijackthis.log: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\Compaq_Propriétaire\Bureau\ToolBarSD.exe: supprimé !
C:\Program Files	rend micro\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\TB.txt: supprimé !
C:\Documents and Settings\Compaq_Propriétaire\Bureau\Rsit.exe: supprimé !
C:\Program Files	rend micro\hijackthis.log: supprimé !
C:\Combofix: supprimé !
C:\Toolbar SD: supprimé !
C:\Rsit: supprimé !

toptitbal · Answer

Parfait.
Tu devrais être tranquille, en cas de problème, n'hésite pas.

didou32 · Answer

Merci infiniment c'est très gentil de ta part. On va faire en sorte que ça n'arrive pas de si tot

je vais maintenant me prendre la tête avec kerio...

c'est très gentil d'avoir pris le temps de t'occuper de moi.

Merci beaucoup :)

afideg · Answer

Salut toptitbal et didou32,

Pour Kerio, je ne peux que suggérer d'aller voir chez notre ami "boulepate" (mon amigo)  ;)

https://kerio.probb.fr/f2-sunbelt-kerio-personal-firewall

Bonne chance et bons vœux pour 2010.
Al.

Infectée par malware defense

32 réponses

Discussions similaires