Sujet Précédent Sujet Suivant

Problème suite infection Malware Defender.

Résolu/Fermé
Utilisateur anonyme - 1 janv. 2010 à 22:32
 Utilisateur anonyme - 4 janv. 2010 à 22:43
Bonjour,

Mon ordinateur a été infécté par Malware defender, ce qui a impliqué pas mal de problèmes, comme vous pouvez vous en douter. Voici les explications que je peux vous fournir :

Après être arrivé sur le site http://www.afromix.org, une deuxième fenêtre s'est ouverte sur le site pornographique www.pornhub.com. Le téléchargement de malware defender a commencé à cet instant. Après avoir essayé d’arrêter le téléchargement (ce qui avait apparemment réussi), et être sorti du site, ce logiciel s’est mis en marche, ainsi que spyware doctor (que j’avais pourtant désactivé depuis longtemps) et ont commencé à me mettre plein de messages concernant des infections et des détections de spywares. Avast antivirus était fonctionnel au moment du problème et a été totalement inefficace, la protection résidente s’est même arrêtée, tout comme spyware terminator (antispyware). J’ai arrêté l’ensemble des processus inconnus dans le gestionnaire de taches et ai désinstallé (par l’intermédiaire du processus de désinstallation de « programmes et fonctionnalités ») malware defender et spyware doctor. Après la désinstallation des deux programmes, un message d’erreur est apparu relatif au fichier MSASCui.exe, apparemment introuvable (problème 0x80000003). A ce moment là, tout fonctionnait apparement normalement ( internet, programmes…) sauf les programmes antivirus, auxquelles le fichier MSASCui.exe est rattaché. Aucun des antispywares que j’ai utilisé a ce moment là n’a marché, j’ai toujours eu le message d’erreur : Processus hôte pour les services windows a cessé de fonctionner. J’ai utilisé hijackthis et ccleaner pour commencer à nettoyer un peu. Cela n’a eu aucun effet, j’ai fini par fermer l’ordinateur. En le réouvrant, quelques heures après, Internet ne marchait plus : message d’erreur « Processus hôte pour les services windows a cessé de fonctionner ». Les programmes en plein écran se réduisent après une vingtaine de seconde.

Grâce à un ordinateur de récup obsolète, j’ai la possibilité d’utiliser internet et de transférer des fichiers vers l’ordinateur infecté. Cet ordinateur n’a pas été infecté apparemment, je l’avais gardé pour ce genre de cas d’urgence. J’ai ainsi pu sortir un rapport hijackthis, que je vais mettre ci-dessous.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:37:38, on 01/01/2010
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16851)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Common Files\aol\1180080098\ee\aolsoftware.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Windows\System32\gsicon.exe
C:\Windows\System32\dslagent.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Windows\ehome\ehmsas.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Pierre\Desktop\HiJackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O4 - HKLM\..\Run: [SynTPEnh] "C:\Program Files\Synaptics\SynTP\SynTPEnh.exe"
O4 - HKLM\..\Run: [RtHDVCpl] "RtHDVCpl.exe"
O4 - HKLM\..\Run: [HostManager] "C:\Program Files\Common Files\AOL\1180080098\ee\AOLSoftware.exe"
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GSICONEXE] "GSICON.EXE"
O4 - HKLM\..\Run: [DSLAGENTEXE] "dslagent.exe" USB
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Program Files\Common Files\AOL\ACS\AOLAcsd.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: RelevantKnowledge - RelevantKnowledge - C:\Program Files\RelevantKnowledge\rlservice.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
A voir également:

22 réponses

  • 1
  • 2
Réponse 1 / 22
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
1 janv. 2010 à 22:42
bonjour, tu fais smitfraudfix option 1 , Merci

Ouvre ce lien (merci a S!RI pour ce programme). http://siri.urz.free.fr/Fix/SmitfraudFix.php Regarde le tuto


et télécharge SmitfraudFix.exe.


Exécute le en choisissant l’option 1
il va générer un rapport

Copie/colle le sur le poste stp.

Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus, ect...) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
0
Réponse 2 / 22
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
1 janv. 2010 à 22:45
• Télécharge Random's System Information Tool (RSIT) de Random/Random.

http://images.malwareremoval.com/random/RSIT.exe

• Enregistre le sur ton Bureau.

• Double clique sur RSIT.exe pour lancer l'outil.

• Clique sur "Continue" à l'écran Disclaimer.

• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande)

et tu devras accepter la licence.

• Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés stp

Les rapports se trouvent à cet endroit:
C:\rsit\info.txt
C:\rsit\log.txt
0
Réponse 3 / 22
Utilisateur anonyme
1 janv. 2010 à 23:41
Merci pour la rapidité de vos réponses.

Impossible de lancer SmitfraudFix: SmitfraudFix.exe a cessé de fonctionner: Un problème a fait que le programme a cessé de fonctionner.... Pas d'internet sur l'ordi infecter donc pas de possibilités d'aller plus, loin ou d'avoir plus d'explications, à moins que vous ne sachiez d'où cela vient.

RSIT marche parfaitement, Voici le premier rapport:

info.txt logfile of random's system information tool 1.06 2009-12-30 20:43:39

======Uninstall list======

-->C:\Windows\IsUn040c.exe -f"C:\Program Files\Battlezone II\BZII.isu"
-->MsiExec.exe /I{0394CDC8-FABD-4ed8-B104-03393876DFDF}
-->MsiExec.exe /I{0D330013-4A99-46D6-83C6-2C959C68DBFF}
-->MsiExec.exe /I{0D397393-9B50-4c52-84D5-77E344289F87}
-->MsiExec.exe /I{35E1EC43-D4FC-4E4A-AAB3-20DDA27E8BB0}
-->MsiExec.exe /I{619CDD8A-14B6-43a1-AB6C-0F4EE48CE048}
-->MsiExec.exe /I{6675CA7F-E51B-4F6A-99D4-F8F0124C6EAA}
-->MsiExec.exe /I{83FFCFC7-88C6-41c6-8752-958A45325C82}
-->MsiExec.exe /I{C8B0680B-CDAE-4809-9F91-387B6DE00F7C}
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 8.1.1 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A81000000003}
Adobe Reader 8-->"C:\Program Files\Packard Bell\Smart Restore\SmartRestore.exe" /MSADDREM *AdobeReader*
Adobe Shockwave Player 11-->C:\Windows\system32\adobe\SHOCKW~1\UNWISE.EXE C:\Windows\system32\Adobe\SHOCKW~1\Install.log
Adobe Shockwave Player-->MsiExec.exe /X{A7DB362E-16DC-4E29-8A34-E74381E00B5B}
ADSL Neuf-->"C:\Program Files\Packard Bell\Smart Restore\SmartRestore.exe" /MSADDREM *NEUF_FR*
AOL - Assistant de désinstallation-->C:\Program Files\Common Files\AOL\uninstaller.exe
AOL 9.0-->"C:\Program Files\Packard Bell\Smart Restore\SmartRestore.exe" /MSADDREM *AOL*
Assistant de connexion Windows Live-->MsiExec.exe /I{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}
Atheros Driver Installation Program-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{28006915-2739-4EBE-B5E8-49B25D32EB33}\setup.exe" -l0x40c -removeonly
ATK Hotkey-->C:\Program Files\InstallShield Installation Information\{3912D529-02BC-4CA8-B5ED-0D0C20EB6003}\Setup.exe -runfromtemp -l0x0009 -removeonly
Auslogics BoostSpeed-->"C:\Program Files\Auslogics\Auslogics BoostSpeed\unins000.exe"
AusLogics Disk Defrag-->"C:\Program Files\Auslogics\AusLogics Disk Defrag\unins000.exe"
avast! Antivirus-->C:\Program Files\Alwil Software\Avast4\aswRunDll.exe "C:\Program Files\Alwil Software\Avast4\Setup\setiface.dll",RunSetup
AVS Audio Editor version 5.2-->"C:\Program Files\AVS4YOU\AVSAudioEditor\unins000.exe"
AVS Update Manager 1.0-->"C:\Program Files\AVS4YOU\AVSUpdateManager\unins000.exe"
AVS4YOU Software Navigator 1.3-->"C:\Program Files\AVS4YOU\AVSSoftwareNavigator\unins000.exe"
Browser Address Error Redirector-->regsvr32 /u /s "C:\Program Files\Google\Google_BAE\BAE.dll"
Code de la route-->"C:\Program Files\Anuman Interactive\Code de la route\unins000.exe"
Creator 9-->"C:\Program Files\Packard Bell\Smart Restore\SmartRestore.exe" /MSADDREM *CREATOR9*
Deadlock-->C:\Windows\uninst.exe -f"C:\Program Files\Accolade\Deadlock\DeIsL1.isu"
DivX Content Uploader-->C:\Program Files\DivX\DivXContentUploaderUninstall.exe /CUPLOADER
DivX Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
Europa 1400 - Gold Edition-->C:\PROGRA~1\Encore\EUROPA~1\UNWISE.EXE C:\PROGRA~1\Encore\EUROPA~1\INSTALL.LOG
Fallout 2-->C:\Windows\ipuninst.exe -fC:\Program Files\BlackIsle\Fallout2\uninst.log
Fallout 3-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{974C4B12-4D02-4879-85E0-61C95CC63E9E}\setup.exe" -l0x9 -removeonly
ffdshow [rev 1909] [2008-03-20]-->"C:\Program Files\MpcStar\Codecs\ffdshow\unins000.exe"
Firefox-->"C:\Program Files\Packard Bell\Smart Restore\SmartRestore.exe" /MSADDREM *FirefoxFR*
Flash Player 9 Internet Explorer-->"C:\Program Files\Packard Bell\Smart Restore\SmartRestore.exe" /MSADDREM *Flashplayer*
FM Modifier 2.0-->MsiExec.exe /I{CFACDB37-6789-45D7-8B87-CBD2CE5B9E71}
FM Modifier 2.25-->MsiExec.exe /I{AE86AE81-CD7F-496F-A39F-0210C985E71B}
Football Manager 2007-->C:\Program Files\Sports Interactive\Football Manager 2007\uninstall\Uninstall FM 2007.exe
Football Manager 2008-->"C:\Program Files\Sports Interactive\Football Manager 2008\Uninstall_Football Manager 2008\Uninstall Football Manager 2008.exe"
Free Audio CD Burner version 1.1-->"C:\Program Files\Free Audio CD Burner\unins000.exe"
Google BAE-->"C:\Program Files\Packard Bell\Smart Restore\SmartRestore.exe" /MSADDREM *GoogleBAE*
Google Earth-->"C:\Program Files\Packard Bell\Smart Restore\SmartRestore.exe" /MSADDREM *GOOGLE_EARTH*
Google Earth-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{3DE5E7D4-7B88-403C-A3FD-2017A8240C5B}\setup.exe" -l0x40c -removeonly
Guide routier France-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{DC828A42-3901-4178-81AF-712A55AC5A65}\SETUP.exe" -l0x40c -removeonly
HDReg France-->MsiExec.exe /I{0ED40D2A-7131-4FE7-941E-5C329336F712}
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Imperium Galactica 2-->C:\Windows\IsUn040c.exe -f"C:\Program Files\Digital Reality\Imperium Galactica 2\Uninst.isu"
Infocentre Rev. 2.0-->"C:\Program Files\Packard Bell\Smart Restore\SmartRestore.exe" /MSADDREM *Infocentre*
Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{46ABBC54-1872-4AA3-95E2-F2C063A63F31}
Introduction aux Sims™ 2-->C:\Program Files\EA GAMES\Introduction aux Sims 2\EAUninstall.exe
Java(TM) 6 Update 14-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216014FF}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Les Sims 2 : Nuits de Folie-->C:\Program Files\EA GAMES\Les Sims 2 Nuits de Folie\EAUninstall.exe
Les Sims 2 Académie-->C:\Program Files\EA GAMES\Les Sims 2 Académie\EAUninstall.exe
Les Sims 2 Cré@Logis-->C:\Program Files\EA GAMES\Les Sims 2 Cré@Logis\EAUninstall.exe
Les Sims 2 : La bonne affaire-->C:\Program Files\EA GAMES\Les Sims 2  La bonne affaire\EAUninstall.exe
Les Sims 2-->C:\Program Files\EA GAMES\Les Sims 2\EAUninstall.exe
Les Sims™ 2 Bon Voyage-->C:\Program Files\EA GAMES\Les Sims 2 Bon Voyage\EAUninstall.exe
lesFourmis-->C:\Windows\IsUn040c.exe -fC:\Windows\lesFourmis.isu
LiveUpdate 3.2 (Symantec Corporation)-->"C:\Program Files\Symantec\LiveUpdate\LSETUP.EXE" /U
Logiciel d'archivage WinRAR-->C:\Program Files\WinRAR\uninstall.exe
Ma-Config.com-->MsiExec.exe /X{1C02A760-1682-49AE-BB54-FA7D63BD3504}
Magic ISO Maker v5.5 (build 0261)-->C:\PROGRA~1\MagicISO\UNWISE.EXE C:\PROGRA~1\MagicISO\INSTALL.LOG
Medal of Honor débarquement allié-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{0DEA94ED-915A-4834-A87E-388D012C8E02}\Setup.exe" -l0x40c
Microsoft .NET Framework 3.5 SP1-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Age of Empires II-->"C:\Program Files\Microsoft Games\Age of Empires II\UNINSTAL.EXE" /runtemp /uninstall
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Games for Windows - LIVE Redistributable-->MsiExec.exe /X{929CE49F-1CA7-4CF3-A9A1-6D757443C63F}
Microsoft Office 2000 Professional-->MsiExec.exe /I{0001040C-78E1-11D2-B60F-006097C998E7}
Microsoft Silverlight-->MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Works 8.5-->"C:\Program Files\Packard Bell\Smart Restore\SmartRestore.exe" /MSADDREM *MSWorks85*
Microsoft Works-->MsiExec.exe /I{6B1CB38D-E2E4-4A30-933D-EFDEBA76AD9C}
Modem DSL ECI Telecom-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C7B39B40-52C3-11D4-AFCE-00E0B8138A4A}\setup.exe" -l0x40c REMOVE
Morrowind-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\Bethesda Softworks\Morrowind\MWUninstall\Setup.exe" -l0x40c
Mozilla Firefox (3.0.16)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MpcStar 2.2-->C:\Program Files\MpcStar\uninst.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 and SOAP Toolkit 3.0-->MsiExec.exe /I{32343DB6-9A52-40C9-87E4-5E7C79791C87}
OFFICE One 150 Templates v7-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{BA147801-8946-4BBE-BE17-A2199CE52C81}\setup.exe" -l0x40c -removeonly
OFFICE One 7.0-->MsiExec.exe /I{1EF377AC-035A-48BE-8EF7-D18D36308CE9}
OFFICE One ClipArt v7-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B8F3555E-B918-445E-97D1-BC4861C4EF59}\setup.exe" -l0x40c -removeonly
OFFICE One Fonts v7-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{CC0C788C-7C68-47A9-BFBF-0DF7B205B4CC}\setup.exe" -l0x40c -removeonly
OFFICE One License v7-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{E1A7B28B-AA31-442C-A4FA-598B65A7F5DA}\setup.exe" -l0x40c -removeonly
OFFICE One Menu v7-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{85C5827E-106F-4497-8066-B7CFEBBEA91D}\setup.exe" -l0x40c -removeonly
OFFICE One Notes v7-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{5D2683BE-2C44-4DB5-BECD-87B324077A7F}\setup.exe" -l0x40c -removeonly
OFFICE One QuickZip v7-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{87DEF84E-51A5-4A0E-91C2-E012E92DE69B}\setup.exe" -l0x40c -removeonly
OFFICE One Safety-Box v7-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B243ABE9-57C2-4B97-BA6B-37DF6C0208ED}\setup.exe" -l0x40c -removeonly
OFFICE One Startup v7-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{FEC30F06-A382-47D1-B828-859AC641EB1D}\setup.exe" -l0x40c -removeonly
Office One-->"C:\Program Files\Packard Bell\Smart Restore\SmartRestore.exe" /MSADDREM *OFFICE*
Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Packard Bell Demo-->"C:\Program Files\Packard Bell\Smart Restore\SmartRestore.exe" /MSADDREM *PB_DEMO*
Packard Bell ImageWriter-->"C:\Program Files\Packard Bell\Smart Restore\SmartRestore.exe" /MSADDREM *ImageWriter*
Packard Bell LCD Test-->"C:\Program Files\Packard Bell\Smart Restore\SmartRestore.exe" /MSADDREM *LCDTest*
Packard Bell Updator-->"C:\Program Files\Packard Bell\Smart Restore\SmartRestore.exe" /MSADDREM *Updator*
Picasa2-->"C:\Program Files\Packard Bell\Smart Restore\SmartRestore.exe" /MSADDREM *Picasa2*
Pixia 3.3b-->"C:\Program Files\Seagrand\Pixia\unins000.exe"
Project IGI-->C:\Windows\unvise32.exe C:\Program Files\Eidos Interactive\Project IGI\uninstal.log
RAR Password Unlocker 3.0-->"C:\Program Files\RAR Password Unlocker\unins000.exe"
Realtek 8139 and 8139C+ Ethernet Network Card Driver for Windows Vista-->C:\Program Files\InstallShield Installation Information\{AE46ABD3-D625-467F-B5A7-8D3FFF077F0D}\setup.exe -runfromtemp -l0x040c -removeonly
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x40c -removeonly
Roxio Creator 9 LE-->MsiExec.exe /I{B7FB0C86-41A4-4402-9A33-912C462042A0}
RTC Client API v1.2-->MsiExec.exe /X{44CDBD1B-89FB-4E02-8319-2A4C550F664A}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Sexy Pack 3.1-->C:\Users\Pierre\Documents\EA GAMES\Les Sims 2\uninst.exe
Shockwave player 10-->"C:\Program Files\Packard Bell\Smart Restore\SmartRestore.exe" /MSADDREM *Shockwave*
Sims 2 Categorizer-->C:\WINDOWS\st6unst.exe -n "C:\Program Files\Sims 2 Categorizer\ST6UNST.LOG"
Skype 2.5.2.151-->"C:\Program Files\Packard Bell\Smart Restore\SmartRestore.exe" /MSADDREM *SKYPE*
SLD Codec Pack-->C:\Program Files\SLD Codec Pack\uninstall.exe
SPF2 Training-->"C:\Windows\SPF2 Training\uninstall.exe" "/U:C:\Program Files\SPF2 Training\Uninstall\uninstall.xml"
Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
Starcraft-->C:\Windows\SCunin.exe C:\Windows\SCunin.dat
Stellarium 0.9.0-->"C:\Program Files\Stellarium\unins000.exe"
Switch Sound File Converter-->C:\Program Files\NCH Swift Sound\Switch\uninst.exe
Synaptics Pointing Device Driver-->rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
TES Construction Set-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\Bethesda Softworks\Morrowind\CSUninstall\Setup.exe" -l0x40c
Theme Hospital-->C:\Windows\uninst.exe -f"C:\Program Files\Bullfrog\Hospital\DeIsL3.isu"
Total Annihilation - Batailles Stratégiques-->C:\CAVEDOG\TOTALA\tabtunst.exe C:\CAVEDOG\TOTALA
Total Annihilation - Core Contingency-->C:\CAVEDOG\TOTALA\CC\CCQUERY.EXE
Total Annihilation-->C:\CAVEDOG\TOTALA\setup.exe -u
Tropico: Paradise Island-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C12CF690-E981-11D5-873A-0050DABC2539}\setup.exe" -l0x40c
Tropico-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{818FB39B-1A57-4F1B-A54D-391C33D6C586}\setup.exe"
Uninstall 1.0.0.1-->"C:\Program Files\Common Files\DVDVideoSoft\unins000.exe"
Update FMC V4.0 Beta-->"C:\Users\Pierre\Documents\Sports Interactive\Football Manager 2007\db\unins000.exe"
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
USB2.0 350K WebCam-->Rundll32.exe BisonRem.dll,WinMainRmv
Utherverse 3D Client-->C:\ProgramData\{ECF27DA6-61FA-4DDA-870F-1766B3B8A74E}\UtherverseSetup.exe
Video ATI v8.332-->"C:\Program Files\Packard Bell\Smart Restore\SmartRestore.exe" /MSADDREM *VIDEO_RIO*
VLC media player 0.9.9-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Messenger-->MsiExec.exe /X{059C042E-796A-4ACC-A81A-ECC2010BB78C}
Windows Live Messenger-->MsiExec.exe /X{770F1BEC-2871-4E70-B837-FB8525FFA3B1}
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}

======Hosts File======

127.0.0.1 www.3dluder.com
127.0.0.1 www.3dslut.com
127.0.0.1 www.3dbilling.com

======Security center information======

AV: Malware Defense (outdated)
AV: avast! antivirus 4.8.1368 [VPS 091229-0]
AS: Spyware Doctor (disabled) (outdated)
AS: Spybot - Search and Destroy (disabled) (outdated)
AS: Windows Defender (disabled) (outdated)
AS: avast! antivirus 4.8.1368 [VPS 091229-0]
AS: Webroot AntiVirus with AntiSpyware (disabled)

======System event log======

Computer Name: PC-de-Pierre
Event Code: 7009
Message: Le dépassement de délai (30000 millisecondes) a été atteint lors de l’attente de la connexion du service avast! Antivirus.
Record Number: 176952
Source Name: Service Control Manager
Time Written: 20091230193510.000000-000
Event Type: Erreur
User:

Computer Name: PC-de-Pierre
Event Code: 7000
Message: Le service avast! Antivirus n'a pas pu démarrer en raison de l'erreur :
Le service n'a pas répondu assez vite à la demande de lancement ou de contrôle.
Record Number: 176953
Source Name: Service Control Manager
Time Written: 20091230193510.000000-000
Event Type: Erreur
User:

Computer Name: PC-de-Pierre
Event Code: 7009
Message: Le dépassement de délai (30000 millisecondes) a été atteint lors de l’attente de la connexion du service Planificateur LiveUpdate automatique.
Record Number: 176973
Source Name: Service Control Manager
Time Written: 20091230193510.000000-000
Event Type: Erreur
User:

Computer Name: PC-de-Pierre
Event Code: 7000
Message: Le service Planificateur LiveUpdate automatique n'a pas pu démarrer en raison de l'erreur :
Le service n'a pas répondu assez vite à la demande de lancement ou de contrôle.
Record Number: 176974
Source Name: Service Control Manager
Time Written: 20091230193510.000000-000
Event Type: Erreur
User:

Computer Name: PC-de-Pierre
Event Code: 7001
Message: Le service SBSD Security Center Service dépend du service Centre de sécurité qui n'a pas pu démarrer en raison de l'erreur :
Le service ne peut pas être démarré parce qu'il est désactivé ou qu'aucun périphérique activé ne lui est associé.
Record Number: 176977
Source Name: Service Control Manager
Time Written: 20091230193510.000000-000
Event Type: Erreur
User:

=====Application event log=====

Computer Name: PC-de-Pierre
Event Code: 6000
Message: L’abonné aux notifications Winlogon <GPClient> n’était pas disponible pour traiter un événement de notification.
Record Number: 50973
Source Name: Microsoft-Windows-Winlogon
Time Written: 20091230193224.000000-000
Event Type: Avertissement
User:

Computer Name: PC-de-Pierre
Event Code: 6000
Message: L’abonné aux notifications Winlogon <Profiles> n’était pas disponible pour traiter un événement de notification.
Record Number: 50974
Source Name: Microsoft-Windows-Winlogon
Time Written: 20091230193224.000000-000
Event Type: Avertissement
User:

Computer Name: PC-de-Pierre
Event Code: 6001
Message: Échec de l’abonné aux notifications Winlogon <Profiles> lors d’un événement de notification.
Record Number: 50975
Source Name: Microsoft-Windows-Winlogon
Time Written: 20091230193224.000000-000
Event Type: Avertissement
User:

Computer Name: PC-de-Pierre
Event Code: 1000
Message: Application défaillante ALUSchedulerSvc.exe, version 3.2.0.26, horodatage 0x454795a6, module défaillant ALUSchedulerSvc.exe, version 3.2.0.26, horodatage 0x454795a6, code d’exception 0x80000003, décalage d’erreur 0x0000f500, ID du processus 0xb84, heure de début de l’application 0x01ca898719418868.
Record Number: 50987
Source Name: Application Error
Time Written: 20091230193427.000000-000
Event Type: Erreur
User:

Computer Name: PC-de-Pierre
Event Code: 1000
Message: Application défaillante SpybotSD.exe, version 1.6.2.46, horodatage 0x2a425e19, module défaillant SpybotSD.exe, version 1.6.2.46, horodatage 0x2a425e19, code d’exception 0x80000003, décalage d’erreur 0x002e5bb0, ID du processus 0x91c, heure de début de l’application 0x01ca898732e06d8e.
Record Number: 50993
Source Name: Application Error
Time Written: 20091230193511.000000-000
Event Type: Erreur
User:

=====Security event log=====

Computer Name: PC-de-Pierre
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-PIERRE$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7

Type d’ouverture de session : 5

Nouvelle ouverture de session :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x27c
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Nom de la station de travail :
Adresse du réseau source : -
Port source : -

Informations détaillées sur l’authentification :
Processus d’ouverture de session : Advapi
Package d’authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 55807
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091230193432.313963-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-Pierre
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7

Privilèges : SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 55808
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091230193432.313963-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-Pierre
Event Code: 4648
Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-PIERRE$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Compte dont les informations d’identification ont été utilisées :
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Serveur cible :
Nom du serveur cible : localhost
Informations supplémentaires : localhost

Informations sur le processus :
ID du processus : 0x27c
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Adresse du réseau : -
Port : -

Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
Record Number: 55809
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091230193432.517088-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-Pierre
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-PIERRE$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7

Type d’ouverture de session : 5

Nouvelle ouverture de session :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x27c
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Nom de la station de travail :
Adresse du réseau source : -
Port source : -

Informations détaillées sur l’authentification :
Processus d’ouverture de session : Advapi
Package d’authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 55810
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091230193432.517088-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-Pierre
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7

Privilèges : SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 55811
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091230193432.517088-000
Event Type: Succès de l'audit
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files\Common Files\Roxio Shared\DLLShared\;C:\Program Files\Common Files\Roxio Shared\9.0\DLLShared\;C:\Program Files\Common Files\GIS\Tools
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 14 Stepping 12, GenuineIntel
"PROCESSOR_REVISION"=0e0c
"NUMBER_OF_PROCESSORS"=2
"RoxioCentral"=C:\Program Files\Common Files\Roxio Shared\9.0\Roxio Central33\

-----------------EOF-----------------
0
Réponse 4 / 22
Utilisateur anonyme
1 janv. 2010 à 23:45
Logfile of random's system information tool 1.06 (written by random/random)
Run by Pierre at 2010-01-01 23:24:57
Microsoft® Windows Vista™ Édition Familiale Premium
System drive C: has 16 GB (11%) free of 144 GB
Total RAM: 1791 MB (66% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:24:59, on 01/01/2010
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16851)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Common Files\aol\1180080098\ee\aolsoftware.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Windows\System32\gsicon.exe
C:\Windows\System32\dslagent.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Windows\ehome\ehmsas.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Users\Pierre\Desktop\HiJackThis.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Pierre\Desktop\RSIT.exe
C:\Users\Pierre\Desktop\Pierre.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O4 - HKLM\..\Run: [SynTPEnh] "C:\Program Files\Synaptics\SynTP\SynTPEnh.exe"
O4 - HKLM\..\Run: [RtHDVCpl] "RtHDVCpl.exe"
O4 - HKLM\..\Run: [HostManager] "C:\Program Files\Common Files\AOL\1180080098\ee\AOLSoftware.exe"
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GSICONEXE] "GSICON.EXE"
O4 - HKLM\..\Run: [DSLAGENTEXE] "dslagent.exe" USB
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Program Files\Common Files\AOL\ACS\AOLAcsd.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: RelevantKnowledge - RelevantKnowledge - C:\Program Files\RelevantKnowledge\rlservice.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 22
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
1 janv. 2010 à 23:49
vu


Attention, avant de commencer, lit attentivement la procédure, et imprime la

Télécharge ComboFix de sUBs en le renommant MDG.exe avant de l’enregistrer sur ton Bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\

---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te le propose remets provisoirement internet)

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt
0
Réponse 6 / 22
Utilisateur anonyme
1 janv. 2010 à 23:57
OK, par contre, je n'ai plus internet sur l'ordi infecté, je transfère et télécharge les fichiers grace à un ordi poubelle.
0
Réponse 7 / 22
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
1 janv. 2010 à 23:59
si c'est par usb il serait bien de la proteger avant
0
Réponse 8 / 22
Utilisateur anonyme
2 janv. 2010 à 00:57
Oui, c'est ce que j'ai fait, merci.

Voila le rapport de combofix. A cause des problèmes liés à Malware Defender, Avast a peut-être posé problème lors du processus, vu que je ne peux plus du tout agir dessus, mais Avast n'apparaissait ni dans les processus et les services étaient désactivés, donc normalement ça devrait aller.

ComboFix 09-12-31.A1 - Pierre 02/01/2010 0:23.1.2 - x86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.33.1036.18.1791.878 [GMT 1:00]
Lancé depuis: c:\users\Pierre\Desktop\MDG.exe.exe
AV: avast! antivirus 4.8.1368 [VPS 091229-0] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
SP: avast! antivirus 4.8.1368 [VPS 091229-0] *enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
SP: Spybot - Search and Destroy *disabled* (Outdated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
SP: Spyware Doctor *disabled* (Outdated) {1C3EDD79-273E-46ac-99F8-EFA9E7CBC301}
SP: Webroot AntiVirus with AntiSpyware *disabled* (Updated) {00000000-E9D0-004F-D859-4D0001000000}
SP: Windows Defender *disabled* (Outdated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-2152478756-3922319563-605102323-500
c:\$recycle.bin\S-1-5-21-259226484-1713339326-174018093-500
c:\program files\RelevantKnowledge
c:\program files\RelevantKnowledge\components\rlxg.dll
c:\program files\RelevantKnowledge\rlls.dll
c:\program files\RelevantKnowledge\rlservice.exe
C:\setup.exe
c:\windows\system32\drivers\H8SRTbmvwcpeuva.sys
c:\windows\system32\H8SRTaiqodugksm.dll
c:\windows\system32\H8SRTddyfhdwcgr.dll
c:\windows\system32\H8SRTlrbndgsygj.dat
c:\windows\system32\krl32mainweq.dll
c:\windows\system32\srcr.dat
c:\windows\system32\syspvm-03.dll

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_H8SRTd.sys
-------\Legacy_H8SRTd.sys
-------\Service_RelevantKnowledge


((((((((((((((((((((((((((((( Fichiers créés du 2009-12-01 au 2010-01-01 ))))))))))))))))))))))))))))))))))))
.

2010-01-01 23:32 . 2010-01-01 23:35 -------- d-----w- c:\users\Pierre\AppData\Local\temp
2010-01-01 23:32 . 2010-01-01 23:32 -------- d-----w- c:\users\Default\AppData\Local\temp
2009-12-31 00:01 . 2009-12-31 00:01 228504 ----a-w- c:\users\Pierre\AppData\Local\GDIPFONTCACHEV1.DAT
2009-12-30 21:21 . 2009-12-30 13:55 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-30 21:21 . 2009-12-30 21:21 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-30 21:21 . 2009-12-30 21:21 -------- d-----w- c:\programdata\Malwarebytes
2009-12-30 21:21 . 2009-12-30 13:54 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-30 21:09 . 2009-12-30 21:09 -------- d-----w- c:\program files\CCleaner
2009-12-30 19:43 . 2009-12-30 19:43 -------- d-----w- C:\rsit
2009-12-30 19:43 . 2009-12-30 19:43 -------- d-----w- c:\program files\trend micro
2009-12-30 19:15 . 2009-12-30 21:11 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2009-12-30 19:15 . 2009-12-30 19:15 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-12-11 14:19 . 2009-12-11 14:19 -------- d-----w- c:\programdata\NCH Swift Sound
2009-12-11 14:19 . 2009-12-11 14:19 -------- d-----w- c:\users\Pierre\AppData\Roaming\NCH Swift Sound
2009-12-11 14:15 . 2009-12-11 14:15 -------- d-----w- c:\programdata\AVS4YOU
2009-12-11 14:14 . 2009-12-11 14:14 -------- d-----w- c:\users\Pierre\AppData\Roaming\AVS4YOU
2009-12-11 14:14 . 2009-12-11 14:14 -------- d-----w- c:\program files\Common Files\AVSMedia
2009-12-11 14:14 . 2003-05-21 23:50 1700352 ----a-w- c:\windows\system32\GdiPlus.dll
2009-12-11 14:14 . 2003-05-21 11:50 24576 ----a-w- c:\windows\system32\msxml3a.dll
2009-12-11 14:13 . 2009-12-11 14:14 -------- d-----w- c:\program files\AVS4YOU

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-30 19:45 . 2007-05-25 17:27 700222 ----a-w- c:\windows\system32\perfh00C.dat
2009-12-30 19:45 . 2007-05-25 17:27 122020 ----a-w- c:\windows\system32\perfc00C.dat
2009-12-30 17:35 . 2009-10-28 00:06 -------- d-----w- c:\program files\ElcomSoft
2009-12-24 09:54 . 2009-12-24 09:54 653560 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2009-12-16 13:42 . 2009-12-21 21:57 872960 ----a-w- c:\users\Pierre\AppData\Roaming\Mozilla\Firefox\Profiles\r0j60v2l.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2009-12-16 13:42 . 2009-12-21 21:57 43008 ----a-w- c:\users\Pierre\AppData\Roaming\Mozilla\Firefox\Profiles\r0j60v2l.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2009-12-16 13:42 . 2009-12-21 21:57 340480 ----a-w- c:\users\Pierre\AppData\Roaming\Mozilla\Firefox\Profiles\r0j60v2l.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2009-12-16 13:41 . 2009-12-21 21:57 346624 ----a-w- c:\users\Pierre\AppData\Roaming\Mozilla\Firefox\Profiles\r0j60v2l.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2009-12-11 14:31 . 2007-10-06 08:11 -------- d-----w- c:\users\Pierre\AppData\Roaming\OFFICEOne7
2009-11-24 23:54 . 2008-09-19 09:43 1280480 ----a-w- c:\windows\system32\aswBoot.exe
2009-11-24 23:50 . 2008-09-19 09:43 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-11-24 23:50 . 2008-09-19 09:43 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2009-11-24 23:49 . 2008-09-19 09:43 53328 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2009-11-24 23:49 . 2008-09-19 09:43 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-11-24 23:48 . 2008-09-19 09:43 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-11-24 23:47 . 2008-09-19 09:43 97480 ----a-w- c:\windows\system32\AvastSS.scr
2009-11-14 16:42 . 2009-11-14 16:42 -------- d-----w- c:\program files\Sims 2 Categorizer
2009-11-14 16:41 . 2009-11-14 16:41 249856 ------w- c:\windows\Setup1.exe
2009-11-14 16:41 . 2009-11-14 16:41 73216 ----a-w- c:\windows\ST6UNST.EXE
2009-11-14 16:15 . 2007-10-10 14:45 -------- d-----w- c:\program files\EA GAMES
2009-11-09 11:39 . 2009-11-09 11:32 -------- d-----w- c:\users\Pierre\AppData\Roaming\CamTrack
2009-11-07 17:22 . 2007-05-25 08:01 -------- d-----w- c:\program files\AOL 9.0 VR
2009-10-16 15:08 . 2007-11-16 16:38 53248 ----a-w- c:\windows\ipuninst.exe
1995-09-20 14:16 . 1995-09-20 14:16 456976 ----a-w- c:\program files\Common Files\dao3032.dll
2008-10-05 15:19 . 2008-10-05 15:19 8192 --sha-w- c:\windows\o2cLicStore.bin
2007-05-25 17:23 . 2007-05-25 17:40 65536 --sha-w- c:\windows\oem\mp\boot\bootstat.dat
2007-05-25 17:33 . 2007-05-25 17:33 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2006-11-02 125440]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DSLAGENTEXE"="dslagent.exe USB" [X]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-11-22 815104]
"RtHDVCpl"="RtHDVCpl.exe" [2006-12-01 4186112]
"HostManager"="c:\program files\Common Files\AOL\1180080098\ee\AOLSoftware.exe" [2006-11-14 50736]
"RoxWatchTray"="c:\program files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2007-01-11 232184]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 39792]
"GSICONEXE"="GSICON.EXE" [2002-01-22 90112]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-08-24 148888]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1037032078-3726954694-1358181774-1002]
"EnableNotificationsRef"=dword:00000003

R1 aswSP;avast! Self Protection;c:\windows\System32\drivers\aswSP.sys [19/09/2008 10:43 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\System32\drivers\aswFsBlk.sys [19/09/2008 10:43 20560]
R2 aswMonFlt;aswMonFlt;c:\windows\System32\drivers\aswMonFlt.sys [19/09/2008 10:43 53328]
R2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [30/12/2009 20:15 1153368]
S2 gafwload;ECI Telecom USB ADSL Loader;c:\windows\System32\drivers\gafwload.sys [02/07/2008 13:18 26987]
S3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\System32\drivers\ASPI32.SYS [11/12/2008 12:56 84832]
S3 PTV339;Mini DualTV USB;c:\windows\System32\drivers\PTV339.SYS [18/09/2008 18:01 272640]
S4 maconfservice;Ma-Config Service;"c:\program files\ma-config.com\maconfservice.exe" --> c:\program files\ma-config.com\maconfservice.exe [?]
S4 sptd;sptd;c:\windows\System32\drivers\sptd.sys [28/09/2008 22:54 717296]
.
Contenu du dossier 'Tâches planifiées'
.
.
------- Examen supplémentaire -------
.
FF - ProfilePath - c:\users\Pierre\AppData\Roaming\Mozilla\Firefox\Profiles\r0j60v2l.default\
FF - prefs.js: browser.startup.homepage - hxxp://google.atcomet.com/m/
FF - component: c:\users\Pierre\AppData\Roaming\Mozilla\Firefox\Profiles\r0j60v2l.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - component: c:\users\Pierre\AppData\Roaming\Mozilla\Firefox\Profiles\r0j60v2l.default\extensions\{B042753D-F57E-4e8e-A01B-7379A6D4CEFB}\components\IBitCometExtension.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\users\Pierre\AppData\Roaming\Mozilla\Firefox\Profiles\r0j60v2l.default\extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66}\plugins\nphardwaredetection.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - true.
- - - - ORPHELINS SUPPRIMES - - - -

WebBrowser-{ECDEE021-0D17-467F-A1FF-C7A115230949} - (no file)
ActiveSetup-ccc-core-static - msiexec
AddRemove-DeadlockDeinstKey - c:\program files\Accolade\Deadlock\DeIsL1.isu
AddRemove-HijackThis - J:\HijackThis.exe
AddRemove-Switch - c:\program files\NCH Swift Sound\Switch\uninst.exe
AddRemove-VLC media player - c:\program files\VideoLAN\VLC\uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-02 00:36
Windows 6.0.6000 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1037032078-3726954694-1358181774-1002\Software\G*e*n*i*e*"!\FM Genie Scout 2009 XE]
"GameDir"=""
"ShortlistDir"=""
"ScreenshotsDir"=""
"SaveDir"=""
"HistoryDir"="c:\\Acrobat\\FM Genie Scout 2009 XE\\History Points"
"LangDB"=""
"LastSaveGame"=""
"Language"="English"
"LoadLangDB"=dword:00000000
"CompressHistoryPoints"=dword:00000000
"HighlightedAttributes"=dword:00000000
"MinCondition"=dword:00000050
"GraphStep"=dword:00000000
"SkinName"="Champions League"
"LastUpdateCheck"=dword:00000000
"HighQualityGUI"=dword:00000001
"AutomaticallyUpdateCheck"=dword:00000001
"AdvancedGeneration"=dword:00000000
"TranslateStaffSkills"=dword:00000001
"TranslatePlayerSkills"=dword:00000001
"TranslatePositions"=dword:00000001
"ShowHistory"=dword:00000001
"Version"=dword:00000067
"UniqueID"="F4-73FF-C66F"
"UseProxy"=dword:00000000
"ProxyHost"=""
"ProxyPort"=""
"UseAuthentication"=dword:00000000
"UserName"=""
"UserPassword"=""
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\ATK Hotkey\ASLDRSrv.exe
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\ATK Hotkey\Hcontrol.exe
c:\program files\ATK Hotkey\ATKOSD.exe
c:\windows\RtHDVCpl.exe
c:\windows\System32\gsicon.exe
c:\windows\System32\dslagent.exe
c:\program files\Alwil Software\Avast4\ashDisp.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
c:\windows\ehome\ehmsas.exe
c:\program files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\program files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
c:\windows\system32\conime.exe
.
**************************************************************************
.
Heure de fin: 2010-01-02 00:43:25 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-01-01 23:43

Avant-CF: 16 240 992 256 octets libres
Après-CF: 15 799 496 704 octets libres

- - End Of File - - 9B88EF3290042110A34E2D0B45C6D2E7
0
Réponse 9 / 22
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
2 janv. 2010 à 07:16
ok

dans cet ordre

1)

Téléchargez USBFIX de Chiquitine29, C_xx

http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou
https://www.ionos.fr/?affiliate_id=77097

/!\ Utilisateur de vista et windows 7 :
ne pas oublier de désactiver Le contrôle des comptes utilisateurs
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

• Double clic sur le raccourci UsbFix présent sur le bureau .

• Choisir l'option2
(d’autres options disponibles, voir le tutoriel).
• Laissez travailler l'outil.
Le menu démarrer et les icônes vont disparaître.. c'est normal.

Si un message te demande de redémarrer l'ordinateur fais le ...

● Au redémarrage, le fix se relance... laisses l'opération s'effectuer.

● Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse


• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html


UsbFix peut te demander d'uploader un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097

Il est enregistré sur ton bureau.

Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.

Merci

...........................

2)
Téléchargez MalwareByte's Anti-Malware

http://www.malwarebytes.org/mbam/program/mbam-setup.exe

. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller


Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam


0
Réponse 10 / 22
Utilisateur anonyme
2 janv. 2010 à 12:42
Voila le rapport USBFIX, je poursuis avec MalwareBytes.


############################## | UsbFix V6.069 |

User : Pierre (Administrateurs) # PC-DE-PIERRE
Update on 01/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 12:30:21 | 02/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Genuine Intel(R) CPU T2080 @ 1.73GHz
Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6000 32-bit) #
Internet Explorer 7.0.6000.16851
Windows Firewall Status : Disabled
AV : avast! antivirus 4.8.1368 [VPS 091229-0] 4.8.1368 [ Enabled | Updated ]

C:\ -> Disque fixe local # 141,04 Go (14,77 Go free) [HDD] # NTFS
D:\ -> Disque CD-ROM # 770,19 Mo (0 Mo free) [Sims2EP6] # UDF

############################## | Processus actifs |

C:\Windows\System32\smss.exe 444
C:\Windows\system32\csrss.exe 508
C:\Windows\system32\wininit.exe 556
C:\Windows\system32\csrss.exe 568
C:\Windows\system32\services.exe 600
C:\Windows\system32\lsass.exe 612
C:\Windows\system32\lsm.exe 624
C:\Windows\system32\winlogon.exe 696
C:\Windows\system32\svchost.exe 808
C:\Windows\system32\svchost.exe 876
C:\Windows\System32\svchost.exe 908
C:\Windows\system32\Ati2evxx.exe 996
C:\Windows\System32\svchost.exe 1044
C:\Windows\System32\svchost.exe 1084
C:\Windows\system32\svchost.exe 1096
C:\Windows\system32\SLsvc.exe 1220
C:\Windows\system32\svchost.exe 1284
C:\Windows\system32\svchost.exe 1444
C:\Windows\system32\Ati2evxx.exe 1516
C:\Program Files\ATK Hotkey\ASLDRSrv.exe 1660
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 1672
C:\Program Files\Alwil Software\Avast4\ashServ.exe 1712
C:\Windows\system32\Dwm.exe 1816
C:\Windows\Explorer.EXE 1856
C:\Windows\system32\runonce.exe 1876
C:\Program Files\ATK Hotkey\Hcontrol.exe 2044
C:\Program Files\ATK Hotkey\ATKOSD.exe 376
C:\Windows\System32\spoolsv.exe 1528
C:\Windows\system32\svchost.exe 1772
C:\Windows\system32\taskeng.exe 1836
C:\Windows\system32\svchost.exe 1280
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe 1012
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe 2172
C:\Windows\system32\svchost.exe 2184
C:\Windows\System32\svchost.exe 2216
C:\Windows\system32\SearchIndexer.exe 2260
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe 2404
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 2628
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 2656
C:\Windows\system32\wbem\wmiprvse.exe 2728
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe 2752

################## | Elements infectieux |

Supprimé ! C:\$Recycle.Bin\S-1-5-21-1037032078-3726954694-1358181774-1002
Non supprimé ! D:\autorun.inf

################## | Registre |

Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"
Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{8dbdcc7e-967e-11dc-bb4b-00038a000015}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[16/04/2008 08:59|--a------|0] C:\AILog.txt
[16/05/2009 16:08|--a------|5022] C:\AS Cannes Football.rtf
[26/09/2009 22:11|--a------|39730] C:\Athletic Club.html
[18/09/2006 22:43|--a------|24] C:\autoexec.bat
[02/11/2006 10:53|-rahs----|438840] C:\bootmgr
[25/05/2007 18:23|-ra-s----|8192] C:\BOOTSECT.BAK
[27/09/2009 11:42|--a------|26048] C:\C. At. Osasuna.html
[26/09/2009 22:10|--a------|44190] C:\C. Atl‚tico Madrid S.A.D..html
[02/01/2010 00:43|--a------|14026] C:\ComboFix.txt
[18/09/2006 22:43|--a------|10] C:\config.sys
[06/08/2003 08:33|--a------|756] C:\contact.ini
[26/09/2009 18:56|--a------|18130] C:\C¢rdoba C.F., S.A.D..html
[26/09/2009 18:53|--a------|33112] C:\C¢rdoba C.F., S.A.D..rtf
[18/09/2008 18:03|--a------|60288] C:\drmk.sys
[26/09/2009 21:53|--a------|37892] C:\F.C. Barcelona.html
[09/08/2009 13:07|--a------|717] C:\file_id.diz
[27/09/2009 11:17|--a------|30912] C:\GetafeC.F., S.A.D..html
[?|?|?] C:\hiberfil.sys
[27/09/2009 10:53|--a------|26610] C:\H‚rcules C.F., S.A.D..html
[09/08/2009 19:36|--a------|352] C:\Instrucciones.txt
[25/09/2007 09:21|-rahs----|0] C:\IO.SYS
[25/05/2007 09:03|--ah-----|1805] C:\IPH.PH
[25/09/2007 09:21|-rahs----|0] C:\MSDOS.SYS
[27/09/2009 11:17|--a------|41642] C:\M laga C.F., S.A.D..html
[29/02/2004 16:44|--a------|52576] C:\orange.bmp
[?|?|?] C:\pagefile.sys
[17/05/2009 13:40|--a------|14536] C:\Paris.rtf
[03/08/2004 23:15|--a------|145792] C:\portcls.sys
[07/08/2009 21:32|--ah-----|0] C:\ProgramData.LOG1
[07/08/2009 21:32|--ah-----|0] C:\ProgramData.LOG2
[27/09/2009 10:53|--a------|28512] C:\R. Racing Club S.A.D..html
[27/09/2009 11:18|--a------|27668] C:\R. Valladolid C.F., S.A.D..html
[27/09/2009 11:43|--a------|33650] C:\R. Zaragoza S.A.D..html
[27/09/2009 11:17|--a------|30954] C:\R.C. Deportivo de La Coru¤a S.A.D..html
[27/09/2009 10:53|--a------|29248] C:\R.C. Recreativo de Huelva S.A.D..html
[27/09/2009 11:42|--a------|33752] C:\R.C.D. Espanyol de Barcelona S.A.D..html
[27/09/2009 10:53|--a------|34284] C:\R.C.D. Mallorca S.A.D..html
[09/08/2009 19:37|--a------|72918] C:\RAR.Password.Unlocker.PNG
[26/09/2009 22:10|--a------|29902] C:\Real Betis B., S.A.D..html
[26/09/2009 21:53|--a------|48318] C:\Real Madrid C.F..html
[11/11/2009 22:08|--a------|18572] C:\Real Sociedad S.A.D..html
[11/11/2009 22:07|--a------|21334] C:\Real Sociedad S.A.D..rtf
[25/05/2007 08:58|--a------|335] C:\RHDSetup.log
[26/09/2009 22:10|--a------|29014] C:\Sevilla F.C., S.A.D..html
[02/01/2010 12:33|--a------|5756] C:\UsbFix.txt
[26/09/2009 18:54|--a------|27742] C:\Valencia C.F., S.A.D..html
[26/09/2009 18:54|--a------|35968] C:\Valencia C.F., S.A.D..rtf
[27/09/2009 11:42|--a------|27644] C:\Villarreal C.F., S.A.D..html
[21/08/2008 03:46|--a------|126] C:\www.intercambiosvirtuales.org.url
[09/08/2009 13:07|--a------|4974] C:\ypogeios.nfo
[04/08/2007 16:54|-ra------|700416] D:\AutoRun.exe
[04/08/2007 15:09|-ra------|659456] D:\AutoRunGUI.dll
[04/08/2007 13:23|-ra------|10134] D:\Sims2EP6.ico
[04/08/2007 15:10|-ra------|286720] D:\Sims2EP6_Uninst.exe
[04/08/2007 17:00|-ra------|152] D:\autorun.inf
[04/08/2007 17:00|-ra------|458] D:\common_filelist.txt
[04/08/2007 17:00|-ra------|746606708] D:\compressed.zip
[04/08/2007 16:54|-ra------|356352] D:\eauninstall.exe
[04/08/2007 13:23|-ra------|10134] D:\eauninstall.ico

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.

################## | Crack > Keygen > Serial |

"C:\Aoe2adon\crack.zip"
-> Contain : empires2.EXE 2555949 DFLT-X 54% 1173436 31-08-2000 22:38:50 87e1cd97

"C:\Users\Pierre\Downloads\Rar.Password.Unlocker.v3.0.Win2KXP2003Vista.Cracked-YPOGEiOS.rar"
-> contain : Crack\RARPasswordUnlocker.exe

"C:\Users\Pierre\Downloads\Rar.Password.Unlocker.v3.0.Win2KXP2003Vista.Cracked-YPOGEiOS.rar"
-> contain : setup.exe


################## | Upload |

Veuillez envoyer le fichier : C:\Users\Pierre\Desktop\UsbFix_Upload_Me_PC-de-Pierre.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.069 ! |
0
Réponse 11 / 22
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
2 janv. 2010 à 13:25
ok

@+
0
Réponse 12 / 22
Utilisateur anonyme
2 janv. 2010 à 15:46
Voila le rapport Malwarebytes. Le programme a fonctionné, ce qui n'avait pas été le cas précédemment, signe qu'USBFIX a marché.


Malwarebytes' Anti-Malware 1.43
Version de la base de données: 3458
Windows 6.0.6000
Internet Explorer 7.0.6000.16851

02/01/2010 15:30:44
mbam-log-2010-01-02 (15-30-44).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 288297
Temps écoulé: 1 hour(s), 8 minute(s), 2 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\OOO (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\OOO (Rogue.LivePlayer) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Qoobox\Quarantine\C\Windows\System32\H8SRTddyfhdwcgr.dll.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Windows\System32\drivers\H8SRTbmvwcpeuva.sys.vir (Malware.Packer) -> Quarantined and deleted successfully.
0
Réponse 13 / 22
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
2 janv. 2010 à 17:22
signe que combofix a marché...


relances RSIT et postes juste le rapport log stp

0
Réponse 14 / 22
Utilisateur anonyme
2 janv. 2010 à 18:00
Voici le rapport log de RSIT


Logfile of random's system information tool 1.06 (written by random/random)
Run by Pierre at 2010-01-02 17:56:42
Microsoft® Windows Vista™ Édition Familiale Premium
System drive C: has 15 GB (10%) free of 144 GB
Total RAM: 1791 MB (64% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:56:44, on 02/01/2010
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16851)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Common Files\aol\1180080098\ee\aolsoftware.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Windows\System32\gsicon.exe
C:\Windows\System32\dslagent.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Windows\ehome\ehmsas.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Pierre\Desktop\RSIT.exe
C:\Users\Pierre\Desktop\Pierre.exe
C:\Windows\system32\DllHost.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
O4 - HKLM\..\Run: [SynTPEnh] "C:\Program Files\Synaptics\SynTP\SynTPEnh.exe"
O4 - HKLM\..\Run: [RtHDVCpl] "RtHDVCpl.exe"
O4 - HKLM\..\Run: [HostManager] "C:\Program Files\Common Files\AOL\1180080098\ee\AOLSoftware.exe"
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GSICONEXE] "GSICON.EXE"
O4 - HKLM\..\Run: [DSLAGENTEXE] "dslagent.exe" USB
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Program Files\Common Files\AOL\ACS\AOLAcsd.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
0
Réponse 15 / 22
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
2 janv. 2010 à 18:15
refais usbfix option 2 avec ton support usb prénommé H qui n'y était pas la première fois

et postes le rapport
0
Réponse 16 / 22
Utilisateur anonyme
2 janv. 2010 à 19:27
Oui, désolé, c'est une vieille clef usb bootable, je l'avais retirée au démarrage et ne l'avais pas remise ensuite, d'où l'absence sur le premier rapport usbfix.
Cela va t'il poser un problème si je l'enlève au redémarrage et la remet juste après? Si il y a un autre moyen pour éviter le boot sur la clef usb, je suis preneur.

Voila le rapport usbfix avec prise en compte de la clef usb (partitions J et H)


############################## | UsbFix V6.069 |

User : Pierre (Administrateurs) # PC-DE-PIERRE
Update on 01/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 19:06:53 | 02/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Genuine Intel(R) CPU T2080 @ 1.73GHz
Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6000 32-bit) #
Internet Explorer 7.0.6000.16851
Windows Firewall Status : Disabled
AV : avast! antivirus 4.8.1368 [VPS 091229-0] 4.8.1368 [ Enabled | Updated ]

C:\ -> Disque fixe local # 141,04 Go (14,22 Go free) [HDD] # NTFS
D:\ -> Disque CD-ROM # 770,19 Mo (0 Mo free) [Sims2EP6] # UDF
H:\ -> Disque fixe local # 1,96 Mo (0,56 Mo free) [Local Disk] # FAT
J:\ -> Disque fixe local # 248,22 Mo (99,36 Mo free) # FAT

############################## | Processus actifs |

C:\Windows\System32\smss.exe 380
C:\Windows\system32\csrss.exe 508
C:\Windows\system32\csrss.exe 556
C:\Windows\system32\wininit.exe 564
C:\Windows\system32\services.exe 600
C:\Windows\system32\lsass.exe 612
C:\Windows\system32\lsm.exe 620
C:\Windows\system32\winlogon.exe 664
C:\Windows\system32\svchost.exe 792
C:\Windows\system32\svchost.exe 868
C:\Windows\System32\svchost.exe 920
C:\Windows\system32\Ati2evxx.exe 1016
C:\Windows\System32\svchost.exe 1068
C:\Windows\System32\svchost.exe 1100
C:\Windows\system32\svchost.exe 1116
C:\Windows\system32\SLsvc.exe 1224
C:\Windows\system32\svchost.exe 1300
C:\Windows\system32\Ati2evxx.exe 1420
C:\Windows\system32\svchost.exe 1480
C:\Program Files\ATK Hotkey\ASLDRSrv.exe 1664
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 1696
C:\Program Files\Alwil Software\Avast4\ashServ.exe 1760
C:\Windows\system32\Dwm.exe 1812
C:\Windows\Explorer.EXE 1860
C:\Windows\system32\runonce.exe 1892
C:\Program Files\ATK Hotkey\Hcontrol.exe 1940
C:\Program Files\ATK Hotkey\ATKOSD.exe 496
C:\Windows\System32\spoolsv.exe 1548
C:\Windows\system32\taskeng.exe 1472
C:\Windows\system32\svchost.exe 1432
C:\Windows\system32\svchost.exe 1780
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe 1064
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe 2208
C:\Windows\system32\svchost.exe 2220
C:\Windows\System32\svchost.exe 2264
C:\Windows\system32\SearchIndexer.exe 2284
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe 2416
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 2732
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 2748
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe 2856
C:\Windows\system32\wbem\wmiprvse.exe 2940

################## | Elements infectieux |

Supprimé ! C:\$Recycle.Bin\S-1-5-21-1037032078-3726954694-1358181774-1002
Non supprimé ! D:\autorun.inf
Non supprimé ! H:\autorun.inf
Supprimé ! J:\log.txt

################## | Registre |


################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{8dbdcc7e-967e-11dc-bb4b-00038a000015}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[16/04/2008 08:59|--a------|0] C:\AILog.txt
[16/05/2009 16:08|--a------|5022] C:\AS Cannes Football.rtf
[26/09/2009 22:11|--a------|39730] C:\Athletic Club.html
[18/09/2006 22:43|--a------|24] C:\autoexec.bat
[02/11/2006 10:53|-rahs----|438840] C:\bootmgr
[25/05/2007 18:23|-ra-s----|8192] C:\BOOTSECT.BAK
[27/09/2009 11:42|--a------|26048] C:\C. At. Osasuna.html
[26/09/2009 22:10|--a------|44190] C:\C. Atl‚tico Madrid S.A.D..html
[02/01/2010 00:43|--a------|14026] C:\ComboFix.txt
[18/09/2006 22:43|--a------|10] C:\config.sys
[06/08/2003 08:33|--a------|756] C:\contact.ini
[26/09/2009 18:56|--a------|18130] C:\C¢rdoba C.F., S.A.D..html
[26/09/2009 18:53|--a------|33112] C:\C¢rdoba C.F., S.A.D..rtf
[18/09/2008 18:03|--a------|60288] C:\drmk.sys
[26/09/2009 21:53|--a------|37892] C:\F.C. Barcelona.html
[09/08/2009 13:07|--a------|717] C:\file_id.diz
[27/09/2009 11:17|--a------|30912] C:\GetafeC.F., S.A.D..html
[?|?|?] C:\hiberfil.sys
[27/09/2009 10:53|--a------|26610] C:\H‚rcules C.F., S.A.D..html
[09/08/2009 19:36|--a------|352] C:\Instrucciones.txt
[25/09/2007 09:21|-rahs----|0] C:\IO.SYS
[25/05/2007 09:03|--ah-----|1805] C:\IPH.PH
[25/09/2007 09:21|-rahs----|0] C:\MSDOS.SYS
[27/09/2009 11:17|--a------|41642] C:\M laga C.F., S.A.D..html
[29/02/2004 16:44|--a------|52576] C:\orange.bmp
[?|?|?] C:\pagefile.sys
[17/05/2009 13:40|--a------|14536] C:\Paris.rtf
[03/08/2004 23:15|--a------|145792] C:\portcls.sys
[07/08/2009 21:32|--ah-----|0] C:\ProgramData.LOG1
[07/08/2009 21:32|--ah-----|0] C:\ProgramData.LOG2
[27/09/2009 10:53|--a------|28512] C:\R. Racing Club S.A.D..html
[27/09/2009 11:18|--a------|27668] C:\R. Valladolid C.F., S.A.D..html
[27/09/2009 11:43|--a------|33650] C:\R. Zaragoza S.A.D..html
[27/09/2009 11:17|--a------|30954] C:\R.C. Deportivo de La Coru¤a S.A.D..html
[27/09/2009 10:53|--a------|29248] C:\R.C. Recreativo de Huelva S.A.D..html
[27/09/2009 11:42|--a------|33752] C:\R.C.D. Espanyol de Barcelona S.A.D..html
[27/09/2009 10:53|--a------|34284] C:\R.C.D. Mallorca S.A.D..html
[09/08/2009 19:37|--a------|72918] C:\RAR.Password.Unlocker.PNG
[26/09/2009 22:10|--a------|29902] C:\Real Betis B., S.A.D..html
[26/09/2009 21:53|--a------|48318] C:\Real Madrid C.F..html
[11/11/2009 22:08|--a------|18572] C:\Real Sociedad S.A.D..html
[11/11/2009 22:07|--a------|21334] C:\Real Sociedad S.A.D..rtf
[25/05/2007 08:58|--a------|335] C:\RHDSetup.log
[26/09/2009 22:10|--a------|29014] C:\Sevilla F.C., S.A.D..html
[02/01/2010 19:10|--a------|5657] C:\UsbFix.txt
[26/09/2009 18:54|--a------|27742] C:\Valencia C.F., S.A.D..html
[26/09/2009 18:54|--a------|35968] C:\Valencia C.F., S.A.D..rtf
[27/09/2009 11:42|--a------|27644] C:\Villarreal C.F., S.A.D..html
[21/08/2008 03:46|--a------|126] C:\www.intercambiosvirtuales.org.url
[09/08/2009 13:07|--a------|4974] C:\ypogeios.nfo
[04/08/2007 16:54|-ra------|700416] D:\AutoRun.exe
[04/08/2007 15:09|-ra------|659456] D:\AutoRunGUI.dll
[04/08/2007 13:23|-ra------|10134] D:\Sims2EP6.ico
[04/08/2007 15:10|-ra------|286720] D:\Sims2EP6_Uninst.exe
[04/08/2007 17:00|-ra------|152] D:\autorun.inf
[04/08/2007 17:00|-ra------|458] D:\common_filelist.txt
[04/08/2007 17:00|-ra------|746606708] D:\compressed.zip
[04/08/2007 16:54|-ra------|356352] D:\eauninstall.exe
[04/08/2007 13:23|-ra------|10134] D:\eauninstall.ico
[21/03/2003 15:45|---------|2238] H:\AutoRun.ico
[21/03/2003 15:45|---------|177] H:\AUTORUN.INF
[21/03/2003 15:45|---------|834802] H:\autorunfile.exe
[21/03/2003 15:45|---------|588878] H:\logo.jpg
[21/03/2003 15:45|---------|36864] H:\ShelExec.exe
[21/11/2007 10:21|--a------|356864] J:\Th-se_professionnelle[1] dernier et bon ppt.ppt
[08/05/2008 13:12|--a------|159123] J:\1.jpg
[08/05/2008 13:14|--a------|142053] J:\2.jpg
[08/05/2008 13:18|--a------|118005] J:\5.jpg
[08/05/2008 13:19|--a------|62304] J:\6.jpg
[08/05/2008 13:16|--a------|90802] J:\3.jpg
[08/05/2008 13:19|--a------|95855] J:\7.jpg
[08/05/2008 13:18|--a------|121130] J:\4.jpg
[24/05/2009 20:21|--a------|208896] J:\2e jour.doc
[30/12/2009 20:37|--ahs----|19968] J:\Thumbs.db
[30/12/2009 20:41|--a------|781909] J:\RSIT.exe
[30/12/2009 20:52|--a------|4844296] J:\mbam-setup.exe
[30/12/2009 20:50|--a------|3357024] J:\ccsetup227.exe
[30/12/2009 22:23|--a------|401720] J:\HiJackThis.exe
[30/12/2009 22:25|--a------|9770] J:\hijackthis.log
[01/01/2010 19:56|--a------|28160] J:\Logfile of Trend Micro HijackThis v2.doc
[01/01/2010 22:57|--a------|1872472] J:\SmitfraudFix.exe
[01/01/2010 23:28|--a------|4229] J:\hijackthis2.txt
[01/01/2010 23:40|--a------|29139] J:\info.txt
[01/01/2010 23:53|--a------|3879975] J:\MDG.exe.exe
[02/01/2010 00:48|--a------|14026] J:\log rapport combofix.txt
[02/01/2010 12:20|--a------|1668247] J:\UsbFix.exe
[02/01/2010 12:40|--a------|7442] J:\usbfixrapport.txt
[02/01/2010 15:42|--a------|1485] J:\mbam-log-2010-01-02 (15-30-44).txt

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.
# J:\autorun.inf -> Dossier créé par UsbFix.

################## | Crack > Keygen > Serial |

"C:\Aoe2adon\crack.zip"
-> Contain : empires2.EXE 2555949 DFLT-X 54% 1173436 31-08-2000 22:38:50 87e1cd97

"C:\Users\Pierre\Downloads\Rar.Password.Unlocker.v3.0.Win2KXP2003Vista.Cracked-YPOGEiOS.rar"
-> contain : Crack\RARPasswordUnlocker.exe

"C:\Users\Pierre\Downloads\Rar.Password.Unlocker.v3.0.Win2KXP2003Vista.Cracked-YPOGEiOS.rar"
-> contain : setup.exe


################## | Upload |

Veuillez envoyer le fichier : C:\Users\Pierre\Desktop\UsbFix_Upload_Me_PC-de-Pierre.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .
0
Réponse 17 / 22
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
2 janv. 2010 à 20:06
plus de soucis pour cette clé qui était infectée...

deux fichiers à verifier avant de finir

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :
C:\Windows\Mvpbr.INI
C:\ProgramData\sysReserve.ini

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers :

Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu

Puis fais «appliquer» pour valider les changements.

Et OK

0
Réponse 18 / 22
Utilisateur anonyme
2 janv. 2010 à 21:47
Fichier sysReserve.ini reçu le 2010.01.02 20:38:07 (UTC)
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.46 2010.01.02 -
AhnLab-V3 5.0.0.2 2010.01.02 -
AntiVir 7.9.1.122 2009.12.31 -
Antiy-AVL 2.0.3.7 2009.12.31 -
Authentium 5.2.0.5 2010.01.02 -
Avast 4.8.1351.0 2010.01.02 -
AVG 8.5.0.430 2010.01.02 -
BitDefender 7.2 2010.01.02 -
CAT-QuickHeal 10.00 2010.01.02 -
ClamAV 0.94.1 2010.01.01 -
Comodo 3449 2010.01.02 -
DrWeb 5.0.1.12222 2010.01.02 -
eSafe 7.0.17.0 2009.12.31 -
eTrust-Vet 35.1.7210 2010.01.01 -
F-Prot 4.5.1.85 2010.01.02 -
F-Secure 9.0.15370.0 2010.01.02 -
Fortinet 4.0.14.0 2010.01.02 -
GData 19 2010.01.02 -
Ikarus T3.1.1.79.0 2009.12.31 -
Jiangmin 13.0.900 2010.01.02 -
K7AntiVirus 7.10.936 2010.01.02 -
Kaspersky 7.0.0.125 2010.01.02 -
McAfee 5849 2010.01.02 -
McAfee+Artemis 5849 2010.01.02 -
McAfee-GW-Edition 6.8.5 2010.01.01 -
Microsoft 1.5302 2010.01.02 -
NOD32 4738 2010.01.02 -
Norman 6.04.03 2009.12.31 -
nProtect 2009.1.8.0 2009.12.31 -
Panda 10.0.2.2 2010.01.02 -
PCTools 7.0.3.5 2010.01.02 -
Prevx 3.0 2010.01.02 -
Rising 22.28.03.04 2009.12.31 -
Sophos 4.49.0 2010.01.02 -
Sunbelt 3.2.1858.2 2010.01.02 -
TheHacker 6.5.0.3.125 2010.01.02 -
TrendMicro 9.120.0.1004 2010.01.02 -
VBA32 3.12.12.1 2010.01.01 -
ViRobot 2009.12.31.2118 2009.12.31 -
VirusBuster 5.0.21.0 2010.01.02 -
Information additionnelle
File size: 8 bytes
MD5...: 6a4d872c34023fdf5eaf6285f8d4aa03
SHA1..: e60d143e12405fd3563fc8646b93b662abee5b3d
SHA256: 9da33d66f3d1f3eee457dfb5a335808adab07357e0d62b2e34b215c2895bc434
ssdeep: 3:Cyr:Cyr<br>
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set<br>-
sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
pdfid.: -
trid..: Unknown!


Fichier Mvpbr.INI reçu le 2010.01.02 20:44:31 (UTC)
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.46 2010.01.02 -
AhnLab-V3 5.0.0.2 2010.01.02 -
AntiVir 7.9.1.122 2009.12.31 -
Antiy-AVL 2.0.3.7 2009.12.31 -
Authentium 5.2.0.5 2010.01.02 -
Avast 4.8.1351.0 2010.01.02 -
AVG 8.5.0.430 2010.01.02 -
BitDefender 7.2 2010.01.02 -
CAT-QuickHeal 10.00 2010.01.02 -
ClamAV 0.94.1 2010.01.01 -
Comodo 3449 2010.01.02 -
DrWeb 5.0.1.12222 2010.01.02 -
eSafe 7.0.17.0 2009.12.31 -
eTrust-Vet 35.1.7210 2010.01.01 -
F-Prot 4.5.1.85 2010.01.02 -
F-Secure 9.0.15370.0 2010.01.02 -
Fortinet 4.0.14.0 2010.01.02 -
GData 19 2010.01.02 -
Ikarus T3.1.1.79.0 2009.12.31 -
Jiangmin 13.0.900 2010.01.02 -
K7AntiVirus 7.10.936 2010.01.02 -
Kaspersky 7.0.0.125 2010.01.02 -
McAfee 5849 2010.01.02 -
McAfee+Artemis 5849 2010.01.02 -
McAfee-GW-Edition 6.8.5 2010.01.01 -
Microsoft 1.5302 2010.01.02 -
NOD32 4738 2010.01.02 -
Norman 6.04.03 2009.12.31 -
nProtect 2009.1.8.0 2009.12.31 -
Panda 10.0.2.2 2010.01.02 -
PCTools 7.0.3.5 2010.01.02 -
Prevx 3.0 2010.01.02 -
Rising 22.28.03.04 2009.12.31 -
Sophos 4.49.0 2010.01.02 -
Sunbelt 3.2.1858.2 2010.01.02 -
TheHacker 6.5.0.3.125 2010.01.02 -
TrendMicro 9.120.0.1004 2010.01.02 -
VBA32 3.12.12.1 2010.01.01 -
ViRobot 2009.12.31.2118 2009.12.31 -
VirusBuster 5.0.21.0 2010.01.02 -
Information additionnelle
File size: 237 bytes
MD5...: 3918c2a05f355aac717ef1c2399b2c1f
SHA1..: be0fc44a6d0691bcb79d5d6f6a1436dbaaecfbdb
SHA256: 9a5e9776d69f0780892117280eed53e27c4ee262fd0ec92c8bc0ccf187fac031
ssdeep: 6:iIvDJCXWMGrHOHzCuovtuGtD4i3iBvavE8H1SQAHOu:iSVCXEHOHzCueu88iSB<br>vavE8VQHOu<br>
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set<br>-
pdfid.: -
trid..: Generic INI configuration (100.0%)
sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
0
Réponse 19 / 22
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
2 janv. 2010 à 22:53
c'est ok on nettoie

1)
Cherches et cliques sur C:\Users\Pierre\Desktop\Pierre.exe
Au menu principal, choisir do a scan only, puis cocher la case devant les lignes suivantes à corriger et cliquer en bas sur Fix Checked


O4 - HKLM\..\Run: [HostManager] "C:\Program Files\Common Files\AOL\1180080098\ee\AOLSoftware.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GSICONEXE] "GSICON.EXE"

.................

2)

mettre à jour vista
https://www.commentcamarche.net/telecharger/utilitaires/24007-windows-vista-sp1/

puis

https://www.01net.com/telecharger/windows/Utilitaire/dll_librairies/fiches/46736.html

mettre à jour internet explorer
https://support.microsoft.com/fr-fr/allproducts


......................

3)
IMPORTANT

Purger la restauration systeme vista
https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista


.................

4)
Télécharge ToolsCleaner2sur ton Bureau.
https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/

* Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur ToolsCleaner2.exe pour le lancer.
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport.
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).


0
Réponse 20 / 22
Utilisateur anonyme
4 janv. 2010 à 20:06
[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\Combofix.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\Qoobox: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\Users\Pierre\AppData\Roaming\Microsoft\Windows\Recent\UsbFix.lnk: trouvé !
C:\Users\Pierre\Desktop\HijackThis.exe: trouvé !
C:\Users\Pierre\Desktop\SmitFraudFix.exe: trouvé !
C:\Users\Pierre\Desktop\hijackthis.log: trouvé !
C:\Users\Pierre\Desktop\UsbFix.exe: trouvé !
C:\Users\Pierre\Desktop\Rsit.exe: trouvé !
C:\Windows\mbr.exe: trouvé !

---------------------------------
--> Suppression:

C:\Users\Pierre\Desktop\HijackThis.exe: supprimé !
C:\Users\Pierre\Desktop\SmitFraudFix.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\Users\Pierre\AppData\Roaming\Microsoft\Windows\Recent\UsbFix.lnk: supprimé !
C:\Users\Pierre\Desktop\hijackthis.log: supprimé !
C:\Users\Pierre\Desktop\UsbFix.exe: supprimé !
C:\Users\Pierre\Desktop\Rsit.exe: supprimé !
C:\Windows\mbr.exe: supprimé !
C:\Qoobox: supprimé !
C:\UsbFix: supprimé !
C:\Rsit: supprimé !
0

Discussions similaires

Comment supprimer tor.jack sur Android
sabinelouisonbruno -
akaloupile -

4 réponses
Win64:Malware-gen
ptb35 -
MisteryBean -

3 réponses
win32:malware-gen bloqué par avast
ikkual -
Utilisateur anonyme -

69 réponses
Problème de malware
jbijp -
MisteryBean -

1 réponse
Tor.Jack.Malware
Camille -
bazfile -

1 réponse