rootkit

Question

Bonjour,
j ai suivi le tutorial pour eliminer un rootkit
comment poster les 2 fichiers texte??
merci

gen-hackman · Answer

salut copier coller dans ta reponse

jacquescoco · Answer

Logfile of random's system information tool 1.06 (written by random/random)
Run by Jacques-Antoine at 2010-01-11 22:14:28
Microsoft® Windows Vista™ Édition Familiale Premium  Service Pack 1
System drive C: has 241 GB (65%) free of 369 GB
Total RAM: 3038 MB (54% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:15:48, on 11/01/2010
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18865)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\acrotray.exe
C:\Program Files\Sony\ISB Utility\ISBMgr.exe
C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
C:\Program Files\Apoint\ApMsgFwd.exe
C:\Program Files\Sony\VAIO Update 4\VAIOUpdt.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Sony\Marketing Tools\MarketingTools.exe
C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
C:\Program Files\Lecteur CANAL+\TVEService.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Sony\Network Utility\LANUtil.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Canal+\CANAL+ CANALSAT A LA DEMANDE\CANAL+ CANALSAT A LA DEMANDE.EXE
C:\Program Files\Brother\ControlCenter3\brccMCtl.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\CLWatson.exe
C:\Windows\system32\conime.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtblfs.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Java\jre1.6.0_06\bin\jucheck.exe
C:\Program Files\Sony\VCM Manager Setting\VcmMgrNotification.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\Jacques-Antoine\Desktop\RSIT.exe
C:\Program Files	rend micro\Jacques-Antoine.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\PROGRA~1\GOOGLE~1\BAE.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [ISBMgr.exe] "C:\Program Files\Sony\ISB Utility\ISBMgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [MarketingTools] C:\Program Files\Sony\Marketing Tools\MarketingTools.exe
O4 - HKLM\..\Run: [AML] C:\Program Files\Sony\VAIO Launcher\AML.exe InitApp
O4 - HKLM\..\Run: [CanalPlayerHelper] C:\Program Files\Lecteur CANALPLAY\CanalPlayerHelper.exe
O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [CANAL+ CANALSAT A LA DEMANDE] "C:\Program Files\Canal+\CANAL+ CANALSAT A LA DEMANDE\Launcher.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe"
O4 - HKLM\..\Run: [TVEService] "C:\Program Files\Lecteur CANAL+\TVEService.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [NSUFloatingUI] "C:\Program Files\Sony\Network Utility\LANUtil.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: Outil de détection de support Picture Motion Browser.lnk = C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O8 - Extra context menu item: Envoyer l'&image au périphérique Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Clavier &virtuel - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Analyse des &liens - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O13 - Gopher Prefix: 
O15 - Trusted Zone: *.canalplay.com
O15 - Trusted Zone: *.canalplusactive.com
O15 - Trusted Zone: *.canalplay.com (HKLM)
O15 - Trusted Zone: *.canalplusactive.com (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\MZVKBD3.DLL C:\PROGRA~1\GOOGLE\GOOGLE~1\GOEC62~1.DLL
O23 - Service: Acronis OS Selector Reinstall Service (AcronisOSSReinstallSvc) - Unknown owner - C:\Program Files\Common Files\Acronis\Acronis Disk Director\oss_reinstall_svc.exe
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: CanalPlus.VOD - Canal+ Active - C:\Program Files\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD\CanalPlus.VOD.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - FirebirdSQL Project - C:\Program Files\Firebird\Firebird_2_0\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - FirebirdSQL Project - C:\Program Files\Firebird\Firebird_2_0\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Desktop Manager 5.9.911.3589 (GoogleDesktopManager-110309-193829) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NSUService - Sony Corporation - C:\Program Files\Sony\Network Utility\NSUService.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\Cyberlink\Shared files\RichVideo.exe
O23 - Service: Realtek Audio Service (RtkAudioService) - Realtek Semiconductor - C:\Windows\RtkAudioService.exe
O23 - Service: Service CANALPLAY - Canal+ Distribution - C:\Program Files\Lecteur CANALPLAY\CanalPlayService.exe
O23 - Service: VAIO Media plus Content Importer (SOHCImp) - Sony Corporation - C:\Program Files\Sony\VAIO Media plus\SOHCImp.exe
O23 - Service: VAIO Media plus Digital Media Server (SOHDms) - Sony Corporation - C:\Program Files\Sony\VAIO Media plus\SOHDms.exe
O23 - Service: VAIO Media plus Device Searcher (SOHDs) - Sony Corporation - C:\Program Files\Sony\VAIO Media plus\SOHDs.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: TVEnhance Background Capture Service (TBCS) (TVECapSvc) - Unknown owner - C:\Program Files\Lecteur CANAL+\Kernel\TV\TVECapSvc.exe
O23 - Service: TVEnhance Task Scheduler (TTS)) (TVESched) - Unknown owner - C:\Program Files\Lecteur CANAL+\Kernel\TV\TVESched.exe
O23 - Service: VAIO Entertainment TV Device Arbitration Service - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzHardwareResourceManager\VzHardwareResourceManager\VzHardwareResourceManager.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
O23 - Service: VAIO Power Management - Sony Corporation - C:\Program Files\Sony\VAIO Power Management\SPMService.exe
O23 - Service: VAIO Content Metadata Intelligent Analyzing Manager (VcmIAlzMgr) - Sony Corporation - C:\Program Files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzMgr.exe
O23 - Service: VAIO Content Metadata XML Interface (VcmXmlIfHelper) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VcmXml\VcmXmlIfHelper.exe
O23 - Service: VAIO Entertainment UPnP Client Adapter (Vcsw) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
O23 - Service: VAIO Entertainment Database Service (VzCdbSvc) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

gen-hackman · Answer

&#9654 Désactivez le contrôle des comptes utilisateurs avant utilisation de cet outil: 

&#9654 Allez dans "Démarrer" puis Panneau de configuration. 
&#9654 Double Cliquez sur l'icône Comptes d'utilisateurs et sur "Activer ou désactiver le contrôle des comptes d'utilisateurs".  
&#9654 Décochez la case Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur. 
&#9654 Validez par OK et redémarrez .

ensuite

&#9654 Télécharge Ad-remover ( de C_XX ) sur ton bureau : 


&#9654 Déconnecte toi et ferme toutes applications en cours ! 

&#9654 clic droit sur "Ad-R.exe" en tant qu'administrateur pour lancer l'installation et laisse les paramètres d'installation par défaut . 

&#9654 clic droit sur le raccourci Ad-remover en tant qu'administrateur qui est sur ton bureau pour lancer l'outil .
 
&#9654 Au menu principal choisis l'option "L" et tape sur [entrée] .

&#9654 Laisse travailler l'outil et ne touche à rien ... 

&#9654 Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

&#9654 Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

gen-hackman · Answer

je peux avoir son nom ?

et le rapport d ad-remover ?

jacquescoco · Answer

C:\Windows\System32\drivers\uyhxnnv.sys
rootkit/win32/agent/aghbm 
c'est ce qu il s affiche sur kaspersky( a peu pres parce que je n ai pas le temps de tout lire)
je n y arrive pas et je deviens fou apres avoir tout essayer.........;
que faire????
merci

gen-hackman · Answer

/!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\

▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

_______________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
======================================================

▶ On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

ou renommé :

http://ww38.toofiles.com/fr/oip/documents/exe/reader_sl.html , puis telecharge reader_sl

http://www.cijoint.fr/cjlink.php?file=cj200912/cijrhf1tyT.zip (à dezipper)

Avant d'utiliser ComboFix :
______________________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

>> Reviens sur le forum, et

▶ copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

gen-hackman · Answer

non laisse-le tourner comme ca

jacquescoco · Answer

ComboFix 10-01-12.02 - Jacques-Antoine 12/01/2010  22:51:35.2.2 - x86
Microsoft® Windows Vista™ Édition Familiale Premium   6.0.6001.1.1252.33.1036.18.3038.1749 [GMT 1:00]
Lancé depuis: c:\users\Jacques-Antoine\Desktop\ComboFix.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((   Fichiers créés du 2009-12-12 au 2010-01-12  ))))))))))))))))))))))))))))))))))))
.

2010-01-12 21:58 . 2010-01-12 21:58	--------	d-----w-	c:\users\Public\AppData\Local	emp
2010-01-12 21:58 . 2010-01-12 21:58	--------	d-----w-	c:\users\Default\AppData\Local	emp
2010-01-12 21:58 . 2010-01-12 21:58	--------	d-----w-	c:\users\Administrator\AppData\Local	emp
2010-01-12 19:03 . 2010-01-12 19:13	--------	d-----w-	c:\program files\Ad-Remover
2010-01-12 16:44 . 2010-01-12 16:44	--------	d-----w-	c:\users\Jacques-Antoine\AppData\Roaming\Malwarebytes
2010-01-12 16:43 . 2010-01-07 15:07	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-12 16:43 . 2010-01-12 16:43	--------	d-----w-	c:\programdata\Malwarebytes
2010-01-12 16:43 . 2010-01-12 16:43	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-01-12 16:43 . 2010-01-07 15:07	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-01-11 23:30 . 2010-01-11 23:30	93056	----a-w-	C:\agtdauoc.sys
2010-01-11 21:14 . 2010-01-11 21:15	--------	d-----w-	c:\program files	rend micro
2010-01-11 21:14 . 2010-01-11 21:15	--------	d-----w-	C:sit
2010-01-09 18:47 . 2010-01-09 18:47	--------	d-----w-	c:\program files\Sophos
2010-01-09 12:55 . 2007-01-18 12:00	3968	----a-w-	c:\windows\system32\drivers\AvgArCln.sys
2009-12-26 13:48 . 2009-12-26 13:48	653560	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2009-12-18 18:45 . 2009-12-18 18:45	--------	d-----w-	c:\program files\xiring
2009-12-18 17:54 . 2009-12-18 17:55	9702761	----a-w-	c:\programdata\CBA\Agathe\updates\APPLI_1.40.3.443.exe
2009-12-14 11:38 . 2009-11-09 13:22	24064	----a-w-	c:\windows\system32
shhttp.dll
2009-12-14 11:38 . 2009-11-09 13:20	31232	----a-w-	c:\windows\system32\httpapi.dll
2009-12-14 11:38 . 2009-11-09 11:04	411136	----a-w-	c:\windows\system32\drivers\http.sys
2009-12-14 11:22 . 2009-08-24 12:16	378368	----a-w-	c:\windows\system32\winhttp.dll

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-12 21:35 . 2009-08-06 22:24	--------	d-----w-	c:\programdata\Kaspersky Lab
2010-01-12 21:31 . 2008-08-13 09:42	12	----a-w-	c:\windows\bthservsdp.dat
2010-01-06 12:54 . 2009-04-16 09:59	449249	----a-w-	C:\G_Agathe.zip
2010-01-06 10:59 . 2008-01-21 08:40	672322	----a-w-	c:\windows\system32\perfh00C.dat
2010-01-06 10:59 . 2008-01-21 08:40	124434	----a-w-	c:\windows\system32\perfc00C.dat
2009-12-19 09:53 . 2008-08-13 12:18	--------	d-----w-	c:\programdata\FLEXnet
2009-12-18 17:52 . 2009-12-18 17:51	--------	d-----w-	c:\users\Jacques-Antoine\AppData\Roaming\CBA
2009-12-18 17:52 . 2009-04-06 12:31	--------	d-----w-	c:\programdata\CBA
2009-12-18 17:51 . 2009-12-18 17:51	--------	d-----w-	c:\program files\Firebird
2009-12-18 17:51 . 2009-12-18 17:50	--------	d-----w-	c:\program files\SESAM
2009-12-18 17:50 . 2009-04-06 12:31	--------	d-----w-	c:\program files\CBA
2009-12-16 00:00 . 2009-03-31 19:59	--------	d-----w-	c:\program files\Vuze
2009-12-14 17:45 . 2009-03-26 11:55	113912	----a-w-	c:\users\Jacques-Antoine\AppData\Local\GDIPFONTCACHEV1.DAT
2009-12-14 12:14 . 2006-11-02 11:18	--------	d-----w-	c:\program files\Windows Mail
2009-12-14 11:41 . 2008-08-24 07:36	--------	d-----w-	c:\programdata\Microsoft Help
2009-12-02 12:55 . 2009-03-31 19:59	--------	d-----w-	c:\users\Jacques-Antoine\AppData\Roaming\Azureus
2009-12-02 12:45 . 2009-12-02 12:45	8185792	----a-w-	c:\users\Jacques-Antoine\AppData\Roaming\Azureus	mp\AZU779.tmp\Vuze_4.3.0.4b_win32.exe
2009-11-25 05:54 . 2009-04-15 13:53	50	----a-w-	c:\windows\system32\bridf06a.dat
2009-11-21 06:40 . 2010-01-01 05:31	916480	----a-w-	c:\windows\system32\wininet.dll
2009-11-21 06:34 . 2010-01-01 05:31	71680	----a-w-	c:\windows\system32\iesetup.dll
2009-11-21 06:34 . 2010-01-01 05:31	109056	----a-w-	c:\windows\system32\iesysprep.dll
2009-11-21 04:59 . 2010-01-01 05:31	133632	----a-w-	c:\windows\system32\ieUnatt.exe
2009-11-12 18:59 . 2009-08-25 11:30	137968	---ha-w-	c:\windows\system32\mlfcache.dat
2009-11-02 19:42 . 2009-10-02 16:24	195456	------w-	c:\windows\system32\MpSigStub.exe
2009-10-29 09:41 . 2009-11-26 05:50	2048	----a-w-	c:\windows\system32	zres.dll
2009-10-20 13:09 . 2009-10-20 13:09	114048	----a-w-	c:\windows\system32\drivers\snapman.sys
2009-10-16 04:49 . 2009-09-29 11:24	38208	----a-w-	c:\users\Default\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2009-10-16 04:49 . 2009-04-30 17:56	38208	----a-w-	c:\users\Jacques-Antoine\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2009-10-15 12:20 . 2009-08-06 22:25	95259	----a-w-	c:\windows\system32\drivers\klick.dat
2009-10-15 12:20 . 2009-08-06 22:25	108059	----a-w-	c:\windows\system32\drivers\klin.dat
2009-08-06 22:27 . 2009-08-06 22:27	604140	--sha-w-	c:\windows\System32\drivers\ISwift3.dat
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NSUFloatingUI"="c:\program files\Sony\Network Utility\LANUtil.exe" [2008-07-30 262144]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-03-26 39408]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"RtHDVCpl"="RtHDVCpl.exe" [2008-07-18 6295552]
"Apoint"="c:\program files\Apoint\Apoint.exe" [2008-02-23 122880]
"Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2006-10-22 620152]
"ISBMgr.exe"="c:\program files\Sony\ISB Utility\ISBMgr.exe" [2008-04-03 317280]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 144784]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2009-11-16 30192]
"MarketingTools"="c:\program files\Sony\Marketing Tools\MarketingTools.exe" [2008-08-24 24576]
"AML"="c:\program files\Sony\VAIO Launcher\AML.exe" [2008-06-13 1097728]
"BrMfcWnd"="c:\program files\Brother\Brmfcmon\BrMfcWnd.exe" [2006-11-24 622592]
"ControlCenter3"="c:\program files\Brother\ControlCenter3\brctrcen.exe" [2006-07-19 65536]
"CANAL+ CANALSAT A LA DEMANDE"="c:\program files\Canal+\CANAL+ CANALSAT A LA DEMANDE\Launcher.exe" [2010-01-12 163928]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe" [2009-05-25 303376]
"TVEService"="c:\program files\Lecteur CANAL+\TVEService.exe" [2008-08-05 212992]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-09-04 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-09-21 305440]

c:\users\Jacques-Antoine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Outil de d‚tection de support Picture Motion Browser.lnk - c:\program files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe [2009-4-4 376832]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Reader Synchronizer.lnk - c:\program files\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe [2006-10-22 734872]
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-7-1 768552]
Lancement rapide d'Adobe Acrobat.lnk - c:\windows\Installer\{AC76BA86-1033-F400-BA7E-000000000003}\_SC_Acrobat.exe [2008-8-13 295606]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\VESWinlogon]
2008-07-15 16:04	98304	----a-w-	c:\windows\System32\VESWinlogon.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\KASPER~1\KASPER~1\mzvkbd3.dll c:\progra~1\Google\GOOGLE~1\GoogleDesktopNetwork3.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer2"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\System32\drivers\klbg.sys [15/12/2008 19:41 33808]
R1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:\windows\System32\drivers\klim6.sys [15/05/2009 17:50 21008]
R2 CanalPlus.VOD;CanalPlus.VOD;c:\program files\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD\CanalPlus.VOD.exe [28/04/2009 16:33 188416]
R2 NSUService;NSUService;c:\program files\Sony\Network Utility\NSUService.exe [24/08/2008 09:25 299008]
R2 regi;regi;c:\windows\System32\driversegi.sys [17/04/2007 19:09 11032]
R2 RtkAudioService;Realtek Audio Service;c:\windows\RTKAUDIOSERVICE.EXE [13/08/2008 10:37 104992]
R2 TVECapSvc;TVEnhance Background Capture Service (TBCS);c:\program files\Lecteur CANAL+\Kernel\TV\TVECapSvc.exe [10/09/2009 12:20 352380]
R2 TVESched;TVEnhance Task Scheduler (TTS));c:\program files\Lecteur CANAL+\Kernel\TV\TVESched.exe [10/09/2009 12:20 131194]
R2 VAIO Power Management;VAIO Power Management;c:\program files\Sony\VAIO Power Management\SPMService.exe [13/08/2008 13:20 411488]
R2 VcmIAlzMgr;VAIO Content Metadata Intelligent Analyzing Manager;c:\program files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzMgr.exe [24/08/2008 09:17 337184]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\System32\drivers\klmouflt.sys [16/05/2009 19:59 19472]
R3 NETw5v32;Pilote de carte Intel(R) Wireless WiFi Link pour Windows Vista 32 bits ;c:\windows\System32\drivers\NETw5v32.sys [28/04/2008 05:29 3658752]
R3 PayTVCore;PayTV BDA;c:\windows\System32\drivers\PayTVCore.sys [10/09/2009 11:17 38912]
R3 SFEP;Sony Firmware Extension Parser;c:\windows\System32\drivers\SFEP.sys [13/08/2008 20:04 9344]
S2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;c:\program files\Firebird\Firebird_2_0\bin\fbguard.exe -s --> c:\program files\Firebird\Firebird_2_0\bin\fbguard.exe -s [?]
S2 USB2CI;USBCAM-T USB Driver;c:\windows\System32\drivers\USB2CIUSB.sys [10/09/2009 11:09 89600]
S3 btwl2cap;Bluetooth L2CAP Service;c:\windows\System32\drivers\btwl2cap.sys [13/08/2008 10:44 29736]
S3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;c:\program files\Firebird\Firebird_2_0\bin\fbserver.exe -s --> c:\program files\Firebird\Firebird_2_0\bin\fbserver.exe -s [?]
S3 GoogleDesktopManager-110309-193829;Google Desktop Manager 5.9.911.3589;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [24/08/2008 09:01 30192]
S3 MODRC;CSD Infrared Receiver;c:\windows\System32\drivers\CSDRc.sys [10/09/2009 11:11 13824]
S3 Service CANALPLAY;Service CANALPLAY;c:\program files\Lecteur CANALPLAY\CanalPlayService.exe [24/08/2008 08:35 436096]
S3 SOHCImp;VAIO Media plus Content Importer;c:\program files\Sony\VAIO Media plus\SOHCImp.exe [24/08/2008 09:22 103712]
S3 SOHDms;VAIO Media plus Digital Media Server;c:\program files\Sony\VAIO Media plus\SOHDms.exe [24/08/2008 09:22 353568]
S3 SOHDs;VAIO Media plus Device Searcher;c:\program files\Sony\VAIO Media plus\SOHDs.exe [24/08/2008 09:22 62752]
S3 VcmXmlIfHelper;VAIO Content Metadata XML Interface;c:\program files\Common Files\Sony Shared\VcmXml\VcmXmlIfHelper.exe [24/08/2008 09:18 83232]
S4 VCFw;VAIO Content Folder Watcher;c:\program files\Common Files\Sony Shared\VAIO Content Folder Watcher\VCFw.exe [20/06/2008 07:56 415744]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - uyhxnnv

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs	REG_MULTI_SZ   	BthServ
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
IE: Ajouter au fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir la sélection en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la sélection en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convertir les liens sélectionnés en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
IE: Envoyer l'&image au périphérique Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
Trusted Zone: canalplay.com
Trusted Zone: canalplusactive.com
Trusted Zone: canalplay.com
Trusted Zone: canalplusactive.com
.
- - - - ORPHELINS SUPPRIMES - - - -

AddRemove-Ask Toolbar_is1 - c:\program files\AskBarDis\unins000.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-12 22:58
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\E12A.tmp"

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\uyhxnnv]

.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:0000003d

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'Explorer.exe'(2604)
c:\windows\system32\btmmhook.dll
.
Heure de fin: 2010-01-12  23:01:18
ComboFix-quarantined-files.txt  2010-01-12 22:01
ComboFix2.txt  2010-01-12 16:31

Avant-CF: 251 830 587 392 octets libres
Après-CF: 251 799 130 112 octets libres

- - End Of File - - EF9125B5C0F171BD5877E811B5E1C4E2

gen-hackman · Answer

__________________________________________________________
=>/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement cet ordinateur,<=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=====|
---------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

Collect::[4]
C:\Windows\System32\drivers\uyhxnnv.sys
C:\agtdauoc.sys

Folder::
c:\program files\AskBarDis

Driver::
uyhxnnv
MEMSWEEP2

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=-
"QuickTime Task"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=-
------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix que tu n'as renommé !

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

jacquescoco · Answer

je m excuse mais dois je renommer combofix
et le copie/collé se fait tel quel mais sans les trait du fond?
merci

gen-hackman · Answer

mais dois je renommer combofix 

non il fonctionne correctement apparement

copie/collé se fait tel quel mais sans les trait du fond?

oui uniquement ce qui est en gras

gen-hackman · Answer

c'est a toi :

:\Program Files\CBA ?

jacquescoco · Answer

oui je suis infirmier et c'est mon logiciel de boulot
important++++++++

gen-hackman · Answer

Télécharge OTL de OLDTimer

&#9654 enregistre le sur ton Bureau.

&#9654 Double clic ( pour vista => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.

&#9654 Coche les 2 cases Lop et Purity

&#9654 Coche la case devant scan all users

&#9654 règle-le sur "60 Days"

&#9654 dans la colonne de gauche , mets tout sur all

ne modifie pas ceci : 

"files created whithin" et "files modified whithin" 

&#9654Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt".

jacquescoco · Answer

http://www.cijoint.fr/cjlink.php?file=cj201001/cijCB9AP1i.txt 

http://www.cijoint.fr/cjlink.php?file=cj201001/cij6uoV5kD.txt

gen-hackman · Answer

&#9654 Double clic (pour vista/7 , clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous Customs Scans/Fixes :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 0
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab (Java Plug-in 1.6.0_06)
O16 - DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab (Java Plug-in 1.6.0_06)

:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"iTunesHelper"=-

:files
C:\Users\Jacques-Antoine\Desktop	dss remover
C:\Users\Jacques-Antoine\Desktop	dss_remover_latest.rar
C:\ProgramData\sysReserve.ini

:commands
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur RunFix pour lancer la suppression.


&#9654 Poste le rapport.

jacquescoco · Answer

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named Teatimer.exe was found!
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDrives deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\DisableRegistryTools deleted successfully.
Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA}\ not found.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\iTunesHelper deleted successfully.
========== FILES ==========
C:\Users\Jacques-Antoine\Desktop	dss remover folder moved successfully.
C:\Users\Jacques-Antoine\Desktop	dss_remover_latest.rar moved successfully.
C:\ProgramData\sysReserve.ini moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 0 bytes
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Jacques-Antoine
->Temp folder emptied: 66175 bytes
->Temporary Internet Files folder emptied: 138397195 bytes
->Java cache emptied: 1089788 bytes
->Apple Safari cache emptied: 788168 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 134,00 mb
 
 
OTL by OldTimer - Version 3.1.24.0 log created on 01132010_005212

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

gen-hackman · Answer

vide la quarantaine de kaspersky , et fais un scan complet avec puis poste le rapport

jacquescoco · Answer

comment fait on pour vider la quarantaine de kaspersky?
merci

gen-hackman · Answer

tu dois trouver ton bonheur ici :

http://www.malekal.com/tutorial_KIS6.php

jacquescoco · Answer

ok merci cher ami
je me penche la dessus et des que le scan est fini, je te poste le rapport
encore merci pour tout
je ne sais pas comment j aurai fait sinon.....

gen-hackman · Answer

;)

jacquescoco · Answer

13/01/2010 13:55:17	Fin de la tâche	Kaspersky Anti-Virus	Analyse Complète		
13/01/2010 12:20:18	Fin de la tâche	Kaspersky Anti-Virus	Recherche d'outils de dissimulation d'activité		
13/01/2010 12:09:11	Lancement de la tâche	Kaspersky Anti-Virus	Recherche d'outils de dissimulation d'activité		
13/01/2010 11:57:05	Lancement de la tâche	Kaspersky Anti-Virus	Analyse Complète		
13/01/2010 11:37:09	Tâche arrêtée	Kaspersky Anti-Virus	Analyse Complète		
13/01/2010 11:35:08	Lancement de la tâche	Kaspersky Anti-Virus	Analyse Complète		
13/01/2010 11:34:30	Tâche arrêtée	Kaspersky Anti-Virus	Analyse Complète		
13/01/2010 11:34:23	Lancement de la tâche	Kaspersky Anti-Virus	Analyse Complète		
13/01/2010 11:34:03	Tâche arrêtée	Kaspersky Anti-Virus	Analyse Complète		
13/01/2010 11:33:32	Lancement de la tâche	Kaspersky Anti-Virus	Analyse Complète		
13/01/2010 11:33:23	Tâche arrêtée	Kaspersky Anti-Virus	Analyse Complète		
13/01/2010 11:17:22	Fin de la tâche	Kaspersky Anti-Virus	Recherche d'outils de dissimulation d'activité		
13/01/2010 11:12:40	Lancement de la tâche	Kaspersky Anti-Virus	Analyse Complète		
13/01/2010 11:06:49	Lancement de la tâche	Kaspersky Anti-Virus	Recherche d'outils de dissimulation d'activité		
13/01/2010 00:44:30	Fin de la tâche	Kaspersky Anti-Virus	Recherche d'outils de dissimulation d'activité		
13/01/2010 00:32:19	Lancement de la tâche	Kaspersky Anti-Virus	Recherche d'outils de dissimulation d'activité		
Antivirus IM ("Chat")   (événements : 4)	
13/01/2010 11:39:05	Lancement de la tâche	Kaspersky Anti-Virus	Antivirus IM ("Chat")		
13/01/2010 10:36:42	Lancement de la tâche	Kaspersky Anti-Virus	Antivirus IM ("Chat")		
13/01/2010 00:56:34	Lancement de la tâche	Kaspersky Anti-Virus	Antivirus IM ("Chat")		
13/01/2010 00:02:17	Lancement de la tâche	Kaspersky Anti-Virus	Antivirus IM ("Chat")		
Défense Proactive   (événements : 4)	
13/01/2010 11:39:09	Lancement de la tâche	Kaspersky Anti-Virus	Défense Proactive		
13/01/2010 10:36:42	Lancement de la tâche	Kaspersky Anti-Virus	Défense Proactive		
13/01/2010 00:56:34	Lancement de la tâche	Kaspersky Anti-Virus	Défense Proactive		
13/01/2010 00:02:17	Lancement de la tâche	Kaspersky Anti-Virus	Défense Proactive		
Autodéfense   (événements : 17)	
13/01/2010 12:59:16	Interdit	COM Surrogate	C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe		
13/01/2010 12:59:02	Interdit	COM Surrogate	C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe		
13/01/2010 11:46:02	Interdit	Windows Explorer	C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe		
13/01/2010 11:44:11	Interdit	Google Desktop	C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe		
13/01/2010 11:40:28	Interdit	Kaspersky Anti-Virus	REGISTRY\MACHINE\SOFTWARE\KasperskyLab\protected\AVP9\Trace\Default		
13/01/2010 11:00:33	Interdit	Google Desktop	C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe		
13/01/2010 10:38:03	Interdit	Windows Explorer	C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe		
13/01/2010 10:37:05	Interdit	Kaspersky Anti-Virus	REGISTRY\MACHINE\SOFTWARE\KasperskyLab\protected\AVP9\Trace\Default		
13/01/2010 01:05:52	Interdit	Google Desktop	C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe		
13/01/2010 00:58:32	Interdit	Windows Explorer	C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe		
13/01/2010 00:57:37	Interdit	Kaspersky Anti-Virus	REGISTRY\MACHINE\SOFTWARE\KasperskyLab\protected\AVP9\Trace\Default		
13/01/2010 00:52:12	Interdit	OTL.exe	C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe		
13/01/2010 00:49:02	Interdit	Malwarebytes' Anti-Malware	C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe		
13/01/2010 00:23:10	Interdit	OTL.exe	C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe		
13/01/2010 00:04:55	Interdit	Google Desktop	C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe		
13/01/2010 00:03:53	Interdit	Windows Explorer	C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe		
13/01/2010 00:03:14	Interdit	Kaspersky Anti-Virus	REGISTRY\MACHINE\SOFTWARE\KasperskyLab\protected\AVP9\Trace\Default		
Antivirus Internet   (événements : 4)	
Antivirus Courrier   (événements : 4)	
13/01/2010 11:39:05	Lancement de la tâche	Kaspersky Anti-Virus	Antivirus Courrier		
13/01/2010 10:36:42	Lancement de la tâche	Kaspersky Anti-Virus	Antivirus Courrier		
13/01/2010 00:56:34	Lancement de la tâche	Kaspersky Anti-Virus	Antivirus Courrier		
13/01/2010 00:02:17	Lancement de la tâche	Kaspersky Anti-Virus	Antivirus Courrier		
Antivirus Fichiers   (événements : 4)	
13/01/2010 11:39:05	Lancement de la tâche	Kaspersky Anti-Virus	Antivirus Fichiers		
13/01/2010 10:36:42	Lancement de la tâche	Kaspersky Anti-Virus	Antivirus Fichiers		
13/01/2010 00:56:32	Lancement de la tâche	Kaspersky Anti-Virus	Antivirus Fichiers		
13/01/2010 00:02:17	Lancement de la tâche	Kaspersky Anti-Virus	Antivirus Fichiers		
Protection   (événements : 9)	
13/01/2010 13:17:33	Un programme malveillant a été découvert	Kaspersky Anti-Virus			
13/01/2010 11:37:09	La protection en temps réel ne fonctionne pas	Kaspersky Anti-Virus			
13/01/2010 01:14:44	La protection en temps réel ne fonctionne pas	Kaspersky Anti-Virus			
13/01/2010 00:54:42	La protection en temps réel ne fonctionne pas	Kaspersky Anti-Virus			
13/01/2010 00:04:58	Détectés: Packed.Win32.Krap.x	Kaspersky Anti-Virus	C:\USERS\JACQUES-ANTOINE\APPDATA\LOCAL\TEMP\~TM871F.tmp		
13/01/2010 00:04:58	Détectés: Trojan-Downloader.Win32.Piker.bbe	Kaspersky Anti-Virus	C:\USERS\JACQUES-ANTOINE\APPDATA\LOCAL\TEMP\0.4898500048209129.EXE		
13/01/2010 00:04:58	Détectés: Packed.Win32.TDSS.aa	Kaspersky Anti-Virus	C:\USERS\JACQUES-ANTOINE\APPDATA\LOCAL\TEMP\RFQWTL.EXE		
13/01/2010 00:02:17	Un programme malveillant a été découvert	Kaspersky Anti-Virus			
13/01/2010 00:00:29	La protection en temps réel ne fonctionne pas	Kaspersky Anti-Virus

gen-hackman · Answer

ce n'est pas la rapport de scan ca

Rootkit

24 réponses

Votre réponse

Discussions similaires

Newsletters