besoin d'aide pour enlever win32:malware gen Résolu/Fermé

Question

Bonsoir,

je me permets de vous embêter avec un souci informatique : 

avast a décelé un virus win32:malware gen : toutes les 10 mn, un écran d'alerte s'affiche, et j'ai beau le supprimer, ça n'a pas l'air de faire grand chose...

Je me suis renseigné sur la toile, et il semblerait qu'il n'y ait pas une solution unique pour régler ce problème : j'ai essayé plusieurs logiciels pour essayer de l'éliminer : avg anti spyware, ewido, malewarebytes, ... et le résultat reste le même...

D'après ce que j'ai pu voir en surfant, un rapport d'highjackthis pourrait permettre la résolution du problème mais je n'y comprends rien !!! 

Voici le rapport : 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:35:19, on 26/01/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18882)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Avast\ashDisp.exe
C:\Program Files\Search Settings\SearchSettings.exe
C:\Windows\System32undll32.exe
C:\Program Files\Common Files\alq.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\OrangeHSS\Launcher\Launcher.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\OrangeHSS\systray\systrayapp.exe
C:\Program Files\OrangeHSS\Deskboard\deskboard.exe
C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb127\SearchSettings.dll
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb127\SearchSettings.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast\ashDisp.exe
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\Search Settings\SearchSettings.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [alq] C:\Program Files\Common Files\alq.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [WinsysMon] C:\Users\brigitte\AppData\Roaming\setup.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User 'Default user')
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O13 - Gopher Prefix: 
O15 - Trusted Zone: http://*.mappy.com
O15 - Trusted Zone: http://*.orange.fr
O15 - Trusted Zone: http://rw.search.ke.voila.fr
O15 - Trusted Zone: http://orange.weborama.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8FCDED1-75B5-4558-9219-E6EC1818FEB2}: NameServer = 80.10.246.2,80.10.246.129
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Avast\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32
vvsvc.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe

moment de grace · Answer

bonsoir

effectivement plusieur infections

peux tu poster ton rapport malewarebytes, stp

de plus

• Télécharge Random's System Information Tool (RSIT) de Random/Random. 

(outil de diagnostic)

http://images.malwareremoval.com/random/RSIT.exe 

• Enregistre le sur ton Bureau. 

• Double clique sur RSIT.exe pour lancer l'outil. 

• Clique sur "Continue" à l'écran Disclaimer. 

• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande) 

et tu devras accepter la licence. 

• Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés stp

Les rapports se trouvent à cet endroit: 
C:\rsit\info.txt 
C:\rsit\log.txt

Fulbi32 · Answer

Bonsoir et merci de t'être penché(e) sur mon problème.

Voila le rapport malewarebytes, le dernier en date :

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3647
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882

27/01/2010 21:59:26
mbam-log-2010-01-27 (21-59-26).txt

Type de recherche: Examen rapide
Eléments examinés: 105716
Temps écoulé: 4 minute(s), 29 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\Temp\_avast4_\unp30292971.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\Temp	kia.tmp\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Je poste ensuite les 2 rapports rsit à la suite

Fulbi32 · Answer

Voila le rapport intitulé "info" de rsit :

info.txt logfile of random's system information tool 1.06 2010-01-27 21:55:31

======Uninstall list======

-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{22EB2FA7-1BA0-4FFB-972F-353EC6ABA9D5}\setup.exe" -l0x40c  -removeonly
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{28B97CAB-828F-49D8-A30A-675476F9BA92}\setup.exe" -l0x40c /cont -removeonly
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{4E7DC12A-3597-4A94-9429-F6C6987361B1}\setup.exe" -l0x40c  -removeonly
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{6813C983-427E-4511-8456-E98FCAA1A125}\setup.exe" -l0x40c  -removeonly
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{7DADB304-AF20-48C3-A780-4B4133A08817}\setup.exe" -l0x40c  -removeonly
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{9C423CF6-2DAA-4A37-94B8-59D7ECC7DB13}\setup.exe" -l0x40c  -removeonly
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{ACE66099-E18E-4037-83C8-9D182E5B9FA8}\setup.exe" -l0x40c  -removeonly
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B34B6E67-FCDD-4E03-8742-B5701427FAFB}\setup.exe" -l0x40c  -removeonly
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{FA6CC4B4-7741-4F8D-8E81-15C4BAB9869B}\setup.exe" -l0x40c  -removeonly
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 8.1.2 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A81200000003}
Adobe Reader 8-->"C:\Program Files\Packard Bell\Smart Restore\SmartRestore.exe" /MSADDREM *AdobeReader*
Adobe Shockwave Player-->C:\Windows\System32\Adobe\SHOCKW~1\UNWISE.EXE C:\Windows\System32\Adobe\SHOCKW~1\Install.log
Assistant de connexion Windows Live-->MsiExec.exe /I{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}
avast! Antivirus-->C:\Program Files\Avast\aswRunDll.exe "C:\Program Files\Avast\Setup\setiface.dll",RunSetup
CCleaner-->"C:\Program Files\CCleaner\uninst.exe"
Combined Community Codec Pack 2008-09-21 16:18-->"C:\Program Files\Combined Community Codec Pack\unins000.exe"
Free Easy Burner V 3.8-->"C:\Program Files\Free Easy Burner\unins000.exe"
Galerie de photos Windows Live-->MsiExec.exe /X{B131E59D-202C-43C6-84C9-68F0C37541F1}
Google BAE-->"C:\Program Files\Packard Bell\Smart Restore\SmartRestore.exe" /MSADDREM *GoogleBAE*
Google Earth-->"C:\Program Files\Packard Bell\Smart Restore\SmartRestore.exe" /MSADDREM *GOOGLE_EARTH*
Google Earth-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{3DE5E7D4-7B88-403C-A3FD-2017A8240C5B}\setup.exe" -l0x40c  -removeonly
HDReg France-->MsiExec.exe /I{0ED40D2A-7131-4FE7-941E-5C329336F712}
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Infocentre Rev. 2.0-->"C:\Program Files\Packard Bell\Smart Restore\SmartRestore.exe" /MSADDREM *Infocentre*
Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{46ABBC54-1872-4AA3-95E2-F2C063A63F31}
Java(TM) 6 Update 17-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Junk Mail filter update-->MsiExec.exe /I{E2DFE069-083E-4631-9B6C-43C48E991DE5}
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 3.5 Language Pack SP1 - fra-->MsiExec.exe /I{3E31821C-7917-367E-938E-E65FC413EA31}
Microsoft .NET Framework 3.5 SP1-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Office PowerPoint Viewer 2007 (French)-->MsiExec.exe /X{95120000-00AF-040C-0000-0000000FF1CE}
Microsoft Search Enhancement Pack-->MsiExec.exe /X{4CBA3D4C-8F51-4D60-B27E-F6B641C571E7}
Microsoft Silverlight-->MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}
Microsoft Sync Framework Runtime Native v1.0 (x86)-->MsiExec.exe /I{8A74E887-8F0F-4017-AF53-CBA42211AAA5}
Microsoft Sync Framework Services Native v1.0 (x86)-->MsiExec.exe /I{BD64AF4A-8C80-4152-AD77-FCDDF05208AB}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Module de compatibilité pour Microsoft Office System 2007-->MsiExec.exe /X{90120000-0020-040C-0000-0000000FF1CE}
Module linguistique Microsoft .NET Framework 3.5 SP1- fra-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - fra\setup.exe
Mozilla Firefox (3.5.7)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
NVIDIA Drivers-->C:\Windows\system32\NVUNINST.EXE UninstallGUI
OGA Notifier 2.0.0048.0-->MsiExec.exe /I{B2544A03-10D0-4E5E-BA69-0362FFC20D18}
OpenOffice.org 3.0-->MsiExec.exe /I{6860B340-530D-46B3-91F8-1AE1F70F7C33}
Orange - Logiciels Internet-->C:\Program Files\OrangeHSS\installation\core\Installgui.exe -u
Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Packard Bell ImageWriter-->"C:\Program Files\Packard Bell\Smart Restore\SmartRestore.exe" /MSADDREM *ImageWriter*
Packard Bell LCD Test-->"C:\Program Files\Packard Bell\Smart Restore\SmartRestore.exe" /MSADDREM *LCDTest*
Packard Bell Updator-->"C:\Program Files\Packard Bell\Smart Restore\SmartRestore.exe" /MSADDREM *Updator*
Realtek HD Audio V6.0.1.5618-->"C:\Program Files\Packard Bell\Smart Restore\SmartRestore.exe" /MSADDREM *AUDIO_REALTEK*
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m -nrg2709
RegCure-->"C:\Windows\RegCure\uninstall.exe" "/U:C:\Program Files\RegCure\Uninstall\uninstall.xml"
Search Settings 1.2-->MsiExec.exe /X{D0C73318-7B4A-4D16-A0C4-3B83F075EA88}
SeaTools for Windows-->MsiExec.exe /I{98613C99-1399-416C-A07C-1EE1C585D872}
SetUp My PC-->"C:\Program Files\Packard Bell\Smart Restore\SmartRestore.exe" /MSADDREM *SETUPMYPC_FR*
Skype 3.6.2.248-->"C:\Program Files\Packard Bell\Smart Restore\SmartRestore.exe" /MSADDREM *SKYPE*
Skype™ 3.6-->MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
Solid State ION Internet Explorer Plugin-->C:\Windows\system32\SolidStateNetworks\SolidStateION\soliduninstall.exe /Uninstall activex
Sony Picture Utility-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{D5068583-D569-468B-9755-5FBF5848F46F}\setup.exe" -l0x40c  /removeonly uninstall -removeonly
Sony USB Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{5C29CB8B-AC1E-4114-8D68-9CD080140D4A}\setup.exe" -l0x40c UNINSTALL -removeonly
Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
VCRedistSetup-->MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027}
Video NVIDIA V163.96-->"C:\Program Files\Packard Bell\Smart Restore\SmartRestore.exe" /MSADDREM *VIDEO_NVIDIA_GOB*
Visual C++ 2008 x86 Runtime - (v9.0.30729)-->MsiExec.exe /X{F333A33D-125C-32A2-8DCE-5C5D14231E27}
Visual C++ 2008 x86 Runtime - v9.0.30729.01-->C:\Windows\system32\msiexec.exe /x {F333A33D-125C-32A2-8DCE-5C5D14231E27} /qb+ REBOOTPROMPT=""
Vuze-->C:\Program Files\Vuze\uninstall.exe
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{ED00D08A-3C5F-488D-93A0-A04F21F23956}
Windows Live Contrôle parental-->MsiExec.exe /X{D5D81435-B8DE-4CAF-867F-7998F2B92CFC}
Windows Live FolderShare-->MsiExec.exe /X{2075CB0A-D26F-4DAA-B424-5079296B43BA}
Windows Live Mail-->MsiExec.exe /I{5DD76286-9BE7-4894-A990-E905E91AC818}
Windows Live Messenger-->MsiExec.exe /X{770F1BEC-2871-4E70-B837-FB8525FFA3B1}
Windows Live Movie Maker-->MsiExec.exe /X{53B20C18-D8D4-4588-8737-9BBFE303C354}
Windows Live Toolbar-->MsiExec.exe /X{F7D27C70-90F5-49B9-B188-0A133C0CE353}
Windows Live Writer-->MsiExec.exe /X{4634B21A-CC07-4396-890C-2B8168661FEA}
WinRAR archiver-->C:\Program Files\WinRAR\uninstall.exe

=====HijackThis Backups=====

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - (no file) [2010-01-26]
O3 - Toolbar: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - (no file) [2010-01-26]
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - (no file) [2010-01-26]

======Hosts File======

127.0.0.1	www.007guard.com
127.0.0.1	007guard.com
127.0.0.1	008i.com
127.0.0.1	www.008k.com
127.0.0.1	008k.com
127.0.0.1	www.00hq.com
127.0.0.1	00hq.com
127.0.0.1	010402.com
127.0.0.1	www.032439.com
127.0.0.1	032439.com

======Security center information======

AS: AVG Anti-Spyware (disabled) (outdated)
AS: Windows Defender

======System event log======

Computer Name: PC-de-brigitte
Event Code: 3004
Message: L’agent de protection en temps réel Windows Defender a détecté des modifications. Microsoft vous recommande d’analyser les logiciels responsables de ces modifications, à la recherche de risques potentiels. Vous pouvez vous servir des informations relatives au fonctionnement de ces programmes pour autoriser ou non leur exécution, ou pour les supprimer de l’ordinateur. N’autorisez les modifications que si vous faites confiance au programme ou à l’éditeur de logiciel. Windows Defender ne peut pas annuler les modifications que vous autorisez.
 Pour plus d’informations, consultez les données suivantes :
Non applicable
 	ID d’analyse : {B3A5E219-D09B-49B7-9C0E-023C9DC81BD0}
  	Utilisateur : PC-de-brigitte\brigitte
 	Nom : Unknown
 	ID : 
 	ID de gravité : 
 	ID de catégorie : 
 	Chemin d’accès trouvé : iemain:HKCU@S-1-5-21-4273292984-970754521-1427828620-1000\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page
 	Type d’alerte : Logiciel non classifié
 	Type de détection : 
Record Number: 58949
Source Name: Microsoft-Windows-Windows Defender
Time Written: 20090619171438.000000-000
Event Type: Avertissement
User: 

Computer Name: PC-de-brigitte
Event Code: 15016
Message: Impossible d’initialiser le package de sécurité Kerberos pour l’authentification côté serveur. Le champ de données contient le numéro de l’erreur.
Record Number: 58842
Source Name: Microsoft-Windows-HttpEvent
Time Written: 20090619142324.371701-000
Event Type: Erreur
User: 

Computer Name: PC-de-brigitte
Event Code: 15016
Message: Impossible d’initialiser le package de sécurité Kerberos pour l’authentification côté serveur. Le champ de données contient le numéro de l’erreur.
Record Number: 58749
Source Name: Microsoft-Windows-HttpEvent
Time Written: 20090619141821.619700-000
Event Type: Erreur
User: 

Computer Name: PC-de-brigitte
Event Code: 15016
Message: Impossible d’initialiser le package de sécurité Kerberos pour l’authentification côté serveur. Le champ de données contient le numéro de l’erreur.
Record Number: 58611
Source Name: Microsoft-Windows-HttpEvent
Time Written: 20090618143314.004496-000
Event Type: Erreur
User: 

Computer Name: PC-de-brigitte
Event Code: 15016
Message: Impossible d’initialiser le package de sécurité Kerberos pour l’authentification côté serveur. Le champ de données contient le numéro de l’erreur.
Record Number: 58477
Source Name: Microsoft-Windows-HttpEvent
Time Written: 20090617144226.072297-000
Event Type: Erreur
User: 

=====Application event log=====

Computer Name: PC-de-brigitte
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela. 

 DÉTAIL - 
 1 user registry handles leaked from \Registry\User\S-1-5-21-4273292984-970754521-1427828620-1000:
Process 888 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-4273292984-970754521-1427828620-1000

Record Number: 627
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20081017181547.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-brigitte
Event Code: 10
Message: Le filtre d’événement avec la requête « SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99 » n’a pas pu être réactivé dans l’espace de noms « //./root/CIMV2 » à cause de l’erreur 0x80041003. Les événements ne peuvent pas être délivrés à travers ce filtre tant que le problème ne sera pas corrigé.
Record Number: 619
Source Name: Microsoft-Windows-WMI
Time Written: 20081017181428.000000-000
Event Type: Erreur
User: 

Computer Name: PC-de-brigitte
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela. 

 DÉTAIL - 
 1 user registry handles leaked from \Registry\User\S-1-5-21-4273292984-970754521-1427828620-1000:
Process 596 (\Device\HarddiskVolume2\Windows\System32\winlogon.exe) has opened key \REGISTRY\USER\S-1-5-21-4273292984-970754521-1427828620-1000

Record Number: 576
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20081017181210.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-brigitte
Event Code: 10
Message: Le filtre d’événement avec la requête « SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99 » n’a pas pu être réactivé dans l’espace de noms « //./root/CIMV2 » à cause de l’erreur 0x80041003. Les événements ne peuvent pas être délivrés à travers ce filtre tant que le problème ne sera pas corrigé.
Record Number: 544
Source Name: Microsoft-Windows-WMI
Time Written: 20081017173357.000000-000
Event Type: Erreur
User: 

Computer Name: PC-de-brigitte
Event Code: 1

Fulbi32 · Answer

Voila le second rapport "log"

Logfile of random's system information tool 1.06 (written by random/random)
Run by brigitte at 2010-01-27 22:01:24
Microsoft® Windows Vista™ Édition Familiale Premium  Service Pack 2
System drive C: has 365 GB (79%) free of 465 GB
Total RAM: 2815 MB (51% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:01:33, on 27/01/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18882)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Avast\ashDisp.exe
C:\Program Files\Search Settings\SearchSettings.exe
C:\Windows\System32undll32.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\OrangeHSS\Launcher\Launcher.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\OrangeHSS\systray\systrayapp.exe
C:\Program Files\OrangeHSS\Deskboard\deskboard.exe
C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\System32\mobsync.exe
C:\Users\brigitte\Desktop\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\brigitte.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb127\SearchSettings.dll
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb127\SearchSettings.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast\ashDisp.exe
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\Search Settings\SearchSettings.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [alq] C:\Program Files\Common Files\alq.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [WinsysMon] C:\Users\brigitte\AppData\Roaming\setup.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User 'Default user')
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O13 - Gopher Prefix: 
O15 - Trusted Zone: http://*.mappy.com
O15 - Trusted Zone: http://*.orange.fr
O15 - Trusted Zone: http://rw.search.ke.voila.fr
O15 - Trusted Zone: http://orange.weborama.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8FCDED1-75B5-4558-9219-E6EC1818FEB2}: NameServer = 80.10.246.2,80.10.246.129
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Avast\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32
vvsvc.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe

moment de grace · Answer

ok

C:\Program Files\Search Settings\SearchSettings.exe
O4 - HKLM\..\Run: [WinsysMon] C:\Users\brigitte\AppData\Roaming\setup.exe
2010-01-27 20:04:38 ----D---- C:\Program Files\RegCure

entre autres...

Désinstalles et supprimes RegCure (néfaste)

1)

Note importante : 
Pour les ordinateurs équipés de Windows Vista et Windows 7, la désactivation du Contrôle des comptes utilisateurs est obligatoire 
sous peine de ne pas pouvoir faire fonctionner correctement l'outil. 
 Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac 

Téléchargez et enregistrez le fichier d installation sur le bureau
http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe


Double cliquez sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement. 
Sous Vista : clic droit sur AD-Remover et sélectionner "Exécuter en tant qu'administrateur"
Au menu principal choisir
Option L Lancer le nettoyage
et tapez sur [entrée] .
Laissez travailler l'outil et ne touchez à rien ... 
Postez le rapport  qui apparait à la fin.

( le rapport est sauvegardé aussi sous C:\Ad-report.log )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

.....................

2)

Télécharge Superantispyware (SAS) 

https://www.superantispyware.com/superantispywarefreevspro.html

Choisis "enregistrer" et enregistre-le sur ton bureau. 

Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions. 

 Créé une icône sur le bureau. 

 Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer. 

 Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes. 

 Sous Configuration and Preferences, clique sur le bouton "Preferences" 

 Clique sur l'onglet "Scanning Control " 
 Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée : 

* Close browsers before scanning 
* Scan for tracking cookies 
* Terminate memory threats before quarantining 

 Laisse les autres lignes décochées. 

Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle. 

Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer". 

Dans la colonne de gauche, coche C:\Fixed Drive. 

Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan" 

 Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan. 

A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK. 

Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next". 

Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes. 

Pour recopier les informations sur le forum, fais ceci : 

 - après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS. 
 - Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ". 
- Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log. 

 - Le rapport va s'ouvrir dans ton éditeur de texte par défaut. 

 - Copie son contenu dans ta réponse. 


tutoriel en image :

 https://www.malekal.com/?s=SUPERAntiSpyware

Fulbi32 · Answer

Merci encore pour le sacré coup de main que tu me donnes!!!

Voila le rapport d'AD-remover suivi ensuite par celui de SAS : 

.
======= RAPPORT D'AD-REMOVER 1.1.4.6_I | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 27.01.2010 à 13:30
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 17:47:43, 28/01/2010 | Mode Normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\
Système d'exploitation: Microsoft® Windows Vista™ HomePremium Service Pack 2 v6.0.6002
Nom du PC: PC-DE-BRIGITTE | Utilisateur actuel: brigitte
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.

C:\Program Files\Search Settings 
C:\Users\brigitte\AppData\Roaming\Search Settings 
C:\Users\brigitte\AppData\LocalLow\Search Settings 
C:\ProgramData\Trymedia 
C:\Windows\Installer\206f13.msi   
C:\Users\Administrateur\AppData\LocalLow\Search Settings 

(!) -- Fichiers temporaires supprimés.
 
.
HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} 
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} 
HKCU\software\Search Settings
HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\Software\Classes\Interface\{D5A1EF9A-7948-435D-8B87-D6A598317288}
HKLM\software\classes\SearchSettings.BHO
HKLM\software\classes\SearchSettings.BHO.1
HKLM\Software\Classes\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC}
HKLM\software\Dealio
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\0292226F570267D459357AF78015E534
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\03285961954D5824C85975D955031EE8
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\6AC3985F4D64C2245A96D31569D1BF40
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\855847FA0E25FBA46B8516389DFDD4B3
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\94E65EF7E080DDA4AA2F1DEDCE74AC5B
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\9DC2844D0E3E8924C8973C3B3BAE1F58
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\AFEB575AA30ACB243B748619F62F0782
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\F461B8DD96FF5AA41A52D14E1D7B69C7
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SearchSettings 
HKLM\software\Search Settings
HKLM\software\Trymedia Systems
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.5.7 [fr] *
.
 Nom du profil: n6xj95yg.default (brigitte)
.
(brigitte, prefs.js) Browser.startup.homepage, hxxp://www.google.fr/
(brigitte, prefs.js) Extensions.enabledItems, {20a82645-c095-46ed-80e3-08825760534b}:1.1,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5.7
. 
.
* Internet Explorer Version 8.0.6001.18882 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Search Bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Use Custom Search URL: 1 (0x1)
Enable Browser Extensions: yes
Start Page Redirect Cache: hxxp://fr.msn.com/?ocid=iehp
Start Page Redirect Cache_TIMESTAMP: 3d485f9c1665ca01
Start Page Redirect Cache AcceptLangs: fr
Use Search Asst: no
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Start Page: hxxp://fr.msn.com/
Delete_Temp_Files_On_Exit: yes
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Search bar: hxxp://search.msn.com/spbasic.htm
Search page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials, ...) ==============
.
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Agatha Christie Peril At End House-PreCracked-BigFish-Reflexive-HIVBABY.rar.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Agatha Christie-Death On The Nile-PreCracked-HIVBABY.rar.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Alawar Games - Alabama Smithin Escape from Pompeii + Adnan_Boy 2008 + Precracked.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Alawar Games - Curse Of Montezuma + Adnan_Boy 2008 + Precracked.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Alawar Games - Enchanted Cavern + Adnan_Boy 2008 + Precracked.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Alawar Games - Finding Doggy + Adnan_Boy 2008 + Precracked.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Alawar Games - Gems Quest + Adnan_Boy 2008 + Precracked.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Alawar Games - Holly 2 Magic Land + Adnan_Boy 2008 + Precracked.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Alawar Games - Natalie Brooks The Treasures of the Lost Kingdom + Adnan_Boy 2008 + Precracked.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Alawar Games - Penguins Mania  + Adnan_Boy 2008 + Precracked.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Alawar Games - Rock Garden + Adnan_Boy 2008 + Precracked.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Alawar Games - Sky Kingdoms  Adnan Boy 2008  Precracked_ST2425024.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Alawar Games - Tropical Swaps 2 + Adnan_Boy 2008 + Precracked.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Alawar_Games___Mysteries_Of_Horus___Crack.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Alawar-Games-Family Mystery The Story of Amy-PRECRACKED-DuTY_ST2818695.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Alawar-Games-Magic Encyclopedia Moon Light-PRECRACKED-DuTYT.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Big Fish Games - 7 Wonders Treasures of Seven + Adnan_Boy 2008 + Precracked.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Big Fish Games - Adventure Chronicles The Search for Lost Treasure + Adnan_Boy 2008 + Precracked.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Big Fish Games - Alice Greenfingers 2 + Adnan_Boy 2008 + Precracked.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Big Fish Games - Bookworm Adventures Volume 2 - JackSplatCrack - Precrack_ST2812815.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Big Fish Games - Cindys Travels - Flooded Kingdom + Adnan_Boy 2008 + Precracked.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Big Fish Games - Curse of the Pharaoh Napoleons Secret + Strategy Guide + Adnan_Boy 2008 + Precracked.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Big Fish Games - Detective Agency + Adnan_Boy 2008 + Precracked.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Big Fish Games - Elizabeth Find MD Diagnosis Mystery + Adnan_Boy 2008 + Precracked.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Big Fish Games - Flux Family Secrets - The Ripple Effect + Adnan_Boy 2008 + Precracked.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Big Fish Games - Hidden Mysteries Buckingham Palace + Adnan_Boy 2008 + Precracked.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Big Fish Games - John and Marys Memories + Adnan_Boy 2008 + Precracked.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Big Fish Games  My Kingdom For The Princess  JackSplatCrack  Precrack_ST2796320.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Big Fish Games - Nancy Drew Dossier - Lights, Camera, Curses + Adnan_Boy 2008 + Precracked.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Big Fish Games  The Adventures of Mary Ann - Lucky Pirates  JackSplatCrack  Precrack_ST2853486.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Big Fish Games - The Hidden Prophecies of Nostradamus + Adnan_Boy 2008 + Precracked.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Big Fish Games - The Serpent of Isis + Adnan_Boy 2008 + Precracked.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Big Fish Games - Treasure Seekers Visions of Gold + Adnan_Boy 2008 +  Precracked.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Big Fish Games - Wild Tribe  Adnan Boy 2008  Precracked_ST2503778.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Big Fish Games - Wonderburg + Adnan_Boy 2008 + Precracked.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Bigfish Games - Agatha Christie Murder on the Orient Express CRACK + Direct Link + Adnan_Boy.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Bigfish Games - Amazing Adventures 2 - Around the World + Adnan_Boy 2008 + Precracked.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Bigfish Games - Apple Pie + Adnan_Boy 2008 + Precracked + New Puzzle Game.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Bigfish Games - Azada 2 Ancient Magic  Adnan Boy 2008  Precracked_ST1748314.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Bigfish Games - Carrie the Caregiver  Crack ((((www.orhunt.com))))_ST2836452.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Bigfish Games - Diego Dinosaur Rescue + Adnan_Boy 2008 + Precracked.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Bigfish Games - Dream Day Wedding 2 Married in Manhattan + Adnan_Boy 2008 + Precracked.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Bigfish Games - Enchanted Fairy Friends Secret of the Fairy Queen + Adnan_Boy 2008 + Precracked.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Bigfish Games - Mushroom Age + Adnan_Boy 2008 + Precracked.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Bigfish Games - Mystery Chronicles Murder Among Friends + Adnan_Boy 2008 + Precracked.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Bigfish Games - Puzzle Hero + Adnan_Boy 2008 + Precracked.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Bigfish Games - Samantha Swift and the Hidden Roses of Athena + Adnan_Boy 2008 + Precracked.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Bigfish Games - The Mystery of the Crystal Portal + Adnan_Boy 2008 + Precracked.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Bigfish Games - Turtle Odyssey 2 + Crack (REQUESTED).torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Bigfish Games - Yard Sale Hidden Treasures Sunnyville + Adnan_Boy 2008 + Precracked + Fixed.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Bigfish_Games___Lost_Secrets_Bermuda_Triangle___Adnan_Boy_2008___Precracked.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\BigFish-Games-Cate-West-The-Velvet-Keys-PRECRACKED[DuTY].torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\BigFish-Games-Department 42 The Mystery of the Nine-PRECRACKED-DuTY_ST2754676.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\BigFish-Games-Department 42 The Mystery of the Nine-PRECRACKED-DuTYT.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Cate West The Vanishing Files-PreCracked-Reflexive-BigFish-HIVBABY.rar.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\crack_ile_noyee___sinking_island_rar.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Dream Sleuth  Precracked  All in One Simple Installer_ST2734753.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Dream_Chronicles_2___crack__BIG_FISH_GAMES_.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Oberon Games - Dr Lynch Grave Secrets + Adnan_Boy 2008 + Precracked + H33T.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Oberon Games - Fabulous Finds + Adnan_Boy 2008 + Precracked.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\PlayFirst Games - Dream Chronicles - The Chosen Child  Adnan_Boy 2008  Precracked_ST2491779.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Playrix Games - Call of Atlantis + Adnan_Boy 2008 + Precracked.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Real Arcade Games - Annabel + Adnan_Boy 2008 + Precracked.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Reflexive_Arcade_Emerald_City_Confidential_CRACK_DuTY_.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Reflexive-Arcade-Mystery Stories Animal Agents-PRECRACKED-DuTYT.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Reflexive-Arcade-Samantha-Swift-and-the-Golden-Touch-PRECRACKED-DuTYT.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\SpinTop Games - Escape Rosecliff Island + Adnan_Boy 2008 + Precracked.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Spintop Games - Laura Jones and the Gates of Good and Evil + Adnan_Boy 2008 + Precracked + New Hidden Object Game.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\The Mirror Cracked From Side to Side [65FQYPOBYGIRXTIGBHBP3RTV52AACIV7].torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\Trion Games - Lost in the City + Adnan_Boy 2008 + Precracked + New Hidden Object Game FINAL.torrent
C:\Users\brigitte\AppData\Roaming\Azureus	orrents\WinRar_3_71_final___keygen__Works_100___.torrent
.
===================================
.
13687 Octet(s) - C:\Ad-Report-CLEAN[1].log 
.
21 Fichier(s) - C:\Users\brigitte\AppData\Local\Temp 
3 Fichier(s) - C:\Windows\Temp 
9 Fichier(s) - C:\Windows\Prefetch 
.
20 Fichier(s) - C:\Ad-Remover\BACKUP
99 Fichier(s) - C:\Ad-Remover\QUARANTINE
.
Fin à: 17:56:22 | 28/01/2010 - CLEAN[1]
.
============== E.O.F ==============
.

Fulbi32 · Answer

SUPERAntiSpyware Scan Log
https://www.superantispyware.com/

Generated 01/28/2010 at 07:16 PM

Application Version : 4.33.1000

Core Rules Database Version : 4528
Trace Rules Database Version: 2340

Scan type       : Complete Scan
Total Scan Time : 01:02:44

Memory items scanned      : 729
Memory threats detected   : 0
Registry items scanned    : 6205
Registry threats detected : 0
File items scanned        : 118438
File threats detected     : 18

Adware.Tracking Cookie
	C:\Users\brigitte\AppData\Roaming\Microsoft\Windows\Cookies\brigitte@yadro[2].txt
	C:\Users\brigitte\AppData\Roaming\Microsoft\Windows\Cookies\brigitte@atdmt[2].txt
	C:\Users\brigitte\AppData\Roaming\Microsoft\Windows\Cookies\brigitte@ads.vuze[1].txt
	C:\Users\brigitte\AppData\Roaming\Microsoft\Windows\Cookies\brigitte@adtech[1].txt
	C:\Users\brigitte\AppData\Roaming\Microsoft\Windows\Cookies\brigitte@ad.zanox[2].txt
	C:\Users\brigitte\AppData\Roaming\Microsoft\Windows\Cookies\brigitte@ad.yieldmanager[2].txt
	C:\Users\brigitte\AppData\Roaming\Microsoft\Windows\Cookies\brigitte@content.yieldmanager[3].txt
	C:\Users\brigitte\AppData\Roaming\Microsoft\Windows\Cookies\brigitte@content.yieldmanager[2].txt
	C:\Users\brigitte\AppData\Roaming\Microsoft\Windows\Cookies\brigitte@adbrite[2].txt
	C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Cookies\administrateur@xiti[1].txt
	C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@ad.zanox[1].txt
	C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@ad.zanox[3].txt
	C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@ad.zanox[4].txt
	C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@clickpayz2.91456.blueseek[2].txt
	C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@media6degrees[1].txt

Trojan.Dropper/Win-NV
	C:\WINDOWS\MSA.EXE

Trojan.Agent/Gen-SSHNas[FakeAlert]
	C:\WINDOWS\SYSTEM32\SSHNAS21.DLL

Trojan.SVCHost/Fake
	C:\WINDOWS\TEMP\JIOV.TMP\SVCHOST.EXE

moment de grace · Answer

ok

relance MalwareByte's Anti-Malware
mets le à jour
examen complet
suppression s'il y a lieu
poster le rapport

Fulbi32 · Answer

Voici le rapport de malware après suppression des fichiers infectés

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3652
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882

28/01/2010 21:10:48
mbam-log-2010-01-28 (21-10-48).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 240696
Temps écoulé: 38 minute(s), 28 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\BMIMZMHMFM (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\ROUA3O12PW (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cleansweep.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bmimzmhmfm (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\cleansweep.exe\cleansweep.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\install.config.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Ad-Remover\pv.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\brigitte\AppData\Local\Temp\hi.bat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

moment de grace · Answer

ok

tu peux vider la quarantaine

relances RSIT et postes le rapport log stp

Fulbi32 · Answer

ok merci

la quarantaine a été vidée et voila le rapport log de RSIT :

Logfile of random's system information tool 1.06 (written by random/random)
Run by brigitte at 2010-01-29 19:33:56
Microsoft® Windows Vista™ Édition Familiale Premium  Service Pack 2
System drive C: has 365 GB (79%) free of 465 GB
Total RAM: 2815 MB (62% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:34:07, on 29/01/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18882)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Adobe\Reader 8.0\Readereader_sl.exe
C:\Program Files\Avast\ashDisp.exe
C:\Windows\System32undll32.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\OrangeHSS\Launcher\Launcher.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\OrangeHSS\systray\systrayapp.exe
C:\Program Files\OrangeHSS\Deskboard\deskboard.exe
C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\brigitte\Desktop\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\brigitte.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [alq] C:\Program Files\Common Files\alq.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [WinsysMon] C:\Users\brigitte\AppData\Roaming\setup.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User 'Default user')
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O13 - Gopher Prefix: 
O15 - Trusted Zone: http://*.mappy.com
O15 - Trusted Zone: http://*.orange.fr
O15 - Trusted Zone: http://rw.search.ke.voila.fr
O15 - Trusted Zone: http://orange.weborama.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8FCDED1-75B5-4558-9219-E6EC1818FEB2}: NameServer = 80.10.246.2,80.10.246.129
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Avast\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32
vvsvc.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe

moment de grace · Answer

mauvaise nouvelle tu es probablement victime de VIRUT


http://www.commentcamarche.net/faq/sujet-16138-comment-supprimer-virut



&#9654; Téléchargez Dr.Web CureIt! sur ton Bureau : 
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

&#9654; Double-cliquez sur drweb-cureit.exe et cliquez sur Commencer le scan. 
&#9654; Ce scan rapide permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, cliquez sur le bouton Oui pour Tout à l'invite. 
&#9654; Lorsque le scan rapide est terminé, cliquez sur Options > Changer la configuration. 
&#9654; Choisissez l'onglet Scanner, et décochez Analyse heuristique. 
&#9654; De retour à la fenêtre principale : choisissez Analyse complète. 
&#9654; Cliquez la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, fermez-la. 
&#9654; Cliquez Oui pour Tout si un fichier est détecté. 
&#9654; A la fin du scan, si des infections sont trouvées, cliquez sur Tout sélectionner, puis sur Désinfecter. Si la désinfection est impossible, cliquez sur Quarantaine. 
&#9654; Au menu principal de l'outil, en haut à gauche, cliquez sur le menu Fichier et choisissez Enregistrer le rapport. 
&#9654; Sauvegardez le rapport sur votre Bureau. Ce dernier se nommera DrWeb.csv. 
&#9654; Fermez Dr.Web CureIt! 
&#9654; Redémarrez votre ordinateur (très important) car certains fichiers peuvent être déplacés/réparés au redémarrage. 
&#9654; Postez (Copiez/Collez) le contenu du rapport de l'outil Dr.Web dans un bloc note 

Ensuite : 

&#9654; Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/ 
&#9654; Cliquez sur parcourir, chercher rapport DrWeb.txt puis sur cliquez ici pour déposer le fichier 
&#9654; Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse

Fulbi32 · Answer

Bonjour et merci,

voila l'adresse où se trouve le rapport du Dr Web :

http://www.cijoint.fr/cjlink.php?file=cj201001/cijbQu3mVZ.txt

moment de grace · Answer

vu

présence également de TDSS


Attention, avant de commencer, lit attentivement la procédure, et imprime la 

Télécharge ComboFix de sUBs  sur ton Bureau : 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

/!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ 

---> Double-clique sur ComboFix.exe 
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter 

SURTOUT INSTALLES LA CONSOLE DE RECUPERATION 
(si il te le propose remets provisoirement internet)

---> Mets-le en langue française F 
Tape sur la touche 1 (Yes) pour démarrer le scan. 

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC 

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

Note : Le rapport se trouve également là : C:\ComboFix.txt

Fulbi32 · Answer

C'est par l'intermédiaire d'un autre ordinateur que je me connecte car

lorsque je lance mozilla ou explorer ou n'importe quel fichier exécutable,

windows me met un message d'erreur en me disant : 

"tentative d'opération non autorisée sur une clé du registre marquée pour suppression"

J'ai bien le rapport, qui est ouvert, mais il n y a rien dans le répertoire que tu m'as annoncé

et lorsque je veux le sauvegarder sur le bureau, rien ne se passe.

moment de grace · Answer

bon

supprimes combofix et retélecharges le en le renommant FULBI.exe avant de l'enregistrer sur le bureau

puis procédure décrite au dessus

rappel, coupez toutes les protections du pc avant

Fulbi32 · Answer

Le constat est le même : 

le rapport est ouvert, il n'est pas dans le répertoire indiqué et lorsque je l'enregistre sur le bureau, je ne peux plus l'ouvrir car le message d'erreur de windows revient.

J'ai pu remettre en fonction avast mais je ne peux pas aller sur le net ou faire autre chose pour la même raison.

Lorsque je supprime conmbofix (renommé FULBI.exe) et que je redémarre le PC, tout redevient "normal" du moins les programme semblent fonctionner.

Fulbi32 · Answer

j'ai récupéré le rapport de Combofix, qui suit :

ComboFix 10-01-29.09 - brigitte 30/01/2010  15:35:43.3.2 - x86
Microsoft® Windows Vista™ Édition Familiale Premium   6.0.6002.2.1252.33.1036.18.2815.1868 [GMT 1:00]
Lancé depuis: c:\users\brigitte\Desktop\FULBI.exe
SP: AVG Anti-Spyware *disabled* (Outdated) {48F2E28D-ED66-4646-9C11-B3055B0AF604}
SP: SUPERAntiSpyware *disabled* (Updated) {222A897C-5018-402e-943F-7E7AC8560DA7}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((   Fichiers créés du 2009-12-28 au 2010-01-30  ))))))))))))))))))))))))))))))))))))
.

2010-01-30 14:40 . 2010-01-30 14:41	--------	d-----w-	c:\users\brigitte\AppData\Local	emp
2010-01-30 14:40 . 2010-01-30 14:40	--------	d-----w-	c:\users\Public\AppData\Local	emp
2010-01-30 14:40 . 2010-01-30 14:40	--------	d-----w-	c:\users\Default\AppData\Local	emp
2010-01-30 14:40 . 2010-01-30 14:40	--------	d-----w-	c:\users\Administrateur\AppData\Local	emp
2010-01-30 14:17 . 2010-01-30 14:25	--------	d-----w-	C:\FULBI
2010-01-30 10:53 . 2010-01-30 11:13	--------	d-----w-	C:\ComboFix
2010-01-29 19:27 . 2010-01-29 20:07	--------	d-----w-	c:\users\brigitte\DoctorWeb
2010-01-28 17:07 . 2010-01-28 17:07	52224	----a-w-	c:\users\brigitte\AppData\Roaming\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
2010-01-28 17:07 . 2010-01-28 17:07	117760	----a-w-	c:\users\brigitte\AppData\Roaming\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2010-01-28 17:06 . 2010-01-28 17:06	--------	d-----w-	c:\programdata\SUPERAntiSpyware.com
2010-01-28 17:06 . 2010-01-28 17:06	--------	d-----w-	c:\program files\SUPERAntiSpyware
2010-01-28 17:06 . 2010-01-28 17:06	--------	d-----w-	c:\users\brigitte\AppData\Roaming\SUPERAntiSpyware.com
2010-01-28 17:05 . 2010-01-28 17:05	--------	d-----w-	c:\program files\Common Files\Wise Installation Wizard
2010-01-28 16:44 . 2010-01-28 20:10	--------	d-----w-	C:\Ad-Remover
2010-01-27 20:55 . 2010-01-27 20:55	--------	d-----w-	C:sit
2010-01-27 20:52 . 2010-01-07 15:07	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-27 20:52 . 2010-01-27 20:52	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-01-27 20:52 . 2010-01-07 15:07	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-01-27 19:04 . 2010-01-28 16:32	--------	d-----w-	c:\program files\RegCure
2010-01-27 17:03 . 2010-01-27 17:03	--------	d-----w-	c:\users\brigitte\AppData\Roaming\Peace Craft
2010-01-27 16:57 . 2010-01-27 19:04	--------	d-----w-	c:\windows\RegCure
2010-01-24 19:00 . 2010-01-24 19:00	--------	d-----w-	c:\programdata\Grisoft
2010-01-24 18:48 . 2010-01-24 18:48	--------	d-----w-	c:\program files\Trend Micro
2010-01-24 18:45 . 2010-01-26 17:45	--------	d-----w-	c:\programdata\Lavasoft
2010-01-24 18:31 . 2005-08-25 18:18	118784	----a-w-	c:\windows\system32\MSSTDFMT.DLL
2010-01-18 16:59 . 2010-01-18 16:59	--------	d-----w-	c:\programdata\EscapeTheMuseum
2010-01-16 09:09 . 2010-01-16 09:09	0	----a-w-	c:\windows
sreg.dat
2010-01-16 09:09 . 2010-01-16 09:09	--------	d-----w-	c:\users\brigitte\AppData\Local\Mozilla
2010-01-16 08:53 . 2010-01-16 08:53	--------	d-----w-	c:\users\brigitte\AppData\Roaming\Malwarebytes
2010-01-16 08:53 . 2010-01-16 08:53	--------	d-----w-	c:\programdata\Malwarebytes
2010-01-15 22:23 . 2010-01-15 22:23	--------	d-----w-	c:\users\brigitte\AppData\Roaming\AVG8
2010-01-13 15:35 . 2009-10-19 13:38	156672	----a-w-	c:\windows\system32	2embed.dll
2010-01-13 15:35 . 2009-10-19 13:35	72704	----a-w-	c:\windows\system32\fontsub.dll
2010-01-12 17:21 . 2010-01-12 17:21	--------	d-----w-	c:\programdata\TheFallTrilogy
2010-01-10 18:04 . 2010-01-10 18:04	--------	d-----w-	c:\users\brigitte\AppData\Roaming\Orneon
2010-01-09 17:30 . 2010-01-09 17:30	--------	d-----w-	c:\users\brigitte\AppData\Roaming\Dragon Altar Games
2010-01-09 16:54 . 2010-01-09 16:54	--------	d-----w-	C:\Nancy Drew
2010-01-09 16:54 . 2010-01-09 16:54	--------	d-----w-	c:\program files\directx
2010-01-09 09:53 . 2010-01-30 11:06	--------	d-----w-	c:\users\brigitte\AppData\Roaming\Icones
2010-01-04 16:54 . 2010-01-04 16:54	--------	d-----w-	c:\users\brigitte\AppData\Roaming\YoudaGames

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-30 14:33 . 2008-08-15 01:45	49234	----a-w-	c:\windows\system32\perfh00C.dat
2010-01-30 14:33 . 2008-08-15 01:45	11514	----a-w-	c:\windows\system32\perfc00C.dat
2010-01-30 09:52 . 2008-12-28 12:27	1	----a-w-	c:\users\brigitte\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-01-30 00:53 . 2008-08-15 01:39	115744	----a-w-	c:\windows\system32\drivers
vstor32.sys
2010-01-29 18:39 . 2008-11-28 19:11	--------	d-----w-	c:\program files\Avast
2010-01-29 05:57 . 2008-12-07 11:41	--------	d-----w-	c:\users\brigitte\AppData\Roaming\Azureus
2010-01-24 19:55 . 2008-08-14 16:19	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-01-24 19:54 . 2008-12-28 10:53	--------	d-----w-	c:\users\brigitte\AppData\Roaming\FUJIFILM
2010-01-22 15:32 . 2008-12-28 10:47	--------	d-----w-	c:\program files\Microsoft Silverlight
2010-01-17 16:01 . 2009-10-18 17:43	--------	d-----w-	c:\users\brigitte\AppData\Roaming\Merscom
2010-01-17 16:01 . 2009-10-18 17:43	--------	d-----w-	c:\programdata\Merscom
2010-01-16 11:00 . 2008-12-28 12:01	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2010-01-16 00:17 . 2008-12-28 12:01	--------	d-----w-	c:\programdata\Spybot - Search & Destroy
2010-01-14 15:35 . 2006-11-02 11:18	--------	d-----w-	c:\program files\Windows Mail
2010-01-14 10:12 . 2009-10-03 08:07	181120	------w-	c:\windows\system32\MpSigStub.exe
2010-01-13 17:44 . 2009-10-11 16:11	--------	d-----w-	c:\users\brigitte\AppData\Roaming\ERS G-Studio
2010-01-09 16:54 . 2008-08-14 16:19	--------	d-----w-	c:\program files\Common Files\InstallShield
2010-01-02 06:38 . 2010-01-22 15:39	916480	----a-w-	c:\windows\system32\wininet.dll
2010-01-02 06:32 . 2010-01-22 15:39	71680	----a-w-	c:\windows\system32\iesetup.dll
2010-01-02 06:32 . 2010-01-22 15:39	109056	----a-w-	c:\windows\system32\iesysprep.dll
2010-01-02 04:57 . 2010-01-22 15:39	133632	----a-w-	c:\windows\system32\ieUnatt.exe
2009-12-30 10:35 . 2009-12-30 10:35	--------	d-----w-	c:\programdata\Downloaded Installations
2009-12-30 10:15 . 2009-12-30 10:15	--------	d-----w-	c:\users\brigitte\AppData\Roaming\TikisLab
2009-12-29 11:09 . 2009-03-27 20:47	--------	d-----w-	c:\users\brigitte\AppData\Roaming\Friday's games
2009-12-27 18:21 . 2009-12-27 18:21	--------	d-----w-	c:\programdata\Intenium
2009-12-27 10:17 . 2009-12-27 10:17	--------	d-----w-	c:\programdata\The Mirror Mysteries
2009-12-21 18:03 . 2009-12-21 18:03	--------	d-----w-	c:\users\brigitte\AppData\Roaming\JoyBits
2009-12-20 18:16 . 2009-12-20 18:16	--------	d-----w-	c:\users\brigitte\AppData\Roaming\BrokenHearts
2009-12-19 11:52 . 2009-03-21 14:50	--------	d-----w-	c:\programdata\MumboJumbo
2009-12-19 09:42 . 2008-12-07 11:41	--------	d-----w-	c:\program files\Vuze
2009-12-19 09:41 . 2008-12-07 11:46	178	----a-w-	c:\users\brigitte\AppData\Roaming\Azureusestart.bat
2009-12-16 17:23 . 2009-12-16 17:23	--------	d-----w-	c:\users\brigitte\AppData\Roaming\Game Mill Entertainment
2009-12-13 16:57 . 2009-03-10 18:45	--------	d-----w-	c:\users\brigitte\AppData\Roaming\Big Fish Games
2009-12-12 10:10 . 2009-12-12 10:10	--------	d-----w-	c:\users\brigitte\AppData\Roaming\Enlightenus
2009-12-10 17:56 . 2009-12-10 17:40	--------	d-----w-	c:\users\brigitte\AppData\Roaming\OtherSide Realm of Eons
2009-12-10 17:40 . 2009-03-29 09:54	--------	d-----w-	c:\programdata\PlayFirst
2009-12-10 17:40 . 2009-02-03 17:31	--------	d-----w-	c:\users\brigitte\AppData\Roaming\PlayFirst
2009-12-09 17:21 . 2009-12-09 17:21	--------	d-----w-	c:\users\brigitte\AppData\Roaming\ChaYoWo Games
2009-12-08 18:43 . 2009-10-26 18:31	--------	d-----w-	c:\users\brigitte\AppData\Roaming\GameInvest
2009-11-24 23:54 . 2008-11-28 19:11	1280480	----a-w-	c:\windows\system32\aswBoot.exe
2009-11-24 23:49 . 2008-11-28 19:11	48560	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2009-11-24 23:48 . 2008-11-28 19:11	23120	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2009-11-24 23:47 . 2008-11-28 19:11	97480	----a-w-	c:\windows\system32\AvastSS.scr
2009-11-18 15:58 . 2006-11-02 10:25	665600	----a-w-	c:\windows\inf\drvindex.dat
2009-11-09 12:31 . 2009-12-10 16:37	24064	----a-w-	c:\windows\system32
shhttp.dll
2009-11-09 12:30 . 2009-12-10 16:37	30720	----a-w-	c:\windows\system32\httpapi.dll
2009-11-09 10:36 . 2009-12-10 16:37	411648	----a-w-	c:\windows\system32\drivers\http.sys
2009-11-04 16:22 . 2009-11-04 16:22	185623521	----a-w-	c:\users\brigitte\AppData\Roaming\Cassandra's Journey 2 The Fifth Sun.exe
2009-11-04 16:22 . 2009-11-04 16:22	185623521	----a-w-	c:\users\brigitte\AppData\Roaming\Cassandra's Journey 2 The Fifth Sun.exe
2009-07-25 19:40 . 2009-07-25 19:40	3725779	----a-w-	c:\program files\Common Files\alq.exe
2008-08-15 01:50 . 2008-08-15 01:50	8192	--sha-w-	c:\windows\Users\Default\NTUSER.DAT
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"RtHDVCpl"="RtHDVCpl.exe" [2008-05-07 6139904]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"toolbar_eula_launcher"="c:\program files\Packard Bell\GOOGLE_EULA\EULALauncher.exe" [2007-02-20 28672]
"ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe" [2007-12-12 107248]
"avast!"="c:\progra~1\Avast\ashDisp.exe" [2009-11-24 81000]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-17 13580832]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-09-17 92704]
"alq"="c:\program files\Common Files\alq.exe" [2009-07-25 3725779]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-01-07 1394000]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2002-04-11 1458448]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\!SASWinLogon]
2009-09-03 13:21	548352	----a-w-	c:\program files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):bb,95,6c,66,fc,38,ca,01

R1 aswSP;avast! Self Protection;c:\windows\System32\drivers\aswSP.sys [28/11/2008 20:11 114768]
R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [05/01/2010 07:56 9968]
R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [05/01/2010 07:56 74480]
R2 aswFsBlk;aswFsBlk;c:\windows\System32\drivers\aswFsBlk.sys [28/11/2008 20:11 20560]
R2 aswMonFlt;aswMonFlt;c:\windows\System32\drivers\aswMonFlt.sys [28/11/2008 20:11 53328]
S3 FontCache;Service de cache de police Windows;c:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [21/01/2008 03:23 21504]
S3 fssfltr;FssFltr;c:\windows\System32\drivers\fssfltr.sys [06/11/2009 18:48 54632]
S3 fsssvc;Service Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [05/08/2009 22:48 704864]
S3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\System32\drivers\PCAMp50.sys [10/11/2008 19:51 28224]
S3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [05/01/2010 07:56 7408]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
.
Contenu du dossier 'Tâches planifiées'

2010-01-30 c:\windows\Tasks\Extension de garantie-brigitte.job
- c:\program files\Packard Bell\SetupmyPC\PBCarNot.exe [2008-08-14 10:13]

2010-01-30 c:\windows\Tasks\Recovery DVD Creator-brigitte.job
- c:\program files\Packard Bell\SetupMyPc\MCDCheck.exe [2008-08-14 10:13]

2010-01-30 c:\windows\Tasks\User_Feed_Synchronization-{1EE5C373-5713-41BC-A415-5132B05F425C}.job
- c:\windows\system32\msfeedssync.exe [2010-01-22 04:56]
.
.
------- Examen supplémentaire -------
.
TCP: {C8FCDED1-75B5-4558-9219-E6EC1818FEB2} = 80.10.246.2,80.10.246.129
FF - ProfilePath - c:\users\brigitte\AppData\Roaming\Mozilla\Firefox\Profiles
6xj95yg.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-30 15:41
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2010-01-30  15:43:22
ComboFix-quarantined-files.txt  2010-01-30 14:43
ComboFix2.txt  2010-01-30 14:25
ComboFix3.txt  2010-01-30 11:13

Avant-CF: 383 651 262 464 octets libres
Après-CF: 383 608 598 528 octets libres

- - End Of File - - 9E717A7BD781C14EB51E2CEB4ED19CA0

moment de grace · Answer

Téléchargez MalwareByte's Anti-Malware

http://www.malwarebytes.org/mbam/program/mbam-setup.exe
 
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur  Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. Rends toi dans l'onglet rapport/log 
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous 
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller 


Si tu as besoin d'aide regarde ces tutoriels : 
 Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

Fulbi32 · Answer

Ok merci

Voila le rapport :

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3669
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882

31/01/2010 21:15:21
mbam-log-2010-01-31 (21-15-21).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 239601
Temps écoulé: 36 minute(s), 4 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\Internet Explorer\minftnet.exe (Adware.Agent) -> Quarantined and deleted successfully.

moment de grace · Answer

ok

comment va le pc ?
Avast est il encore en alerte régulière ?

relances RSIT et poste le rapport log stp

Fulbi32 · Answer

OK merci

voila le rapport

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3669
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882

31/01/2010 21:15:21
mbam-log-2010-01-31 (21-15-21).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 239601
Temps écoulé: 36 minute(s), 4 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\Internet Explorer\minftnet.exe (Adware.Agent) -> Quarantined and deleted successfully.

moment de grace · Answer

non ca c'est MBAM

moi il me faut RSIT

Fulbi32 · Answer

désolé pour le double rapport je n'avais pas vu la seconde page 

le pc fonctionne "normalement" apparemment car avast ne fait plus d'alertes du tout

je fais tourner rsit et je poste le rapport ensuite

Fulbi32 · Answer

Logfile of random's system information tool 1.06 (written by random/random)
Run by brigitte at 2010-01-31 21:54:49
Microsoft® Windows Vista™ Édition Familiale Premium  Service Pack 2
System drive C: has 366 GB (79%) free of 465 GB
Total RAM: 2815 MB (71% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:54:57, on 31/01/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18882)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Avast\ashDisp.exe
C:\Program Files\OrangeHSS\Launcher\Launcher.exe
C:\Windows\System32undll32.exe
C:\Program Files\Common Files\alq.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\OrangeHSS\systray\systrayapp.exe
C:\Program Files\OrangeHSS\Deskboard\deskboard.exe
C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\Users\brigitte\Desktop\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\brigitte.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [alq] C:\Program Files\Common Files\alq.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKUS\S-1-5-18\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User 'Default user')
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O15 - Trusted Zone: http://*.mappy.com
O15 - Trusted Zone: http://*.orange.fr
O15 - Trusted Zone: http://rw.search.ke.voila.fr
O15 - Trusted Zone: http://orange.weborama.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8FCDED1-75B5-4558-9219-E6EC1818FEB2}: NameServer = 80.10.246.2,80.10.246.129
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Avast\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32
vvsvc.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe

moment de grace · Answer

ok

supprimes manuellement ceci

C:\Program Files\RegCure

et une dernière verif


Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : C:\Program Files\Common Files\alq.exe


Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers : 

Pour cela : 
Clique sur démarrer/panneau de configuration/option des dossiers/affichage 

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décocher masquer les extensions dont le type est connu 

Puis fais «appliquer» pour valider les changements. 

Et OK

Fulbi32 · Answer

ok

Regcure a été supprimé et voila ce qu'a donné l'analyse en ligne

Fichier alq.exe reçu le 2009.09.23 10:17:03 (UTC)
Situation actuelle: terminé
Résultat: 0/41 (0.00%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared 	4.5.0.24 	2009.09.23 	-
AhnLab-V3 	5.0.0.2 	2009.09.23 	-
AntiVir 	7.9.1.23 	2009.09.23 	-
Antiy-AVL 	2.0.3.7 	2009.09.23 	-
Authentium 	5.1.2.4 	2009.09.23 	-
Avast 	4.8.1351.0 	2009.09.21 	-
AVG 	8.5.0.412 	2009.09.23 	-
BitDefender 	7.2 	2009.09.23 	-
CAT-QuickHeal 	10.00 	2009.09.23 	-
ClamAV 	0.94.1 	2009.09.23 	-
Comodo 	2411 	2009.09.23 	-
DrWeb 	5.0.0.12182 	2009.09.23 	-
eSafe 	7.0.17.0 	2009.09.22 	-
eTrust-Vet 	31.6.6756 	2009.09.23 	-
F-Prot 	4.5.1.85 	2009.09.22 	-
F-Secure 	8.0.14470.0 	2009.09.23 	-
Fortinet 	3.120.0.0 	2009.09.23 	-
GData 	19 	2009.09.23 	-
Ikarus 	T3.1.1.72.0 	2009.09.23 	-
Jiangmin 	11.0.800 	2009.09.23 	-
K7AntiVirus 	7.10.851 	2009.09.22 	-
Kaspersky 	7.0.0.125 	2009.09.23 	-
McAfee 	5749 	2009.09.22 	-
McAfee+Artemis 	5749 	2009.09.22 	-
McAfee-GW-Edition 	6.8.5 	2009.09.23 	-
Microsoft 	1.5005 	2009.09.23 	-
NOD32 	4449 	2009.09.23 	-
Norman 	6.01.09 	2009.09.23 	-
nProtect 	2009.1.8.0 	2009.09.23 	-
Panda 	10.0.2.2 	2009.09.22 	-
PCTools 	4.4.2.0 	2009.09.22 	-
Prevx 	3.0 	2009.09.23 	-
Rising 	21.48.22.00 	2009.09.23 	-
Sophos 	4.45.0 	2009.09.23 	-
Sunbelt 	3.2.1858.2 	2009.09.23 	-
Symantec 	1.4.4.12 	2009.09.23 	-
TheHacker 	6.5.0.2.015 	2009.09.22 	-
TrendMicro 	8.950.0.1094 	2009.09.23 	-
VBA32 	3.12.10.10 	2009.09.23 	-
ViRobot 	2009.9.23.1949 	2009.09.23 	-
VirusBuster 	4.6.5.0 	2009.09.22 	-
Information additionnelle
File size: 3725779 bytes
MD5   : 4a2890031d088d448be700825688807a
SHA1  : 2953da8d8d6a50b3d71620d68f2795a0b73076ca
SHA256: cf9106ddd669b366d2f01303034964f6c9a88bbd9ab652d26b2f11fd06fcdd83
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x14002C
timedatestamp.....: 0x49DB5719 (Tue Apr 7 15:37:29 2009)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x15F665 0x160000 6.64 b5a0d6f7dabd1b1a742283256060b281
.rdata 0x161000 0x36696 0x37000 6.02 62e5b23082aaafef7b4237133924e3ad
.data 0x198000 0x67CC4 0x42000 2.14 6a147eed220f697afc9a7a9781eab586
.rsrc 0x200000 0x48AD8 0x49000 3.50 a050bc2eb1e4b40d47b54db04cd755a3

( 12 imports )

> advapi32.dll: DeregisterEventSource, ReportEventW, RegisterEventSourceW, RegOpenKeyExW, RegQueryInfoKeyW, RegEnumValueW, RegQueryValueExW, RegCreateKeyExW, RegDeleteValueW, RegSetValueExW, RegCloseKey, RegEnumKeyExW, RegDeleteKeyW, RevertToSelf, ImpersonateSelf, AccessCheck, OpenThreadToken, MapGenericMask, GetFileSecurityW, SetServiceStatus, RegisterServiceCtrlHandlerA, StartServiceCtrlDispatcherA
> comctl32.dll: -, ImageList_Destroy, ImageList_Add, InitCommonControlsEx, ImageList_Create
> comdlg32.dll: GetSaveFileNameW, GetOpenFileNameW, ChooseColorA, PrintDlgA, PageSetupDlgA
> gdi32.dll: GetDIBits, Polygon, SetTextAlign, SetBrushOrgEx, CloseMetaFile, CreateEnhMetaFileW, CloseEnhMetaFile, CreateMetaFileW, EnumFontsW, EnumFontFamiliesExW, CombineRgn, CreateRectRgn, CreateBitmap, GetTextExtentPoint32W, CreateSolidBrush, GetFontLanguageInfo, Ellipse, MoveToEx, GetClipRgn, GetPixel, Rectangle, SetTextColor, RoundRect, CreatePen, LineTo, SelectClipRgn, CreatePatternBrush, SetBkMode, SetPixelV, GetTextMetricsW, GetEnhMetaFileW, CreatePalette, DeleteEnhMetaFile, DeleteMetaFile, GetEnhMetaFileHeader, GetMetaFileA, CreateFontIndirectA, SetViewportOrgEx, GetEnhMetaFileA, SetMapMode, ExcludeClipRect, CreateFontW, CreateBrushIndirect, EndPage, StartDocA, SetAbortProc, EndDoc, CreateICA, SetViewportExtEx, StartPage, SetWindowExtEx, GetStockObject, SetDIBitsToDevice, SelectPalette, DeleteObject, SelectObject, SetStretchBltMode, CreateCompatibleDC, DeleteDC, StretchBlt, CreateCompatibleBitmap, RealizePalette, GetSystemPaletteEntries, CreateDIBitmap, GetObjectA, CreateDIBSection, EnumEnhMetaFile, BitBlt, CreateDCA, StretchDIBits, GetTextMetricsA, TranslateCharsetInfo, GetDeviceCaps
> iphlpapi.dll: GetAdaptersInfo
> kernel32.dll: GetCurrentProcess, OutputDebugStringA, ExitProcess, GetUserDefaultLangID, CreateEventW, DeleteFiber, SwitchToFiber, CreateFiber, ConvertThreadToFiber, GetACP, IsValidCodePage, MulDiv, GetVersion, GetLogicalDrives, InterlockedIncrement, InterlockedDecrement, CreateEventA, GetCommModemStatus, GetOverlappedResult, ClearCommError, ResetEvent, GetCommState, WaitForSingleObject, SetCommBreak, GetCommProperties, EscapeCommFunction, ClearCommBreak, SetCommState, SetCommTimeouts, GetCommandLineA, GetCommandLineW, GetProcessHeap, IsBadReadPtr, HeapAlloc, HeapFree, VirtualProtect, GetSystemDirectoryA, GetModuleHandleA, TlsGetValue, IsDebuggerPresent, SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess, GetStartupInfoA, GetSystemTimeAsFileTime, HeapReAlloc, GetFileType, SetStdHandle, TlsSetValue, TlsFree, SetLastError, GetCurrentThreadId, HeapSize, RaiseException, GetStdHandle, HeapDestroy, HeapCreate, GetConsoleCP, GetConsoleMode, SetHandleCount, RtlUnwind, SetEnvironmentVariableW, OutputDebugStringW, GetEnvironmentVariableW, ExpandEnvironmentStringsW, WideCharToMultiByte, GetModuleFileNameA, LoadLibraryW, _lclose, VirtualAlloc, _lopen, _llseek, _lread, LoadResource, FindResourceA, LockResource, lstrcpyA, FindFirstFileW, RemoveDirectoryW, SetCurrentDirectoryW, GetShortPathNameW, GetFileTime, CopyFileW, GetCPInfo, GetOEMCP, LCMapStringA, LCMapStringW, FindNextFileW, GetSystemDirectoryW, FindClose, SetFileAttributesW, SetFileTime, MoveFileW, CreateDirectoryW, DeleteFileW, GetCurrentThread, GetWindowsDirectoryW, GetLongPathNameW, GetFileAttributesW, GetLogicalDriveStringsW, GetCurrentDirectoryW, GlobalSize, GlobalFree, GlobalAlloc, GlobalReAlloc, CreateFileA, GetCurrentProcessId, CompareFileTime, GetTimeZoneInformation, FileTimeToSystemTime, GetLocalTime, LocalFileTimeToFileTime, GetSystemTime, GetDateFormatA, FileTimeToLocalFileTime, GetTimeFormatA, TlsAlloc, SystemTimeToFileTime, GetTempFileNameW, CloseHandle, GetLastError, WriteFile, GetTempPathW, FlushFileBuffers, CreateFileW, ReadFile, SetEndOfFile, SetFilePointer, GetFileSize, LeaveCriticalSection, InitializeCriticalSection, EnterCriticalSection, DeleteCriticalSection, GlobalUnlock, GlobalLock, MultiByteToWideChar, GetUserDefaultLCID, FreeLibrary, LoadLibraryA, GetVersionExA, Sleep, GetProcAddress, GetLocaleInfoW, QueryPerformanceFrequency, QueryPerformanceCounter, GetTickCount, GetLocaleInfoA, IsDBCSLeadByteEx, GetStringTypeExA, CompareStringW, CompareStringA, GetModuleHandleW, GetModuleFileNameW, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, GetStringTypeA, GetStringTypeW, VirtualFree
> ole32.dll: CLSIDFromProgID, CoUninitialize, CoInitialize, CoCreateInstance, CLSIDFromString, CoTaskMemFree, CoGetClassObject, OleInitialize, OleUninitialize, CoTaskMemAlloc, RegisterDragDrop, RevokeDragDrop, DoDragDrop
> oleaut32.dll: -, -, -, -
> shell32.dll: DragAcceptFiles, DragQueryFileW, Shell_NotifyIconW, SHGetDesktopFolder, SHGetSpecialFolderLocation, SHFileOperationW, SHGetPathFromIDListW, SHGetMalloc, SHBrowseForFolderW, ShellExecuteW, DragFinish
> user32.dll: IsIconic, CreateMDIWindowW, RegisterClassW, PostMessageA, RegisterWindowMessageA, GetClassInfoW, EnumChildWindows, GetWindow, IsZoomed, GetTopWindow, BringWindowToTop, AdjustWindowRect, GetSystemMenu, FrameRect, VkKeyScanA, CreateMenu, GetMenuItemCount, CopyRect, DrawEdge, InsertMenuW, EnableMenuItem, DeleteMenu, GetKeyState, EnableWindow, RemovePropA, SetWindowTextW, GetMessagePos, GetSubMenu, GetMenuStringW, GetMenuItemInfoW, OpenClipboard, IsClipboardFormatAvailable, RegisterClipboardFormatA, wsprintfA, GetPropA, SetPropA, UpdateWindow, DragDetect, GetClassNameA, ValidateRect, InvalidateRgn, SetParent, CreateWindowExW, BeginPaint, EndPaint, ShowCursor, EnumDisplayMonitors, GetMonitorInfoA, KillTimer, RegisterClassA, SetTimer, WindowFromPoint, ReleaseCapture, GetMessageW, DispatchMessageW, SetCapture, TranslateMDISysAccel, MsgWaitForMultipleObjectsEx, SystemParametersInfoA, DrawFrameControl, ShowWindow, GetActiveWindow, FindWindowW, DestroyMenu, CreateWindowExA, ChildWindowFromPointEx, DestroyWindow, CreateIconIndirect, DefWindowProcA, RedrawWindow, DestroyCursor, CreateCursor, LoadImageA, GetWindowTextW, GetWindowTextLengthA, MessageBoxW, ScreenToClient, MoveWindow, GetKeyNameTextW, MapVirtualKeyA, SetClipboardData, GetClipboardData, EmptyClipboard, CreateIconFromResource, CreateIconFromResourceEx, DrawFocusRect, GetSystemMetrics, DrawTextW, LoadIconA, InvertRect, DrawIcon, GetSysColorBrush, GetWindowDC, GetIconInfo, LoadCursorFromFileW, DestroyIcon, SetWindowPos, SendMessageW, GetParent, FillRect, MessageBoxA, EnumWindows, PeekMessageA, TranslateMessage, SetForegroundWindow, DispatchMessageA, IsWindowVisible, GetWindowRect, ClientToScreen, GetClientRect, GetCursorPos, CreatePopupMenu, GetForegroundWindow, TrackPopupMenu, CallWindowProcW, DefWindowProcW, GetMenuState, GetFocus, TrackMouseEvent, GetScrollInfo, SetScrollPos, SetScrollRange, GetScrollRange, SetScrollInfo, GetScrollPos, SetWindowLongA, PeekMessageW, GetWindowLongA, GetWindowLongW, DefFrameProcW, ReleaseDC, SetWindowLongW, GetDC, DefMDIChildProcW, SendMessageA, MessageBeep, GetDoubleClickTime, OffsetRect, SetRect, ScrollWindow, CloseClipboard, InvalidateRect, GetMenuItemID, SetMenuItemInfoW, CheckMenuItem, GetMenu, DrawMenuBar, SetFocus, WindowFromDC, CharUpperBuffA, CharLowerBuffA, GetAsyncKeyState, LoadCursorA, SetMenu, GetMessageTime, SetCursor, GetSysColor, DrawIconEx
> version.dll: GetFileVersionInfoSizeW, VerQueryValueW, GetFileVersionInfoW
> winmm.dll: midiOutShortMsg, midiOutClose, midiOutOpen, mciSendStringW, mciSendStringA

( 0 exports )
TrID  : File type identification
Win32 EXE PECompact compressed (generic) (45.2%)
Win32 Executable MS Visual C++ (generic) (41.0%)
Win32 Executable Generic (9.2%)
Generic Win/DOS Executable (2.1%)
DOS Executable Generic (2.1%)
ssdeep: 49152:0H16Oqf7FtA0WuT3zU0jjFjRkYWK4ZhRyBjbD9d5VGonOiM+3qQSyFwA:qgjDdjEizUA
PEiD  : -
RDS   : NSRL Reference Data Set
-

moment de grace · Answer

c'est bon

1)
Cherches et cliques sur C:\Program Files\Trend Micro\HijackThis\brigitte.exe    
Au menu principal, choisir do a scan only, puis cocher la case devant les lignes suivantes à corriger et cliquer en bas sur Fix Checked (s'il manque des lignes, pas grave)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL'

.................

2)

Mets à jour Adobe Reader si ce n'est pas le cas (désinstalle avant la version antérieure) 
https://get2.adobe.com/reader/otherversions/

.......................

3)
IMPORTANT
Purger la restauration systeme vista
https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista

....................

4)
Télécharge ToolsCleaner2sur ton Bureau. 
https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/

* Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur ToolsCleaner2.exe pour le lancer. 
* Clique sur Recherche et laisse le scan agir. 
* Clique sur Suppression pour finaliser. 
* Tu peux, si tu le souhaites, te servir des Options Facultatives. 
* Clique sur Quitter pour obtenir le rapport. 
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). 

&#9654;Ensuite  Tu peux supprimer ToolCleaner

Fulbi32 · Answer

ok merci

Faut-il remettre la restauration du système ou attendre?

voici le rapport de Toolcleaner : 

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\Combofix: trouvé !
C:\Qoobox: trouvé !
C:\Rsit: trouvé !
C:\Ad-remover: trouvé !
C:\Ad-Remover\BACKUP\Ad-R.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\Users\Administrateur\Desktop\HijackThis.lnk: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Users\brigitte\AppData\Local\VirtualStore\Program Files\Trend Micro\HijackThis: trouvé !
C:\Users\brigitte\AppData\Local\VirtualStore\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\Users\brigitte\Desktop\HijackThis.lnk: trouvé !
C:\Users\brigitte\Desktop\Ad-R.exe: trouvé !
C:\Users\brigitte\Desktop\Rsit.exe: trouvé !
C:\Windows\mbr.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Ad-Remover\BACKUP\Ad-R.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: supprimé !
C:\Users\Administrateur\Desktop\HijackThis.lnk: supprimé !
C:\Users\brigitte\Desktop\HijackThis.lnk: supprimé !
C:\Users\brigitte\Desktop\Ad-R.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\Users\brigitte\AppData\Local\VirtualStore\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Users\brigitte\Desktop\Rsit.exe: supprimé !
C:\Windows\mbr.exe: supprimé !
C:\Combofix: supprimé !
C:\Qoobox: supprimé !
C:\Rsit: supprimé !
C:\Ad-remover: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: ERREUR DE SUPPRESSION !!
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: supprimé !
C:\Users\brigitte\AppData\Local\VirtualStore\Program Files\Trend Micro\HijackThis: supprimé !

Corbeille vidée!
Fichiers temporaires nettoyés !

moment de grace · Answer

Faut-il remettre la restauration du système ou attendre? 

la remettre

si tout est ok pour toi
tu peux mettre le topic en resolu 
https://www.commentcamarche.net/infos/25917-marquer-un-fil-de-discussion-comme-etant-resolu/


Bonne continuation et surtout , prudence et bon surf :)

Fulbi32 · Answer

Ok ^^

merci beaucoup pour ton aide ainsi que ta patience!

je pense que la propriétaire du PC va être soulagée! =)

moment de grace · Answer

(sourire)

Besoin d'aide pour enlever win32:malware gen

32 réponses

Discussions similaires