Virus DR/Delphi.Gen, un Dropper dansTemp

Question

Bonjour,

Depuis hier, j'ai installé Avira à la place d'Avast car on m'a dit que c'est plus précis que ce dernier. Mais, depuis, Avira n'arrête pas de m'afficher la fenêtre me disant qu'il a trouvé un virus, toujours le même, DR/Delphi.Gen dans le fichiers C:\Windows\Temp\ un fichier en question qui change à chaque alerte.

Exemple : C:\Windows\Temp	mkf.tmp\svchost.exe

J'ai beau supprimer, refuser l'accès ou mettre en quarantaine le virus, ce dernier revient toujours dans un autre fichier Temp. J'ai beau aussi supprimer ces fichiers dans Temp, dès qu'un virus est trouvé, le fichier apparaît... !

Je ne sais pas comment je peux m'en débarasser une bonne fois pour toute ! Et toutes les 5 minutes, l'alerte revient...

Si quelqu'un pouvait m'aider, se serait super !!
Merci !!

gen-hackman · Answer

salut :

&#9654 Telecharge UsbFix 

 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir


&#9654 Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" .

&#9654 Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

&#9654 Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 

&#9654 Laisse travailler l outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra.

Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

Minidjina · Answer

Heelo, voici le rapport tout en sachant que depuis que j'ai allumé mon ordi (environ 20 minutes) je n'ai plus eut de messages d'alertes.... Bizarre... Enfin bon, j'ai quand même fait ce que tu as dit, ça m'étonnerait que le truc se soit envolé pendant que mon ordi était éteint !!


############################## | UsbFix V6.077 |

User : Sophie (Administrateurs) # PC-DE-SOPHIE
Update on 21/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 12:01:24 | 23/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Genuine Intel(R) CPU           T2130  @ 1.86GHz
Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18882
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 141,63 Go (52,69 Go free) # NTFS
D:\ -> Disque fixe local # 7,42 Go (2,19 Go free) [HP_RECOVERY] # NTFS
E:\ -> Disque CD-ROM # 994,83 Mo (0 Mo free) [Heroes3] # UDF

############################## | Processus actifs |

C:\Windows\System32\smss.exe 424
C:\Windows\system32\csrss.exe 492
C:\Windows\system32\wininit.exe 536
C:\Windows\system32\csrss.exe 548
C:\Windows\system32\services.exe 584
C:\Windows\system32\lsass.exe 596
C:\Windows\system32\lsm.exe 604
C:\Windows\system32\winlogon.exe 656
C:\Windows\system32\svchost.exe 792
C:\Windows\system32\svchost.exe 876
C:\Windows\System32\svchost.exe 920
C:\Windows\System32\svchost.exe 1008
C:\Windows\System32\svchost.exe 1052
C:\Windows\system32\svchost.exe 1080
C:\Windows\system32\svchost.exe 1244
C:\Windows\system32\SLsvc.exe 1272
C:\Windows\system32\svchost.exe 1328
C:\Windows\system32\svchost.exe 1464
C:\Windows\system32\Dwm.exe 1716
C:\Windows\System32\spoolsv.exe 1760
C:\Windows\Explorer.EXE 1796
C:\Program Files\Avira\AntiVir Desktop\sched.exe 1820
C:\Windows\system32	askeng.exe 1828
C:\Windows\system32\svchost.exe 1884
C:\Windows\system32	askeng.exe 776
C:\Program Files\Windows Defender\MSASCui.exe 600
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe 860
C:\Windows\System32\igfxtray.exe 1076
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 872
C:\Windows\System32\igfxpers.exe 704
C:\Program Files\Hp\HP Software Update\hpwuSchd2.exe 1232
C:\Program Files\Hp\QuickPlay\QPService.exe 1312
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe 1388
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe 1416
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe 1456
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe 1552
C:\Program Files\iTunes\iTunesHelper.exe 1932
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 1968
C:\Program Files\Windows Sidebar\sidebar.exe 2044
C:\Program Files\Skype\Phone\Skype.exe 316
C:\Program Files\Windows Media Player\wmpnscfg.exe 468
C:\Windows\ehome\ehtray.exe 12
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe 1524
C:\Windows\system32\igfxsrvc.exe 1176
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 2088
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe 2428
C:\Windows\ehome\ehmsas.exe 2476
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN 2532
C:\Program Files\Bonjour\mDNSResponder.exe 2956
C:\Program Files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe 3020
C:\Windows\system32\svchost.exe 3204
C:\Program Files\Common Files\LightScribe\LSSrvc.exe 3316
C:\Windows\System32\svchost.exe 3356
C:\Windows\System32\svchost.exe 3380
C:\Windows\system32\svchost.exe 3392
C:\Windows\system32\svchost.exe 3432
C:\Windows\System32\svchost.exe 3524
C:\Windows\system32\SearchIndexer.exe 3576
C:\Windows\system32\DRIVERS\xaudio.exe 3648
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe 3672
C:\Program Files\Windows Media Player\wmpnetwk.exe 1020
C:\Windows\system32\wbem\wmiprvse.exe 3880
C:\Program Files\iPod\bin\iPodService.exe 2660
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe 3964
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe 472
C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe 3888
C:\Program Files\Internet Explorer\iexplore.exe 2420
C:\Program Files\Internet Explorer\iexplore.exe 2132
C:\Program Files\eMule\emule.exe 464
C:\Program Files\Internet Explorer\iexplore.exe 2040
C:\Windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe 4232
C:\Program Files\Windows Live\Messenger\msnmsgr.exe 4644
c:\program files\windows defender\MpCmdRun.exe 5064
C:\Program Files\Internet Explorer\iexplore.exe 5260
C:\Windows\system32\SearchProtocolHost.exe 4848
C:\Windows\system32\conime.exe 5696
C:\Windows\system32\SearchFilterHost.exe 5768
C:\Windows\system32\wbem\wmiprvse.exe 4224

################## | Elements infectieux |

C:\Users\Sophie\AppData\Local\Temp\0.20383563507474212.exe  
E:\autorun.inf  
E:\autorun.ini   

################## | Registre |

[HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] "DisableSR"  

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{00eb0d8a-0196-11de-8c97-001b24794361}
shell\AutoRun\command =G:\LaunchU3.exe -a

HKCU\..\..\Explorer\MountPoints2\{17dd50fb-0f0f-11dd-87bf-001b24794361}
shell\AutoRun\command =G:\LaunchU3.exe -a

HKCU\..\..\Explorer\MountPoints2\{dceaa0cc-662f-11dc-a116-806e6f6e6963}
shell\AutoRun\command =E:\EAUTORUN.EXE 

################## | Crack > Keygen > Serial |


################## | ! Fin du rapport # UsbFix V6.077 ! |

Voilà !!

gen-hackman · Answer

&#9654 Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir


&#9654 Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisi éxécuter en tant qu'administrateur .

&#9654 choisi l option 2 ( Suppression )

&#9654 Ton bureau disparaitra et le pc redémarrera .

&#9654 Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

&#9654 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

######### | Désinstallation | #########


&#9654 Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisi éxécuter en tant qu'administrateur .

&#9654 Choisi l option  Désinstaller ....

Minidjina · Answer

Une fois que je scan après le re-démarrage soit terminé, j'ai eut un "blue screen" me disant que mon ordi devait s'arrêter, le code erreur était : 0x0000008E mais ce n'est pas la première fois, mais le code change à chaque fois, c'est parfois 0x00000050 ou 0x0000007E... Est-ce à voir aussi avec des virus ?

Enfin bref, voici le rapport :


############################## | UsbFix V6.077 |

User : Sophie (Administrateurs) # PC-DE-SOPHIE
Update on 21/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 13:14:18 | 23/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Genuine Intel(R) CPU           T2130  @ 1.86GHz
Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18882
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 141,63 Go (52,6 Go free) # NTFS
D:\ -> Disque fixe local # 7,42 Go (2,19 Go free) [HP_RECOVERY] # NTFS
E:\ -> Disque CD-ROM # 994,83 Mo (0 Mo free) [Heroes3] # UDF

############################## | Processus actifs |

C:\Windows\System32\smss.exe 428
C:\Windows\system32\csrss.exe 500
C:\Windows\system32\wininit.exe 544
C:\Windows\system32\csrss.exe 556
C:\Windows\system32\services.exe 592
C:\Windows\system32\lsass.exe 608
C:\Windows\system32\lsm.exe 616
C:\Windows\system32\winlogon.exe 692
C:\Windows\system32\svchost.exe 800
C:\Windows\system32\svchost.exe 884
C:\Windows\System32\svchost.exe 924
C:\Windows\System32\svchost.exe 1012
C:\Windows\System32\svchost.exe 1048
C:\Windows\system32\svchost.exe 1096
C:\Windows\system32\svchost.exe 1204
C:\Windows\system32\SLsvc.exe 1220
C:\Windows\system32\svchost.exe 1252
C:\Windows\system32\svchost.exe 1460
C:\Windows\System32\spoolsv.exe 1692
C:\Program Files\Avira\AntiVir Desktop\sched.exe 1728
C:\Windows\system32\svchost.exe 1808
C:\Windows\system32	askeng.exe 1828
C:\Windows\system32\Dwm.exe 1848
C:\Windows\Explorer.EXE 1864
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 560
C:\Windows\system32	askeng.exe 536
C:\Windows\system32unonce.exe 788
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 1240
C:\Program Files\Bonjour\mDNSResponder.exe 1516
C:\Windows\system32\conime.exe 2024
C:\Program Files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe 1760
C:\Windows\system32\svchost.exe 1916
C:\Program Files\Common Files\LightScribe\LSSrvc.exe 2084
C:\Windows\System32\svchost.exe 2152
C:\Windows\System32\svchost.exe 2204
C:\Windows\system32\svchost.exe 2280
C:\Windows\system32\svchost.exe 2324
C:\Windows\System32\svchost.exe 2392
C:\Windows\system32\SearchIndexer.exe 2492
C:\Windows\system32\DRIVERS\xaudio.exe 2652
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe 2680
C:\Windows\system32\wbem\wmiprvse.exe 2824
C:\Windows\system32\PresentationSettings.exe 3044
C:\Windows\system32\SearchProtocolHost.exe 3544
C:\Windows\system32\SearchFilterHost.exe 3564

################## | Elements infectieux |

Supprimé ! C:\Users\Sophie\AppData\Local\Temp\0.20383563507474212.exe 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-3273497056-2998283374-4139117681-1000 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-3273497056-2998283374-4139117681-500 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-413226321-3452886260-426709285-500 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-3273497056-2998283374-4139117681-1000 
Non supprimé ! E:\autorun.ini  
Non supprimé ! E:\autorun.inf 

################## | Registre |

gen-hackman · Answer

il n est pas entier ..c'est tout ce qu il y avait ?

Minidjina · Answer

Oui, c'est tout... Peut-être mon ordi s'est-il éteint avant que le scan termine dû au blue screen... Dois-je essayer de le refaire ? Par contre, depuis cette deuxième manip, cela fait déjà trois fois que mon ordinateur s'arrête après un bleu screen ! Code : 0x00000050 la 1ère fois, 0x0000007E les deux dernières fois...

gen-hackman · Answer

/!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\ ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur _______________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ====================================================== ▶ On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil: https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix Avant d'utiliser ComboFix : ______________________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. >> Reviens sur le forum, et ▶ copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Minidjina · Answer

J'arrête mon antivirus ou je coupe internet ?

gen-hackman · Answer

les deux

Minidjina · Answer

J'ai tenté de le faire deux fois. A chaque fois, une fois que l'étape 4 était terminé, un blue screen venait, avec le code d'erreur : 0x0000000A. J'ai essayé de le refaire une 3ème fois mais maintenant il y a ce message : Windows ne trouve pas '32788R22FWJFW\iexplore.exe'. Vérifuez que vous avez entré le nom correct, puis réessayez. Puis ensuite, ce message : "Processus hôte Windows (Rundll32) a cessé de fonctionner et a été arrêté." Donc impossible de lancer ComboFix. Est-ce que, peut-être, l'installation de UsbFix est en concurrence avec Avira et donc fait buguer mon ordi ??

D'autres messages d'erreur comme le premier sauf que c'est '32788R22FWJFW
.pif' et '32788R22FWJFW
ircmd.cfxxe'...

gen-hackman · Answer

tu as renommé combofix comme indiqué ?

Minidjina · Answer

Arf... C'est quand je l'installe sur mon ordi que je dois le renommer ?

gen-hackman · Answer

à l'enregistrement sur ton bureau au telechargement

suis bien les instructions....renomme-le par exemple...le nom de ton animal ou ce que tu veux

Minidjina · Answer

Voilà c'est fait ! Par contre une fois qu'il a fait le compte rendu je ne pouvais plus rien faire. Un truc en rapport avec une clé registrer en état de suppression ou un truc du genre... Bref j'ai redémarrer et c'est bon. Donc voila le rapport : ComboFix 10-01-22.03 - Sophie 23/01/2010 14:38:21.3.2 - x86 Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.2037.1199 [GMT 1:00] Lancé depuis: c:\users\Public\Desktop\Sophie.exe SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46} . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\users\Sophie\AppData\Local\Microsoft\Windows\Temporary Internet Files\4-Ymd2 c:\users\Sophie\AppData\Local\Microsoft\Windows\Temporary Internet Files\en__7jJ1Bo0hK_E.tmp c:\users\Sophie\AppData\Roaming\SystemProc c:\windows\Help\help c:\windows\Help\help\fr-FR\Help.h1c c:\windows\Help\help\fr-FR\Help.H1T c:\windows\Help\help\fr-FR\Help_AssetId.H1K c:\windows\Help\help\fr-FR\Help_BestBet.H1K c:\windows\Help\help\fr-FR\Help_LinkTerm.H1K c:\windows\Help\help\fr-FR\Help_SubjectTerm.H1K c:\windows\Help\help\fr-FR esources.H1S c:\windows\Help\help\fr-FR\stopwrds.stp c:\windows\Help\help\fr-FR\stylec.h1s c:\windows\system32\predfop.dll . ((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_KGOOTKIT -------\Service_hfzccwyp -------\Service_KGootkit ((((((((((((((((((((((((((((( Fichiers créés du 2009-12-23 au 2010-01-23 )))))))))))))))))))))))))))))))))))) . 2010-01-23 13:47 . 2010-01-23 13:47 -------- d-----w- c:\users\Default\AppData\Local emp 2010-01-21 11:59 . 2009-11-25 10:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2010-01-21 11:59 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys 2010-01-21 11:59 . 2010-01-21 11:59 -------- d-----w- c:\programdata\Avira 2010-01-21 11:59 . 2010-01-21 11:59 -------- d-----w- c:\program files\Avira 2010-01-20 19:27 . 2010-01-20 19:27 -------- d-----w- c:\users\Sophie\AppData\Roaming\Malwarebytes 2010-01-20 19:27 . 2010-01-20 19:27 -------- d-----w- c:\programdata\Malwarebytes 2010-01-19 19:02 . 2010-01-19 19:02 -------- d-sh--w- c:\windows\system32\%APPDATA% 2010-01-19 18:26 . 2010-01-19 18:26 -------- d-----w- c:\windows\Sun 2010-01-13 13:48 . 2009-10-19 13:38 156672 ----a-w- c:\windows\system32 2embed.dll 2010-01-13 13:48 . 2009-10-19 13:35 72704 ----a-w- c:\windows\system32\fontsub.dll . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2010-01-23 13:56 . 2008-10-11 13:23 -------- d-----w- c:\users\Sophie\AppData\Roaming\OpenOffice.org2 2010-01-23 12:20 . 2009-08-24 22:08 -------- d-----w- c:\users\Sophie\AppData\Roaming\Skype 2010-01-23 11:13 . 2008-10-11 13:50 1 ----a-w- c:\users\Sophie\AppData\Roaming\OpenOffice.org2\user\uno_packages\cache\stamp.sys 2010-01-22 12:42 . 2009-11-10 12:33 -------- d-----w- c:\program files\Windows Live Safety Center 2010-01-20 19:15 . 2009-08-09 08:44 92 ----a-w- c:\users\Sophie\AppData\Local\emsumcq.bat 2010-01-14 10:12 . 2009-10-03 09:55 181120 ------w- c:\windows\system32\MpSigStub.exe 2010-01-13 16:49 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail 2010-01-10 21:35 . 2006-11-02 15:48 669566 ----a-w- c:\windows\system32\perfh00C.dat 2010-01-10 21:35 . 2006-11-02 15:48 123556 ----a-w- c:\windows\system32\perfc00C.dat 2010-01-08 19:49 . 2007-04-22 00:58 -------- d-----w- c:\program files\Common Files\InstallShield 2010-01-08 19:49 . 2007-04-22 01:05 -------- d-----w- c:\program files\Common Files\Sonic Shared 2010-01-08 19:48 . 2009-08-24 13:13 -------- d-----w- c:\program files\Common Files\PX Storage Engine 2010-01-08 19:48 . 2007-04-22 01:05 -------- d-----w- c:\program files\Common Files\Roxio Shared 2010-01-08 19:47 . 2007-04-22 01:09 -------- d-----w- c:\programdata\Roxio 2010-01-02 06:38 . 2010-01-22 11:06 916480 ----a-w- c:\windows\system32\wininet.dll 2010-01-02 06:32 . 2010-01-22 11:06 71680 ----a-w- c:\windows\system32\iesetup.dll 2010-01-02 06:32 . 2010-01-22 11:06 109056 ----a-w- c:\windows\system32\iesysprep.dll 2010-01-02 04:57 . 2010-01-22 11:06 133632 ----a-w- c:\windows\system32\ieUnatt.exe 2009-12-24 23:25 . 2009-12-24 23:25 653560 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll 2009-12-24 13:48 . 2009-12-24 13:47 -------- d-----w- c:\program files\iTunes 2009-12-24 13:47 . 2009-12-24 13:47 -------- d-----w- c:\program files\iPod 2009-12-24 13:47 . 2007-09-29 09:36 -------- d-----w- c:\program files\Common Files\Apple 2009-12-24 13:43 . 2009-12-24 13:43 -------- d-----w- c:\program files\QuickTime 2009-12-24 13:36 . 2009-12-24 13:36 79144 ----a-w- c:\programdata\Apple Computer\Installer Cache\iTunes 9.0.2.25\SetupAdmin.exe 2009-11-30 18:44 . 2009-11-30 18:44 -------- d-----w- c:\program files\Microsoft 2009-11-30 18:44 . 2009-11-30 18:44 -------- d-----w- c:\program files\Windows Live 2009-11-09 12:31 . 2009-12-10 13:06 24064 ----a-w- c:\windows\system32 shhttp.dll 2009-11-09 12:30 . 2009-12-10 13:06 30720 ----a-w- c:\windows\system32\httpapi.dll 2009-11-09 10:36 . 2009-12-10 13:06 411648 ----a-w- c:\windows\system32\drivers\http.sys 2009-10-29 09:17 . 2009-11-25 22:34 2048 ----a-w- c:\windows\system32 zres.dll 2009-10-27 19:35 . 2007-09-18 15:57 111688 ----a-w- c:\users\Sophie\AppData\Local\GDIPFONTCACHEV1.DAT 2009-09-17 11:17 . 2009-09-17 11:17 3342809 ----a-w- c:\program files\eMule0.49c-Installer.exe 2009-09-10 18:47 . 2009-09-10 18:47 1164624 ----a-w- c:\program files\wlsetup-custom.exe 2009-07-14 00:16 . 2009-07-14 00:16 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll 2009-07-14 00:16 . 2009-07-14 00:16 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920] "WindowsWelcomeCenter"="oobefldr.dll" [2009-04-11 2153472] "Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-07-16 25604904] "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240] "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184] "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-01-13 827392] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-02-26 138008] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-02-26 154392] "Persistence"="c:\windows\system32\igfxpers.exe" [2007-02-26 133912] "HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840] "QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2007-03-28 176128] "QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-02-13 159744] "HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2007-03-12 50696] "hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-03-01 472776] "WAWifiMessage"="c:\program files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe" [2007-01-10 317128] "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-11-12 141600] "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "Launcher"="c:\windows\SMINST\launcher.exe" [2006-11-07 44128] c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\ HP Digital Imaging Monitor.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe [2007-1-2 210520] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableUIADesktopToggle"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux"=wdmaud.drv [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ autocheck autochk /k:C * [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend] @="Service" [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc] "VistaSp2"=hex(b):c6,55,d8,02,4b,43,ca,01 R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [21/01/2010 12:59 108289] S3 FontCache;Service de cache de police Windows;c:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [20/09/2008 16:06 21504] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache . Contenu du dossier 'Tâches planifiées' 2010-01-20 c:\windows\Tasks\User_Feed_Synchronization-{C47C5A84-EDD3-4239-B333-A9F517B90727}.job - c:\windows\system32\msfeedssync.exe [2010-01-22 04:56] . . ------- Examen supplémentaire ------- . mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=73&bd=Pavilion&pf=laptop uInternet Settings,ProxyOverride = *.local IE: E&xport to Microsoft Excel IE: E&xporter vers Microsoft Excel IE: Translate this web page with Babylon - c:\program files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm IE: Translate with Babylon - c:\program files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm FF - ProfilePath - c:\users\Sophie\AppData\Roaming\Mozilla\Firefox\Profiles\9bx7xvux.default\ FF - prefs.js: browser.startup.homepage - about:blank FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ . - - - - ORPHELINS SUPPRIMES - - - - BHO-{F1E331B3-C5C2-4A9D-9422-D418A7C40868} - c:\windows\system32\predfop.dll HKCU-Run-ISUSPM - c:\program files\Common Files\InstallShield\UpdateService\ISUSPM.exe HKCU-Run-rmqlpkoj - c:\users\sophie\appdata\local mqlpkoj.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-01-23 14:54 Windows 6.0.6002 Service Pack 2 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x84C63856]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> CLASSPNP.SYS @ 0x87dacd24 \Driver\ACPI -> acpi.sys @ 0x8069bd68 \Driver\atapi -> ataport.SYS @ 0x807b7a2c IoDeviceObjectType ->\Device\Harddisk0\DR0 ->user & kernel MBR OK ************************************************************************** . --------------------- CLES DE REGISTRE BLOQUEES --------------------- [HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences] @Denied: (2) (LocalSystem) "88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15, d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,26,90,19,28,0d,43,46,42,bc,77,c9,\ "2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15, d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,26,90,19,28,0d,43,46,42,bc,77,c9,\ [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . ------------------------ Autres processus actifs ------------------------ . c:\program files\Avira\AntiVir Desktop\avguard.exe c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\program files\Bonjour\mDNSResponder.exe c:\program files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe c:\program files\Common Files\LightScribe\LSSrvc.exe c:\windows\system32\DRIVERS\xaudio.exe c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe c:\windows\system32\conime.exe c:\windows\system32\igfxsrvc.exe c:\program files\Hewlett-Packard\Shared\HpqToaster.exe c:\windows\ehome\ehmsas.exe c:\program files\OpenOffice.org 2.4\program\soffice.exe c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe c:\program files\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe c:\program files\iPod\bin\iPodService.exe c:\program files\OpenOffice.org 2.4\program\soffice.BIN c:\windows\servicing\TrustedInstaller.exe . ************************************************************************** . Heure de fin: 2010-01-23 15:05:20 - La machine a redémarré ComboFix-quarantined-files.txt 2010-01-23 14:05 Avant-CF: 56 425 730 048 octets libres Après-CF: 56 441 815 040 octets libres - - End Of File - - F5E777788CE799D7847FAA1B6F4F5201

Minidjina · Answer

Ah oui et avant de refaire ComboFix, j'ai supprimer UsbFix au cas où il y avait incompatibilité !

gen-hackman · Answer

refais usbfix option2

Minidjina · Answer

Voilà c'est fait, voici le rapport 

PS : J'ai du envoyer un fichier après le rapport est-ce normal ?


############################## | UsbFix V6.077 |

User : Sophie (Administrateurs) # PC-DE-SOPHIE
Update on 21/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 16:27:03 | 23/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Genuine Intel(R) CPU           T2130  @ 1.86GHz
Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18882
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 141,63 Go (52,78 Go free) # NTFS
D:\ -> Disque fixe local # 7,42 Go (2,19 Go free) [HP_RECOVERY] # NTFS
E:\ -> Disque CD-ROM # 994,83 Mo (0 Mo free) [Heroes3] # UDF

############################## | Processus actifs |

C:\Windows\System32\smss.exe 444
C:\Windows\system32\csrss.exe 540
C:\Windows\system32\wininit.exe 584
C:\Windows\system32\csrss.exe 600
C:\Windows\system32\services.exe 636
C:\Windows\system32\lsass.exe 652
C:\Windows\system32\lsm.exe 660
C:\Windows\system32\winlogon.exe 708
C:\Windows\system32\svchost.exe 860
C:\Windows\system32\svchost.exe 944
C:\Windows\System32\svchost.exe 1084
C:\Windows\System32\svchost.exe 1144
C:\Windows\system32\svchost.exe 1164
C:\Windows\system32\svchost.exe 1268
C:\Windows\system32\SLsvc.exe 1288
C:\Windows\system32\svchost.exe 1324
C:\Windows\system32\svchost.exe 1496
C:\Windows\System32\spoolsv.exe 1752
C:\Program Files\Avira\AntiVir Desktop\sched.exe 1780
C:\Windows\system32\svchost.exe 1796
C:\Windows\system32	askeng.exe 264
C:\Windows\system32\Dwm.exe 312
C:\Windows\Explorer.EXE 1108
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 1280
C:\Windows\system32	askeng.exe 1568
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 1992
C:\Program Files\Bonjour\mDNSResponder.exe 1604
C:\Program Files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe 868
C:\Windows\system32\svchost.exe 1092
C:\Program Files\Common Files\LightScribe\LSSrvc.exe 2076
C:\Windows\System32\svchost.exe 2096
C:\Windows\System32\svchost.exe 2172
C:\Windows\system32\svchost.exe 2232
C:\Windows\system32\svchost.exe 2256
C:\Windows\System32\svchost.exe 2320
C:\Windows\system32\SearchIndexer.exe 2412
C:\Windows\system32\DRIVERS\xaudio.exe 2584
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe 2608
C:\Windows\system32\wbem\wmiprvse.exe 2812
C:\Program Files\HP\QuickPlay\Kernel\TV\CLSched.exe 2868
C:\Windows\system32unonce.exe 3052
C:\Windows\system32\conime.exe 3112
C:\Windows\system32\PresentationSettings.exe 3272

################## | Elements infectieux |

Supprimé ! C:\$Recycle.Bin\S-1-5-21-3273497056-2998283374-4139117681-1000 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-3273497056-2998283374-4139117681-1000 
Non supprimé ! E:\autorun.ini  
Non supprimé ! E:\autorun.inf 

################## | Registre |

Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"  
Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"  
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"  

################## | Mountpoints2 |


################## | Listing des fichiers présent |

[22/04/2007 02:55|--a------|74] C:\autoexec.bat 
[11/04/2009 07:36|-rahs----|333257] C:\bootmgr 
[23/01/2010 15:05|--a------|13987] C:\ComboFix.txt 
[18/09/2006 22:43|--a------|10] C:\config.sys 
[12/07/2009 17:11|-rahs----|0] C:\IO.SYS 
[12/07/2009 17:11|-rahs----|0] C:\MSDOS.SYS 
[?|?|?] C:\pagefile.sys 
[13/11/2007 08:04|--a------|167] C:\Setup.log 
[11/10/2009 20:31|--a------|192] C:\setuplog 
[05/01/2009 10:25|--a------|594] C:\updatedatfix.log 
[23/01/2010 16:35|--a------|3718] C:\UsbFix.txt 
[11/09/2005 16:18|---hs----|340] D:\AUTOMODE 
[18/09/2007 16:53|---hs----|13] D:\BLOCK.RIN 
[04/10/2006 00:02|---hs----|438328] D:\bootmgr 
[03/11/2006 20:43|---hs----|117] D:\Desktop.ini 
[10/09/2002 17:14|---hs----|8134] D:\Folder.htt 
[26/07/2007 19:09|---hs----|698] D:\MASTER.LOG 
[03/11/2005 16:19|---hs----|181736] D:\protect.ed 
[26/07/2007 19:10|---hs----|0] D:\USER 
[26/09/2007 13:15|-ra------|2795461] E:\Autorun.exe 
[06/05/2008 10:28|-ra------|59] E:\AUTORUN.INF 
[06/05/2008 10:29|-ra------|1280] E:\AUTORUN.ini 
[25/09/2007 09:32|-ra------|3193] E:\bouton01_ROLLOFF.png 
[25/09/2007 09:32|-ra------|3263] E:\bouton01_ROLLOFFmask.png 
[25/09/2007 09:32|-ra------|4104] E:\bouton01_ROLLOver.png 
[25/04/2008 09:03|-rah-----|174] E:\desktop.ini 
[13/04/2006 08:52|-ra------|241664] E:\EAutorun.exe 
[30/10/2007 14:41|-ra------|1336392] E:\Mindscape.bmp 
[09/09/2000 04:23|-ra------|25965] E:\README.TXT 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.  
# D:\autorun.inf -> Dossier créé par UsbFix.  

################## | Crack > Keygen > Serial |


################## | Upload | 

Veuillez envoyer le fichier : C:\Users\Public\Desktop\UsbFix_Upload_Me_PC-de-Sophie.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.077 ! |

Minidjina · Answer

Apparemment mon ordi se sent mieux... Je peux denouveau avoir accès a "Retauration du système" alors que je ne pouvais plus ! Et je ne me suis plus fait embêter depuis longtemps par le virus Dr\Delphi.Gen !

Est-ce que mon ordi est bien désinfecté ?? Si oui, dois garder tout les fichiers que j'ai installé pendant ces messages ?

gen-hackman · Answer

ce n'est pas fini :


Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.



&#9654 Télécharge :

Malwarebytes  

ou  :

Malwarebytes

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

&#9654 Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

Minidjina · Answer

Excuse-moi, j'avais pas beaucoup de temps...

Voilà, j'ai fait l'analyse, il a trouvé un fichier infecté que j'ai supprimé. Voici le rapport :

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3662
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882

30/01/2010 14:05:20
mbam-log-2010-01-30 (14-05-20).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 268282
Temps écoulé: 1 hour(s), 18 minute(s), 2 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\Sophie\AppData\Local\Temp\0.3600165757052963.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

gen-hackman · Answer

ok salut refais un scan avec avira stp

Minidjina · Answer

Voile le rapport d'avira (entre temps, j'ai du me choper un autre virus qu'il a trouvé...)



Avira AntiVir Personal
Date de création du fichier de rapport : jeudi 4 février 2010  22:50

La recherche porte sur 1727978 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows Vista
Version de Windows      : (Service Pack 2)  [6.0.6002]
Mode Boot               : Démarré normalement
Identifiant             : SYSTEM
Nom de l'ordinateur     : PC-DE-SOPHIE

Informations de version :
BUILD.DAT               : 9.0.0.75      21698 Bytes  22/01/2010 23:14:00
AVSCAN.EXE              : 9.0.3.10     466689 Bytes  13/10/2009 10:25:46
AVSCAN.DLL              : 9.0.3.0       49409 Bytes  03/03/2009 09:21:02
LUKE.DLL                : 9.0.3.2      209665 Bytes  20/02/2009 10:35:11
LUKERES.DLL             : 9.0.2.0       13569 Bytes  03/03/2009 09:21:31
VBASE000.VDF            : 7.10.0.0   19875328 Bytes  06/11/2009 06:35:52
VBASE001.VDF            : 7.10.1.0    1372672 Bytes  19/11/2009 12:36:15
VBASE002.VDF            : 7.10.3.1    3143680 Bytes  20/01/2010 12:38:12
VBASE003.VDF            : 7.10.3.75    996864 Bytes  26/01/2010 18:59:39
VBASE004.VDF            : 7.10.3.76      2048 Bytes  26/01/2010 18:59:39
VBASE005.VDF            : 7.10.3.77      2048 Bytes  26/01/2010 18:59:39
VBASE006.VDF            : 7.10.3.78      2048 Bytes  26/01/2010 18:59:39
VBASE007.VDF            : 7.10.3.79      2048 Bytes  26/01/2010 18:59:39
VBASE008.VDF            : 7.10.3.80      2048 Bytes  26/01/2010 18:59:39
VBASE009.VDF            : 7.10.3.81      2048 Bytes  26/01/2010 18:59:39
VBASE010.VDF            : 7.10.3.82      2048 Bytes  26/01/2010 18:59:39
VBASE011.VDF            : 7.10.3.83      2048 Bytes  26/01/2010 18:59:39
VBASE012.VDF            : 7.10.3.84      2048 Bytes  26/01/2010 18:59:39
VBASE013.VDF            : 7.10.3.85      2048 Bytes  26/01/2010 18:59:39
VBASE014.VDF            : 7.10.3.122    172544 Bytes  29/01/2010 19:26:17
VBASE015.VDF            : 7.10.3.149     79872 Bytes  01/02/2010 15:45:23
VBASE016.VDF            : 7.10.3.174     68608 Bytes  03/02/2010 18:09:36
VBASE017.VDF            : 7.10.3.199     76800 Bytes  04/02/2010 18:07:28
VBASE018.VDF            : 7.10.3.200      2048 Bytes  04/02/2010 18:07:28
VBASE019.VDF            : 7.10.3.201      2048 Bytes  04/02/2010 18:07:28
VBASE020.VDF            : 7.10.3.202      2048 Bytes  04/02/2010 18:07:28
VBASE021.VDF            : 7.10.3.203      2048 Bytes  04/02/2010 18:07:29
VBASE022.VDF            : 7.10.3.204      2048 Bytes  04/02/2010 18:07:29
VBASE023.VDF            : 7.10.3.205      2048 Bytes  04/02/2010 18:07:29
VBASE024.VDF            : 7.10.3.206      2048 Bytes  04/02/2010 18:07:29
VBASE025.VDF            : 7.10.3.207      2048 Bytes  04/02/2010 18:07:29
VBASE026.VDF            : 7.10.3.208      2048 Bytes  04/02/2010 18:07:29
VBASE027.VDF            : 7.10.3.209      2048 Bytes  04/02/2010 18:07:29
VBASE028.VDF            : 7.10.3.210      2048 Bytes  04/02/2010 18:07:30
VBASE029.VDF            : 7.10.3.211      2048 Bytes  04/02/2010 18:07:30
VBASE030.VDF            : 7.10.3.212      2048 Bytes  04/02/2010 18:07:30
VBASE031.VDF            : 7.10.3.213     20992 Bytes  04/02/2010 18:07:31
Version du moteur       : 8.2.1.158
AEVDF.DLL               : 8.1.1.3      106868 Bytes  23/01/2010 12:04:02
AESCRIPT.DLL            : 8.1.3.13     823674 Bytes  02/02/2010 15:45:29
AESCN.DLL               : 8.1.4.0      127348 Bytes  27/01/2010 19:03:39
AESBX.DLL               : 8.1.1.1      246132 Bytes  08/11/2009 06:38:44
AERDL.DLL               : 8.1.3.4      479605 Bytes  21/01/2010 12:39:13
AEPACK.DLL              : 8.2.0.5      422262 Bytes  21/01/2010 12:39:03
AEOFFICE.DLL            : 8.1.0.38     196987 Bytes  08/11/2009 06:38:38
AEHEUR.DLL              : 8.1.1.4     2326899 Bytes  03/02/2010 18:10:07
AEHELP.DLL              : 8.1.10.0     237942 Bytes  21/01/2010 12:38:30
AEGEN.DLL               : 8.1.1.86     369012 Bytes  02/02/2010 15:45:26
AEEMU.DLL               : 8.1.1.0      393587 Bytes  08/11/2009 06:38:26
AECORE.DLL              : 8.1.11.1     184694 Bytes  02/02/2010 15:45:25
AEBB.DLL                : 8.1.0.3       53618 Bytes  08/11/2009 06:38:20
AVWINLL.DLL             : 9.0.0.3       18177 Bytes  12/12/2008 07:47:30
AVPREF.DLL              : 9.0.3.0       44289 Bytes  26/08/2009 14:13:31
AVREP.DLL               : 8.0.0.3      155905 Bytes  20/01/2009 13:34:28
AVREG.DLL               : 9.0.0.0       36609 Bytes  07/11/2008 14:24:42
AVARKT.DLL              : 9.0.0.3      292609 Bytes  24/03/2009 14:05:22
AVEVTLOG.DLL            : 9.0.0.7      167169 Bytes  30/01/2009 09:36:37
SQLITE3.DLL             : 3.6.1.0      326401 Bytes  28/01/2009 14:03:49
SMTPLIB.DLL             : 9.2.0.25      28417 Bytes  02/02/2009 07:20:57
NETNT.DLL               : 9.0.0.0       11521 Bytes  07/11/2008 14:40:59
RCIMAGE.DLL             : 9.0.0.25    2438913 Bytes  17/06/2009 12:44:26
RCTEXT.DLL              : 9.0.73.0      88321 Bytes  02/11/2009 15:58:32

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, 
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Début de la recherche : jeudi 4 février 2010  22:50

La recherche d'objets cachés commence.
'119150' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'SearchFilterHost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SearchProtocolHost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SpiderSolitaire.exe' - '1' module(s) sont contrôlés
Processus de recherche 'httpd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'httpd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MediaCenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'emule.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HPHC_Scheduler.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HPHC_Service.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqste08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.bin' - '1' module(s) sont contrôlés
Processus de recherche 'HpqToaster.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehmsas.exe' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxsrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqtra08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Skype.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sidebar.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmpnetwk.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmpnscfg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WiFiMsg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HPWAMain.exe' - '1' module(s) sont contrôlés
Processus de recherche 'QLBCTRL.exe' - '1' module(s) sont contrôlés
Processus de recherche 'QPService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpwuSchd2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxpers.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MSASCui.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqwmiex.exe' - '1' module(s) sont contrôlés
Processus de recherche 'XAudio.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CLCapSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'78' processus ont été contrôlés avec '78' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage 'D:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '43' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Windows	emp\arux.tmp\svchost.exe
    [RESULTAT]  Contient le modèle de détection du programme backdoor (dangereux) BDS/Momibot.A
Recherche débutant dans 'D:\' <HP_RECOVERY>

Début de la désinfection :
C:\Windows	emp\arux.tmp\svchost.exe
    [RESULTAT]  Contient le modèle de détection du programme backdoor (dangereux) BDS/Momibot.A
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bce5d2e.qua' !


Fin de la recherche : vendredi 5 février 2010  00:48
Temps nécessaire:  1:34:07 Heure(s)

La recherche a été effectuée intégralement

  25216 Les répertoires ont été contrôlés
 509887 Des fichiers ont été contrôlés
      1 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      1 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      1 Impossible de contrôler des fichiers
 509885 Fichiers non infectés
   3548 Les archives ont été contrôlées
      1 Avertissements
      2 Consignes
 119150 Des objets ont été contrôlés lors du Rootkitscan
      0 Des objets cachés ont été trouvés

Minidjina · Answer

Bon... Excuse-moi de t'embêter, mais ça y est, je l'ai denouveau cet saleté de virus... Je refais ce que tu m'as dis ? Saurais-tu comment je l'attrappe ?? N'y a-t-il pas de "barrière" que je pourrais installer pour l'empêcher de revenir une fois pour toute ??

gen-hackman · Answer

Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent(car il est detecté a tort comme infection)

&#9654 Télécharge List&Kill'em et enregistre le sur ton bureau 

&#9654 Branche clés usb , disques durs externes , mp3 , mp4 , etc..

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

coche la case "creer une icone sur le bureau"

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis la langue puis choisis l'option 1 = Mode Recherche

&#9654 laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , mais ne le supprime pas pour l instant, le scan n'est pas fini.

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

tu peux supprimer le rapport catchme.log de ton bureau maintenant.

Minidjina · Answer

Voilà le rapport :

List'em by g3n-h@ckm@n 1.2.5.0

User : Sophie (Administrateurs)
Update on 08/02/2010 by g3n-h@ckm@n ::::: 15.30
Start at: 16:45:22 | 08/02/2010
Contact : https://forums.commentcamarche.net/forum/virus-securite-7

Genuine Intel(R) CPU T2130 @ 1.86GHz
Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18882
Windows Firewall Status : Disabled

C:\ -> Disque fixe local | 141,63 Go (41,35 Go free) | NTFS
D:\ -> Disque fixe local | 7,42 Go (2,19 Go free) [HP_RECOVERY] | NTFS
E:\ -> Disque CD-ROM | 994,83 Mo (0 Mo free) [Heroes3] | UDF

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Hp\HP Software Update\hpwuSchd2.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Hp\QuickPlay\QPService.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\mobsync.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\List_Kill'em\List_Kill'em.scr
C:\Windows\system32\conime.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Users\Sophie\AppData\Local\Temp\1592.tmp\pv.exe

======================
Keys "Run"
======================
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Sidebar REG_SZ C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
WindowsWelcomeCenter REG_SZ rundll32.exe oobefldr.dll,ShowWelcomeCenter
Skype REG_SZ "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
WMPNSCFG REG_SZ C:\Program Files\Windows Media Player\WMPNSCFG.exe
ehTray.exe REG_SZ C:\Windows\ehome\ehTray.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Windows Defender REG_EXPAND_SZ %ProgramFiles%\Windows Defender\MSASCui.exe -hide
SynTPEnh REG_SZ C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
IgfxTray REG_SZ C:\Windows\system32\igfxtray.exe
HotKeysCmds REG_SZ C:\Windows\system32\hkcmd.exe
Persistence REG_SZ C:\Windows\system32\igfxpers.exe
HP Software Update REG_SZ C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
QPService REG_SZ "C:\Program Files\HP\QuickPlay\QPService.exe"
QlbCtrl REG_EXPAND_SZ %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
HP Health Check Scheduler REG_SZ C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
hpWirelessAssistant REG_EXPAND_SZ %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
WAWifiMessage REG_EXPAND_SZ %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
Adobe Reader Speed Launcher REG_SZ "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
QuickTime Task REG_SZ "C:\Program Files\QuickTime\QTTask.exe" -atboottime
iTunesHelper REG_SZ "C:\Program Files\iTunes\iTunesHelper.exe"
avgnt REG_SZ "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
Launcher REG_EXPAND_SZ %WINDIR%\SMINST\launcher.exe

=====================
Other Keys
=====================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
ConsentPromptBehaviorAdmin REG_DWORD 2 (0x2)
ConsentPromptBehaviorUser REG_DWORD 1 (0x1)
EnableInstallerDetection REG_DWORD 1 (0x1)
EnableLUA REG_DWORD 0 (0x0)
EnableSecureUIAPaths REG_DWORD 1 (0x1)
EnableVirtualization REG_DWORD 1 (0x1)
PromptOnSecureDesktop REG_DWORD 1 (0x1)
ValidateAdminCodeSignatures REG_DWORD 0 (0x0)
dontdisplaylastusername REG_DWORD 0 (0x0)
legalnoticecaption REG_SZ
legalnoticetext REG_SZ
scforceoption REG_DWORD 0 (0x0)
shutdownwithoutlogon REG_DWORD 1 (0x1)
undockwithoutlogon REG_DWORD 1 (0x1)
FilterAdministratorToken REG_DWORD 0 (0x0)
EnableUIADesktopToggle REG_DWORD 0 (0x0)

===============
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoDriveAutoRun REG_DWORD 128 (0x80)
NoDriveTypeAutoRun REG_DWORD 128 (0x80)
HonorAutoRunSetting REG_DWORD 0 (0x0)

===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
BindDirectlyToPropertySetStorage REG_DWORD 0 (0x0)
NoDriveAutoRun REG_DWORD 128 (0x80)
NoDriveTypeAutoRun REG_DWORD 128 (0x80)
HonorAutoRunSetting REG_DWORD 0 (0x0)

===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
ReportBootOk REG_SZ 1
Shell REG_SZ explorer.exe
Userinit REG_SZ C:\Windows\system32\userinit.exe,
VmApplet REG_SZ rundll32 shell32,Control_RunDLL "sysdm.cpl"
AutoRestartShell REG_DWORD 1 (0x1)
LegalNoticeCaption REG_SZ
LegalNoticeText REG_SZ
PowerdownAfterShutdown REG_SZ 0
ShutdownWithoutLogon REG_SZ 0
cachedlogonscount REG_SZ 10
forceunlocklogon REG_DWORD 0 (0x0)
passwordexpirywarning REG_DWORD 14 (0xe)
Background REG_SZ 0 0 0
DebugServerCommand REG_SZ no
WinStationsDisabled REG_SZ 0
DisableCAD REG_DWORD 1 (0x1)
scremoveoption REG_SZ 0
ShutdownFlags REG_DWORD 39 (0x27)
SFCDisable REG_DWORD 0 (0x0)
System REG_SZ

===============
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\igfxcui]

===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{AEB6717E-7E19-11d0-97EE-00C04FD91972} REG_SZ

===============
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

===============
ActivX controls
===============
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}

===============
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{26923b43-4d38-484f-9b9e-de460746276c}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3af36230-a269-11d1-b5bf-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA848-CC51-11CF-AAFA-00AA00B6015C}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-AAFA-00AA00B6015F}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{45ea75a0-a269-11d1-b5bf-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f645220-306d-11d2-995d-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{630b1da0-b465-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6fab99d0-bab8-11d1-994a-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7C028AF8-F614-47B3-82DA-BA94E41B1089}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4340}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4383}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9381D8F2-0288-11D0-9501-00AA00B911A5}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C6BAF60B-6E91-453F-BFF9-D3789CFEFCDD}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9E9A340-D1F1-11D0-821E-444553540600}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CDD7975E-60F8-41d5-8149-19E51D6F71D0}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D27CDB6E-AE6D-11CF-96B8-444553540000}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{de5aed00-a4bf-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E92B03AB-B707-11d2-9CBD-0000F87A369E}

==============
BHO :
======
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]

================
Internet Explorer :
================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.msn.com/fr-fr

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

========
Services
========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]

Ndisuio : 0x3 ( OK = 3 )
EapHost : 0x3 ( OK = 2 )
Wlansvc : 0x2 ( OK = 2 )
SharedAccess : 0x2 ( OK = 2 )
windefend : 0x2 ( OK = 2 )
wuauserv : 0x2 ( OK = 2 )
wscsvc : 0x2 ( OK = 2 )

=========
Atapi.sys
=========

%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Users\Sophie\AppData\Local\Temp\1592.tmp
## C:\> hashdeep C:\Windows\System32\Drivers\atapi.sys
##
19944,1f05b78ab91c9075565a9d8a4b880bc4,737be9f9376dab0ccdfed93ea6d67f0c432367ea63cd772a453485be769af3bd,C:\Windows\System32\Drivers\atapi.sys

Sources
=======

C:\Windows\ERDNT\cache\atapi.sys
C:\Windows\System32\drivers\atapi.sys
C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_7de13c21\atapi.sys
C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_b12d8e84\atapi.sys
C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_c6c2e699\atapi.sys
C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_cc18792d\atapi.sys
C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.16632_none_db337a442479c42c\atapi.sys
C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.20757_none_dbac78a93da31a8b\atapi.sys
C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6001.18000_none_dd38281a2189ce9c\atapi.sys
C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6002.18005_none_df23a1261eab99e8\atapi.sys

Référence :
==========

Win XP_32b : a64013e98426e1877cb653685c5c0009
Win XP_SP2_32b : CDFE4411A69C224BD1D11B2DA92DAC51
Win XP_SP3_32b : 9F3A2F5AA6875C72BF062C712CFA2674
Vista_32b : e03e8c99d15d0381e02743c36afc7c6f
Vista_SP1_32b : 2d9c903dc76a66813d350a562de40ed9
Vista_SP2_32b : 1F05B78AB91C9075565A9D8A4B880BC4
Vista_SP2_64b : 1898FAE8E07D97F2F6C2D5326C633FAC
Windows 7_32b : 80C40F7FDFC376E4C5FEEC28B41C119E
Windows 7_64b : 02062C0B390B7729EDC9E69C680A6F3C

E:\Autorun.inf :
----------------
[autorun]
OPEN=EAUTORUN.EXE
ICON=_AUTORUN\AUTORUN.ICO

=======
Drive :
=======

D‚fragmenteur de disque Windows
Copyright (c) 2006 Microsoft Corp.

¤¤¤¤¤¤¤¤¤¤ Files/folders :

Present !! : C:\Windows\mbr.exe
Present !! : C:\Windows\System32\drivers\etc\hosts.msn
Present !! : C:\Windows\System32\x64

¤¤¤¤¤¤¤¤¤¤ Keys :

============

catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-08 17:12:49
Windows 6.0.6002 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x84C3F856]<<
kernel: MBR read successfully
user & kernel MBR OK

==========
Programs
==========

3DO
Adobe
Adobe(1)
Alwil Software
Apple Software Update
Avira
Bonjour
Bullfrog
Common Files
CONEXANT
desktop.ini
DivX
EA GAMES
EasyBits
eMule
eMule0.49c-Installer.exe
Fichiers communs
Hewlett-Packard
Hp
HPQ
InstallShield Installation Information
Internet Explorer
iPod
iTunes
Java
Jeux
List_Kill'em
Malwarebytes' Anti-Malware
Microsoft
Microsoft CAPICOM 2.1.0.2
Microsoft Games
Microsoft Office
Microsoft Works
Movie Maker
Mozilla Firefox
MSBuild
MSXML 4.0
muvee Technologies
OpenOffice.org 2.4
QuickTime
Reference Assemblies
Roxio
SFR
Skype
Sony
Synaptics
Uninstall Information
Veoh Networks
VideoLAN
Windows Calendar
Windows Collaboration
Windows Defender
Windows Journal
Windows Live
Windows Live Safety Center
Windows Live SkyDrive
Windows Mail
Windows Media Player
Windows NT
Windows Photo Gallery
Windows Portable Devices
Windows Sidebar
WinRAR
wlsetup-custom.exe

============
Drive C:
============

$RECYCLE.BIN
autoexec.bat
autorun.inf
boot
bootmgr
config.sys
Documents and Settings
HP
IO.SYS
Kill'em
List'em.txt
MSDOS.SYS
Musiques
pagefile.sys
Program Files
ProgramData
Setup.log
setuplog
SwSetup
System Volume Information
System.sav
telechargements emule
updatedatfix.log
Users
Windows

¤¤¤¤¤¤¤¤¤¤ Cracks | Keygens | Serials

C:\SwSetup\MSWorks\FR\Install.exe

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

End of scan : 17:38:52,89

gen-hackman · Answer

&#9654 Relance List&Kill'em(soit en clic droit pour vista),avec le raccourci sur ton bureau.
mais cette fois-ci :

&#9654 choisis l'option 2 = Mode Suppression

laisse travailler l'outil.

en fin de scan un rapport s'ouvre 

&#9654 colle le contenu dans ta reponse

Minidjina · Answer

Je bloque à nouveau mon antivirus et pare-feu ?

Minidjina · Answer

Voilà le rapport :

Kill'em by g3n-h@ckm@n 1.2.5.0 
 
User : Sophie (Administrateurs) 
Update on 08/02/2010 by g3n-h@ckm@n ::::: 15.30 
Start at: 17:59:32 | 08/02/2010
Contact : https://forums.commentcamarche.net/forum/virus-securite-7

Genuine Intel(R) CPU           T2130  @ 1.86GHz
Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18882
Windows Firewall Status : Disabled

C:\ -> Disque fixe local | 141,63 Go (41,69 Go free) | NTFS
D:\ -> Disque fixe local | 7,42 Go (2,19 Go free) [HP_RECOVERY] | NTFS
E:\ -> Disque CD-ROM | 994,83 Mo (0 Mo free) [Heroes3] | UDF
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running
 
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe
C:\Windows\system32	askeng.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Hp\HP Software Update\hpwuSchd2.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Hp\QuickPlay\QPService.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\mobsync.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\vssvc.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Program Files\List_Kill'em\List_Kill'em.scr
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Users\Sophie\AppData\Local\Temp\46B1.tmp\ERUNT.EXE
C:\Users\Sophie\AppData\Local\Temp\46B1.tmp\pv.exe
 
Detections : 
========== 
 

¤¤¤¤¤¤¤¤¤¤ Files/folders : 

Quarantined & Deleted !! : C:\Windows\mbr.exe 
 
Quarantined & Deleted !! : C:\Windows\System32\drivers\etc\hosts.msn 
Quarantined & Deleted !! : C:\Windows\system32\x64 
 
==============
host file OK !
==============

========
Registry
========

========
Services
=========

 Ndisuio : Start = 3   
 EapHost : Start = 2   
 Wlansvc : Start = 2   
 SharedAccess : Start = 2   
 windefend : Start = 2   
 wuauserv : Start = 2   
 wscsvc : Start = 2   

============
Disk Cleaned
============
 
=================
anti-ver blaster : OK !! 
=================

================
Prefetch cleaned 
================
 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

gen-hackman · Answer

oui stp

Minidjina · Answer

Ah on a posté en même temps. Mon rapport est avant ton message.

gen-hackman · Answer

quels soucis persistent ?

Minidjina · Answer

Pour l'instant aucun ! Mais vu que j'avais coupé ma connexion internet pendant le scan, je vais attendre quelque minute, s'il ne revient pas, je te le ferais savoir !

En tout cas merci beaucoup de m'avoir consacrée autant de temps !! C'est super gentil de ta part !

Au fait, puis-je supprimer tout ce que j'ai du installer depuis le début du sujet ?

Minidjina · Answer

Je viens denouveau d'avoir une alerte d'Avira me disant qu'il essayait de rentrer...

Minidjina · Answer

Pff... Mon ordi s'est carrément arrêté pour redémarrer directement après. Avant qu'il s'arrête y avait le message comme quoi le processus hôte a cessé de fonctionner et un autre que j'avais jamais vu c'est un truc du genre le service planificateur DCOM s'est arrêté inopinement.

Je suis limite entrain de me dire que je vais me racheter tout simplement un ordi :P

gen-hackman · Answer

t'es folle ? y'a beaucoup de choses a faire avant de racheter un ordi !!!!.......tu rigoles ???? derniere connerie a faire quand ton ordi ne va pas

Minidjina · Answer

Lol je n'étais pas sérieuse, ne t"inquiète pas !

Tu as d'autres idées pour me débarasser de ce virus ? Si je refais les manip du début c'est peut-être bon non ? Vu que j'avais réussi à le virer grâce à elles (certes d'une manière temporaire mais on sait jamais !)

gen-hackman · Answer

salut j ai un peu regardé ton cas et apparement tu devrais faire verifier tes barrettes de RAM

Virus DR/Delphi.Gen, un Dropper dansTemp

37 réponses

Votre réponse

Discussions similaires

Newsletters