supprimer RKIT/Kryptic.763904

Question

Bonjour,

Antivir a trouvé le virus RKIT/Kryptic.763904 dans mon ordinateur, comment le supprimer ?
Voici le rapport de l'analyse ci dessous
merci 



Avira AntiVir Personal
Date de création du fichier de rapport : lundi 18 janvier 2010  15:35

La recherche porte sur 1554025 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows XP
Version de Windows      : (Service Pack 2)  [5.1.2600]
Mode Boot               : Démarré normalement
Identifiant             : Administrateur
Nom de l'ordinateur     : SWEET-02CADF57C

Informations de version :
BUILD.DAT               : 9.0.0.74      21698 Bytes  04/12/2009 13:56:00
AVSCAN.EXE              : 9.0.3.10     466689 Bytes  23/11/2009 15:01:10
AVSCAN.DLL              : 9.0.3.0       49409 Bytes  03/03/2009 09:21:02
LUKE.DLL                : 9.0.3.2      209665 Bytes  20/02/2009 10:35:11
LUKERES.DLL             : 9.0.2.0       13569 Bytes  03/03/2009 09:21:31
VBASE000.VDF            : 7.10.0.0   19875328 Bytes  06/11/2009 15:01:10
VBASE001.VDF            : 7.10.1.0    1372672 Bytes  19/11/2009 15:01:10
VBASE002.VDF            : 7.10.1.1       2048 Bytes  19/11/2009 15:01:10
VBASE003.VDF            : 7.10.1.2       2048 Bytes  19/11/2009 15:01:10
VBASE004.VDF            : 7.10.1.3       2048 Bytes  19/11/2009 15:01:10
VBASE005.VDF            : 7.10.1.4       2048 Bytes  19/11/2009 15:01:10
VBASE006.VDF            : 7.10.1.5       2048 Bytes  19/11/2009 15:01:10
VBASE007.VDF            : 7.10.1.6       2048 Bytes  19/11/2009 15:01:10
VBASE008.VDF            : 7.10.1.7       2048 Bytes  19/11/2009 15:01:10
VBASE009.VDF            : 7.10.1.8       2048 Bytes  19/11/2009 15:01:10
VBASE010.VDF            : 7.10.1.9       2048 Bytes  19/11/2009 15:01:10
VBASE011.VDF            : 7.10.1.10      2048 Bytes  19/11/2009 15:01:10
VBASE012.VDF            : 7.10.1.11      2048 Bytes  19/11/2009 15:01:10
VBASE013.VDF            : 7.10.1.79    209920 Bytes  25/11/2009 07:27:47
VBASE014.VDF            : 7.10.1.128    197632 Bytes  30/11/2009 07:49:53
VBASE015.VDF            : 7.10.1.178    195584 Bytes  07/12/2009 20:10:55
VBASE016.VDF            : 7.10.1.224    183296 Bytes  14/12/2009 11:41:00
VBASE017.VDF            : 7.10.1.247    182272 Bytes  15/12/2009 11:42:09
VBASE018.VDF            : 7.10.2.30    198144 Bytes  21/12/2009 11:07:05
VBASE019.VDF            : 7.10.2.63    187392 Bytes  24/12/2009 11:07:21
VBASE020.VDF            : 7.10.2.93    195072 Bytes  29/12/2009 23:33:31
VBASE021.VDF            : 7.10.2.131    201216 Bytes  07/01/2010 10:32:48
VBASE022.VDF            : 7.10.2.158    192000 Bytes  11/01/2010 08:21:08
VBASE023.VDF            : 7.10.2.186    200704 Bytes  14/01/2010 08:22:01
VBASE024.VDF            : 7.10.2.205    201728 Bytes  15/01/2010 11:03:07
VBASE025.VDF            : 7.10.2.206      2048 Bytes  15/01/2010 11:03:07
VBASE026.VDF            : 7.10.2.207      2048 Bytes  15/01/2010 11:03:07
VBASE027.VDF            : 7.10.2.208      2048 Bytes  15/01/2010 11:03:07
VBASE028.VDF            : 7.10.2.209      2048 Bytes  15/01/2010 11:03:07
VBASE029.VDF            : 7.10.2.210      2048 Bytes  15/01/2010 11:03:07
VBASE030.VDF            : 7.10.2.211      2048 Bytes  15/01/2010 11:03:08
VBASE031.VDF            : 7.10.2.215    158720 Bytes  18/01/2010 11:03:09
Version du moteur       : 8.2.1.142
AEVDF.DLL               : 8.1.1.2      106867 Bytes  16/09/2009 16:06:44
AESCRIPT.DLL            : 8.1.3.7      594296 Bytes  05/01/2010 10:34:13
AESCN.DLL               : 8.1.3.1      127348 Bytes  15/01/2010 08:22:51
AESBX.DLL               : 8.1.1.1      246132 Bytes  23/11/2009 15:01:10
AERDL.DLL               : 8.1.3.4      479605 Bytes  02/12/2009 07:50:17
AEPACK.DLL              : 8.2.0.5      422262 Bytes  15/01/2010 08:22:47
AEOFFICE.DLL            : 8.1.0.38     196987 Bytes  23/07/2009 08:59:39
AEHEUR.DLL              : 8.1.0.195   2232695 Bytes  15/01/2010 08:22:37
AEHELP.DLL              : 8.1.10.0     237942 Bytes  15/01/2010 08:22:09
AEGEN.DLL               : 8.1.1.83     369014 Bytes  05/01/2010 10:33:13
AEEMU.DLL               : 8.1.1.0      393587 Bytes  06/10/2009 07:50:20
AECORE.DLL              : 8.1.9.5      184693 Bytes  15/01/2010 08:22:05
AEBB.DLL                : 8.1.0.3       53618 Bytes  09/10/2008 13:32:40
AVWINLL.DLL             : 9.0.0.3       18177 Bytes  12/12/2008 07:47:30
AVPREF.DLL              : 9.0.3.0       44289 Bytes  27/09/2009 09:42:15
AVREP.DLL               : 8.0.0.3      155905 Bytes  20/01/2009 13:34:28
AVREG.DLL               : 9.0.0.0       36609 Bytes  07/11/2008 14:24:42
AVARKT.DLL              : 9.0.0.3      292609 Bytes  24/03/2009 14:05:22
AVEVTLOG.DLL            : 9.0.0.7      167169 Bytes  30/01/2009 09:36:37
SQLITE3.DLL             : 3.6.1.0      326401 Bytes  28/01/2009 14:03:49
SMTPLIB.DLL             : 9.2.0.25      28417 Bytes  02/02/2009 07:20:57
NETNT.DLL               : 9.0.0.0       11521 Bytes  07/11/2008 14:40:59
RCIMAGE.DLL             : 9.0.0.25    2438913 Bytes  17/06/2009 12:44:26
RCTEXT.DLL              : 9.0.73.0      88321 Bytes  23/11/2009 15:01:09

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, F:, 
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : lundi 18 janvier 2010  15:35

La recherche d'objets cachés commence.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lndcnqg	ype
    [INFO]      L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lndcnqg\start
    [INFO]      L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lndcnqg\errorcontrol
    [INFO]      L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lndcnqg\group
    [INFO]      L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lndcnqg\unkon1l3
    [INFO]      L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lndcnqg\yg2ll6lm4i
    [INFO]      L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lndcnqg\sy3v1g4hx
    [INFO]      L'entrée d'enregistrement n'est pas visible.
'46137' objets ont été contrôlés, '7' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SkypeNames.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wlcomm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqste08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'FNPLicensingService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'cvpnd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'skypePM.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqtra08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'REVAService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Skype.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxsrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpwuSchd2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxpers.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'acrotray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PDVDServ.exe' - '1' module(s) sont contrôlés
Processus de recherche 'UnlockerAssistant.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'51' processus ont été contrôlés avec '51' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage 'D:\'
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage 'F:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '55' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\WINDOWS\system32\drivers\lndcnqg.sys
    [RESULTAT]  Contient le modèle de détection du rootkit RKIT/Kryptic.763904
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\WINDOWS\system32\drivers\sptd.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'D:\' <HP_RECOVERY>
Recherche débutant dans 'F:\'

Début de la désinfection :
C:\WINDOWS\system32\drivers\lndcnqg.sys
    [RESULTAT]  Contient le modèle de détection du rootkit RKIT/Kryptic.763904
    [AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
    [AVERTISSEMENT] Impossible de trouver le fichier source.
    [REMARQUE]  Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bb87e4b.qua' !


Fin de la recherche : lundi 18 janvier 2010  16:27
Temps nécessaire: 50:44 Minute(s)

La recherche a été effectuée intégralement

  14720 Les répertoires ont été contrôlés
 332905 Des fichiers ont été contrôlés
      1 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      1 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      3 Impossible de contrôler des fichiers
 332901 Fichiers non infectés
   1708 Les archives ont été contrôlées
      3 Avertissements
      2 Consignes
  46137 Des objets ont été contrôlés lors du Rootkitscan
      7 Des objets cachés ont été trouvés

Utilisateur anonyme · Answer

bonjour
Attention, avant de commencer, lit attentivement la procédure, et imprime la

 Télécharge ComboFix de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

 Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

noucj · Answer

Re,
J'ai bien fait le scan et voici le rapport !
merci

ComboFix 10-01-17.04 - Administrateur 18/01/2010  16:58:39.1.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.2.1252.33.1036.18.2038.1560 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Administrateur\Application Data\avdrn.dat
c:\windows\system32\AutoRun.inf
c:\windows\system32	wain_32.dll

.
(((((((((((((((((((((((((((((   Fichiers créés du 2009-12-18 au 2010-01-18  ))))))))))))))))))))))))))))))))))))
.

2010-01-18 11:06 . 2010-01-18 16:02	763904	----a-w-	c:\windows\system32\drivers\lndcnqg.sys
2010-01-18 11:05 . 2010-01-18 11:05	148	----a-w-	c:\windows\system32\fjhdyfhsn.bat

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-18 15:55 . 2009-08-27 12:13	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\Skype
2010-01-18 15:50 . 2009-08-27 08:20	--------	d-----w-	c:\program files\EditPlus 2
2010-01-18 15:04 . 2009-08-27 12:14	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\skypePM
2010-01-18 11:05 . 2010-01-18 11:05	8	----a-w-	c:\windows\system32\config\systemprofile\Application Data\fvgqad.dat
2010-01-18 11:05 . 2010-01-18 11:05	8	----a-w-	c:\documents and settings\Administrateur\Application Data\fvgqad.dat
2009-12-18 15:37 . 2009-12-15 22:21	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\FileZilla
2009-12-15 22:21 . 2009-12-15 22:21	--------	d-----w-	c:\program files\FileZilla FTP Client
2009-12-12 09:22 . 2009-10-27 18:09	--------	d---a-w-	c:\documents and settings\All Users\Application Data\TEMP
2009-12-10 20:51 . 2009-08-27 08:00	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-12-10 11:35 . 2009-08-26 21:43	--------	d-----w-	c:\documents and settings\All Users\Application Data\Microsoft Help
2009-12-08 14:55 . 2009-10-27 18:10	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\PlayFirst
2009-12-08 14:55 . 2009-10-27 18:08	--------	d-----w-	c:\documents and settings\All Users\Application Data\PlayFirst
2009-12-04 07:09 . 2009-08-26 21:40	--------	d--h--w-	c:\program files\InstallShield Installation Information
2009-11-28 21:17 . 2009-11-16 13:32	--------	d-----w-	c:\documents and settings\All Users\Application Data\Norton
2009-11-28 21:05 . 2009-11-16 11:22	--------	d-----w-	c:\program files\a-squared Free
2009-11-16 14:48 . 2002-09-07 00:00	70868	----a-w-	c:\windows\system32\perfc00C.dat
2009-11-16 14:48 . 2002-09-07 00:00	458776	----a-w-	c:\windows\system32\perfh00C.dat
2009-11-03 16:11 . 2009-12-08 14:48	1531904	----a-w-	c:\documents and settings\All Users\Application Data\PlayFirst\Games\hotel-dash-suite-success\HotelDash.exe
2009-11-03 16:11 . 2009-12-08 14:48	2830336	----a-w-	c:\documents and settings\All Users\Application Data\PlayFirst\Games\hotel-dash-suite-success\game\HotelDash.exe
2009-10-27 18:09 . 2009-10-27 18:09	249856	----a-w-	c:\documents and settings\All Users\Application Data\PlayFirst\Games\components\pfMultiplayer.dll
2009-10-27 18:08 . 2009-10-27 18:08	466944	----a-w-	c:\documents and settings\All Users\Application Data\PlayFirst\Games\pfHarness\pfHarness.dll
.

------- Sigcheck -------

[-] 2007-06-26 . C7BE59B07C6EB74BEA6FD67C1B164015 . 360576 . . [5.1.2600.2892] . . c:\windows\system32\drivers	cpip.sys

[-] 2007-06-14 . C7BCEA1533BE5C9E15884D6C39B667F1 . 80216 . . [7.0.6000.374] . . c:\windows\icon_TMP\wuauclt.exe
[-] 2007-06-14 . C7BCEA1533BE5C9E15884D6C39B667F1 . 80216 . . [7.0.6000.374] . . c:\windows\system32\wuauclt.exe
[7] 2007-06-14 . 3A83A45E7DD5276315AA20245E7C32BF . 53080 . . [7.0.6000.374] . . c:\windows\system_backup\wuauclt.exe

[-] 2004-08-04 . E28D16A8D63ECA6246921FDF7CBDE42A . 1227264 . . [6.00.2900.2180] . . c:\windows\explorer.exe
[-] 2004-08-04 . E28D16A8D63ECA6246921FDF7CBDE42A . 1227264 . . [6.00.2900.2180] . . c:\windows\icon_TMP\explorer.exe
[7] 2004-08-04 . 4C33E5B9A6197B6ED215F6CFBA0A2DAA . 1036288 . . [6.00.2900.2180] . . c:\windows\system_backup\explorer.exe


c:\windows\System32\wscntfy.exe ... manque !!
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-07-16 25604904]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-09-17 39408]
"REVAService"="c:\program files\LG Electronics\LG EV-DO Rev.A USB Modem\Modem Software\REVAService.exe" [2008-12-02 23040]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2006-09-07 15872]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2006-12-06 69216]
"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 54832]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 624248]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-01-21 134656]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-01-21 166912]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-01-21 134656]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-03-11 49152]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"QuickTime Task"="c:\program files\QuickTime Alternative\qttask.exe" [2009-09-04 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-09-21 305440]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" [2009-03-08 128512]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-3-11 210520]
VPN Client.lnk - c:\windows\Installer\{CCBAA1F7-E5E1-48B2-9ED9-A79C6A37CE78}\Icon3E5562ED7.ico [2009-9-2 6144]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"StartMenuLogoff"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages	REG_MULTI_SZ   	msv1_0 nwprovau

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"=
"c:\Program Files\Fichiers communs\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqste08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hposfx08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hposid01.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpoews01.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\Skype\Phone\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server

R0 iastor75;iastor75;c:\windows\system32\drivers\iastor75.sys [26/06/2007 22:08 304920]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [27/08/2009 09:00 108289]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [26/08/2009 22:32 685816]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\drivers\fbxusb32.sys [02/10/2009 16:32 21344]
S3 UsbEvdomAtc;LGE EVDOM USB Serial Port;c:\windows\system32\drivers\lgevdomatc.sys [04/12/2009 08:10 19840]
S3 usbevdombus;LGE EVDOM Composite USB Device;c:\windows\system32\drivers\lgevdombus.sys [04/12/2009 08:10 13696]
S3 UsbEvdomDiag;LGE EVDOM USB Serial DM Port;c:\windows\system32\drivers\lgevdomdiag.sys [04/12/2009 08:10 19840]
S3 USBEVDOmModem;LGE EVDOM USB Modem;c:\windows\system32\drivers\lgevdommodem.sys [04/12/2009 08:10 21632]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - SRSERVICE
*Deregistered* - lndcnqg

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
getPlusHelper	REG_MULTI_SZ   	getPlusHelper
.
Contenu du dossier 'Tâches planifiées'

2009-12-02 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
IE: Append to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert link target to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-18 17:02
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4c74-92FE-5B863F82066B}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD\000.fcl"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lndcnqg]

.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-527237240-1417001333-1801674531-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,aa,05,ff,af,41,9f,57,4b,92,33,27,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,aa,05,ff,af,41,9f,57,4b,92,33,27,\
"6256FFB019F8FDFBD36745B06F4540E9AEAF222A25"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,aa,05,ff,af,41,9f,57,4b,92,33,27,\

[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\
.
Heure de fin: 2010-01-18  17:03:18
ComboFix-quarantined-files.txt  2010-01-18 16:03

Avant-CF: 34 404 634 624 octets libres
Après-CF: 34 508 554 240 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
d:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - ADD64DE48B618685DE7F76D22F55CF98

noucj · Answer

toujours :(

noucj · Answer

Voici le rapport MAJ



Avira AntiVir Personal
Date de création du fichier de rapport : lundi 18 janvier 2010  17:33

La recherche porte sur 1554025 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows XP
Version de Windows      : (Service Pack 2)  [5.1.2600]
Mode Boot               : Démarré normalement
Identifiant             : SYSTEM
Nom de l'ordinateur     : SWEET-02CADF57C

Informations de version :
BUILD.DAT               : 9.0.0.74      21698 Bytes  04/12/2009 13:56:00
AVSCAN.EXE              : 9.0.3.10     466689 Bytes  23/11/2009 15:01:10
AVSCAN.DLL              : 9.0.3.0       49409 Bytes  03/03/2009 09:21:02
LUKE.DLL                : 9.0.3.2      209665 Bytes  20/02/2009 10:35:11
LUKERES.DLL             : 9.0.2.0       13569 Bytes  03/03/2009 09:21:31
VBASE000.VDF            : 7.10.0.0   19875328 Bytes  06/11/2009 15:01:10
VBASE001.VDF            : 7.10.1.0    1372672 Bytes  19/11/2009 15:01:10
VBASE002.VDF            : 7.10.1.1       2048 Bytes  19/11/2009 15:01:10
VBASE003.VDF            : 7.10.1.2       2048 Bytes  19/11/2009 15:01:10
VBASE004.VDF            : 7.10.1.3       2048 Bytes  19/11/2009 15:01:10
VBASE005.VDF            : 7.10.1.4       2048 Bytes  19/11/2009 15:01:10
VBASE006.VDF            : 7.10.1.5       2048 Bytes  19/11/2009 15:01:10
VBASE007.VDF            : 7.10.1.6       2048 Bytes  19/11/2009 15:01:10
VBASE008.VDF            : 7.10.1.7       2048 Bytes  19/11/2009 15:01:10
VBASE009.VDF            : 7.10.1.8       2048 Bytes  19/11/2009 15:01:10
VBASE010.VDF            : 7.10.1.9       2048 Bytes  19/11/2009 15:01:10
VBASE011.VDF            : 7.10.1.10      2048 Bytes  19/11/2009 15:01:10
VBASE012.VDF            : 7.10.1.11      2048 Bytes  19/11/2009 15:01:10
VBASE013.VDF            : 7.10.1.79    209920 Bytes  25/11/2009 07:27:47
VBASE014.VDF            : 7.10.1.128    197632 Bytes  30/11/2009 07:49:53
VBASE015.VDF            : 7.10.1.178    195584 Bytes  07/12/2009 20:10:55
VBASE016.VDF            : 7.10.1.224    183296 Bytes  14/12/2009 11:41:00
VBASE017.VDF            : 7.10.1.247    182272 Bytes  15/12/2009 11:42:09
VBASE018.VDF            : 7.10.2.30    198144 Bytes  21/12/2009 11:07:05
VBASE019.VDF            : 7.10.2.63    187392 Bytes  24/12/2009 11:07:21
VBASE020.VDF            : 7.10.2.93    195072 Bytes  29/12/2009 23:33:31
VBASE021.VDF            : 7.10.2.131    201216 Bytes  07/01/2010 10:32:48
VBASE022.VDF            : 7.10.2.158    192000 Bytes  11/01/2010 08:21:08
VBASE023.VDF            : 7.10.2.186    200704 Bytes  14/01/2010 08:22:01
VBASE024.VDF            : 7.10.2.205    201728 Bytes  15/01/2010 11:03:07
VBASE025.VDF            : 7.10.2.206      2048 Bytes  15/01/2010 11:03:07
VBASE026.VDF            : 7.10.2.207      2048 Bytes  15/01/2010 11:03:07
VBASE027.VDF            : 7.10.2.208      2048 Bytes  15/01/2010 11:03:07
VBASE028.VDF            : 7.10.2.209      2048 Bytes  15/01/2010 11:03:07
VBASE029.VDF            : 7.10.2.210      2048 Bytes  15/01/2010 11:03:07
VBASE030.VDF            : 7.10.2.211      2048 Bytes  15/01/2010 11:03:08
VBASE031.VDF            : 7.10.2.215    158720 Bytes  18/01/2010 11:03:09
Version du moteur       : 8.2.1.142
AEVDF.DLL               : 8.1.1.2      106867 Bytes  16/09/2009 16:06:44
AESCRIPT.DLL            : 8.1.3.7      594296 Bytes  05/01/2010 10:34:13
AESCN.DLL               : 8.1.3.1      127348 Bytes  15/01/2010 08:22:51
AESBX.DLL               : 8.1.1.1      246132 Bytes  23/11/2009 15:01:10
AERDL.DLL               : 8.1.3.4      479605 Bytes  02/12/2009 07:50:17
AEPACK.DLL              : 8.2.0.5      422262 Bytes  15/01/2010 08:22:47
AEOFFICE.DLL            : 8.1.0.38     196987 Bytes  23/07/2009 08:59:39
AEHEUR.DLL              : 8.1.0.195   2232695 Bytes  15/01/2010 08:22:37
AEHELP.DLL              : 8.1.10.0     237942 Bytes  15/01/2010 08:22:09
AEGEN.DLL               : 8.1.1.83     369014 Bytes  05/01/2010 10:33:13
AEEMU.DLL               : 8.1.1.0      393587 Bytes  06/10/2009 07:50:20
AECORE.DLL              : 8.1.9.5      184693 Bytes  15/01/2010 08:22:05
AEBB.DLL                : 8.1.0.3       53618 Bytes  09/10/2008 13:32:40
AVWINLL.DLL             : 9.0.0.3       18177 Bytes  12/12/2008 07:47:30
AVPREF.DLL              : 9.0.3.0       44289 Bytes  27/09/2009 09:42:15
AVREP.DLL               : 8.0.0.3      155905 Bytes  20/01/2009 13:34:28
AVREG.DLL               : 9.0.0.0       36609 Bytes  07/11/2008 14:24:42
AVARKT.DLL              : 9.0.0.3      292609 Bytes  24/03/2009 14:05:22
AVEVTLOG.DLL            : 9.0.0.7      167169 Bytes  30/01/2009 09:36:37
SQLITE3.DLL             : 3.6.1.0      326401 Bytes  28/01/2009 14:03:49
SMTPLIB.DLL             : 9.2.0.25      28417 Bytes  02/02/2009 07:20:57
NETNT.DLL               : 9.0.0.0       11521 Bytes  07/11/2008 14:40:59
RCIMAGE.DLL             : 9.0.0.25    2438913 Bytes  17/06/2009 12:44:26
RCTEXT.DLL              : 9.0.73.0      88321 Bytes  23/11/2009 15:01:09

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, F:, 
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : lundi 18 janvier 2010  17:33

La recherche d'objets cachés commence.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lndcnqg	ype
    [INFO]      L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lndcnqg\start
    [INFO]      L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lndcnqg\errorcontrol
    [INFO]      L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lndcnqg\group
    [INFO]      L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lndcnqg\unkon1l3
    [INFO]      L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lndcnqg\yg2ll6lm4i
    [INFO]      L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lndcnqg\sy3v1g4hx
    [INFO]      L'entrée d'enregistrement n'est pas visible.
'40796' objets ont été contrôlés, '7' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'EXCEL.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'wlcomm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqste08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqtra08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpwuSchd2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxpers.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxsrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'acrotray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PDVDServ.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'cvpnd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'44' processus ont été contrôlés avec '44' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage 'D:\'
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage 'F:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '53' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\WINDOWS\system32\drivers\lndcnqg.sys
    [RESULTAT]  Contient le modèle de détection du rootkit RKIT/Kryptic.763904
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'D:\' <HP_RECOVERY>
Recherche débutant dans 'F:\'

Début de la désinfection :
C:\WINDOWS\system32\drivers\lndcnqg.sys
    [RESULTAT]  Contient le modèle de détection du rootkit RKIT/Kryptic.763904
    [AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
    [AVERTISSEMENT] Impossible de trouver le fichier source.
    [REMARQUE]  Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bb89662.qua' !


Fin de la recherche : lundi 18 janvier 2010  18:10
Temps nécessaire: 35:54 Minute(s)

La recherche a été effectuée intégralement

  14710 Les répertoires ont été contrôlés
 328080 Des fichiers ont été contrôlés
      1 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      1 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      2 Impossible de contrôler des fichiers
 328077 Fichiers non infectés
   1821 Les archives ont été contrôlées
      2 Avertissements
      2 Consignes
  40796 Des objets ont été contrôlés lors du Rootkitscan
      7 Des objets cachés ont été trouvés

Utilisateur anonyme · Answer

c:\windows\system32\drivers\lndcnqg.sy­s
c:\windows\system32\fjhdyfhsn.bat
c:\windows\system32\config\systemprofile\Ap­plication Data\fvgqad.dat
c:\documents and settings\Administrateur\Application Data\fvgqad.dat 

Tu dois afficher les fichiers et dossiers cachés
Démarrer, Poste de travail
Clique sur outils
Sélectionne options de dossier
Va dans l'onglet affichage
Coche afficher les fichiers et dossiers cachés, puis OK


Analyse sur Virus Total
https://www.virustotal.com/gui/
Clique sur parcourir
Dans la fenêtre qui s'ouvre, cherche le fichier et sélectionne le, puis clique sur ouvrir
Clique sur envoyer le fichier
une fois le scan terminé, donne moi le résultat

noucj · Answer

Ok, merci j'ai donc bien affiché les dossiers cachés, par contre quel fichier dois je envoyer par rapport à ce point ? 
Dans la fenêtre qui s'ouvre, cherche le fichier et sélectionne le, puis clique sur ouvrir 
Clique sur envoyer le fichier

Merci d'avance !

noucj · Answer

Je suis désolée, mais est ce que vous avez pu voir mon dernier message ? 
Il faut absolument que je me débarrasse de ce virus j'ai trop de données importantes sur mon ordinateur et je travaille bcp avec les serveurs ftp ! 
merci ! !

noucj · Answer

et voici : 
merci merci

1) C:\windows\system32\drivers\lndcnqg.sys : 0 bytes size received / Se ha recibido un archivo vacio

2) c:\windows\system32\fjhdyfhsn.bat : http://www.virustotal.com/fr/analisis/02a785c21de8338bbf2ae34b87a9506cf78607d00360e3330900b7caa6e02cfb-1263414846

3) c:\windows\system32\config\systemprofile\Ap­plication Data\fvgqad.dat : 
 Fichier fvgqad.dat reçu le 2010.01.19 10:00:03 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/41 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 42 et 60 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email: 	
	
Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared	4.5.0.50	2010.01.19	-
AhnLab-V3	5.0.0.2	2010.01.19	-
AntiVir	7.9.1.142	2010.01.19	-
Antiy-AVL	2.0.3.7	2010.01.19	-
Authentium	5.2.0.5	2010.01.19	-
Avast	4.8.1351.0	2010.01.18	-
AVG	9.0.0.730	2010.01.18	-
BitDefender	7.2	2010.01.19	-
CAT-QuickHeal	10.00	2010.01.19	-
ClamAV	0.94.1	2010.01.19	-
Comodo	3635	2010.01.19	-
DrWeb	5.0.1.12222	2010.01.19	-
eSafe	7.0.17.0	2010.01.18	-
eTrust-Vet	35.2.7245	2010.01.19	-
F-Prot	4.5.1.85	2010.01.18	-
F-Secure	9.0.15370.0	2010.01.19	-
Fortinet	4.0.14.0	2010.01.19	-
GData	19	2010.01.19	-
Ikarus	T3.1.1.80.0	2010.01.19	-
Jiangmin	13.0.900	2010.01.19	-
K7AntiVirus	7.10.950	2010.01.18	-
Kaspersky	7.0.0.125	2010.01.19	-
McAfee	5865	2010.01.18	-
McAfee+Artemis	5865	2010.01.18	-
McAfee-GW-Edition	6.8.5	2010.01.19	-
Microsoft	1.5302	2010.01.19	-
NOD32	4784	2010.01.18	-
Norman	6.04.03	2010.01.18	-
nProtect	2009.1.8.0	2010.01.19	-
Panda	10.0.2.2	2010.01.18	-
PCTools	7.0.3.5	2010.01.19	-
Prevx	3.0	2010.01.19	-
Rising	22.31.01.04	2010.01.19	-
Sophos	4.49.0	2010.01.19	-
Sunbelt	3.2.1858.2	2010.01.19	-
Symantec	20091.2.0.41	2010.01.19	-
TheHacker	6.5.0.6.156	2010.01.19	-
TrendMicro	9.120.0.1004	2010.01.19	-
VBA32	3.12.12.1	2010.01.19	-
ViRobot	2010.1.19.2144	2010.01.19	-
VirusBuster	5.0.21.0	2010.01.18	-
Information additionnelle
File size: 8 bytes
MD5...: 17f703edaec422db9263ea578dff13f2
SHA1..: 810889fb26fa55474c65925650c3214961b9ab84
SHA256: 5ce40324c772349c6945807c71f4c2c85e4a6cad353425695dfeacfa9be26a00
ssdeep: 3:X/G6un:v/un
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
pdfid.: -
trid..: Unknown!

4) c:\documents and settings\Administrateur\Application Data\fvgqad.dat : 
analisis/7dc8b0aaded366b7868b525b55d69181d3b6cfcaa6a54e33fb25beff34e5981b-1263297025

gen-hackman · Answer

bonjour Nathandre m'a demandé de passer pour te faire executer une ou deux actions : ▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage * - Coche Afficher les fichiers et dossiers cachés * - Décoche Masquer les extensions des fichiers dont le type est connu * - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé) ▶ clique sur Appliquer, puis OK. N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important Fais analyser le(s) fichier(s) suivants sur Virustotal : Virus Total * Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers : c:\windows\system32\drivers\iastor75.sys * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché. * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page. * Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté * Une nouvelle fenêtre de ton navigateur va apparaître * Clique alors sur les deux fleches * Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier * Enfin colle le résultat dans ta prochaine réponse. Note : Pour analyser un autre fichier, clique en bas sur Autre fichier. ensuite : __________________________________________________________ =>/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement cet ordinateur,<= =>il est fort déconseillé de le transposer sur un autre ordinateur !<=====| --------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: Collect::[4] c:\windows\system32\drivers\lndcnqg.sys c:\windows\system32\fjhdyfhsn.bat Extra::[35] c:\windows\system32\config\systemprofile\Application Data\fvgqad.dat c:\documents and settings\Administrateur\Application Data\fvgqad.dat Driver:: lndcnqg Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "QuickTime Task"=- ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix que tu n'as renommé ! ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

noucj · Answer

Salut gen-hackman, merci pour ta réponse, voici les 2 rapports donc : 1)Analyse du c:\windows\system32\drivers\iastor75.sys par virus total : Fichier iastor75.sys reçu le 2010.01.19 17:41:37 (UTC) Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.50 2010.01.19 - AhnLab-V3 5.0.0.2 2010.01.19 - AntiVir 7.9.1.142 2010.01.19 - Antiy-AVL 2.0.3.7 2010.01.19 - Authentium 5.2.0.5 2010.01.19 - Avast 4.8.1351.0 2010.01.19 - AVG 9.0.0.730 2010.01.19 - BitDefender 7.2 2010.01.19 - CAT-QuickHeal 10.00 2010.01.19 - ClamAV 0.94.1 2010.01.19 - Comodo 3638 2010.01.19 - DrWeb 5.0.1.12222 2010.01.19 - eSafe 7.0.17.0 2010.01.19 - eTrust-Vet 35.2.7245 2010.01.19 - F-Prot 4.5.1.85 2010.01.18 - Fortinet 4.0.14.0 2010.01.19 - GData 19 2010.01.19 - Ikarus T3.1.1.80.0 2010.01.19 - Jiangmin 13.0.900 2010.01.19 - K7AntiVirus 7.10.950 2010.01.18 - Kaspersky 7.0.0.125 2010.01.19 - McAfee 5865 2010.01.18 - McAfee+Artemis 5865 2010.01.18 - McAfee-GW-Edition 6.8.5 2010.01.19 Heuristic.LooksLike.Trojan.Patched.I Microsoft 1.5302 2010.01.19 - NOD32 4786 2010.01.19 - Norman 6.04.03 2010.01.19 - nProtect 2009.1.8.0 2010.01.19 - Panda 10.0.2.2 2010.01.19 - PCTools 7.0.3.5 2010.01.19 - Prevx 3.0 2010.01.19 - Rising 22.31.01.04 2010.01.19 - Sophos 4.49.0 2010.01.19 - Sunbelt 3.2.1858.2 2010.01.19 - Symantec 20091.2.0.41 2010.01.19 - TheHacker 6.5.0.6.156 2010.01.19 - TrendMicro 9.120.0.1004 2010.01.19 - VBA32 3.12.12.1 2010.01.19 - ViRobot 2010.1.19.2144 2010.01.19 - VirusBuster 5.0.21.0 2010.01.19 - Information additionnelle File size: 304920 bytes MD5...: 997e8f5939f2d12cd9f2e6b395724c16 SHA1..: 31901f9ced1659e73d001ef9b729d7ed4e110797 SHA256: c22f10bade29da6f7eb79d9f5d81d9fbec17d4d4f8b25e0af4e5ceae28e8abf6 ssdeep: 6144:1T5EaniYRjsT1SzUPLA/y3MJyCV9VolxyrTX:LRje4kqy8JD9aHQX
PEiD..: - PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xc3005
timedatestamp.....: 0x46018619 (Wed Mar 21 19:23:05 2007)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x436c8 0x43800 6.47 7c022f875be31a66d52b222e8da287df
.rdata 0x45000 0xb5c 0xc00 5.60 b43a9a8fb651e2e89632bb7c2f4e286b
.data 0x46000 0x7c720 0x1000 4.80 3abe2d97cbb55bd6552af2e51999d4bc
INIT 0xc3000 0xd50 0xe00 5.52 46854faa1c8753b4325f748f7dd548d6
.rsrc 0xc4000 0x458 0x600 2.61 dab25a72e6fedc4cc3430246e93ffaad
.reloc 0xc5000 0x1f96 0x2000 5.53 dde75ed07d43dc6968e757d165dd9fdc

( 2 imports )
> ntoskrnl.exe: ZwClose, ZwQueryValueKey, DbgPrint, ZwOpenKey, InterlockedPopEntrySList, IofCompleteRequest, KeSetEvent, PoSetPowerState, _aullshr, IoFreeWorkItem, IoUnregisterPlugPlayNotification, ObfDereferenceObject, KeWaitForSingleObject, IofCallDriver, IoBuildDeviceIoControlRequest, KeInitializeEvent, memcpy, IoGetDeviceObjectPointer, IoQueueWorkItem, IoAllocateWorkItem, IoRegisterPlugPlayNotification, KeClearEvent, WRITE_REGISTER_ULONG, READ_REGISTER_ULONG, ObReferenceObjectByHandle, MmGetPhysicalAddress, KeCancelTimer, KeSetTimerEx, KeInitializeTimerEx, memmove, KeDelayExecutionThread, _aulldiv, strncpy, strncmp, _purecall, sprintf, _allmul, InterlockedPushEntrySList, RtlCompareMemory, IoInvalidateDeviceRelations, KeSetTimer, ExSystemTimeToLocalTime, KeQuerySystemTime, MmUnmapIoSpace, MmMapIoSpace, RtlWriteRegistryValue, ZwCreateKey, swprintf, KeLeaveCriticalRegion, KeEnterCriticalRegion, MmMapLockedPagesSpecifyCache, ExDeleteNPagedLookasideList, KeBugCheck, PsTerminateSystemThread, KeWaitForMultipleObjects, KeSetPriorityThread, PsCreateSystemThread, ExInitializeNPagedLookasideList, memset, _aulldvrm, PoRequestPowerIrp, PoStartNextPowerIrp, PoCallDriver, IoReleaseRemoveLockEx, IoAcquireRemoveLockEx, IoFreeIrp, IoAllocateIrp, IoGetAttachedDeviceReference, _alldiv, IoDeleteSymbolicLink, IoAttachDeviceToDeviceStack, IoCreateSymbolicLink, IoGetConfigurationInformation, IoInitializeRemoveLockEx, IoCreateDevice, RtlUnicodeStringToInteger, wcsncpy, wcsstr, IoDeleteDevice, IoDetachDevice, _wcsupr, IoGetDeviceProperty, ZwCreateDirectoryObject, KeInitializeDpc, KeInitializeTimer, ExRegisterCallback, ExCreateCallback, IoConnectInterrupt, IoReportResourceForDetection, ExUnregisterCallback, IoDisconnectInterrupt, IoReleaseRemoveLockAndWaitEx, RtlCheckRegistryKey, KeRemoveQueueDpc, KeQueryTimeIncrement, KeTickCount, IoFreeMdl, MmProbeAndLockPages, IoAllocateMdl, strncat, RtlAnsiStringToUnicodeString, RtlInitAnsiString, ObfReferenceObject, PoRegisterDeviceForIdleDetection, IoInvalidateDeviceState, IoWriteErrorLogEntry, IoAllocateErrorLogEntry, IoGetDmaAdapter, strstr, RtlCreateRegistryKey, RtlCopyUnicodeString, KeInsertQueueDpc, KefAcquireSpinLockAtDpcLevel, KefReleaseSpinLockFromDpcLevel, IoRequestDeviceEject, KeBugCheckEx, RtlUnwind, RtlInitUnicodeString, ExAllocatePoolWithTag, RtlAppendUnicodeToString, RtlAppendUnicodeStringToString, RtlQueryRegistryValues, _aullrem, ExFreePoolWithTag
> HAL.dll: KfAcquireSpinLock, KfReleaseSpinLock, ExAcquireFastMutex, ExReleaseFastMutex, KeStallExecutionProcessor, KeGetCurrentIrql

( 0 exports )
RDS...: NSRL Reference Data Set
- pdfid.: - trid..: Win64 Executable Generic (87.2%)
Win32 Executable Generic (8.6%)
Generic Win/DOS Executable (2.0%)
DOS Executable Generic (2.0%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) sigcheck:
publisher....: Intel Corporation
copyright....: Copyright(C) Intel Corporation 1994-2007
product......: Intel Matrix Storage Manager driver
description..: Intel Matrix Storage Manager driver - ia32
original name: iaStor.sys
internal name: iaStor.sys
file version.: 7.5.0.1017
comments.....: -ia32
signers......: Intel Corporation
VeriSign Class 3 Code Signing 2004 CA
Class 3 Public Primary Certification Authority
signing date.: 8:58 PM 3/21/2007
verified.....: -
Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.50 2010.01.19 - AhnLab-V3 5.0.0.2 2010.01.19 - AntiVir 7.9.1.142 2010.01.19 - Antiy-AVL 2.0.3.7 2010.01.19 - Authentium 5.2.0.5 2010.01.19 - Avast 4.8.1351.0 2010.01.19 - AVG 9.0.0.730 2010.01.19 - BitDefender 7.2 2010.01.19 - CAT-QuickHeal 10.00 2010.01.19 - ClamAV 0.94.1 2010.01.19 - Comodo 3638 2010.01.19 - DrWeb 5.0.1.12222 2010.01.19 - eSafe 7.0.17.0 2010.01.19 - eTrust-Vet 35.2.7245 2010.01.19 - F-Prot 4.5.1.85 2010.01.18 - Fortinet 4.0.14.0 2010.01.19 - GData 19 2010.01.19 - Ikarus T3.1.1.80.0 2010.01.19 - Jiangmin 13.0.900 2010.01.19 - K7AntiVirus 7.10.950 2010.01.18 - Kaspersky 7.0.0.125 2010.01.19 - McAfee 5865 2010.01.18 - McAfee+Artemis 5865 2010.01.18 - McAfee-GW-Edition 6.8.5 2010.01.19 Heuristic.LooksLike.Trojan.Patched.I Microsoft 1.5302 2010.01.19 - NOD32 4786 2010.01.19 - Norman 6.04.03 2010.01.19 - nProtect 2009.1.8.0 2010.01.19 - Panda 10.0.2.2 2010.01.19 - PCTools 7.0.3.5 2010.01.19 - Prevx 3.0 2010.01.19 - Rising 22.31.01.04 2010.01.19 - Sophos 4.49.0 2010.01.19 - Sunbelt 3.2.1858.2 2010.01.19 - Symantec 20091.2.0.41 2010.01.19 - TheHacker 6.5.0.6.156 2010.01.19 - TrendMicro 9.120.0.1004 2010.01.19 - VBA32 3.12.12.1 2010.01.19 - ViRobot 2010.1.19.2144 2010.01.19 - VirusBuster 5.0.21.0 2010.01.19 - Information additionnelle File size: 304920 bytes MD5...: 997e8f5939f2d12cd9f2e6b395724c16 SHA1..: 31901f9ced1659e73d001ef9b729d7ed4e110797 SHA256: c22f10bade29da6f7eb79d9f5d81d9fbec17d4d4f8b25e0af4e5ceae28e8abf6 ssdeep: 6144:1T5EaniYRjsT1SzUPLA/y3MJyCV9VolxyrTX:LRje4kqy8JD9aHQX
PEiD..: - PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xc3005
timedatestamp.....: 0x46018619 (Wed Mar 21 19:23:05 2007)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x436c8 0x43800 6.47 7c022f875be31a66d52b222e8da287df
.rdata 0x45000 0xb5c 0xc00 5.60 b43a9a8fb651e2e89632bb7c2f4e286b
.data 0x46000 0x7c720 0x1000 4.80 3abe2d97cbb55bd6552af2e51999d4bc
INIT 0xc3000 0xd50 0xe00 5.52 46854faa1c8753b4325f748f7dd548d6
.rsrc 0xc4000 0x458 0x600 2.61 dab25a72e6fedc4cc3430246e93ffaad
.reloc 0xc5000 0x1f96 0x2000 5.53 dde75ed07d43dc6968e757d165dd9fdc

( 2 imports )
> ntoskrnl.exe: ZwClose, ZwQueryValueKey, DbgPrint, ZwOpenKey, InterlockedPopEntrySList, IofCompleteRequest, KeSetEvent, PoSetPowerState, _aullshr, IoFreeWorkItem, IoUnregisterPlugPlayNotification, ObfDereferenceObject, KeWaitForSingleObject, IofCallDriver, IoBuildDeviceIoControlRequest, KeInitializeEvent, memcpy, IoGetDeviceObjectPointer, IoQueueWorkItem, IoAllocateWorkItem, IoRegisterPlugPlayNotification, KeClearEvent, WRITE_REGISTER_ULONG, READ_REGISTER_ULONG, ObReferenceObjectByHandle, MmGetPhysicalAddress, KeCancelTimer, KeSetTimerEx, KeInitializeTimerEx, memmove, KeDelayExecutionThread, _aulldiv, strncpy, strncmp, _purecall, sprintf, _allmul, InterlockedPushEntrySList, RtlCompareMemory, IoInvalidateDeviceRelations, KeSetTimer, ExSystemTimeToLocalTime, KeQuerySystemTime, MmUnmapIoSpace, MmMapIoSpace, RtlWriteRegistryValue, ZwCreateKey, swprintf, KeLeaveCriticalRegion, KeEnterCriticalRegion, MmMapLockedPagesSpecifyCache, ExDeleteNPagedLookasideList, KeBugCheck, PsTerminateSystemThread, KeWaitForMultipleObjects, KeSetPriorityThread, PsCreateSystemThread, ExInitializeNPagedLookasideList, memset, _aulldvrm, PoRequestPowerIrp, PoStartNextPowerIrp, PoCallDriver, IoReleaseRemoveLockEx, IoAcquireRemoveLockEx, IoFreeIrp, IoAllocateIrp, IoGetAttachedDeviceReference, _alldiv, IoDeleteSymbolicLink, IoAttachDeviceToDeviceStack, IoCreateSymbolicLink, IoGetConfigurationInformation, IoInitializeRemoveLockEx, IoCreateDevice, RtlUnicodeStringToInteger, wcsncpy, wcsstr, IoDeleteDevice, IoDetachDevice, _wcsupr, IoGetDeviceProperty, ZwCreateDirectoryObject, KeInitializeDpc, KeInitializeTimer, ExRegisterCallback, ExCreateCallback, IoConnectInterrupt, IoReportResourceForDetection, ExUnregisterCallback, IoDisconnectInterrupt, IoReleaseRemoveLockAndWaitEx, RtlCheckRegistryKey, KeRemoveQueueDpc, KeQueryTimeIncrement, KeTickCount, IoFreeMdl, MmProbeAndLockPages, IoAllocateMdl, strncat, RtlAnsiStringToUnicodeString, RtlInitAnsiString, ObfReferenceObject, PoRegisterDeviceForIdleDetection, IoInvalidateDeviceState, IoWriteErrorLogEntry, IoAllocateErrorLogEntry, IoGetDmaAdapter, strstr, RtlCreateRegistryKey, RtlCopyUnicodeString, KeInsertQueueDpc, KefAcquireSpinLockAtDpcLevel, KefReleaseSpinLockFromDpcLevel, IoRequestDeviceEject, KeBugCheckEx, RtlUnwind, RtlInitUnicodeString, ExAllocatePoolWithTag, RtlAppendUnicodeToString, RtlAppendUnicodeStringToString, RtlQueryRegistryValues, _aullrem, ExFreePoolWithTag
> HAL.dll: KfAcquireSpinLock, KfReleaseSpinLock, ExAcquireFastMutex, ExReleaseFastMutex, KeStallExecutionProcessor, KeGetCurrentIrql

( 0 exports )
RDS...: NSRL Reference Data Set
- pdfid.: - trid..: Win64 Executable Generic (87.2%)
Win32 Executable Generic (8.6%)
Generic Win/DOS Executable (2.0%)
DOS Executable Generic (2.0%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) sigcheck:
publisher....: Intel Corporation
copyright....: Copyright(C) Intel Corporation 1994-2007
product......: Intel Matrix Storage Manager driver
description..: Intel Matrix Storage Manager driver - ia32
original name: iaStor.sys
internal name: iaStor.sys
file version.: 7.5.0.1017
comments.....: -ia32
signers......: Intel Corporation
VeriSign Class 3 Code Signing 2004 CA
Class 3 Public Primary Certification Authority
signing date.: 8:58 PM 3/21/2007
verified.....: -
------------------ 2eme rapport suite au fichier txt :CFScript.txt via Combofix ComboFix 10-01-18.03 - Administrateur 19/01/2010 19:03:51.2.2 - x86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2038.1547 [GMT 1:00] Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\CFScript.txt file zipped: c:\windows\system32\drivers\lndcnqg.sys file zipped: c:\windows\system32\fjhdyfhsn.bat . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\drivers\lndcnqg.sys c:\windows\system32\fjhdyfhsn.bat . ((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_LNDCNQG -------\Service_lndcnqg ((((((((((((((((((((((((((((( Fichiers créés du 2009-12-19 au 2010-01-19 )))))))))))))))))))))))))))))))))))) . 2010-01-18 18:30 . 2010-01-18 18:30 -------- d-----w- c:\windows\system32\wbem\snmp 2010-01-18 18:29 . 2010-01-18 18:29 -------- d-----w- c:\windows\system32\xircom 2010-01-18 18:29 . 2010-01-18 18:29 -------- d-----w- c:\windows\system32\oobe 2010-01-18 18:29 . 2010-01-18 18:29 -------- d-----w- c:\windows\srchasst 2010-01-18 18:29 . 2010-01-18 18:29 -------- d-----w- c:\program files\microsoft frontpage . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2010-01-19 18:10 . 2009-08-27 12:13 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Skype 2010-01-19 17:18 . 2009-08-27 12:14 -------- d-----w- c:\documents and settings\Administrateur\Application Data\skypePM 2010-01-18 15:50 . 2009-08-27 08:20 -------- d-----w- c:\program files\EditPlus 2 2010-01-18 11:05 . 2010-01-18 11:05 8 ----a-w- c:\windows\system32\config\systemprofile\Application Data\fvgqad.dat 2010-01-18 11:05 . 2010-01-18 11:05 8 ----a-w- c:\documents and settings\Administrateur\Application Data\fvgqad.dat 2009-12-18 15:37 . 2009-12-15 22:21 -------- d-----w- c:\documents and settings\Administrateur\Application Data\FileZilla 2009-12-15 22:21 . 2009-12-15 22:21 -------- d-----w- c:\program files\FileZilla FTP Client 2009-12-12 09:22 . 2009-10-27 18:09 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP 2009-12-10 20:51 . 2009-08-27 08:00 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-12-10 11:35 . 2009-08-26 21:43 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help 2009-12-08 14:55 . 2009-10-27 18:10 -------- d-----w- c:\documents and settings\Administrateur\Application Data\PlayFirst 2009-12-08 14:55 . 2009-10-27 18:08 -------- d-----w- c:\documents and settings\All Users\Application Data\PlayFirst 2009-12-04 07:09 . 2009-08-26 21:40 -------- d--h--w- c:\program files\InstallShield Installation Information 2009-11-28 21:17 . 2009-11-16 13:32 -------- d-----w- c:\documents and settings\All Users\Application Data\Norton 2009-11-28 21:05 . 2009-11-16 11:22 -------- d-----w- c:\program files\a-squared Free 2009-11-16 14:48 . 2002-09-07 00:00 70868 ----a-w- c:\windows\system32\perfc00C.dat 2009-11-16 14:48 . 2002-09-07 00:00 458776 ----a-w- c:\windows\system32\perfh00C.dat 2009-11-03 16:11 . 2009-12-08 14:48 1531904 ----a-w- c:\documents and settings\All Users\Application Data\PlayFirst\Games\hotel-dash-suite-success\HotelDash.exe 2009-11-03 16:11 . 2009-12-08 14:48 2830336 ----a-w- c:\documents and settings\All Users\Application Data\PlayFirst\Games\hotel-dash-suite-success\game\HotelDash.exe 2009-10-27 18:09 . 2009-10-27 18:09 249856 ----a-w- c:\documents and settings\All Users\Application Data\PlayFirst\Games\components\pfMultiplayer.dll 2009-10-27 18:08 . 2009-10-27 18:08 466944 ----a-w- c:\documents and settings\All Users\Application Data\PlayFirst\Games\pfHarness\pfHarness.dll . ------- Sigcheck ------- [-] 2007-06-26 . C7BE59B07C6EB74BEA6FD67C1B164015 . 360576 . . [5.1.2600.2892] . . c:\windows\system32\drivers cpip.sys [-] 2007-06-14 . C7BCEA1533BE5C9E15884D6C39B667F1 . 80216 . . [7.0.6000.374] . . c:\windows\icon_TMP\wuauclt.exe [-] 2007-06-14 . C7BCEA1533BE5C9E15884D6C39B667F1 . 80216 . . [7.0.6000.374] . . c:\windows\system32\wuauclt.exe [7] 2007-06-14 . 3A83A45E7DD5276315AA20245E7C32BF . 53080 . . [7.0.6000.374] . . c:\windows\system_backup\wuauclt.exe [-] 2004-08-04 . E28D16A8D63ECA6246921FDF7CBDE42A . 1227264 . . [6.00.2900.2180] . . c:\windows\explorer.exe [-] 2004-08-04 . E28D16A8D63ECA6246921FDF7CBDE42A . 1227264 . . [6.00.2900.2180] . . c:\windows\icon_TMP\explorer.exe [7] 2004-08-04 . 4C33E5B9A6197B6ED215F6CFBA0A2DAA . 1036288 . . [6.00.2900.2180] . . c:\windows\system_backup\explorer.exe c:\windows\System32\wscntfy.exe ... manque !! . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-07-16 25604904] "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-09-17 39408] "REVAService"="c:\program files\LG Electronics\LG EV-DO Rev.A USB Modem\Modem Software\REVAService.exe" [2008-12-02 23040] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2006-09-07 15872] "RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2006-12-06 69216] "LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 54832] "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 624248] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-01-21 134656] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-01-21 166912] "Persistence"="c:\windows\system32\igfxpers.exe" [2009-01-21 134656] "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-03-11 49152] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-09-21 305440] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "nltide_2"="shell32" [X] "nltide_3"="advpack.dll" [2009-03-08 128512] c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-3-11 210520] VPN Client.lnk - c:\windows\Installer\{CCBAA1F7-E5E1-48B2-9ED9-A79C6A37CE78}\Icon3E5562ED7.ico [2009-9-2 6144] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoResolveTrack"= 1 (0x1) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) "StartMenuLogoff"= 1 (0x1) "NoResolveTrack"= 1 (0x1) [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Authentication Packages REG_MULTI_SZ msv1_0 nwprovau [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"= "c:\Program Files\Fichiers communs\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpqste08.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe"= "c:\Program Files\HP\Digital Imaging\bin\hposfx08.exe"= "c:\Program Files\HP\Digital Imaging\bin\hposid01.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpoews01.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe"= "c:\Program Files\Windows Live\Messenger\wlcsdk.exe"= "c:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "c:\Program Files\Bonjour\mDNSResponder.exe"= "c:\Program Files\iTunes\iTunes.exe"= "c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"= "c:\Program Files\Skype\Phone\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server "3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server "50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server "50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server R0 iastor75;iastor75;c:\windows\system32\drivers\iastor75.sys [26/06/2007 22:08 304920] R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [26/08/2009 22:32 685816] R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [27/08/2009 09:00 108289] S3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\drivers\fbxusb32.sys [02/10/2009 16:32 21344] S3 UsbEvdomAtc;LGE EVDOM USB Serial Port;c:\windows\system32\drivers\lgevdomatc.sys [04/12/2009 08:10 19840] S3 usbevdombus;LGE EVDOM Composite USB Device;c:\windows\system32\drivers\lgevdombus.sys [04/12/2009 08:10 13696] S3 UsbEvdomDiag;LGE EVDOM USB Serial DM Port;c:\windows\system32\drivers\lgevdomdiag.sys [04/12/2009 08:10 19840] S3 USBEVDOmModem;LGE EVDOM USB Modem;c:\windows\system32\drivers\lgevdommodem.sys [04/12/2009 08:10 21632] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc getPlusHelper REG_MULTI_SZ getPlusHelper . Contenu du dossier 'Tâches planifiées' 2009-12-02 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.google.com/ uInternet Connection Wizard,ShellNext = iexplore uInternet Settings,ProxyOverride = *.local IE: Append to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Convert link target to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Convert link target to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Convert selected links to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html IE: Convert selected links to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html IE: Convert selection to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Convert selection to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Convert to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000 IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll . ************************************************************************** Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4c74-92FE-5B863F82066B}] "ImagePath"="\??\c:\program files\CyberLink\PowerDVD\000.fcl" . --------------------- CLES DE REGISTRE BLOQUEES --------------------- [HKEY_USERS\S-1-5-21-527237240-1417001333-1801674531-500\Software\Microsoft\Internet Explorer\User Preferences] @Denied: (2) (Administrator) "88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15, d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,aa,05,ff,af,41,9f,57,4b,92,33,27,\ "2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15, d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,aa,05,ff,af,41,9f,57,4b,92,33,27,\ "6256FFB019F8FDFBD36745B06F4540E9AEAF222A25"=hex:01,00,00,00,d0,8c,9d,df,01,15, d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,aa,05,ff,af,41,9f,57,4b,92,33,27,\ [HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters] "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79, 00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\ . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'explorer.exe'(3108) c:\windows\system32\msi.dll c:\windows\system32\ieframe.dll c:\windows\system32\webcheck.dll c:\windows\system32\wpdshserviceobj.dll c:\windows\system32\stobject.dll c:\windows\system32\portabledevicetypes.dll c:\windows\system32\portabledeviceapi.dll . ------------------------ Autres processus actifs ------------------------ . c:\windows\system32\igfxsrvc.exe c:\program files\Skype\Plugin Manager\skypePM.exe c:\program files\Avira\AntiVir Desktop\avguard.exe c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\program files\Bonjour\mDNSResponder.exe c:\program files\Cisco Systems\VPN Client\cvpnd.exe c:\program files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe c:\program files\iPod\bin\iPodService.exe c:\windows\system32\wbem\wmiapsrv.exe c:\program files\HP\Digital Imaging\bin\hpqSTE08.exe . ************************************************************************** . Heure de fin: 2010-01-19 19:14:38 - La machine a redémarré ComboFix-quarantined-files.txt 2010-01-19 18:14 ComboFix2.txt 2010-01-18 16:03 Avant-CF: 34 497 499 136 octets libres Après-CF: 34 416 005 120 octets libres - - End Of File - - 253D2630BC7F347E774F1E04DF4EDBEB

noucj · Answer

Voici le rapport antivir suite à cela, il semblerait que j'ai encore ce virus :( 



Avira AntiVir Personal
Date de création du fichier de rapport : mardi 19 janvier 2010  19:20

La recherche porte sur 1566500 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows XP
Version de Windows      : (Service Pack 2)  [5.1.2600]
Mode Boot               : Démarré normalement
Identifiant             : SYSTEM
Nom de l'ordinateur     : SWEET-02CADF57C

Informations de version :
BUILD.DAT               : 9.0.0.74      21698 Bytes  04/12/2009 13:56:00
AVSCAN.EXE              : 9.0.3.10     466689 Bytes  23/11/2009 15:01:10
AVSCAN.DLL              : 9.0.3.0       49409 Bytes  03/03/2009 09:21:02
LUKE.DLL                : 9.0.3.2      209665 Bytes  20/02/2009 10:35:11
LUKERES.DLL             : 9.0.2.0       13569 Bytes  03/03/2009 09:21:31
VBASE000.VDF            : 7.10.0.0   19875328 Bytes  06/11/2009 15:01:10
VBASE001.VDF            : 7.10.1.0    1372672 Bytes  19/11/2009 15:01:10
VBASE002.VDF            : 7.10.1.1       2048 Bytes  19/11/2009 15:01:10
VBASE003.VDF            : 7.10.1.2       2048 Bytes  19/11/2009 15:01:10
VBASE004.VDF            : 7.10.1.3       2048 Bytes  19/11/2009 15:01:10
VBASE005.VDF            : 7.10.1.4       2048 Bytes  19/11/2009 15:01:10
VBASE006.VDF            : 7.10.1.5       2048 Bytes  19/11/2009 15:01:10
VBASE007.VDF            : 7.10.1.6       2048 Bytes  19/11/2009 15:01:10
VBASE008.VDF            : 7.10.1.7       2048 Bytes  19/11/2009 15:01:10
VBASE009.VDF            : 7.10.1.8       2048 Bytes  19/11/2009 15:01:10
VBASE010.VDF            : 7.10.1.9       2048 Bytes  19/11/2009 15:01:10
VBASE011.VDF            : 7.10.1.10      2048 Bytes  19/11/2009 15:01:10
VBASE012.VDF            : 7.10.1.11      2048 Bytes  19/11/2009 15:01:10
VBASE013.VDF            : 7.10.1.79    209920 Bytes  25/11/2009 07:27:47
VBASE014.VDF            : 7.10.1.128    197632 Bytes  30/11/2009 07:49:53
VBASE015.VDF            : 7.10.1.178    195584 Bytes  07/12/2009 20:10:55
VBASE016.VDF            : 7.10.1.224    183296 Bytes  14/12/2009 11:41:00
VBASE017.VDF            : 7.10.1.247    182272 Bytes  15/12/2009 11:42:09
VBASE018.VDF            : 7.10.2.30    198144 Bytes  21/12/2009 11:07:05
VBASE019.VDF            : 7.10.2.63    187392 Bytes  24/12/2009 11:07:21
VBASE020.VDF            : 7.10.2.93    195072 Bytes  29/12/2009 23:33:31
VBASE021.VDF            : 7.10.2.131    201216 Bytes  07/01/2010 10:32:48
VBASE022.VDF            : 7.10.2.158    192000 Bytes  11/01/2010 08:21:08
VBASE023.VDF            : 7.10.2.186    200704 Bytes  14/01/2010 08:22:01
VBASE024.VDF            : 7.10.2.205    201728 Bytes  15/01/2010 11:03:07
VBASE025.VDF            : 7.10.2.219    158720 Bytes  18/01/2010 11:03:06
VBASE026.VDF            : 7.10.2.220      2048 Bytes  18/01/2010 11:03:07
VBASE027.VDF            : 7.10.2.221      2048 Bytes  18/01/2010 11:03:07
VBASE028.VDF            : 7.10.2.222      2048 Bytes  18/01/2010 11:03:07
VBASE029.VDF            : 7.10.2.223      2048 Bytes  18/01/2010 11:03:07
VBASE030.VDF            : 7.10.2.224      2048 Bytes  18/01/2010 11:03:07
VBASE031.VDF            : 7.10.2.227    173056 Bytes  19/01/2010 11:03:08
Version du moteur       : 8.2.1.142
AEVDF.DLL               : 8.1.1.2      106867 Bytes  16/09/2009 16:06:44
AESCRIPT.DLL            : 8.1.3.7      594296 Bytes  05/01/2010 10:34:13
AESCN.DLL               : 8.1.3.1      127348 Bytes  15/01/2010 08:22:51
AESBX.DLL               : 8.1.1.1      246132 Bytes  23/11/2009 15:01:10
AERDL.DLL               : 8.1.3.4      479605 Bytes  02/12/2009 07:50:17
AEPACK.DLL              : 8.2.0.5      422262 Bytes  15/01/2010 08:22:47
AEOFFICE.DLL            : 8.1.0.38     196987 Bytes  23/07/2009 08:59:39
AEHEUR.DLL              : 8.1.0.195   2232695 Bytes  15/01/2010 08:22:37
AEHELP.DLL              : 8.1.10.0     237942 Bytes  15/01/2010 08:22:09
AEGEN.DLL               : 8.1.1.83     369014 Bytes  05/01/2010 10:33:13
AEEMU.DLL               : 8.1.1.0      393587 Bytes  06/10/2009 07:50:20
AECORE.DLL              : 8.1.9.5      184693 Bytes  15/01/2010 08:22:05
AEBB.DLL                : 8.1.0.3       53618 Bytes  09/10/2008 13:32:40
AVWINLL.DLL             : 9.0.0.3       18177 Bytes  12/12/2008 07:47:30
AVPREF.DLL              : 9.0.3.0       44289 Bytes  27/09/2009 09:42:15
AVREP.DLL               : 8.0.0.3      155905 Bytes  20/01/2009 13:34:28
AVREG.DLL               : 9.0.0.0       36609 Bytes  07/11/2008 14:24:42
AVARKT.DLL              : 9.0.0.3      292609 Bytes  24/03/2009 14:05:22
AVEVTLOG.DLL            : 9.0.0.7      167169 Bytes  30/01/2009 09:36:37
SQLITE3.DLL             : 3.6.1.0      326401 Bytes  28/01/2009 14:03:49
SMTPLIB.DLL             : 9.2.0.25      28417 Bytes  02/02/2009 07:20:57
NETNT.DLL               : 9.0.0.0       11521 Bytes  07/11/2008 14:40:59
RCIMAGE.DLL             : 9.0.0.25    2438913 Bytes  17/06/2009 12:44:26
RCTEXT.DLL              : 9.0.73.0      88321 Bytes  23/11/2009 15:01:09

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, F:, 
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : mardi 19 janvier 2010  19:20

La recherche d'objets cachés commence.
'40234' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'IEUM.exe' - '1' module(s) sont contrôlés
Processus de recherche 'REVAService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqste08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'FNPLicensingService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'cvpnd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'skypePM.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqtra08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Skype.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpwuSchd2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxsrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxpers.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'acrotray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PDVDServ.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'47' processus ont été contrôlés avec '47' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage 'D:\'
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage 'F:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '53' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Qoobox\Quarantine\[4]-Submit_2010-01-19_19.03.32.zip
  [0] Type d'archive: ZIP
    --> lndcnqg.sys
      [RESULTAT]  Contient le modèle de détection du rootkit RKIT/Kryptic.763904
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\lndcnqg.sys.vir
    [RESULTAT]  Contient le modèle de détection du rootkit RKIT/Kryptic.763904
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_lndcnqg_.sys.zip
  [0] Type d'archive: ZIP
    --> lndcnqg.sys
      [RESULTAT]  Contient le modèle de détection du rootkit RKIT/Kryptic.763904
C:\System Volume Information\_restore{F268EBED-E2CC-44E8-980C-C4AE39AAA825}\RP1\A0001576.sys
    [RESULTAT]  Contient le modèle de détection du rootkit RKIT/Kryptic.763904
C:\WINDOWS\system32\drivers\sptd.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'D:\' <HP_RECOVERY>
Recherche débutant dans 'F:\'

Début de la désinfection :
C:\Qoobox\Quarantine\[4]-Submit_2010-01-19_19.03.32.zip
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bb3199d.qua' !
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\lndcnqg.sys.vir
    [RESULTAT]  Contient le modèle de détection du rootkit RKIT/Kryptic.763904
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bba19d7.qua' !
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_lndcnqg_.sys.zip
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bc419d5.qua' !
C:\System Volume Information\_restore{F268EBED-E2CC-44E8-980C-C4AE39AAA825}\RP1\A0001576.sys
    [RESULTAT]  Contient le modèle de détection du rootkit RKIT/Kryptic.763904
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b86199a.qua' !


Fin de la recherche : mardi 19 janvier 2010  21:43
Temps nécessaire:  2:22:58 Heure(s)

La recherche a été effectuée intégralement

  14726 Les répertoires ont été contrôlés
 328580 Des fichiers ont été contrôlés
      4 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      4 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      2 Impossible de contrôler des fichiers
 328574 Fichiers non infectés
   1829 Les archives ont été contrôlées
      2 Avertissements
      5 Consignes
  40234 Des objets ont été contrôlés lors du Rootkitscan
      0 Des objets cachés ont été trouvés

noucj · Answer

Effectivement, je devais vider la quarantaine
J'ai refait une analyse, tout semble en ordre maintenant.
Je vous remercie pour votre aide et votre patience !
Quel soulagement ! ! 
A plus !

noucj · Answer

Ok, alors donc voilà les 2 liens : 
http://www.cijoint.fr/cjlink.php?file=cj201001/cijMrAqEoK.txt 
http://www.cijoint.fr/cjlink.php?file=cj201001/cijSYhAMOe.txt

merci

noucj · Answer

En fait le fichier host a été modifié par moi même car j'utilise un client vpn et un outil demailing derrière donc j'ai besoin qu'il soit corrigé

noucj · Answer

Jai mis mon ipod et une carte mémoire, voici le rapport : 
=> Antivir m'a signalé deux chevaux de troie que j'ai mis en quarantaine

############################## | UsbFix V6.075 |

User : Administrateur (Administrateurs) # SWEET-02CADF57C
Update on 19/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 15:30:28 | 20/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU     T7250  @ 2.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 58,59 Go (31,77 Go free) # NTFS
D:\ -> Disque fixe local # 11,98 Go (2,07 Go free) [HP_RECOVERY] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque fixe local # 78,47 Go (72,64 Go free) # NTFS
G:\ -> Disque amovible # 968,25 Mo (968,16 Mo free) # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 1296
C:\WINDOWS\system32\csrss.exe 1344
C:\WINDOWS\system32\winlogon.exe 1368
C:\WINDOWS\system32\services.exe 1412
C:\WINDOWS\system32\lsass.exe 1424
C:\WINDOWS\system32\svchost.exe 1608
C:\WINDOWS\system32\svchost.exe 1696
C:\WINDOWS\System32\svchost.exe 1736
C:\WINDOWS\system32\svchost.exe 1840
C:\WINDOWS\system32\svchost.exe 276
C:\WINDOWS\system32\spoolsv.exe 764
C:\Program Files\Avira\AntiVir Desktop\sched.exe 808
C:\WINDOWS\Explorer.EXE 1796
C:\Program Files\Unlocker\UnlockerAssistant.exe 1960
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe 1964
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 1980
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe 1992
C:\WINDOWS\system32\igfxtray.exe 2032
C:\WINDOWS\system32\igfxpers.exe 2044
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe 216
C:\WINDOWS\system32\igfxsrvc.exe 256
C:\Program Files\iTunes\iTunesHelper.exe 344
C:\Program Files\Skype\Phone\Skype.exe 384
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe 500
C:\Program Files\LG Electronics\LG EV-DO Rev.A USB Modem\Modem Software\REVAService.exe 516
C:\WINDOWS\system32\ctfmon.exe 532
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe 576
C:\Program Files\Skype\Plugin Manager\skypePM.exe 1076
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 1016
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 1020
C:\Program Files\Bonjour\mDNSResponder.exe 1036
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe 1072
C:\WINDOWS\system32\svchost.exe 1240
C:\WINDOWS\System32\svchost.exe 408
C:\WINDOWS\System32\svchost.exe 1616
C:\WINDOWS\system32\svchost.exe 2372
C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe 3120
C:\Program Files\iPod\bin\iPodService.exe 3264
C:\WINDOWS\system32\wbem\wmiapsrv.exe 3392
C:\WINDOWS\System32\alg.exe 3996
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe 2972
C:\Program Files\Cisco Systems\VPN Client\vpngui.exe 592
C:\Program Files\internet explorer\iexplore.exe 3312
C:\Program Files\internet explorer\iexplore.exe 2320
C:\Program Files\Windows Live\Messenger\msnmsgr.exe 3784
C:\Program Files\Windows Live\Contacts\wlcomm.exe 2820
C:\Program Files\Neolane\Neolane Communication Suite 4.00\bin
lclient.exe 3156
C:\Program Files\internet explorer\iexplore.exe 3084
C:\Program Files\Microsoft Office\Office12\EXCEL.EXE 3868
C:\Program Files\Mozilla Firefox\firefox.exe 5576
C:\Program Files\Skype\Toolbars\Shared\SkypeNames.exe 2608
C:\Program Files\GlobalSCAPE\CuteFTP 8 Professional\cuteftppro.exe 3792
C:\Program Files\GlobalSCAPE\CuteFTP 8 Professional\ftpte.exe 2368
C:\Program Files\iTunes\iTunes.exe 5124
C:\WINDOWS\system32\wbem\wmiprvse.exe 4840

################## | Elements infectieux |

G:\explorer.exe  
G:\fooool.exe   

################## | MD5 |


################## | Registre |

[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoResolveSearch"  

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{75a779d2-92dd-11de-b9d4-001cbf7f4c48}
Shell\AutoRun\command =G:\SWLauncher.exe 

################## | ! Fin du rapport # UsbFix V6.075 ! |

noucj · Answer

Deuxième rapport après avoir vidé la quarantaine d'antivir
Ca semble OK à première vue


############################## | UsbFix V6.075 |

User : Administrateur (Administrateurs) # SWEET-02CADF57C
Update on 19/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 15:41:36 | 20/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU     T7250  @ 2.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 58,59 Go (31,73 Go free) # NTFS
D:\ -> Disque fixe local # 11,98 Go (2,07 Go free) [HP_RECOVERY] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque fixe local # 78,47 Go (72,64 Go free) # NTFS
G:\ -> Disque amovible # 968,25 Mo (968,19 Mo free) # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 1296
C:\WINDOWS\system32\csrss.exe 1344
C:\WINDOWS\system32\winlogon.exe 1368
C:\WINDOWS\system32\services.exe 1412
C:\WINDOWS\system32\lsass.exe 1424
C:\WINDOWS\system32\svchost.exe 1608
C:\WINDOWS\system32\svchost.exe 1696
C:\WINDOWS\System32\svchost.exe 1736
C:\WINDOWS\system32\svchost.exe 1840
C:\WINDOWS\system32\svchost.exe 276
C:\WINDOWS\system32\spoolsv.exe 764
C:\Program Files\Avira\AntiVir Desktop\sched.exe 808
C:\WINDOWS\Explorer.EXE 1796
C:\Program Files\Unlocker\UnlockerAssistant.exe 1960
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe 1964
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 1980
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe 1992
C:\WINDOWS\system32\igfxtray.exe 2032
C:\WINDOWS\system32\igfxpers.exe 2044
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe 216
C:\WINDOWS\system32\igfxsrvc.exe 256
C:\Program Files\iTunes\iTunesHelper.exe 344
C:\Program Files\Skype\Phone\Skype.exe 384
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe 500
C:\Program Files\LG Electronics\LG EV-DO Rev.A USB Modem\Modem Software\REVAService.exe 516
C:\WINDOWS\system32\ctfmon.exe 532
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe 576
C:\Program Files\Skype\Plugin Manager\skypePM.exe 1076
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 1016
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 1020
C:\Program Files\Bonjour\mDNSResponder.exe 1036
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe 1072
C:\WINDOWS\system32\svchost.exe 1240
C:\WINDOWS\System32\svchost.exe 408
C:\WINDOWS\System32\svchost.exe 1616
C:\WINDOWS\system32\svchost.exe 2372
C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe 3120
C:\Program Files\iPod\bin\iPodService.exe 3264
C:\WINDOWS\system32\wbem\wmiapsrv.exe 3392
C:\WINDOWS\System32\alg.exe 3996
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe 2972
C:\Program Files\Cisco Systems\VPN Client\vpngui.exe 592
C:\Program Files\internet explorer\iexplore.exe 3312
C:\Program Files\internet explorer\iexplore.exe 2320
C:\Program Files\Windows Live\Messenger\msnmsgr.exe 3784
C:\Program Files\Windows Live\Contacts\wlcomm.exe 2820
C:\Program Files\Neolane\Neolane Communication Suite 4.00\bin
lclient.exe 3156
C:\Program Files\internet explorer\iexplore.exe 3084
C:\Program Files\Mozilla Firefox\firefox.exe 5576
C:\Program Files\Skype\Toolbars\Shared\SkypeNames.exe 2608
C:\Program Files\internet explorer\iexplore.exe 4304
C:\WINDOWS\system32\wbem\wmiprvse.exe 2068

################## | Elements infectieux |


################## | Registre |

[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoResolveSearch"  

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{75a779d2-92dd-11de-b9d4-001cbf7f4c48}
Shell\AutoRun\command =G:\SWLauncher.exe 

################## | ! Fin du rapport # UsbFix V6.075 ! |

Pouvez vous me confirmer que tout est OK svp ? merci !

noucj · Answer

Et voici : 


############################## | UsbFix V6.075 |

User : Administrateur (Administrateurs) # SWEET-02CADF57C
Update on 19/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 16:28:24 | 20/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU     T7250  @ 2.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 58,59 Go (31,78 Go free) # NTFS
D:\ -> Disque fixe local # 11,98 Go (2,07 Go free) [HP_RECOVERY] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque fixe local # 78,47 Go (72,64 Go free) # NTFS
G:\ -> Disque amovible # 968,25 Mo (968,19 Mo free) # FAT
H:\ -> Disque amovible # 966,99 Mo (642,45 Mo free) [IPOD - NADI] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 1224
C:\WINDOWS\system32\csrss.exe 1340
C:\WINDOWS\system32\winlogon.exe 1368
C:\WINDOWS\system32\services.exe 1416
C:\WINDOWS\system32\lsass.exe 1428
C:\WINDOWS\system32\svchost.exe 1620
C:\WINDOWS\system32\svchost.exe 1704
C:\WINDOWS\System32\svchost.exe 1744
C:\WINDOWS\system32\svchost.exe 1984
C:\WINDOWS\system32\svchost.exe 292
C:\WINDOWS\system32\spoolsv.exe 768
C:\Program Files\Avira\AntiVir Desktop\sched.exe 812
C:\WINDOWS\Explorer.EXE 1392
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 572
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 584
C:\Program Files\Bonjour\mDNSResponder.exe 596
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe 632
C:\WINDOWS\system32\svchost.exe 980
C:\WINDOWS\System32\svchost.exe 1068
C:\WINDOWS\System32\svchost.exe 1800
C:\WINDOWS\system32\svchost.exe 1920
C:\WINDOWS\System32\alg.exe 1044
C:\WINDOWS\system32\wbem\wmiprvse.exe 1268

################## | Elements infectieux |

Supprimé ! C:\Recycler\S-1-5-21-527237240-1417001333-1801674531-500 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-1072370965-1704309809-1229438043-1000 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-1072370965-1704309809-1229438043-500 
Supprimé ! D:\Recycler\S-1-5-21-527237240-1417001333-1801674531-500 
Supprimé ! F:\Recycler\S-1-5-21-527237240-1417001333-1801674531-500 
Supprimé ! H:\explorer.exe 
Supprimé ! H:\fooool.exe  

################## | MD5 |


################## | Registre |

Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"  
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"  
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoResolveSearch"  

################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{75a779d2-92dd-11de-b9d4-001cbf7f4c48}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[26/08/2009 22:31|--a------|0] C:\AUTOEXEC.BAT 
[19/01/2010 19:14|--a------|14877] C:\ComboFix.txt 
[26/08/2009 22:31|--a------|0] C:\CONFIG.SYS 
[27/08/2009 09:25|--a------|10] C:\csb.log 
[26/08/2009 22:31|-rahs----|0] C:\IO.SYS 
[26/08/2009 22:31|-rahs----|0] C:\MSDOS.SYS 
[?|?|?] C:\pagefile.sys 
[20/01/2010 16:36|--a------|3214] C:\UsbFix.txt 
[26/08/2009 22:48|--a------|11804] C:\WPI_Log.txt 
[11/09/2005 16:18|---hs----|340] D:\AUTOMODE 
[29/01/2009 22:27|---hs----|13] D:\BLOCK.RIN 
[27/08/2009 00:14|--a------|211] D:\Boot.bak 
[18/01/2010 16:58|-rahs----|282] D:\boot.ini 
[07/09/2002 01:00|-rahs----|4952] D:\Bootfont.bin 
[04/10/2006 00:02|---hs----|438328] D:\bootmgr 
[03/08/2004 23:00|--a------|263488] D:\cmldr 
[06/09/2008 12:19|---hs----|891] D:\Desktop.ini 
[10/09/2002 17:14|---hs----|8134] D:\Folder.htt 
[29/01/2009 22:41|--ahs----|816] D:\MASTER.LOG 
[04/08/2004 03:38|-rahs----|47564] D:\NTDETECT.COM 
[04/08/2004 03:59|-rahs----|251712] D:
tldr 
[16/09/2002 15:37|---hs----|181898] D:\protect.chinese hong kong 
[16/09/2002 15:37|---hs----|181916] D:\protect.chinese simplified 
[16/09/2002 15:37|---hs----|181898] D:\protect.chinese traditional 
[27/04/2006 17:19|---hs----|181865] D:\protect.czech 
[03/11/2005 16:21|---hs----|181726] D:\protect.danish 
[10/09/2002 14:56|---hs----|181605] D:\protect.dutch 
[10/09/2002 14:50|---hs----|181651] D:\protect.ed 
[22/11/2004 16:28|---hs----|181648] D:\protect.english 
[03/11/2005 16:20|---hs----|181673] D:\protect.finnish 
[03/11/2005 16:19|---hs----|181736] D:\protect.french 
[03/11/2005 16:18|---hs----|181669] D:\protect.german 
[23/11/2005 16:56|---hs----|182689] D:\protect.greek 
[23/01/2006 10:18|---hs----|182605] D:\protect.hebrew 
[28/08/2007 15:58|---hs----|181696] D:\protect.hungarian 
[03/11/2005 16:17|---hs----|181554] D:\protect.italian 
[10/04/2006 10:46|---hs----|182566] D:\protect.japanese 
[24/11/2005 12:24|---hs----|218295] D:\protect.korean 
[03/11/2005 16:15|---hs----|181578] D:\protect.norwegian 
[25/04/2006 15:44|---hs----|181789] D:\protect.polish 
[03/11/2005 16:13|---hs----|181624] D:\protect.portuguese 
[27/10/2005 20:24|---hs----|181882] D:\protect.portuguese brazilian 
[28/06/2004 09:52|---hs----|211936] D:\protect.russian 
[03/11/2005 16:11|---hs----|181586] D:\protect.spanish 
[10/09/2002 15:15|---hs----|181602] D:\protect.swedish 
[12/08/2003 11:37|---hs----|181783] D:\protect.turkish 
[10/01/2008 22:40|---hs----|0] D:\USER 
[31/12/2009 11:36|--a------|30726] F:\Code d'accŠs.xlsx 
[11/01/2010 14:05|--a------|399] F:\Echange_Julien.lnk 
[31/12/2009 09:25|--a------|324096] F:\Planning op‚s_Nadia_2009.xls 
[29/09/2009 15:39|--a------|1612] G:\BOOTEX.LOG 
[12/12/2009 23:38|--a------|296] G:\WMPInfo.xml 
[26/12/2008 12:50|--ah-----|45518] H:\.VolumeIcon.icns 
[26/12/2008 12:50|--ah-----|4096] H:\._.VolumeIcon.icns 
[07/01/2009 13:36|--ah-----|4096] H:\._? 
[26/12/2008 12:47|--ah-----|4096] H:\._.Trashes 
[31/05/2009 15:27|--a------|26624] H:\carte_visite.doc 
[26/12/2008 12:47|--ah-----|4096] H:\._iPod_Control 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.  
# D:\autorun.inf -> Dossier créé par UsbFix.  
# F:\autorun.inf -> Dossier créé par UsbFix.  
# G:\autorun.inf -> Dossier créé par UsbFix.  
# H:\autorun.inf -> Dossier créé par UsbFix.  

################## | Upload | 

Veuillez envoyer le fichier : C:\DOCUME~1\ADMINI~1\Bureau\UsbFix_Upload_Me_SWEET-02CADF57C.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.075 ! |

noucj · Answer

Bonjour Nathandre,
Désolée pour le retard de réponse j'ai été très prise.
J'ai refait une analyse car j'ai ajouté une clé USB et j'ai bien uploadé le zip.
Voici le rapport de l'analyse :
=> Peux tu me dire si c'est OK maintenant ? 
PS : j'ai refait un scan antivir, je n'ai plus de virus apparents

Merci :p

############################## | UsbFix V6.075 |

User : Administrateur (Administrateurs) # SWEET-02CADF57C
Update on 19/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 23:06:04 | 25/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU     T7250  @ 2.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 58,59 Go (31,53 Go free) # NTFS
D:\ -> Disque fixe local # 11,98 Go (2,07 Go free) [HP_RECOVERY] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque fixe local # 78,47 Go (72,26 Go free) # NTFS
G:\ -> Disque amovible # 244,62 Mo (145,8 Mo free) # FAT
H:\ -> Disque amovible # 966,99 Mo (643,24 Mo free) [IPOD - NADI] # FAT32
I:\ -> Disque amovible # 968,25 Mo (968,17 Mo free) # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 1224
C:\WINDOWS\system32\csrss.exe 1340
C:\WINDOWS\system32\winlogon.exe 1368
C:\WINDOWS\system32\services.exe 1412
C:\WINDOWS\system32\lsass.exe 1424
C:\WINDOWS\system32\svchost.exe 1612
C:\WINDOWS\system32\svchost.exe 1700
C:\WINDOWS\System32\svchost.exe 1740
C:\WINDOWS\system32\svchost.exe 1836
C:\WINDOWS\system32\svchost.exe 284
C:\WINDOWS\system32\spoolsv.exe 752
C:\Program Files\Avira\AntiVir Desktop\sched.exe 796
C:\WINDOWS\Explorer.EXE 1788
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 516
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 528
C:\Program Files\Bonjour\mDNSResponder.exe 544
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe 580
C:\WINDOWS\system32\svchost.exe 876
C:\WINDOWS\System32\svchost.exe 1004
C:\WINDOWS\System32\svchost.exe 1068
C:\WINDOWS\system32\svchost.exe 1876
C:\WINDOWS\System32\alg.exe 1276
C:\WINDOWS\system32\wbem\wmiprvse.exe 1300

################## | Elements infectieux |

Supprimé ! C:\Recycler\S-1-5-21-527237240-1417001333-1801674531-500 
Supprimé ! D:\Recycler\S-1-5-21-527237240-1417001333-1801674531-500 
Supprimé ! F:\Recycler\S-1-5-21-527237240-1417001333-1801674531-500 
Supprimé ! G:\Restore\S-1-5-21-1482476501-1644491937-682003330-1013 

################## | Registre |


################## | Mountpoints2 |


################## | Listing des fichiers présent |

[26/08/2009 22:31|--a------|0] C:\AUTOEXEC.BAT 
[19/01/2010 19:14|--a------|14877] C:\ComboFix.txt 
[26/08/2009 22:31|--a------|0] C:\CONFIG.SYS 
[27/08/2009 09:25|--a------|10] C:\csb.log 
[26/08/2009 22:31|-rahs----|0] C:\IO.SYS 
[26/08/2009 22:31|-rahs----|0] C:\MSDOS.SYS 
[?|?|?] C:\pagefile.sys 
[25/01/2010 23:09|--a------|2713] C:\UsbFix.txt 
[26/08/2009 22:48|--a------|11804] C:\WPI_Log.txt 
[11/09/2005 16:18|---hs----|340] D:\AUTOMODE 
[29/01/2009 22:27|---hs----|13] D:\BLOCK.RIN 
[27/08/2009 00:14|--a------|211] D:\Boot.bak 
[18/01/2010 16:58|-rahs----|282] D:\boot.ini 
[07/09/2002 01:00|-rahs----|4952] D:\Bootfont.bin 
[04/10/2006 00:02|---hs----|438328] D:\bootmgr 
[03/08/2004 23:00|--a------|263488] D:\cmldr 
[06/09/2008 12:19|---hs----|891] D:\Desktop.ini 
[10/09/2002 17:14|---hs----|8134] D:\Folder.htt 
[29/01/2009 22:41|--ahs----|816] D:\MASTER.LOG 
[04/08/2004 03:38|-rahs----|47564] D:\NTDETECT.COM 
[04/08/2004 03:59|-rahs----|251712] D:
tldr 
[16/09/2002 15:37|---hs----|181898] D:\protect.chinese hong kong 
[16/09/2002 15:37|---hs----|181916] D:\protect.chinese simplified 
[16/09/2002 15:37|---hs----|181898] D:\protect.chinese traditional 
[27/04/2006 17:19|---hs----|181865] D:\protect.czech 
[03/11/2005 16:21|---hs----|181726] D:\protect.danish 
[10/09/2002 14:56|---hs----|181605] D:\protect.dutch 
[10/09/2002 14:50|---hs----|181651] D:\protect.ed 
[22/11/2004 16:28|---hs----|181648] D:\protect.english 
[03/11/2005 16:20|---hs----|181673] D:\protect.finnish 
[03/11/2005 16:19|---hs----|181736] D:\protect.french 
[03/11/2005 16:18|---hs----|181669] D:\protect.german 
[23/11/2005 16:56|---hs----|182689] D:\protect.greek 
[23/01/2006 10:18|---hs----|182605] D:\protect.hebrew 
[28/08/2007 15:58|---hs----|181696] D:\protect.hungarian 
[03/11/2005 16:17|---hs----|181554] D:\protect.italian 
[10/04/2006 10:46|---hs----|182566] D:\protect.japanese 
[24/11/2005 12:24|---hs----|218295] D:\protect.korean 
[03/11/2005 16:15|---hs----|181578] D:\protect.norwegian 
[25/04/2006 15:44|---hs----|181789] D:\protect.polish 
[03/11/2005 16:13|---hs----|181624] D:\protect.portuguese 
[27/10/2005 20:24|---hs----|181882] D:\protect.portuguese brazilian 
[28/06/2004 09:52|---hs----|211936] D:\protect.russian 
[03/11/2005 16:11|---hs----|181586] D:\protect.spanish 
[10/09/2002 15:15|---hs----|181602] D:\protect.swedish 
[12/08/2003 11:37|---hs----|181783] D:\protect.turkish 
[10/01/2008 22:40|---hs----|0] D:\USER 
[31/12/2009 11:36|--a------|30726] F:\Code d'accŠs.xlsx 
[11/01/2010 14:05|--a------|399] F:\Echange_Julien.lnk 
[31/12/2009 09:25|--a------|324096] F:\Planning op‚s_Nadia_2009.xls 
[12/05/2009 10:39|--a------|301568] G:\Pr‚sentation pr‚ formation.ppt 
[08/05/2009 14:46|--a------|85504] G:\Pr‚-aff 23mars tableau modules.doc 
[20/01/2007 13:34|--ahs----|172] G:\DRMv1PM.lic 
[20/01/2007 13:33|--ah-----|296] G:\WMPInfo.xml 
[12/05/2009 22:40|--a------|519168] G:\pr‚sentation 2.ppt 
[13/05/2009 00:56|--a------|504832] G:\pr‚sentation 3.ppt 
[13/05/2009 19:19|--a------|461824] G:\pr‚sentation 3 finale.ppt 
[29/05/2009 09:17|--a------|61440] G:\carte visite.doc 
[13/07/2009 14:17|---h-----|45056] G:\~WRL0003.tmp 
[23/01/2010 23:35|--a------|1614] G:\BOOTEX.LOG 
[06/07/2009 17:52|--a------|43008] G:\?????.doc 
[25/01/2010 18:59|--a------|26112] G:\CR s‚minaire.doc 
[26/12/2008 12:50|--ah-----|45518] H:\.VolumeIcon.icns 
[26/12/2008 12:50|--ah-----|4096] H:\._.VolumeIcon.icns 
[07/01/2009 13:36|--ah-----|4096] H:\._? 
[26/12/2008 12:47|--ah-----|4096] H:\._.Trashes 
[31/05/2009 15:27|--a------|26624] H:\carte_visite.doc 
[26/12/2008 12:47|--ah-----|4096] H:\._iPod_Control 
[29/09/2009 15:39|--a------|1612] I:\BOOTEX.LOG 
[12/12/2009 23:38|--a------|296] I:\WMPInfo.xml 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.  
# D:\autorun.inf -> Dossier créé par UsbFix.  
# F:\autorun.inf -> Dossier créé par UsbFix.  
# G:\autorun.inf -> Dossier créé par UsbFix.  
# H:\autorun.inf -> Dossier créé par UsbFix.  
# I:\autorun.inf -> Dossier créé par UsbFix.  

################## | Upload | 

Veuillez envoyer le fichier : C:\DOCUME~1\ADMINI~1\Bureau\UsbFix_Upload_Me_SWEET-02CADF57C.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.075 ! |

noucj · Answer

Bonjour ! 
3 éléments infectés, j'ai mis "supprimer la sélection" en action, voici le reporting; 
merci 

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3639
Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

26/01/2010 10:04:17
mbam-log-2010-01-26 (10-04-17).txt

Type de recherche: Examen complet (C:\|D:\|F:\|)
Eléments examinés: 259611
Temps écoulé: 54 minute(s), 1 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{F268EBED-E2CC-44E8-980C-C4AE39AAA825}\RP1\A0000053.sys (Malware.Trace) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F268EBED-E2CC-44E8-980C-C4AE39AAA825}\RP1\A0001670.sys (Malware.Trace) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F268EBED-E2CC-44E8-980C-C4AE39AAA825}\RP3\A0004781.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.

robindr400 · Answer

J'ai 'flingué' Kpryptic.763904.
Il s'agit d'un rootkit qui se lance depuis le boot(pas toucher sans super connaitre) et qui va mettre un .sys dans windows\system32\drivers, qui peut s'appeler n'importe comment (facile le jeu).
1) le repèrer > classer par date, c'est le plus récent, il se reconstruit tout le temps, essayer de l'effacer...
hum, il ne veut pas, très bien.
2) aller ans regedit et faites une recherche sur le nom du fichier; vous pouvez détruire les clés ? Non ? Tant mieux, c'est le bon.
3) redémarrer votre ordinateur en titillant F8, passez en mode console, mettez le disque d'install de Windaube
et taper i: entrée (i étant la lettre de votre lecteur de cd, mais ça peut être n'importe qu'elle autre)
cd i386 entrée
bootfix entrée
Voulez-vous gnagnagna ? répondez O entrée
4) Taper c: entrée
cd \windows\system32\drivers (attention à l'espace entre cd et \)
del 'le nom du fichier'.sys entrée
5) retirer le cd
6)redémarrer votre Pc
7) regedit, flinguée toutes les clé contenant le nom du fichier(sans l'extension.sys)
si 'ça' veut pas > edition > autorisations (mettez la meilleure, vous par exemple) coicher controle total, clic sur OK et dégager toutes ces m......
Bye

Alain

robindr400 · Answer

J'ai 'flingué' Kpryptic.763904.
Il s'agit d'un rootkit qui se lance depuis le boot(pas toucher sans super connaitre) et qui va mettre un .sys dans windows\system32\drivers, qui peut s'appeler n'importe comment (facile le jeu).
1) le repèrer > classer par date, c'est le plus récent, il se reconstruit tout le temps, essayer de l'effacer...
hum, il ne veut pas, très bien.
2) aller ans regedit et faites une recherche sur le nom du fichier; vous pouvez détruire les clés ? Non ? Tant mieux, c'est le bon.
3) redémarrer votre ordinateur en titillant F8, passez en mode console, mettez le disque d'install de Windaube
et taper i: entrée (i étant la lettre de votre lecteur de cd, mais ça peut être n'importe qu'elle autre)
cd i386 entrée
bootfix entrée
Voulez-vous gnagnagna ? répondez O entrée
4) Taper c: entrée
cd \windows\system32\drivers (attention à l'espace entre cd et \)
del 'le nom du fichier'.sys entrée
5) retirer le cd
6)redémarrer votre Pc
7) regedit, flinguée toutes les clé contenant le nom du fichier(sans l'extension.sys)
si 'ça' veut pas > edition > autorisations (mettez la meilleure, vous par exemple) coicher controle total, clic sur OK et dégager toutes ces m......
Bye

Alain

robindr400 · Answer

A l'attention de Nathandre.

Bah mon p'tit gars faudrait une tout petit peu modérer votre humeur !
J'ai 58 ans et un Doctorat d'Informatique et je n'ai plus grand chose à apprendre des blancs becs!
J'ai cherché sur votre forum comment viré cet cochonnerie et pratiquement toutes les solutions ne fonctionnent pas ou elles sont tellement tordues qu'il faut 2 personnes pour lire la doc, 2 pour surveiller celui qui est au clavier, pour arriver à un  résultat de naze.
Le bidouillage dans le registre n'est pas utile, c'était juste pour faire 'beau' mais peut être un peu compliqué pour les trisomiques, c'est vrai.

Bye

Alain de wit

noucj · Answer

En tout cas, je suis novice, et les manips ci dessus m'ont aussi aidé à le détruire, c'est ce qui compte au final non ?

Supprimer RKIT/Kryptic.763904

23 réponses

Votre réponse

Discussions similaires

Newsletters