Malware qui bloque tout

Réponse 21 / 54

moment de grace Messages postés 29042 Date d'inscription Statut Contributeur sécurité Dernière intervention 2 274

suite...

supprimes tout ce qui ressemble à un proxy sur le pc

de plus

Cherches et cliques sur C:\Documents and Settings\Mathias.PORTABLE\Bureau\Mathias.exe
Au menu principal, choisir do a scan only, puis cocher la case devant les lignes suivantes à corriger et cliquer en bas sur Fix Checked

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.156.4.234:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

redemarres
vois ensuite si tu retrouves internet

si c'est le cas, supprimer combofix et le refaire en installant la fameuse console
dans le cas contraire, dis le, attendre d'autres instructions

mamalouise

combofix est en train de tourner, mais il m'affiche encore le msg d'erreur : Impossible de lister correctement la partition d'amorcage (Boot),
Comment je dois procéder pour supprimer les proxy ?
C'est normal que le dossier "connexion réseau" soit completement vide ?

Réponse 22 / 54

moment de grace Messages postés 29042 Date d'inscription Statut Contributeur sécurité Dernière intervention 2 274

Comment je dois procéder pour supprimer les proxy ?

en fixant les lignes indiquées en gras

C'est normal que le dossier "connexion réseau" soit completement vide

non ce qui explique que tu n'aies pas internet

il va falloir envisager une réparation à partir du cd windows

essaies ceci (sans grosses convictions)

Télécharge Zeb Restore
http://telechargement.zebulon.fr/zeb-restore.html
Zeb-Restore est un petit utilitaire de restauration de clés de la base de registre. Le but du programme n'est pas de restaurer l'ensemble du système mais uniquement les points les plus souvent touchés afin de solutionner différents problèmes qui peuvent revenir de façon récurrente.

Voici les éléments qui peuvent être restaurés : coche les lignes en gras
- RegEdit : réactive l'accès à RegEdit
- Clés RUN : réactive le lancement de programmes par clés RunXXX
- Bouton Arrêter : rétablit le bouton Arrêter
- Windows Update : rétablit la fonction Windows Update
- Gestionnaire des tâches : réactive le gestionnaire des tâches
- Panneau de configuration : réactive le Panneau de configuration
- Ajout/Suppression de programmes : restaure la fonction Ajout-Suppression de programmes
- Policies : remet en place des éléments désactivés par "Policies"
- Bureau : réactive le Bureau
- Réparation IE : répare Internet Exploreur (pages de recherche)
- Extension des fichiers : répare les extensions des fichiers .exe .bat .reg. Pif.cmd.scr .com
- Sites de confiance et sensibles : efface le contenu de ces zones (à utiliser si vous êtes infecté par des malwares)
- Préfixes et Protocoles Internet : restore les clés des protocoles Internet (ZoneMap etc.)
- Réinitialiser Fichier Hosts : réinitialise le fichier Hosts

mamalouise

Y'a pas de gras, quelles lignes je dois cocher ?
j'ai enlevé les proxis ;)

Réponse 23 / 54

moment de grace Messages postés 29042 Date d'inscription Statut Contributeur sécurité Dernière intervention 2 274

Cherches et cliques sur C:\Documents and Settings\Mathias.PORTABLE\Bureau\Mathias.exe
Au menu principal, choisir do a scan only, puis cocher la case devant les lignes suivantes à corriger et cliquer en bas sur Fix Checked

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.156.4.234:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

redemarres

mamalouise

Ca c'est fait, c'est pour zeb restore que je sais pas quelles lignes cocher...

Réponse 24 / 54

moment de grace Messages postés 29042 Date d'inscription Statut Contributeur sécurité Dernière intervention 2 274

- Réparation IE : répare Internet Exploreur (pages de recherche)

mamalouise

Ca n'a rien changé :'( ... N'importe quel CD windows peut etre utilisé ou il faut vraiment celui qui a été installé sur mon Pc ?
Merci de te donner du mal pour m'aider à résoudre ce pb ;)

Réponse 25 / 54

moment de grace Messages postés 29042 Date d'inscription Statut Contributeur sécurité Dernière intervention 2 274

celui qui correspond à ton exploitation (XP familiale)

Réponse 26 / 54

moment de grace Messages postés 29042 Date d'inscription Statut Contributeur sécurité Dernière intervention 2 274

en attendant, on ne t'oublie pas, j'ai du monde qui oeuvre pour toi...

je te tiendrai au courant

Mamalouise

C'est super merci! J'ai des pistes pr le cd, je te tiens au courant des que je l'ai. Bon we!

Réponse 27 / 54

moment de grace Messages postés 29042 Date d'inscription Statut Contributeur sécurité Dernière intervention 2 274

• Télécharge seaf.exe de C__XX

http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe

• Double clique sur SEAF.exe ( clic droit et "Exécuter en tant qu'administrateur" pour Vista)

• Tape atapi.sys dans cette fenêtre blanche et "lancer la recherche"

• Patiente pendant la recherche.

• Copie/colle le rapport qui va s'ouvrir dans ta prochaine réponse.

un tuto ici pour t'aider

https://forum.pcastuces.com/default.asp

......................

ensuite même opération avec ce fichier là userinit.exe

Réponse 28 / 54

googleman

et pourquoi tu ne remplaces pas atapi.sys avec avec son fichier doublon ? fais une recherche
de atapi.sys , remplace le pourri par une copie. si tu connais ComboFix que tu as fais utiliser
tu devrais connaitre les switchs pour copier un fichier ?

Réponse 29 / 54

moment de grace Messages postés 29042 Date d'inscription Statut Contributeur sécurité Dernière intervention 2 274

googleman

fais une recherche de atapi.sys

à ton avis quel est le but du post 51 ?

mamalouise

Je le trouve ou userinit.exe ?

Réponse 30 / 54

moment de grace Messages postés 29042 Date d'inscription Statut Contributeur sécurité Dernière intervention 2 274

relis le post 51

c'est SEAF qui s'occupe de faire la recherche

mamalouise

1. ========================= SEAF 1.0.0.7 - C_XX
2.
3. Commencé à: 17:12:07 le 06/02/2010
4.
5. Valeur(s) recherchée(s):
6.
7. atapi.sys
8.
9.
10. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
11.
12. "c:\WINDOWS\system32\drivers\atapi.sys" [ ----N---- | 96512 ]
13. TC: 05/08/2004,14:00:00 | TM: 13/04/2008,19:40:30 | DA: 06/02/2010,17:03:34
14.
15. =========================
16.
17. "c:\WINDOWS\ServicePackFiles\i386\atapi.sys" [ ----N---- | 96512 ]
18. TC: 13/04/2008,19:40:30 | TM: 13/04/2008,19:40:30 | DA: 03/02/2010,21:04:50
19.
20. =========================
21.
22. "c:\WINDOWS\ERDNT\cache\atapi.sys" [ ----A---- | 96512 ]
23. TC: 01/02/2010,01:11:31 | TM: 13/04/2008,19:40:30 | DA: 04/02/2010,21:28:38
24.
25. =========================
26.
27. "c:\WINDOWS\$NtServicePackUninstall$\atapi.sys" [ ----C---- | 95360 ]
28. TC: 24/12/2008,00:44:21 | TM: 05/08/2004,14:00:00 | DA: 03/02/2010,21:09:47
29.
30. =========================
31.
32. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
33.
34. Aucun dossier trouvé
35.
36. =========================
37.
38. Fin à: 17:14:46 le 06/02/2010 ( E.O.F )

Réponse 31 / 54

moment de grace Messages postés 29042 Date d'inscription Statut Contributeur sécurité Dernière intervention 2 274

vu

même opération en tapant userinit.exe

mamalouise

1. ========================= SEAF 1.0.0.7 - C_XX
2.
3. Commencé à: 17:21:43 le 06/02/2010
4.
5. Valeur(s) recherchée(s):
6.
7. userinit.exe
8.
9.
10. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
11.
12. "c:\WINDOWS\system32\userinit.exe" [ ----A---- | 61952 ]
13. TC: 05/08/2004,14:00:00 | TM: 21/01/2010,00:15:30 | DA: 06/02/2010,17:03:32
14.
15. =========================
16.
17. "c:\WINDOWS\ServicePackFiles\i386\userinit.exe" [ ----N---- | 26624 ]
18. TC: 14/04/2008,03:34:26 | TM: 14/04/2008,03:34:26 | DA: 04/02/2010,21:28:55
19.
20. =========================
21.
22. "c:\WINDOWS\$NtServicePackUninstall$\userinit.exe" [ ----C---- | 25088 ]
23. TC: 24/12/2008,00:44:21 | TM: 05/08/2004,14:00:00 | DA: 04/02/2010,21:28:55
24.
25. =========================
26.
27. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
28.
29. Aucun dossier trouvé
30.
31. =========================
32.
33. Fin à: 17:22:06 le 06/02/2010 ( E.O.F )

Réponse 32 / 54

moment de grace Messages postés 29042 Date d'inscription Statut Contributeur sécurité Dernière intervention 2 274

vu

l'opération suivante est plus délicate et je ne te la posterai qu'en présence d'un helpeur confirmé qui suit ton sujet à ma demande...

je te tiens au courant

mamalouise

Super !!
Demain je devrais avoir 1 CD de windows ! J'espere que c'est pas trop un casse-tete pour vous ;) Merci encore de votre aide...

Réponse 33 / 54

moment de grace Messages postés 29042 Date d'inscription Statut Contributeur sécurité Dernière intervention 2 274

en attendant la suite, pour cette question

C'est normal que le dossier "connexion réseau" soit completement vide

regardes ici (merci malekal)

https://support.microsoft.com/en-us/help/254631

mamalouise

Ok, je nage un peu pour "Vérification que les ressources de périphérique sont correctes"... je sais rien au sujet de ma carte réseau et des utilitaires... (j'ai aucun CD ici, je sais c'est pas malin, mais je suis venue avec le strict minimum)
et puis je suis allée voir dans gestionnaire des périfériques, et le dossier est vide... Normal ?
Après je peux pas non plus m'occuper du "Démarrage du service Plug and Play", parce que j'ai pas "Outils d'administration" dans "Programme". Normal ? Ca peut etre ailleur ?
Pour info, j'ai pas de son qd je lis une video sur mon ordi, il detecte les DVD mais ne peut pas les lire, il ne detecte pas ma clé usb qd je la branche, word et excel ne fonctionnent pas, je peux pas lire les mp3... Alors soit c'est un pb commun, soit le malware a bien attaqué le system... je commence a me sentir dépassée...
Que dos-je faire ?

Réponse 34 / 54

moment de grace Messages postés 29042 Date d'inscription Statut Contributeur sécurité Dernière intervention 2 274

on ne t'oublie pas...j'ai relancé ton sujet ailleurs...

Réponse 35 / 54

moment de grace Messages postés 29042 Date d'inscription Statut Contributeur sécurité Dernière intervention 2 274

• Enregistres ce fichier sur le bureau :
http://sd-2.archive-host.com/membres/up/135518691112296573/CFScript.txt

• Désactive tes logiciels de protection
• Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe
comme ceci :http://img155.imageshack.us/img155/4837/cfscriptop0.gif
• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici → C:\ComboFix.txt

mamalouise

ComboFix 10-01-31.03 - Mathias 09/02/2010 22:24:59.4.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1022.741 [GMT 1:00]
Lancé depuis: c:\documents and settings\Mathias.PORTABLE\Bureau\MATH.exe
Commutateurs utilisés :: c:\documents and settings\Mathias.PORTABLE\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
- Mode FONCTIONNALITES REDUITES -
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
--------------- FCopy ---------------

c:\windows\system32\stu2.exe --> c:\windows\system32\userinit.exe
c:\windows\ServicePackFiles\i386\atapi.sys --> c:\windows\system32\drivers\atapi.sys
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-01-09 au 2010-02-09 ))))))))))))))))))))))))))))))))))))
.

2010-02-06 16:11 . 2010-02-06 16:22 -------- d-----w- c:\program files\SEAF
2010-02-04 20:14 . 2010-02-04 20:15 -------- d-----w- C:\MATH
2010-02-02 19:19 . 2010-02-02 19:19 -------- d-----w- c:\documents and settings\Mathias.PORTABLE\Application Data\Malwarebytes
2010-02-02 19:19 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-02-02 19:18 . 2010-02-02 19:18 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-02-02 19:18 . 2010-02-02 19:19 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-02-02 19:18 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-02-02 19:09 . 2010-02-02 19:16 -------- d-----w- C:\ToolBar SD
2010-02-02 19:02 . 2010-02-02 19:02 14364 ----a-w- C:\UsbFix_Upload_Me_MARION.zip
2010-02-02 18:47 . 2010-02-02 19:02 -------- d-----w- C:\UsbFix
2010-01-31 23:09 . 2010-01-31 23:09 -------- d-----w- C:\rsit
2010-01-31 20:07 . 2010-01-31 20:07 -------- d-----w- c:\documents and settings\Mathias.PORTABLE\Application Data\Yahoo!
2010-01-31 20:07 . 2010-01-31 20:07 -------- d-----w- c:\documents and settings\All Users\Application Data\Yahoo! Companion
2010-01-31 20:06 . 2010-01-31 20:07 -------- d-----w- c:\program files\CCleaner
2010-01-22 18:53 . 2010-01-22 18:53 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2010-01-21 20:15 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-01-21 20:15 . 2009-07-28 14:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-01-21 20:15 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2010-01-21 20:15 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2010-01-21 20:15 . 2010-01-21 20:15 -------- d-----w- c:\program files\Avira
2010-01-21 20:12 . 2010-02-02 19:19 -------- d-----w- c:\documents and settings\All Users\Bureau
2010-01-21 19:44 . 2010-02-06 18:24 -------- d-s---w- c:\documents and settings\All Users\Documents
2010-01-21 19:34 . 2010-01-31 23:41 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-01-20 23:15 . 2010-01-20 23:15 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2010-01-20 23:15 . 2008-04-14 02:34 26624 ------w- c:\windows\system32\stu2.exe
2010-01-20 20:03 . 2010-01-20 20:03 -------- d-----w- c:\documents and settings\All Users\Modèles
2010-01-20 15:47 . 2010-01-21 20:12 -------- d-----w- c:\documents and settings\All Users
2010-01-20 15:47 . 2010-01-20 15:47 -------- d-----w- c:\documents and settings\All Users\Menu Démarrer
2010-01-14 00:50 . 2009-11-21 15:58 471552 -c----w- c:\windows\system32\dllcache\aclayers.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-31 20:07 . 2007-06-12 09:54 -------- d-----w- c:\program files\Yahoo!
2010-01-21 19:46 . 2009-03-26 13:06 -------- d-----w- c:\program files\Microsoft Silverlight
2009-12-22 23:16 . 2008-07-24 13:54 -------- d-----w- c:\documents and settings\Mathias.PORTABLE\Application Data\dvdcss
2009-12-22 22:40 . 2008-10-12 09:06 -------- d-----w- c:\documents and settings\Mathias.PORTABLE\Application Data\Skype
2009-12-22 18:43 . 2008-10-12 09:08 -------- d-----w- c:\documents and settings\Mathias.PORTABLE\Application Data\skypePM
2009-12-21 19:07 . 2004-08-05 13:00 916480 ------w- c:\windows\system32\wininet.dll
2009-12-20 17:14 . 2009-12-20 17:07 -------- d-----w- c:\program files\Videoload Manager
2009-12-20 17:13 . 2007-08-09 20:35 -------- d-----w- c:\program files\Windows Media Connect 2
2009-12-20 17:08 . 2009-12-20 17:08 -------- d-----w- c:\program files\Fichiers communs\fluxDVD
2009-12-20 17:08 . 2009-12-20 17:08 -------- d-----w- c:\program files\Fichiers communs\mpDRM
2009-12-20 17:06 . 2009-12-20 17:05 13187344 ----a-w- C:\Videoload_Manager_2.0.2171.exe
2009-12-11 23:57 . 2004-08-05 13:00 84964 ----a-w- c:\windows\system32\perfc00C.dat
2009-12-11 23:57 . 2004-08-05 13:00 510980 ----a-w- c:\windows\system32\perfh00C.dat
2009-11-21 15:58 . 2004-08-05 13:00 471552 ----a-w- c:\windows\AppPatch\aclayers.dll
2009-11-20 21:36 . 2009-11-20 21:36 34 ----a-w- c:\windows\system32\BD2030.DAT
2009-08-09 18:25 . 2009-08-09 18:25 3267000 ----a-w- c:\program files\free-create-burn-iso_free_create-burn_iso_2.0_anglais_186590.exe
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS

[HKLM\~\startupfolder\C:^Documents and Settings^Mathias.PORTABLE^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.2.lnk]
path=c:\documents and settings\Mathias.PORTABLE\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.2.lnk
backup=c:\windows\pss\OpenOffice.org 2.2.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^Mathias.PORTABLE^Menu Démarrer^Programmes^Démarrage^WinMySQLadmin.lnk]
path=c:\documents and settings\Mathias.PORTABLE\Menu Démarrer\Programmes\Démarrage\WinMySQLadmin.lnk
backup=c:\windows\pss\WinMySQLadmin.lnkStartup

[HKLM\~\startupfolder\^NTUSER.DAT]
path=\NTUSER.DAT
backup=c:\windows\pss\NTUSER.DATCommon Startup

[HKLM\~\startupfolder\^ntuser.dat.LOG]
path=\ntuser.dat.LOG
backup=c:\windows\pss\ntuser.dat.LOGCommon Startup

[HKLM\~\startupfolder\^ntuser.ini]
path=\ntuser.ini
backup=c:\windows\pss\ntuser.iniCommon Startup

[HKLM\~\startupfolder\^RavMonLog]
path=\RavMonLog
backup=c:\windows\pss\RavMonLogCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
2007-03-16 09:45 63712 ----a-w- c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-01-11 20:16 39792 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe_ID0EYTHM]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
2005-09-27 19:05 344064 ----a-w- c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
2009-03-02 11:08 209153 ----a-w- c:\program files\Avira\AntiVir Desktop\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2005-09-25 17:11 94208 ----a-w- c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cpqset]
2005-08-01 12:26 233534 ----a-w- c:\program files\HPQ\Default Settings\Cpqset.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2008-04-14 02:33 15360 ------w- c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2005-02-16 21:11 49152 ----a-w- c:\program files\Hp\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-09-21 14:36 305440 ----a-w- c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LifeCam]
2007-05-17 21:45 279912 ----a-w- c:\program files\Microsoft LifeCam\LifeExp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate]
2005-06-08 12:44 196608 ----a-w- c:\program files\Logitech\Video\ManifestEngine.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
2005-06-08 13:24 458752 ----a-w- c:\program files\Logitech\Video\ISStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
2005-06-08 13:14 217088 ----a-w- c:\program files\Logitech\Video\LogiTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMSX]
2005-07-19 15:32 221184 ----a-w- c:\windows\system32\LVCOMSX.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2005-09-25 17:11 155648 -c--a-w- c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-09-04 23:54 417792 ----a-w- c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-07-25 03:23 149280 ----a-w- c:\program files\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2005-06-19 20:50 729178 ----a-w- c:\program files\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VX3000]
2007-04-10 21:46 709992 ----a-r- c:\windows\vVX3000.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"xmlprov"=3 (0x3)
"WZCSVC"=2 (0x2)
"WudfSvc"=2 (0x2)
"wuauserv"=2 (0x2)
"WMPNetworkSvc"=3 (0x3)
"WmiApSrv"=3 (0x3)
"WmdmPmSN"=3 (0x3)
"WLSetupSvc"=3 (0x3)
"winmgmt"=2 (0x2)
"WebClient"=2 (0x2)
"W32Time"=2 (0x2)
"VSS"=3 (0x3)
"usnjsvc"=3 (0x3)
"UPS"=3 (0x3)
"upnphost"=3 (0x3)
"TrkWks"=2 (0x2)
"Themes"=2 (0x2)
"TermService"=3 (0x3)
"TapiSrv"=3 (0x3)
"SysmonLog"=3 (0x3)
"SwPrv"=3 (0x3)
"stisvc"=2 (0x2)
"SSDPSRV"=3 (0x3)
"srservice"=2 (0x2)
"Spooler"=2 (0x2)
"ShellHWDetection"=2 (0x2)
"SharedAccess"=2 (0x2)
"SENS"=2 (0x2)
"seclogon"=2 (0x2)
"Schedule"=2 (0x2)
"SCardSvr"=3 (0x3)
"SamSs"=2 (0x2)
"RSVP"=3 (0x3)
"RDSessMgr"=3 (0x3)
"RasMan"=3 (0x3)
"RasAuto"=3 (0x3)
"ProtectedStorage"=2 (0x2)
"PolicyAgent"=2 (0x2)
"PlugPlay"=2 (0x2)
"ose"=3 (0x3)
"O&O Defrag"=2 (0x2)
"NtmsSvc"=3 (0x3)
"NtLmSsp"=3 (0x3)
"Nla"=3 (0x3)
"Netman"=3 (0x3)
"Netlogon"=3 (0x3)
"napagent"=3 (0x3)
"MySql"=2 (0x2)
"MSIServer"=3 (0x3)
"MSDTC"=3 (0x3)
"MSCamSvc"=2 (0x2)
"mnmsrvc"=3 (0x3)
"MDM"=2 (0x2)
"Macromedia Licensing Service"=3 (0x3)
"LmHosts"=2 (0x2)
"lanmanworkstation"=2 (0x2)
"lanmanserver"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)
"iPod Service"=3 (0x3)
"ImapiService"=3 (0x3)
"idsvc"=3 (0x3)
"HTTPFilter"=3 (0x3)
"hkmsvc"=3 (0x3)
"HidServ"=2 (0x2)
"helpsvc"=2 (0x2)
"FontCache3.0.0.0"=3 (0x3)
"FLEXnet Licensing Service"=3 (0x3)
"FastUserSwitchingCompatibility"=3 (0x3)
"EventSystem"=3 (0x3)
"Eventlog"=2 (0x2)
"ERSvc"=2 (0x2)
"EapHost"=3 (0x3)
"Dot3svc"=3 (0x3)
"Dnscache"=2 (0x2)
"dmserver"=3 (0x3)
"dmadmin"=3 (0x3)
"Dhcp"=2 (0x2)
"CryptSvc"=2 (0x2)
"COMSysApp"=3 (0x3)
"clr_optimization_v2.0.50727_32"=3 (0x3)
"CiSvc"=3 (0x3)
"Browser"=2 (0x2)
"Bonjour Service"=2 (0x2)
"BITS"=3 (0x3)
"AudioSrv"=2 (0x2)
"Ati HotKey Poller"=2 (0x2)
"aspnet_state"=3 (0x3)
"ASKUpgrade"=2 (0x2)
"AppMgmt"=3 (0x3)
"Apple Mobile Device"=2 (0x2)
"AntiVirService"=2 (0x2)
"AntiVirSchedulerService"=2 (0x2)
"ALG"=3 (0x3)
"Adobe Version Cue CS3"=3 (0x3)
"Adobe LM Service"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Fichiers communs\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Microsoft LifeCam\\LifeCam.exe"=
"c:\\Program Files\\Microsoft LifeCam\\LifeExp.exe"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"16186:TCP"= 16186:TCP:NortonAV
"12075:TCP"= 12075:TCP:NortonAV
"17643:TCP"= 17643:TCP:NortonAV
"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server

R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [22/08/2005 14:06 231424]
S4 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [21/01/2010 21:15 108289]
.
Contenu du dossier 'Tâches planifiées'

2009-12-15 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Examen supplémentaire -------
.
mWindow Title =
IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\program files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Handler: fluxhttp - {8E2D00A0-82C6-4821-90BC-07F290841BB6} - c:\program files\Fichiers communs\fluxDVD\Lib\XEB\xebnavigation.ax
Handler: fluxhttp\0x00000007 - {8E2D00A0-82C6-4821-90BC-07F290841BB6} - c:\program files\Fichiers communs\fluxDVD\Lib\XEB\xebnavigation.ax
FF - ProfilePath - c:\documents and settings\Mathias.PORTABLE\Application Data\Mozilla\Firefox\Profiles\hg416hs9.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.google.com
FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=
FF - prefs.js: network.proxy.http - 127.0.0.1
FF - prefs.js: network.proxy.http_port - 445
FF - prefs.js: network.proxy.type - 1
FF - plugin: c:\documents and settings\Mathias.PORTABLE\Local Settings\Application Data\Yahoo!\BrowserPlus\2.4.21\Plugins\npybrowserplus_2.4.21.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NPAPIX.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NPFluxBrowserHelper.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NPMPDRM.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NPWMDRMWrapper.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-09 22:28
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySql]
"ImagePath"="H:/mysql/bin/mysqld-nt.exe"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySql]
"ImagePath"="H:/mysql/bin/mysqld-nt.exe"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•9~*]
"C040110900063D11C8EF10054038389C"="C?\\windows\\system32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG08.00.00.01WORKSTATION"="C257592D8707F366351413084C752DEC3D93181E1590CCCF10E3A307C1B3D1E3C18F4CD3A174D5378C314C3DCFA21CEE3AD8CF389293AAF687BC57425839750429C12F92371816E459CDEC908BF81B23F3ED81989600DBED27CAE1993A036AE33267B17A3D35881D33410CD324A8B40B822951771416C32EA97E0E4A4C7A0D925731E8EBAA87209FF597A9AEC2D8973EC41246E1070769418C7E0CE6FA81DBADD6004D1FFA3AF5444110A49E15A313665B64C9386CFA77489224EE55B36AFAEA34EABA1EADEEC8717A1EC4F1C996A042A91229B0C60EBCF441FCAD4FE97FB312B7BCF2C847BA76A64AE9B2FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74C8EDD5E5BE2F6E667A6171C11EC38DE3D5D575E7D6A3B9808FEBC9E127BECC74CAF3159DC81E38CB3E8DAC58F81C6D2C460586819CCD5391975637B13DF5F07462927F9183313F06503824F47C74EAD5651E3D3CC8BFC610FA62615F80804C57D3A12F8EEE347BC800EDEA55DB3AF9960E7C93E4796CEC9EB98BA7264AD8BCC12157F5702D460721AE08C9408BA2CF1E441D7E37B3A0F51BACDBFDB1E10D5943741FB08945A80C7B12529DD2665C74DC74D5FF20052C087E91A560B97828B4C82951AF3905B8F2826DB5AB6B652C971D34F338B0DD2AF31CCA6A22FE2ED1654F1C1F1F7FED43731BB55C5C7E0313FDA35DDAD4582C16547976F50EB35CAA24363471EE19257E8B69A3A19AD6C4877397FE72B2ADF39B5F5E5460DD7EBAA23E19A7CBB779C06563E5004827A46F0876FA52A0B364D67B51D375009FD05AFCFAD3F0AEEF0179B76034C033632FE98461583B9325E140EBCD2EB05F9DC239021D85C6D5D781DE18473E358EB4E4C3F51F5D3FD8A87A0046A5ECBB09BE88D1BD547E0F8B2AF6E3A80314F7C5F3B06FB0912B9B2000A07B39E3C0176A808AEABEF1421531C2A6F192D132AB7505B2AF58F9BB9E80336FB9B7C9D19C8E5969537358DD375CDF02686112574AB0282D86CCE7BBE8209CCD9CD71E687F196E0F444313316ADFD7E419E78A314C93CFA57AE72CC94B889051E6F2730A20E84AC25EDB03BE41CE6C20F91718351584A000FA4695E6D960208EA3D11C6A48EFEB01F65460F253847A205A3CF6857F3FCC38B456AB35EFB7273060362A92BB7D617836B474D1DCCE176B8AD2B2FB709A6EB7E20EB06619C61D959249510B921E07E13D85046F9F3FD89679BDDE565DA9F8FBDD3A93FD200D4C1F316665F36BAF77A3698BB7FC8A2649C706E06CD3B02443D411625007404DA248565D736EA427892782AAF34FE1EE5E1D8380A5F72E77276A4B2221B6C54846FE4ADAD6486CDC54087A00FCF73FED40447A30D43AECA8E2E2B04289744F865078DA2726E1BC4C3F4B5A28674DF34071E88EB"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(780)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(908)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Heure de fin: 2010-02-09 22:34:18 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-02-09 21:34
ComboFix2.txt 2010-02-04 20:29
ComboFix3.txt 2010-02-01 19:40
ComboFix4.txt 2010-02-01 00:12

Avant-CF: 1 415 897 088 octets libres
Après-CF: 1 383 612 416 octets libres

- - End Of File - - 3E9DB292ED06FC589B889BF4F76E4C61

Réponse 36 / 54

moment de grace Messages postés 29042 Date d'inscription Statut Contributeur sécurité Dernière intervention 2 274

la manoeuvre a fonctionné

reste internet à réparer

as tu récupérer le cd windows depuis ?

Réponse 37 / 54

dédétraqué Messages postés 4384 Date d'inscription Statut Contributeur sécurité Dernière intervention 286

Salut moment de grace

Je ne pense pas que cela est fonctionner, Combofix doit avoir bloqué la manœuvre si version obsolète.

- Mode FONCTIONNALITES REDUITES -

@++ :)

Réponse 38 / 54

moment de grace Messages postés 29042 Date d'inscription Statut Contributeur sécurité Dernière intervention 2 274

--------------- FCopy ---------------

c:\windows\system32\stu2.exe --> c:\windows\system32\userinit.exe
c:\windows\ServicePackFiles\i386\atapi.sys --> c:\windows\system32\drivers\atapi.sys

la copie a fonctionné non ?

Réponse 39 / 54

dédétraqué Messages postés 4384 Date d'inscription Statut Contributeur sécurité Dernière intervention 286

Salut moment de grace

Non je pense pas et en plus on aurais du voir les deux fichiers copier au début :

((((((((((((((((((((((((((((( Fichiers créés du 2010-01-09 au 2010-02-09 ))))))))))))))))))))))))))))))))))))
.

ICI
2010-02-06 16:11 . 2010-02-06 16:22 -------- d-----w- c:\program files\SEAF
2010-02-04 20:14 . 2010-02-04 20:15 -------- d-----w- C:\MATH

Le mieux serais de télécharger la dernière version de Combofix et de refaire le glisser/déposer.

@++ :)

Réponse 40 / 54

moment de grace Messages postés 29042 Date d'inscription Statut Contributeur sécurité Dernière intervention 2 274

t'es pas gentil toi..!
(sourire)

merci

mamalouise,

donc on supprime le combo renommé et tu le retélécharges sans le renommer

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

ensuite tu refais la manip indiquée post 70

https://forums.commentcamarche.net/forum/affich-16395637-malware-qui-bloque-tout?page=3#70

mamalouise

ComboFix 10-02-11.04 - Mathias 11/02/2010 23:34:39.5.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1022.736 [GMT 1:00]
Lancé depuis: g:\sauvetage ordi\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Mathias.PORTABLE\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\HTV
c:\program files\HTV\akv.cfg
c:\program files\HTV\HTV.chm
c:\program files\HTV\menu.gif
c:\program files\HTV\qs.html
c:\program files\HTV\tray.gif
c:\program files\HTV\Uninstall.exe

.
--------------- FCopy ---------------

c:\windows\system32\stu2.exe --> c:\windows\system32\userinit.exe
c:\windows\ServicePackFiles\i386\atapi.sys --> c:\windows\system32\drivers\atapi.sys
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-01-11 au 2010-02-11 ))))))))))))))))))))))))))))))))))))
.

2010-02-06 16:11 . 2010-02-06 16:22 -------- d-----w- c:\program files\SEAF
2010-02-04 20:14 . 2010-02-04 20:15 -------- d-----w- C:\MATH
2010-02-02 19:19 . 2010-02-02 19:19 -------- d-----w- c:\documents and settings\Mathias.PORTABLE\Application Data\Malwarebytes
2010-02-02 19:19 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-02-02 19:18 . 2010-02-02 19:18 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-02-02 19:18 . 2010-02-02 19:19 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-02-02 19:18 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-02-02 19:09 . 2010-02-02 19:16 -------- d-----w- C:\ToolBar SD
2010-02-02 19:02 . 2010-02-02 19:02 14364 ----a-w- C:\UsbFix_Upload_Me_MARION.zip
2010-02-02 18:47 . 2010-02-02 19:02 -------- d-----w- C:\UsbFix
2010-01-31 23:09 . 2010-01-31 23:09 -------- d-----w- C:\rsit
2010-01-31 20:07 . 2010-01-31 20:07 -------- d-----w- c:\documents and settings\Mathias.PORTABLE\Application Data\Yahoo!
2010-01-31 20:07 . 2010-01-31 20:07 -------- d-----w- c:\documents and settings\All Users\Application Data\Yahoo! Companion
2010-01-31 20:06 . 2010-01-31 20:07 -------- d-----w- c:\program files\CCleaner
2010-01-22 18:53 . 2010-01-22 18:53 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2010-01-21 20:15 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-01-21 20:15 . 2009-07-28 14:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-01-21 20:15 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2010-01-21 20:15 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2010-01-21 20:15 . 2010-01-21 20:15 -------- d-----w- c:\program files\Avira
2010-01-21 20:12 . 2010-02-02 19:19 -------- d-----w- c:\documents and settings\All Users\Bureau
2010-01-21 19:44 . 2010-02-06 18:24 -------- d-s---w- c:\documents and settings\All Users\Documents
2010-01-21 19:34 . 2010-01-31 23:41 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-01-20 23:15 . 2010-01-20 23:15 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2010-01-20 23:15 . 2008-04-14 02:34 26624 ------w- c:\windows\system32\stu2.exe
2010-01-20 20:03 . 2010-01-20 20:03 -------- d-----w- c:\documents and settings\All Users\Modèles
2010-01-20 15:47 . 2010-01-21 20:12 -------- d-----w- c:\documents and settings\All Users
2010-01-20 15:47 . 2010-01-20 15:47 -------- d-----w- c:\documents and settings\All Users\Menu Démarrer
2010-01-14 00:50 . 2009-11-21 15:58 471552 -c----w- c:\windows\system32\dllcache\aclayers.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-31 20:07 . 2007-06-12 09:54 -------- d-----w- c:\program files\Yahoo!
2010-01-21 19:46 . 2009-03-26 13:06 -------- d-----w- c:\program files\Microsoft Silverlight
2009-12-22 23:16 . 2008-07-24 13:54 -------- d-----w- c:\documents and settings\Mathias.PORTABLE\Application Data\dvdcss
2009-12-22 22:40 . 2008-10-12 09:06 -------- d-----w- c:\documents and settings\Mathias.PORTABLE\Application Data\Skype
2009-12-22 18:43 . 2008-10-12 09:08 -------- d-----w- c:\documents and settings\Mathias.PORTABLE\Application Data\skypePM
2009-12-21 19:07 . 2004-08-05 13:00 916480 ------w- c:\windows\system32\wininet.dll
2009-12-20 17:14 . 2009-12-20 17:07 -------- d-----w- c:\program files\Videoload Manager
2009-12-20 17:13 . 2007-08-09 20:35 -------- d-----w- c:\program files\Windows Media Connect 2
2009-12-20 17:08 . 2009-12-20 17:08 -------- d-----w- c:\program files\Fichiers communs\fluxDVD
2009-12-20 17:08 . 2009-12-20 17:08 -------- d-----w- c:\program files\Fichiers communs\mpDRM
2009-12-20 17:06 . 2009-12-20 17:05 13187344 ----a-w- C:\Videoload_Manager_2.0.2171.exe
2009-12-11 23:57 . 2004-08-05 13:00 84964 ----a-w- c:\windows\system32\perfc00C.dat
2009-12-11 23:57 . 2004-08-05 13:00 510980 ----a-w- c:\windows\system32\perfh00C.dat
2009-11-21 15:58 . 2004-08-05 13:00 471552 ----a-w- c:\windows\AppPatch\aclayers.dll
2009-11-20 21:36 . 2009-11-20 21:36 34 ----a-w- c:\windows\system32\BD2030.DAT
2009-08-09 18:25 . 2009-08-09 18:25 3267000 ----a-w- c:\program files\free-create-burn-iso_free_create-burn_iso_2.0_anglais_186590.exe
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS

[HKLM\~\startupfolder\C:^Documents and Settings^Mathias.PORTABLE^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.2.lnk]
path=c:\documents and settings\Mathias.PORTABLE\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.2.lnk
backup=c:\windows\pss\OpenOffice.org 2.2.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^Mathias.PORTABLE^Menu Démarrer^Programmes^Démarrage^WinMySQLadmin.lnk]
path=c:\documents and settings\Mathias.PORTABLE\Menu Démarrer\Programmes\Démarrage\WinMySQLadmin.lnk
backup=c:\windows\pss\WinMySQLadmin.lnkStartup

[HKLM\~\startupfolder\^NTUSER.DAT]
path=\NTUSER.DAT
backup=c:\windows\pss\NTUSER.DATCommon Startup

[HKLM\~\startupfolder\^ntuser.dat.LOG]
path=\ntuser.dat.LOG
backup=c:\windows\pss\ntuser.dat.LOGCommon Startup

[HKLM\~\startupfolder\^ntuser.ini]
path=\ntuser.ini
backup=c:\windows\pss\ntuser.iniCommon Startup

[HKLM\~\startupfolder\^RavMonLog]
path=\RavMonLog
backup=c:\windows\pss\RavMonLogCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
2007-03-16 09:45 63712 ----a-w- c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-01-11 20:16 39792 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe_ID0EYTHM]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
2005-09-27 19:05 344064 ----a-w- c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
2009-03-02 11:08 209153 ----a-w- c:\program files\Avira\AntiVir Desktop\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2005-09-25 17:11 94208 ----a-w- c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cpqset]
2005-08-01 12:26 233534 ----a-w- c:\program files\HPQ\Default Settings\Cpqset.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2008-04-14 02:33 15360 ------w- c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2005-02-16 21:11 49152 ----a-w- c:\program files\Hp\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-09-21 14:36 305440 ----a-w- c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LifeCam]
2007-05-17 21:45 279912 ----a-w- c:\program files\Microsoft LifeCam\LifeExp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate]
2005-06-08 12:44 196608 ----a-w- c:\program files\Logitech\Video\ManifestEngine.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
2005-06-08 13:24 458752 ----a-w- c:\program files\Logitech\Video\ISStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
2005-06-08 13:14 217088 ----a-w- c:\program files\Logitech\Video\LogiTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMSX]
2005-07-19 15:32 221184 ----a-w- c:\windows\system32\LVCOMSX.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2005-09-25 17:11 155648 -c--a-w- c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-09-04 23:54 417792 ----a-w- c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-07-25 03:23 149280 ----a-w- c:\program files\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2005-06-19 20:50 729178 ----a-w- c:\program files\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VX3000]
2007-04-10 21:46 709992 ----a-r- c:\windows\vVX3000.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"xmlprov"=3 (0x3)
"WZCSVC"=2 (0x2)
"WudfSvc"=2 (0x2)
"wuauserv"=2 (0x2)
"WMPNetworkSvc"=3 (0x3)
"WmiApSrv"=3 (0x3)
"WmdmPmSN"=3 (0x3)
"WLSetupSvc"=3 (0x3)
"winmgmt"=2 (0x2)
"WebClient"=2 (0x2)
"W32Time"=2 (0x2)
"VSS"=3 (0x3)
"usnjsvc"=3 (0x3)
"UPS"=3 (0x3)
"upnphost"=3 (0x3)
"TrkWks"=2 (0x2)
"Themes"=2 (0x2)
"TermService"=3 (0x3)
"TapiSrv"=3 (0x3)
"SysmonLog"=3 (0x3)
"SwPrv"=3 (0x3)
"stisvc"=2 (0x2)
"SSDPSRV"=3 (0x3)
"srservice"=2 (0x2)
"Spooler"=2 (0x2)
"ShellHWDetection"=2 (0x2)
"SharedAccess"=2 (0x2)
"SENS"=2 (0x2)
"seclogon"=2 (0x2)
"Schedule"=2 (0x2)
"SCardSvr"=3 (0x3)
"SamSs"=2 (0x2)
"RSVP"=3 (0x3)
"RDSessMgr"=3 (0x3)
"RasMan"=3 (0x3)
"RasAuto"=3 (0x3)
"ProtectedStorage"=2 (0x2)
"PolicyAgent"=2 (0x2)
"PlugPlay"=2 (0x2)
"ose"=3 (0x3)
"O&O Defrag"=2 (0x2)
"NtmsSvc"=3 (0x3)
"NtLmSsp"=3 (0x3)
"Nla"=3 (0x3)
"Netman"=3 (0x3)
"Netlogon"=3 (0x3)
"napagent"=3 (0x3)
"MySql"=2 (0x2)
"MSIServer"=3 (0x3)
"MSDTC"=3 (0x3)
"MSCamSvc"=2 (0x2)
"mnmsrvc"=3 (0x3)
"MDM"=2 (0x2)
"Macromedia Licensing Service"=3 (0x3)
"LmHosts"=2 (0x2)
"lanmanworkstation"=2 (0x2)
"lanmanserver"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)
"iPod Service"=3 (0x3)
"ImapiService"=3 (0x3)
"idsvc"=3 (0x3)
"HTTPFilter"=3 (0x3)
"hkmsvc"=3 (0x3)
"HidServ"=2 (0x2)
"helpsvc"=2 (0x2)
"FontCache3.0.0.0"=3 (0x3)
"FLEXnet Licensing Service"=3 (0x3)
"FastUserSwitchingCompatibility"=3 (0x3)
"EventSystem"=3 (0x3)
"Eventlog"=2 (0x2)
"ERSvc"=2 (0x2)
"EapHost"=3 (0x3)
"Dot3svc"=3 (0x3)
"Dnscache"=2 (0x2)
"dmserver"=3 (0x3)
"dmadmin"=3 (0x3)
"Dhcp"=2 (0x2)
"CryptSvc"=2 (0x2)
"COMSysApp"=3 (0x3)
"clr_optimization_v2.0.50727_32"=3 (0x3)
"CiSvc"=3 (0x3)
"Browser"=2 (0x2)
"Bonjour Service"=2 (0x2)
"BITS"=3 (0x3)
"AudioSrv"=2 (0x2)
"Ati HotKey Poller"=2 (0x2)
"aspnet_state"=3 (0x3)
"ASKUpgrade"=2 (0x2)
"AppMgmt"=3 (0x3)
"Apple Mobile Device"=2 (0x2)
"AntiVirService"=2 (0x2)
"AntiVirSchedulerService"=2 (0x2)
"ALG"=3 (0x3)
"Adobe Version Cue CS3"=3 (0x3)
"Adobe LM Service"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Fichiers communs\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Microsoft LifeCam\\LifeCam.exe"=
"c:\\Program Files\\Microsoft LifeCam\\LifeExp.exe"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"16186:TCP"= 16186:TCP:NortonAV
"12075:TCP"= 12075:TCP:NortonAV
"17643:TCP"= 17643:TCP:NortonAV
"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server

R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [22/08/2005 14:06 231424]
S4 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [21/01/2010 21:15 108289]
.
Contenu du dossier 'Tâches planifiées'

2009-12-15 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Examen supplémentaire -------
.
mWindow Title =
IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\program files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Handler: fluxhttp - {8E2D00A0-82C6-4821-90BC-07F290841BB6} - c:\program files\Fichiers communs\fluxDVD\Lib\XEB\xebnavigation.ax
Handler: fluxhttp\0x00000007 - {8E2D00A0-82C6-4821-90BC-07F290841BB6} - c:\program files\Fichiers communs\fluxDVD\Lib\XEB\xebnavigation.ax
FF - ProfilePath - c:\documents and settings\Mathias.PORTABLE\Application Data\Mozilla\Firefox\Profiles\hg416hs9.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.google.com
FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=
FF - prefs.js: network.proxy.http - 127.0.0.1
FF - prefs.js: network.proxy.http_port - 445
FF - prefs.js: network.proxy.type - 1
FF - plugin: c:\documents and settings\Mathias.PORTABLE\Local Settings\Application Data\Yahoo!\BrowserPlus\2.4.21\Plugins\npybrowserplus_2.4.21.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NPAPIX.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NPFluxBrowserHelper.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NPMPDRM.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NPWMDRMWrapper.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-11 23:41
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySql]
"ImagePath"="H:/mysql/bin/mysqld-nt.exe"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySql]
"ImagePath"="H:/mysql/bin/mysqld-nt.exe"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•9~*]
"C040110900063D11C8EF10054038389C"="C?\\windows\\system32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG08.00.00.01WORKSTATION"="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"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(780)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(380)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Heure de fin: 2010-02-11 23:46:57 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-02-11 22:46
ComboFix2.txt 2010-02-09 21:34
ComboFix3.txt 2010-02-04 20:29
ComboFix4.txt 2010-02-01 19:40
ComboFix5.txt 2010-02-11 22:33

Avant-CF: 1 388 695 552 octets libres
Après-CF: 1 350 610 944 octets libres

- - End Of File - - C7302549EDC057ABC9419D4ADD193672

Malware qui bloque tout

54 réponses

Votre réponse

Discussions similaires