Ordi infecté par spyware ou trojan

ahidyl19 -  
benurrr Messages postés 9766 Statut Contributeur sécurité -
Bonjour,

mon ordi est infecté par 1 spyware selon les messages d'alerte, mais sur 1 autre message il est précisé
TrojanSPM/LX, je ne peux plus ouvrir mes messageries
j'ai été infectée en regardant en sreaming sur tv duck

merci de votre aide
Configuration: Windows XP / Internet Explorer 7.0

30 réponses

  • 1
  • 2
Résumé de la discussion

La discussion porte sur une infection informatique signalée par un spyware et un Trojan identifié comme TrojanSPM/LX sur un système Windows XP avec Internet Explorer 7. Des solutions proposées impliquent l’utilisation d’outils de suppression tels que List_Kill'em et la restauration du MBR, puis des rapports générés à intégrer dans une réponse pour clarifier l’infection. D’autres méthodes évoquées incluent Combofix, UsbFix et HijackThis, avec des étapes associées comme l’exécution, la génération de rapports et l’analyse des résultats pour orienter le nettoyage. En parallèle, la discussion évoque des difficultés à obtenir des rapports complets et à interpréter les résultats après redémarrage, ce qui peut limiter la traçabilité de l’infection et la progression du nettoyage.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    salut

    1/ télécharger :
    http://siri.urz.free.fr/Fix/SmitfraudFix.exe

    2/ double clique sur smitfraudfix. puis sélectionne 1 et appuyer sur entrée afin de créer le rapport des infection présentes

    Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...)
    0
    1. ahidyl19
       
      salut benurrr,

      j'ai téléchargé le programme que tu m'as indiqué mais mon ordi refuse de l'ouvrir

      que faire ?

      cordialement
      0
  2. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    télécharge

    http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    a l'installation vérifie que mise a jour et lancer programme et scan complet sont bien cocher

    Une fois a jour, le programme va se lancer; clic sur l´onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression".

    A la fin du scan clique sur Afficher les résultats

    Vérifier si tout est coché et clic Supprimer la sélection

    S'il t'es demandé de redémarrer >>> clique sur "Yes"

    Et tu poste le rapport générer
    0
    1. ahidyl19
       
      Bonsoir benurrr,

      Je te remercie du fond du coeur de ton aide, j'ai suivi tes indications, je crois bien que malwarebytes a été efficace, mais j'ai encore besoin de tes lumières ; 1 fois que windows a redémarré je ne sais plus où retrouver le rapport généré pour le poster(et d'ailleurs je le poste où ? comment je dois procéder ?)

      encore mille merci de ton assistance
      0
  3. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    relance malwarbyte va dans l'onglet quarantaine supprime tout se qui s'y trouve après tu va dans l'onglet log&rapport tu y trouvera le rapport tu l'ouvre en haut tu clic sur édition puis sélectionner tous puis tu retourne dans édition tu fait copier tout et tu colle ici
    0
    1. ahidyl19
       
      Bonjour,

      voici le rapport :

      Malwarebytes' Anti-Malware 1.44
      Version de la base de données: 3760
      Windows 5.1.2600 Service Pack 3
      Internet Explorer 8.0.6001.18702

      19/02/2010 23:19:38
      mbam-log-2010-02-19 (23-19-38).txt

      Type de recherche: Examen complet (C:\|D:\|E:\|H:\|I:\|J:\|)
      Eléments examinés: 287995
      Temps écoulé: 10 hour(s), 20 minute(s), 35 second(s)

      Processus mémoire infecté(s): 1
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 4
      Valeur(s) du Registre infectée(s): 2
      Elément(s) de données du Registre infecté(s): 17
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 37

      Processus mémoire infecté(s):
      C:\WINDOWS\system32\smss32.exe (Trojan.FakeAlert) -> Unloaded process successfully.

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c9c42510-9b21-41c1-9dcd-8382a2d07c61} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
      HKEY_CLASSES_ROOT\CLSID\{c9c42510-9b21-41c1-9dcd-8382a2d07c61} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
      HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c9c42510-9b21-41c1-9dcd-8382a2d07c61} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

      Valeur(s) du Registre infectée(s):
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smss32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smss32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

      Elément(s) de données du Registre infecté(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.FakeAlert) -> Data: c:\windows\system32\winlogon32.exe -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.FakeAlert) -> Data: system32\winlogon32.exe -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\get-key-se10.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\buy-security-essentials.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\buy-security-essentials.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\is-software-download.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-soft-package.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-software-package.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\get-key-se10.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\winlogon32.exe) Good: (userinit.exe) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      C:\WINDOWS\system32\smss32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      C:\Documents and Settings\gilbert bottelli\Local Settings\Temp\TMP17.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
      C:\Documents and Settings\lydia\Local Settings\Temp\2A.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
      C:\Documents and Settings\lydia\Local Settings\Temp\5F.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
      C:\Documents and Settings\lydia\Local Settings\Temp\65.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
      C:\Documents and Settings\lydia\Local Settings\Temp\6D.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
      C:\Documents and Settings\lydia\Local Settings\Temp\71.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
      C:\Documents and Settings\lydia\Local Settings\Temp\77.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
      C:\Documents and Settings\lydia\Local Settings\Temp\7D.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
      C:\Documents and Settings\lydia\Local Settings\Temp\B3.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
      C:\Documents and Settings\lydia\Local Settings\Temp\BA.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
      C:\Documents and Settings\lydia\Local Settings\Temp\C2.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
      C:\Documents and Settings\lydia\Local Settings\Temp\C7.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
      C:\Documents and Settings\lydia\Local Settings\Temp\83.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
      C:\Documents and Settings\lydia\Local Settings\Temp\88.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
      C:\Documents and Settings\lydia\Local Settings\Temp\8E.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
      C:\Documents and Settings\lydia\Local Settings\Temp\95.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
      C:\Documents and Settings\lydia\Local Settings\Temp\9B.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
      C:\Documents and Settings\lydia\Local Settings\Temp\A0.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
      C:\Documents and Settings\lydia\Local Settings\Temp\A7.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
      C:\Documents and Settings\lydia\Local Settings\Temp\32.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
      C:\Documents and Settings\lydia\Local Settings\Temp\38.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
      C:\Documents and Settings\lydia\Local Settings\Temp\46.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
      C:\Documents and Settings\lydia\Local Settings\Temp\4B.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
      C:\Documents and Settings\lydia\Local Settings\Temp\53.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
      C:\Documents and Settings\lydia\Local Settings\Temp\59.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
      C:\Documents and Settings\lydia\Local Settings\Temp\CF.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
      C:\Documents and Settings\lydia\Local Settings\Temporary Internet Files\Content.IE5\3BKQT2JA\exe[1].exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\warnings.html (Malware.Trace) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\helpers32.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\ES15.exe (Rogue.SecurityEsssentials) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\Winlogon32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\41.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      C:\Documents and Settings\lydia\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
      C:\Documents and Settings\léo\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
      C:\Documents and Settings\LocalService\Application Data\fvgqad.dat (Malware.Trace) -> Quarantined and deleted successfully.
      C:\Documents and Settings\lydia\Menu Démarrer\Programmes\Démarrage\monnid32.exe (Trojan.Bredolab) -> Delete on reboot.

      Est-ce qu'il y a d'autres choses à faire ?

      merci +++
      0
  4. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    Salut :

    Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent(car il est detecté a tort comme infection)

    Télécharge et installe List&Kill'em et enregistre le sur ton bureau

    http://sd-1.archive-host.com/membres/up/829108531491024/List_Killem_Install.exe

    Branche clés usb , disques durs externes , mp3 , mp4 , etc..

    double clique ou ( clic droit "exécuter en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

    coche la case "créer une icône sur le bureau"

    une fois terminée , clic sur "terminer" et le programme se lancera seul

    choisis la langue puis choisis l'option 1 = Mode Recherche

    laisse travailler l'outil

    à l'apparition de la fenêtre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

    un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , mais ne le supprime pas pour l instant, le scan n'est pas fini.

    Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'écran "COMPLETED"
    0
    1. ahidyl19
       
      Bonsoir,

      J'ai suivi ta procédure mais y a pas de fenêtre blanche qui soit apparue et pas non plus de rapport catchme sur mon bureau à chaque fois ça me ferme ma session et je dois restaurer la dernière session peut être est-ce parce que je suis sous windows XP et non vista ou 7

      merci +++
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    bonjour,est compatible tout système autre chose doit le bloquer en ressayera après fait ceci avant

    Télécharge UsbFix de C_XX & Chiquitine29

    http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe

    (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

    • Double clic sur "UsbFix.exe" présent sur ton bureau ( clic droit "exécuter en tant qu'administrateur" pour Vista & 7 )

    • Choisis l'option F pour français et tape sur [entrée] .

    Choisis l'option 1 ( Recherche ) et tape sur [entrée] .

    • Laisse travailler l'outil.

    • Ensuite poste le rapport UsbFix.txt qui apparaitra.

    • Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    • Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
    0
    1. ahidyl19
       
      Bonjour,

      voici le rapport de UsbFix ;

      ############################## | UsbFix V6.097 |

      User : lydia (Administrateurs) # SN400817150002
      Update on 20/02/2010 by El Desaparecido , C_XX & Chimay8
      Start at: 11:37:32 | 21/02/2010
      Website : http://pagesperso-orange.fr/NosTools/index.html
      Contact : FindyKill.Contact@gmail.com

      AMD Athlon(tm) XP 3000+
      Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
      Internet Explorer 8.0.6001.18702
      Windows Firewall Status : Disabled
      AV : Trend Micro PC-cillin Internet Security 2007 15.00.1419 [ (!) Disabled | (!) Outdated ]
      FW : Trend Micro PC-cillin Internet Security[ (!) Disabled ]15

      C:\ -> Disque fixe local # 111,78 Go (15,73 Go free) [HDD] # NTFS
      D:\ -> Disque CD-ROM
      E:\ -> Disque CD-ROM
      G:\ -> Disque fixe local # 232,83 Go (110,8 Go free) [DISQUE EXTE] # FAT32
      I:\ -> Disque amovible
      J:\ -> Disque amovible

      ############################## | Processus actifs |

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\FsUsbExService.Exe
      C:\WINDOWS\System32\FTRTSVC.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
      C:\PROGRA~1\TRENDM~1\INTERN~2\PcCtlCom.exe
      C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
      C:\WINDOWS\system32\slserv.exe
      C:\WINDOWS\System32\svchost.exe
      C:\PROGRA~1\TRENDM~1\INTERN~2\Tmntsrv.exe
      C:\PROGRA~1\TRENDM~1\INTERN~2\TmPfw.exe
      C:\PROGRA~1\TRENDM~1\INTERN~2\tmproxy.exe
      C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
      C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
      C:\WINDOWS\System32\alg.exe
      C:\PROGRA~1\TRENDM~1\INTERN~2\PcScnSrv.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\QuickTime\qttask.exe
      C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      C:\Program Files\Windows Live\Messenger\msnmsgr.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Windows Live\Toolbar\wltuser.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\QuickTime\qttask.exe
      C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe
      C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
      C:\Documents and Settings\léo\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
      C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
      C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe

      ################## | Elements infectieux |


      ################## | Registre |

      [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

      ################## | Mountpoints2 |

      HKCU\..\..\Explorer\MountPoints2\{da2b7e66-d056-11dd-8975-000c762bc402}
      Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe winrun.vbs

      ################## | Vaccin |

      (!) Cet ordinateur n'est pas vacciné !

      ################## | ! Fin du rapport # UsbFix V6.097 ! |

      Y-a-t-il autre chose à faire ?

      merci+++
      0
  7. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    Suppression

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe......) susceptibles d'avoir été infectés sans les ouvrir

    (1) Double clic sur le raccourci UsbFix présent sur ton bureau

    (2) Choisi l option 2 ( Suppression )

    Ton bureau disparaitra et le pc redémarrera .

    Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

    Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

    Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
    0
    1. ahidyl19
       
      voilà j'ai fini de faire ce que tu m'indiquais, qu'est ce que je dois faire maintenant ?

      merci+++
      0
  8. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    tu peut poster le rapport stp C:\UsbFix.txt
    0
    1. ahidyl19
       
      Bonsoir,

      voici le rapport:


      ############################## | UsbFix V6.097 |

      User : lydia (Administrateurs) # SN400817150002
      Update on 20/02/2010 by El Desaparecido , C_XX & Chimay8
      Start at: 13:53:03 | 21/02/2010
      Website : http://pagesperso-orange.fr/NosTools/index.html
      Contact : FindyKill.Contact@gmail.com

      AMD Athlon(tm) XP 3000+
      Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
      Internet Explorer 8.0.6001.18702
      Windows Firewall Status : Disabled
      AV : Trend Micro PC-cillin Internet Security 2007 15.00.1419 [ (!) Disabled | (!) Outdated ]
      FW : Trend Micro PC-cillin Internet Security[ (!) Disabled ]15

      C:\ -> Disque fixe local # 111,78 Go (15,77 Go free) [HDD] # NTFS
      D:\ -> Disque CD-ROM
      E:\ -> Disque CD-ROM
      G:\ -> Disque fixe local # 232,83 Go (110,8 Go free) [DISQUE EXTE] # FAT32
      I:\ -> Disque amovible
      J:\ -> Disque amovible

      ############################## | Processus actifs |

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\logonui.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\FsUsbExService.Exe
      C:\WINDOWS\System32\FTRTSVC.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
      C:\PROGRA~1\TRENDM~1\INTERN~2\PcCtlCom.exe
      C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
      C:\WINDOWS\system32\slserv.exe
      C:\WINDOWS\System32\svchost.exe
      C:\PROGRA~1\TRENDM~1\INTERN~2\Tmntsrv.exe
      C:\PROGRA~1\TRENDM~1\INTERN~2\TmPfw.exe
      C:\PROGRA~1\TRENDM~1\INTERN~2\tmproxy.exe
      C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
      C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
      C:\PROGRA~1\TRENDM~1\INTERN~2\PcScnSrv.exe
      C:\WINDOWS\System32\alg.exe
      C:\WINDOWS\system32\userinit.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\Program Files\Google\Update\GoogleUpdate.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\wbem\wmiprvse.exe

      ################## | Elements infectieux |

      Supprimé ! C:\Recycler\S-1-5-21-2711630315-2761608486-3186017924-1003
      Supprimé ! C:\Recycler\S-1-5-21-555287061-906921051-3700588598-1005
      Supprimé ! C:\Recycler\S-1-5-21-555287061-906921051-3700588598-1006
      Supprimé ! C:\Recycler\S-1-5-21-555287061-906921051-3700588598-1007
      Supprimé ! C:\Recycler\S-1-5-21-555287061-906921051-3700588598-1008

      ################## | Registre |

      Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

      ################## | Mountpoints2 |

      Supprimé ! HKCU\...\Explorer\MountPoints2\{da2b7e66-d056-11dd-8975-000c762bc402}\Shell\AutoRun\Command

      ################## | Listing des fichiers présent |

      [07/05/2008 12:34|-rahs----|193] C:\BOOT.BAK
      [15/08/2009 20:30|-rahs----|291] C:\BOOT.INI
      [30/08/2002 12:00|-rahs----|4952] C:\Bootfont.bin
      [30/08/2002 12:00|-rahs----|249136] C:\cmldr
      [07/05/2008 12:26|--a------|6103] C:\DWNLOG.TXT
      [05/09/2001 22:00|--a------|1700352] C:\gdiplus.dll
      [?|?|?] C:\hiberfil.sys
      [07/05/2008 12:37|-rahs----|0] C:\IO.SYS
      [07/05/2008 12:39|--ah-----|455] C:\IPH.PH
      [20/02/2010 18:59|--a------|26376] C:\List'em.txt
      [07/05/2008 12:26|--a------|6103] C:\MCDLOG.TXT
      [07/05/2008 12:37|-rahs----|0] C:\MSDOS.SYS
      [08/05/2008 10:54|-rahs----|47564] C:\NTDETECT.COM
      [10/07/2009 21:59|-rahs----|252240] C:\ntldr
      [29/02/2004 16:44|--a------|52576] C:\orange.bmp
      [?|?|?] C:\pagefile.sys
      [07/05/2008 15:12|--a------|90] C:\Setup.log
      [07/05/2008 12:26|--a------|0] C:\UPDFLOP.TAG
      [21/02/2010 13:56|--a------|3771] C:\UsbFix.txt
      [22/02/2009 18:21|--a------|187] G:\Raccourci vers Lecteur CD.lnk
      [04/05/2008 21:14|--ahs----|60416] G:\Thumbs.db
      [05/05/2008 17:55|--a------|2538] G:\paramettre connexion.reg
      [30/08/2002 14:00|--a------|55808] G:\freecell.exe

      ################## | Vaccination |

      # C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
      # G:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

      ################## | Upload |

      Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_SN400817150002.zip : https://www.ionos.fr/?affiliate_id=77097
      Merci pour votre contribution .

      ################## | ! Fin du rapport # UsbFix V6.097 ! |

      y-a-t-il autre chose à faire ?

      merci+++
      0
  9. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    désinstalle List&Kill'em via le panneau ajout suppression de programme

    et tu le retelecharge tu le réinstalle et tu le lance en mode sans échec pour cela (tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter)
    0
    1. ahidyl19
       
      list_kill'em me demande de choisir 1 action ?

      1 : Mode recherche
      2 : Mode suppression
      3 : Desinstaller
      4 : Quitter
      5 : Reinit AppInt_dlls
      6 : Restore MBR
      0
  10. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    1
    0
    1. ahidyl19
       
      Bonjour,

      List_killem scanne jusqu'à 85% puis redemarre l'ordi mais ne fourni pas de rapport, que faire ?

      merci+++
      0
  11. dodge13680 Messages postés 1295 Date d'inscription   Statut Membre Dernière intervention   128
     
    télécharge a squared free fais un scan en detail et poste le rapport
    0
  12. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    regarde dans C: si y'a pas un rapport txt de List_killem

    si non fait le scan en mode sans échec pour cela (tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter)
    0
    1. ahidyl19
       
      OK je l'ai trouvé:

      AList'em by g3n-h@ckm@n 1.2.5.3

      User : lydia (Administrateurs)
      Update on 19/02/2010 by g3n-h@ckm@n ::::: 13.15
      Start at: 07:58:41 | 22/02/2010
      Contact : https://forums.commentcamarche.net/forum/virus-securite-7

      AMD Athlon(tm) XP 3000+
      Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
      Internet Explorer 8.0.6001.18702
      Windows Firewall Status : Disabled
      AV : Trend Micro PC-cillin Internet Security 2007 15.00.1419 [ (!) Disabled | (!) Outdated ]
      FW : Trend Micro PC-cillin Internet Security[ (!) Disabled ]15

      C:\ -> Disque fixe local | 111,78 Go (15,72 Go free) [HDD] | NTFS
      D:\ -> Disque CD-ROM
      E:\ -> Disque CD-ROM
      G:\ -> Disque fixe local | 232,83 Go (110,8 Go free) [DISQUE EXTE] | FAT32
      I:\ -> Disque amovible
      J:\ -> Disque amovible

      ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\savedump.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\QuickTime\qttask.exe
      C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      C:\Program Files\Windows Live\Messenger\msnmsgr.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\FsUsbExService.Exe
      C:\WINDOWS\System32\FTRTSVC.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
      C:\PROGRA~1\TRENDM~1\INTERN~2\PcCtlCom.exe
      C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
      C:\WINDOWS\system32\slserv.exe
      C:\WINDOWS\System32\svchost.exe
      C:\PROGRA~1\TRENDM~1\INTERN~2\Tmntsrv.exe
      C:\PROGRA~1\TRENDM~1\INTERN~2\TmPfw.exe
      C:\PROGRA~1\TRENDM~1\INTERN~2\tmproxy.exe
      C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
      C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\PROGRA~1\TRENDM~1\INTERN~2\PcScnSrv.exe
      C:\WINDOWS\System32\alg.exe
      C:\WINDOWS\System32\svchost.exe
      C:\PROGRA~1\TRENDM~1\INTERN~2\PccGuide.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Windows Live\Toolbar\wltuser.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\Program Files\List_Kill'em\List_Kill'em.scr
      C:\WINDOWS\system32\cmd.exe
      C:\Documents and Settings\lydia\Local Settings\Temp\11.tmp\pv.exe

      ======================
      Keys "Run"
      ======================
      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      msnmsgr REG_SZ "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
      ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe
      swg REG_SZ "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      QuickTime Task REG_SZ "C:\Program Files\QuickTime\qttask.exe" -atboottime
      TkBellExe REG_SZ "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
      NPSStartup REG_SZ
      KernelFaultCheck REG_EXPAND_SZ %systemroot%\system32\dumprep 0 -k

      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

      =====================
      Other Keys
      =====================
      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
      dontdisplaylastusername REG_DWORD 0 (0x0)
      legalnoticecaption REG_SZ
      legalnoticetext REG_SZ
      shutdownwithoutlogon REG_DWORD 1 (0x1)
      undockwithoutlogon REG_DWORD 1 (0x1)
      EnableLUA REG_DWORD 0 (0x0)

      ===============
      [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
      NoDriveTypeAutoRun REG_DWORD 255 (0xff)
      NoActiveDesktopChanges REG_DWORD 0 (0x0)
      NoSetActiveDesktop REG_DWORD 0 (0x0)
      NoDriveAutoRun REG_DWORD 255 (0xff)
      HonorAutoRunSetting REG_DWORD 0 (0x0)

      ===============
      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
      NoDriveAutoRun REG_DWORD 255 (0xff)
      NoCDBurning REG_DWORD 0 (0x0)
      HonorAutoRunSetting REG_DWORD 0 (0x0)
      NoActiveDesktopChanges REG_DWORD 0 (0x0)
      NoSetActiveDesktop REG_DWORD 0 (0x0)
      NoDriveTypeAutoRun REG_DWORD 255 (0xff)

      ===============
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
      AppInit_DLLS REG_SZ

      ===============
      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
      AutoRestartShell REG_DWORD 1 (0x1)
      DefaultDomainName REG_SZ SN400817150002
      DefaultUserName REG_SZ lydia
      LegalNoticeCaption REG_SZ
      LegalNoticeText REG_SZ
      PowerdownAfterShutdown REG_SZ 0
      ReportBootOk REG_SZ 1
      Shell REG_SZ explorer.exe
      ShutdownWithoutLogon REG_SZ 0
      System REG_SZ
      VmApplet REG_SZ rundll32 shell32,Control_RunDLL "sysdm.cpl"
      SfcQuota REG_DWORD -1 (0xffffffff)
      allocatecdroms REG_SZ 0
      allocatedasd REG_SZ 0
      allocatefloppies REG_SZ 0
      cachedlogonscount REG_SZ 10
      forceunlocklogon REG_DWORD 0 (0x0)
      passwordexpirywarning REG_DWORD 14 (0xe)
      scremoveoption REG_SZ 0
      AllowMultipleTSSessions REG_DWORD 1 (0x1)
      UIHost REG_EXPAND_SZ logonui.exe
      LogonType REG_DWORD 1 (0x1)
      Background REG_SZ 0 0 0
      DebugServerCommand REG_SZ no
      SFCDisable REG_DWORD 0 (0x0)
      WinStationsDisabled REG_SZ 0
      HibernationPreviouslyEnabled REG_DWORD 1 (0x1)
      ShowLogonOptions REG_DWORD 1 (0x1)
      AltDefaultUserName REG_SZ lydia
      AltDefaultDomainName REG_SZ SN400817150002
      ChangePasswordUseKerberos REG_DWORD 1 (0x1)
      Userinit REG_SZ C:\WINDOWS\system32\userinit.exe,

      ===============
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\crypt32chain]
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cryptnet]
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cscdll]
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy]
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ScCertProp]
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Schedule]
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sclgntfy]
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\SensLogn]
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\termsrv]
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wlballoon]

      ===============
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
      {AEB6717E-7E19-11d0-97EE-00C04FD91972} REG_SZ

      ===============
      [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
      %windir%\system32\sessmgr.exe REG_SZ %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
      %windir%\Network Diagnostic\xpnetdiag.exe REG_SZ %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000
      C:\Program Files\Azureus\Azureus.exe REG_SZ C:\Program Files\Azureus\Azureus.exe:*:Enabled:Azureus
      C:\Program Files\eMule\emule.exe REG_SZ C:\Program Files\eMule\emule.exe:*:Enabled:eMule
      C:\Program Files\Real\RealPlayer\realplay.exe REG_SZ C:\Program Files\Real\RealPlayer\realplay.exe:*:Enabled:RealOne Player
      C:\Program Files\Fichiers communs\Nero\Nero Web\SetupX.exe REG_SZ C:\Program Files\Fichiers communs\Nero\Nero Web\SetupX.exe:*:Enabled:Nero ControlCenter
      C:\WINDOWS\system32\muzapp.exe REG_SZ C:\WINDOWS\system32\muzapp.exe:*:Enabled:MUZ AOD APP player
      C:\Program Files\Internet Explorer\iexplore.exe REG_SZ C:\Program Files\Internet Explorer\iexplore.exe:*:Enabled:Internet Explorer
      C:\Program Files\Windows Live\Messenger\wlcsdk.exe REG_SZ C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call
      C:\Program Files\Windows Live\Messenger\msnmsgr.exe REG_SZ C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger
      C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe REG_SZ C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live FolderShare
      C:\Program Files\Samsung\Samsung New PC Studio\npsasvr.exe REG_SZ C:\Program Files\Samsung\Samsung New PC Studio\npsasvr.exe:*:Enabled:KTF MUSIC AoD Server
      C:\Program Files\Samsung\Samsung New PC Studio\npsvsvr.exe REG_SZ C:\Program Files\Samsung\Samsung New PC Studio\npsvsvr.exe:*:Enabled:KTF MUSIC VoD Server

      [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
      %windir%\system32\sessmgr.exe REG_SZ %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
      %windir%\Network Diagnostic\xpnetdiag.exe REG_SZ %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000
      C:\Program Files\Windows Live\Messenger\wlcsdk.exe REG_SZ C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call
      C:\Program Files\Windows Live\Messenger\msnmsgr.exe REG_SZ C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger
      C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe REG_SZ C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live FolderShare

      ===============
      ActivX controls
      ===============
      HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\DirectAnimation Java Classes
      HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\Microsoft XML Parser for Java
      HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{166B1BCA-3F9C-11CF-8075-444553540000}
      HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{88764F69-3831-4EC1-B40B-FF21D8381345}
      HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{8AD9C840-044E-11D1-B3E9-00805F499D93}
      HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}
      HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{A9F8D9EC-3D0A-4A60-BD82-FBD64BAD370D}
      HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
      HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
      HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{D27CDB6E-AE6D-11CF-96B8-444553540000}
      HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}

      ===============
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{1025D18F-425D-40BE-ABED-2399DBDC2F18}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{26923b43-4d38-484f-9b9e-de460746276c}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08B0E5C0-4FCB-11CF-AAA5-00401C608555}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10072CEC-8CC1-11D1-986E-00A0C955B42F}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{166B1BCA-3F9C-11CF-8075-444553540000}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{233C1507-6A77-46A4-9443-F871F945D258}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{283807B5-2C60-11D0-A31D-00AA00B92C03}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2A202491-F00D-11cf-87CC-0020AFEECF20}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{36f8ec70-c29a-11d1-b5c7-0000f8051515}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3af36230-a269-11d1-b5bf-0000f8051515}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3bf42070-b3b1-11d1-b5c5-0000f8051515}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{411EDCF7-755D-414E-A74B-3DCD6583F589}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4278c270-a269-11d1-b5bf-0000f8051515}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA848-CC51-11CF-AAFA-00AA00B6015C}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-AAFA-00AA00B6015C}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-AAFA-00AA00B6015F}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{45ea75a0-a269-11d1-b5bf-0000f8051515}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4d64f3ba-f112-4efe-a02e-96680859937c}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f216970-c90c-11d1-b5c7-0000f8051515}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f645220-306d-11d2-995d-00c04f98bbc9}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{549FEE1A-19C7-4409-B745-68B9D19484D1}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5945c046-1e7d-11d1-bc44-00c04fd912be}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5A8D6EE0-3E18-11D0-821E-444553540000}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5b7bf89d-d196-4c32-a303-a57b8ab7f18d}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-9948-00c04f98bbc9}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{630b1da0-b465-11d1-9948-00c04f98bbc9}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6fab99d0-bab8-11d1-994a-00c04f98bbc9}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{73FA19D0-2D75-11D2-995D-00C04F98BBC9}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4340}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4383}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8b15971b-5355-4c82-8c07-7e181ea07608}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9381D8F2-0288-11D0-9501-00AA00B911A5}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{94de52c8-2d59-4f1b-883e-79663d2d9a8c}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9A394342-4A68-4EBA-85A6-55B559F4E700}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9E9A340-D1F1-11D0-821E-444553540600}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CC2A9BA0-3BDD-11D0-821E-444553540000}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CDD7975E-60F8-41d5-8149-19E51D6F71D0}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D27CDB6E-AE6D-11cf-96B8-444553540000}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D3914927-53F1-445B-B905-ED494F5901B5}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{DAA94A2A-2A8D-4D3B-9DB8-56FBECED082D}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{dd772a76-bef3-44d7-8b39-502c8504c1f1}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{de5aed00-a4bf-11d1-9948-00c04f98bbc9}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E92B03AB-B707-11d2-9CBD-0000F87A369E}
      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{f15ee071-deb7-4cbb-951f-431c98338d8e}

      ==============
      BHO :
      ======
      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]
      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B}]
      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{9CB65201-89C4-402c-BA80-02D8C59F9B1D}]
      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{E15A8DC0-8516-42A1-81EA-DC94EC1ACF10}]
      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{FE063DB1-4EC0-403e-8DD8-394C54984B2C}]

      ================
      Internet Explorer :
      ================
      [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
      Start Page REG_SZ https://www.msn.com/fr-fr

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
      Start Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

      ========
      Services
      ========
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]

      Ndisuio : 0x3 ( OK = 3 )
      EapHost : 0x3 ( OK = 2 )
      SharedAccess : 0x2 ( OK = 2 )
      wuauserv : 0x2 ( OK = 2 )

      =========
      Atapi.sys
      =========

      %%%% HASHDEEP-1.0
      %%%% size,md5,sha256,filename
      ## Invoked from: C:\Documents and Settings\lydia\Local Settings\Temp\11.tmp
      ## C:\> hashdeep C:\WINDOWS\System32\Drivers\atapi.sys
      ##
      96512,9f3a2f5aa6875c72bf062c712cfa2674,b4df1d2c56a593c6b54de57395e3b51d288f547842893b32b0f59228a0cf70b9,C:\WINDOWS\System32\Drivers\atapi.sys


      Sources
      =======

      C:\WINDOWS\$NtServicePackUninstall$\atapi.sys
      C:\WINDOWS\$NtUninstallQ331060$\atapi.sys
      C:\WINDOWS\ServicePackFiles\i386\atapi.sys
      C:\WINDOWS\SoftwareDistribution\Download\70ccc3de7e94865059fbcf2f809c03b1\atapi.sys
      C:\WINDOWS\system32\drivers\atapi.sys

      Référence :
      ==========

      Win XP_32b : a64013e98426e1877cb653685c5c0009
      Win XP_SP2_32b : CDFE4411A69C224BD1D11B2DA92DAC51
      Win XP_SP3_32b : 9F3A2F5AA6875C72BF062C712CFA2674
      Vista_32b : e03e8c99d15d0381e02743c36afc7c6f
      Vista_SP1_32b : 2d9c903dc76a66813d350a562de40ed9
      Vista_SP2_32b : 1F05B78AB91C9075565A9D8A4B880BC4
      Vista_SP2_64b : 1898FAE8E07D97F2F6C2D5326C633FAC
      Windows 7_32b : 80C40F7FDFC376E4C5FEEC28B41C119E
      Windows 7_64b : 02062C0B390B7729EDC9E69C680A6F3C

      =======
      Drive :
      =======

      D‚fragmenteur de disque Windows
      Copyright (c) 2001 Microsoft Corp. et Executive Software International Inc.

      Rapport d'analyse
      112 Go total, 15,73 Go libre (14%), 16% fragment‚ (fragmentation du fichier 31%)

      Vous devriez d‚fragmenter ce volume.

      ¤¤¤¤¤¤¤¤¤¤ Files/folders :

      Present !! : C:\WINDOWS\002208_.tmp
      Present !! : C:\WINDOWS\005499_.tmp
      Present !! : C:\WINDOWS\System32\15724.exe
      Present !! : C:\WINDOWS\System32\18467.exe
      Present !! : C:\WINDOWS\System32\19169.exe
      Present !! : C:\WINDOWS\System32\26500.exe
      Present !! : C:\WINDOWS\System32\6334.exe
      Present !! : C:\WINDOWS\System32\fjhdyfhsn.bat"
      Present !! : C:\WINDOWS\System32\MabryObj.dll
      Present !! : C:\WINDOWS\System32\muzapp.exe"
      Present !! : C:\Documents and Settings\lydia\Application Data\GDIPFONTCACHEV1.DAT
      Present !! : C:\Documents and Settings\lydia\Application Data\GDIPFONTCACHEV1.DAT
      Present !! : C:\Documents and Settings\lydia\Local Settings\Temp\ieC.tmp
      Present !! : C:\Documents and Settings\lydia\Local Settings\Temp\ieD.tmp
      Present !! : C:\Documents and Settings\lydia\Local Settings\Temp\in1.tmp
      Present !! : C:\Documents and Settings\lydia\Local Settings\Temp\in2.tmp
      Present !! : C:\Documents and Settings\lydia\Local Settings\Temp\in3.tmp
      Present !! : C:\Documents and Settings\lydia\Local Settings\Temp\in4.tmp
      Present !! : C:\Documents and Settings\lydia\Local Settings\Temp\in5.tmp
      Present !! : C:\Documents and Settings\lydia\Local Settings\Temp\in6.tmp
      Present !! : C:\Documents and Settings\lydia\Local Settings\Temp\in7.tmp
      Present !! : C:\Documents and Settings\lydia\Local Settings\Temp\in8.tmp
      Present !! : C:\Documents and Settings\lydia\Local Settings\Temp\in9.tmp
      Present !! : C:\Documents and Settings\lydia\Local Settings\Temp\inA.tmp
      Present !! : C:\Documents and Settings\lydia\Local Settings\Temp\inB.tmp
      Present !! : C:\Documents and Settings\lydia\Local Settings\Temp\inC.tmp
      Present !! : C:\Documents and Settings\lydia\Local Settings\Temp\is3.tmp
      Present !! : C:\Documents and Settings\lydia\LOCAL Settings\Temp\eauninstall.exe
      Present !! : C:\Documents and Settings\lydia\LOCAL Settings\Temp\jre-6u13-windows-i586-p-iftw.exe
      Present !! : C:\Documents and Settings\lydia\LOCAL Settings\Temp\NHL07_uninst.exe
      Present !! : C:\Documents and Settings\lydia\LOCAL Settings\Temp\setup_wm.exe
      Present !! : C:\Documents and Settings\lydia\LOCAL Settings\Temp\UDPV264.exe
      Present !! : C:\Documents and Settings\lydia\LOCAL Settings\Temp\catchme.dll
      Present !! : C:\Documents and Settings\lydia\LOCAL Settings\Temp\swt-gdip-win32-3430.dll
      Present !! : C:\Documents and Settings\lydia\LOCAL Settings\Temp\swt-win32-3430.dll
      Present !! : C:\Documents and Settings\lydia\LOCAL Settings\Temp\tmp10C.tmp

      ¤¤¤¤¤¤¤¤¤¤ Keys :

      Present !! : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\{9CB65206-89C4-402c-BA80-02D8C59F9B1D}
      Present !! : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges
      Present !! : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop
      Present !! : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges
      Present !! : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop
      Present !! : HKEY_USERS\S-1-5-21-555287061-906921051-3700588598-1008\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges
      Present !! : HKEY_USERS\S-1-5-21-555287061-906921051-3700588598-1008\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop
      Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"
      Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"
      Present !! : "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9CB65201-89C4-402c-BA80-02D8C59F9B1D}"
      Present !! : "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FE063DB1-4EC0-403e-8DD8-394C54984B2C}"
      Present !! : HKCR\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179}
      Present !! : HKLM\Software\Classes\CLSID\{9AFB8248-617F-460D-9366-D71CDEDA3179}
      Present !! : HKLM\Software\Classes\CLSID\{FE063DB1-4EC0-403e-8DD8-394C54984B2C}
      Present !! : HKLM\Software\Classes\CLSID\{FE063DB9-4EC0-403e-8DD8-394C54984B2C}
      Present !! : HKLM\Software\Classes\CLSID\{FE063DBB-4EC0-403e-8DD8-394C54984B2C}

      ============

      merci+++
      0
  13. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    le rapport pas complet en va supposer que c'est du au rootkit mbr

    ▶ Relance List&Kill'em(soit en clic droit pour vista),avec le raccourci sur ton bureau.
    mais cette fois-ci :

    ▶ choisis l'option 2 = Mode Suppression

    laisse travailler l'outil.

    en fin de scan un rapport s'ouvre

    ▶ colle le contenu dans ta réponse

    ensuite :

    ▶ Relance List&Kill'em(soit en clic droit pour vista),avec le raccourci sur ton bureau.
    mais cette fois-ci :

    ▶ choisis l'option 6 = Restore MBR

    laisse travailler l'outil.

    en fin de scan un rapport s'ouvre

    ▶ colle le contenu dans ta réponse
    0
    1. ahidyl19
       
      Kill'em by g3n-h@ckm@n 1.2.5.3

      User : lydia (Administrateurs)
      Update on 19/02/2010 by g3n-h@ckm@n ::::: 13.15
      Start at: 10:41:39 | 22/02/2010
      Contact : https://forums.commentcamarche.net/forum/virus-securite-7

      AMD Athlon(tm) XP 3000+
      Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
      Internet Explorer 8.0.6001.18702
      Windows Firewall Status : Disabled
      AV : Trend Micro PC-cillin Internet Security 2007 15.00.1419 [ (!) Disabled | (!) Outdated ]
      FW : Trend Micro PC-cillin Internet Security[ (!) Disabled ]15

      C:\ -> Disque fixe local | 111,78 Go (15,67 Go free) [HDD] | NTFS
      D:\ -> Disque CD-ROM
      E:\ -> Disque CD-ROM
      G:\ -> Disque fixe local | 232,83 Go (110,8 Go free) [DISQUE EXTE] | FAT32
      I:\ -> Disque amovible
      J:\ -> Disque amovible


      ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\FsUsbExService.Exe
      C:\WINDOWS\System32\FTRTSVC.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
      C:\PROGRA~1\TRENDM~1\INTERN~2\PcCtlCom.exe
      C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
      C:\WINDOWS\system32\slserv.exe
      C:\WINDOWS\System32\svchost.exe
      C:\PROGRA~1\TRENDM~1\INTERN~2\Tmntsrv.exe
      C:\PROGRA~1\TRENDM~1\INTERN~2\TmPfw.exe
      C:\PROGRA~1\TRENDM~1\INTERN~2\tmproxy.exe
      C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
      C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
      C:\PROGRA~1\TRENDM~1\INTERN~2\PcScnSrv.exe
      C:\WINDOWS\System32\alg.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\QuickTime\qttask.exe
      C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\WINDOWS\system32\NOTEPAD.EXE
      C:\Program Files\Windows Live\Toolbar\wltuser.exe
      C:\Program Files\List_Kill'em\List_Kill'em.scr
      C:\WINDOWS\system32\cmd.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe
      C:\Documents and Settings\lydia\Local Settings\Temp\12.tmp\ERUNT.EXE
      C:\Documents and Settings\lydia\Local Settings\Temp\12.tmp\pv.exe

      Detections :
      ==========


      ¤¤¤¤¤¤¤¤¤¤ Files/folders :

      Quarantined & Deleted !! : C:\WINDOWS\002208_.tmp
      Quarantined & Deleted !! : C:\WINDOWS\005499_.tmp

      Quarantined & Deleted !! : C:\WINDOWS\system32\15724.exe
      Quarantined & Deleted !! : C:\WINDOWS\system32\18467.exe
      Quarantined & Deleted !! : C:\WINDOWS\system32\19169.exe
      Quarantined & Deleted !! : C:\WINDOWS\system32\26500.exe
      Quarantined & Deleted !! : C:\WINDOWS\system32\6334.exe
      Quarantined & Deleted !! : C:\WINDOWS\System32\fjhdyfhsn.bat
      Quarantined & Deleted !! : C:\WINDOWS\system32\MabryObj.dll
      Quarantined & Deleted !! : C:\WINDOWS\system32\muzapp.exe
      Quarantined & Deleted !! : C:\Documents and Settings\lydia\Application Data\GDIPFONTCACHEV1.DAT
      Quarantined & Deleted !! : C:\Documents and Settings\lydia\Local Settings\Temp\ieC.tmp
      Quarantined & Deleted !! : C:\Documents and Settings\lydia\Local Settings\Temp\ieD.tmp
      Quarantined & Deleted !! : C:\Documents and Settings\lydia\Local Settings\Temp\in1.tmp
      Quarantined & Deleted !! : C:\Documents and Settings\lydia\Local Settings\Temp\in2.tmp
      Quarantined & Deleted !! : C:\Documents and Settings\lydia\Local Settings\Temp\in3.tmp
      Quarantined & Deleted !! : C:\Documents and Settings\lydia\Local Settings\Temp\in4.tmp
      Quarantined & Deleted !! : C:\Documents and Settings\lydia\Local Settings\Temp\in5.tmp
      Quarantined & Deleted !! : C:\Documents and Settings\lydia\Local Settings\Temp\in6.tmp
      Quarantined & Deleted !! : C:\Documents and Settings\lydia\Local Settings\Temp\in7.tmp
      Quarantined & Deleted !! : C:\Documents and Settings\lydia\Local Settings\Temp\in8.tmp
      Quarantined & Deleted !! : C:\Documents and Settings\lydia\Local Settings\Temp\in9.tmp
      Quarantined & Deleted !! : C:\Documents and Settings\lydia\Local Settings\Temp\inA.tmp
      Quarantined & Deleted !! : C:\Documents and Settings\lydia\Local Settings\Temp\inB.tmp
      Quarantined & Deleted !! : C:\Documents and Settings\lydia\Local Settings\Temp\inC.tmp
      Quarantined & Deleted !! : C:\Documents and Settings\lydia\Local Settings\Temp\is3.tmp
      Quarantined & Deleted !! : C:\Documents and Settings\lydia\LOCAL Settings\Temp\eauninstall.exe
      Quarantined & Deleted !! : C:\Documents and Settings\lydia\LOCAL Settings\Temp\jre-6u13-windows-i586-p-iftw.exe
      Quarantined & Deleted !! : C:\Documents and Settings\lydia\LOCAL Settings\Temp\NHL07_uninst.exe
      Quarantined & Deleted !! : C:\Documents and Settings\lydia\LOCAL Settings\Temp\setup_wm.exe
      Quarantined & Deleted !! : C:\Documents and Settings\lydia\LOCAL Settings\Temp\UDPV264.exe
      Quarantined & Deleted !! : C:\Documents and Settings\lydia\LOCAL Settings\Temp\catchme.dll
      Quarantined & Deleted !! : C:\Documents and Settings\lydia\LOCAL Settings\Temp\swt-gdip-win32-3430.dll
      Quarantined & Deleted !! : C:\Documents and Settings\lydia\LOCAL Settings\Temp\swt-win32-3430.dll
      Quarantined & Deleted !! : C:\Documents and Settings\lydia\LOCAL Settings\Temp\tmp10C.tmp

      ==============
      host file OK !
      ==============

      ========
      Registry
      ========

      Deleted : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\{9CB65206-89C4-402c-BA80-02D8C59F9B1D}
      Deleted : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges
      Deleted : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop
      Deleted : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges
      Deleted : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop
      Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"
      Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"
      Deleted : "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9CB65201-89C4-402c-BA80-02D8C59F9B1D}"
      Deleted : "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FE063DB1-4EC0-403e-8DD8-394C54984B2C}"
      Deleted : HKCR\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179}
      Deleted : HKLM\Software\Classes\CLSID\{FE063DB1-4EC0-403e-8DD8-394C54984B2C}
      Deleted : HKLM\Software\Classes\CLSID\{FE063DB9-4EC0-403e-8DD8-394C54984B2C}
      Deleted : HKLM\Software\Classes\CLSID\{FE063DBB-4EC0-403e-8DD8-394C54984B2C}
      ========
      Services
      =========

      Ndisuio : Start = 3
      EapHost : Start = 2
      Ip6Fw : Start = 2
      SharedAccess : Start = 2
      wuauserv : Start = 2
      wscsvc : Start = 2

      ============
      Disk Cleaned
      ============

      =================
      anti-ver blaster : OK !!
      =================

      ================
      Prefetch cleaned
      ================



      ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

      J'ai restauré MBR, voilà tout ce qui apparaît:

      Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

      device: opened successfully
      user: MBR read successfully
      kernel: MBR read successfully
      user & kernel MBR OK

      merci+++
      0
  14. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    pour nettoyer les fix qui ont servit

    Ferme toutes les applications en cours, puis télécharge ToolsCleaner2 sur ton Bureau.
    http://pc-system.fr/

    Double clique sur ToolsCleaner2.exe >
    puis Recherche
    et sur Suppression
    Note : ton bureau va disparaître, c'est normal. S'il n'apparaît pas à la fin du scan, fais la manip suivante :

    CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
    Puis rends toi à l'onglet "Processus". Clique en haut à gauche sur Fichiers et choisis "Exécuter"

    Tape explorer.exe et valide. Cela fera re-apparaître le Bureau

    tu poste le rapport générer après suppression
    0
    1. ahydil19
       
      mon ordi me dit que Tools Cleaner2 exe n'est pas 1 application Win 32 valide ?
      0
  15. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    qu'a tu ouvert entretemps sa ressemble a du bagle en va verifier sa

    ------------------------------------------------------------­-------------------------------------------------------
    Telecharge FindyKill sur ton bureau :

    http://pagesperso-orange.fr/NosTools/Chiquitine29/Setup.exe
    --> Lance l installation avec les paramètres par defaut

    --> Double clic sur le raccourci FindyKill sur ton bureau

    --> Au menu principal,choisi l option 1 (Recherche)

    --> Poste le rapport FindyKill.txt

    Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
    0
    1. ahidyl19
       
      ############################## | FindyKill V5.037 |

      # User : lydia (Administrateurs) # SN400817150002
      # Update on 18/02/2010 by El Desaparecido
      # Start at: 12:32:34 | 22/02/2010
      # Website : http://pagesperso-orange.fr/NosTools/index.html
      # Contact : FindyKill.Contact@gmail.com

      # AMD Athlon(tm) XP 3000+
      # Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
      # Internet Explorer 8.0.6001.18702
      # Windows Firewall Status : Disabled
      # AV : Trend Micro PC-cillin Internet Security 2007 15.00.1419 [ (!) Disabled | (!) Outdated ]
      # FW : Trend Micro PC-cillin Internet Security[ (!) Disabled ]15

      # C:\ # Disque fixe local # 111,78 Go (15,71 Go free) [HDD] # NTFS
      # D:\ # Disque CD-ROM
      # E:\ # Disque CD-ROM
      # G:\ # Disque fixe local # 232,83 Go (110,8 Go free) [DISQUE EXTE] # FAT32
      # H:\ # Disque amovible
      # I:\ # Disque amovible
      # J:\ # Disque amovible

      ############################## | Processus actifs |

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\FsUsbExService.Exe
      C:\WINDOWS\System32\FTRTSVC.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
      C:\PROGRA~1\TRENDM~1\INTERN~2\PcCtlCom.exe
      C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
      C:\WINDOWS\system32\slserv.exe
      C:\WINDOWS\System32\svchost.exe
      C:\PROGRA~1\TRENDM~1\INTERN~2\Tmntsrv.exe
      C:\PROGRA~1\TRENDM~1\INTERN~2\TmPfw.exe
      C:\PROGRA~1\TRENDM~1\INTERN~2\tmproxy.exe
      C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
      C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
      C:\PROGRA~1\TRENDM~1\INTERN~2\PcScnSrv.exe
      C:\WINDOWS\System32\alg.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\QuickTime\qttask.exe
      C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Windows Live\Toolbar\wltuser.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe

      ################## | C: |


      ################## | C:\WINDOWS |


      ################## | C:\WINDOWS\Prefetch |


      ################## | C:\WINDOWS\system32 |


      ################## | C:\WINDOWS\system32\drivers |


      ################## | C:\Documents and Settings\lydia\Application Data |


      ################## | Temporary Internet Files |


      ################## | Registre |


      ################## | Etat |

      # Affichage des fichiers cachés : OK

      # Mode sans echec : OK

      # Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
      # EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
      # Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )
      # SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
      # wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
      # wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

      ################## | ! Fin du rapport # FindyKill V5.037 ! |
      0
  16. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    c'est bon içi

    Telecharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    -> Double clique combofix.exe.
    -> Tape sur la touche 1 (Yes) pour démarrer le scan.
    -> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    Avant d'utiliser ComboFix :

    -> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

    -> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    Une fois fait, sur ton bureau double-clic sur Combofix.exe.

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    -Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. risque de figer l'ordi

    - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    -> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    -> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    !\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordi (plantage complet)

    ::Si combofix detecte quelque chose et de demande a redémarrer tu accepte
    0
    1. ahidyl19
       
      Ok,

      mais j'ai sur la page de mon bureau un message d'alerte qui signale que Active Desktop a été desactivé, qu'est-ce que je dois en faire ?
      0
  17. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    tu la ferme pour l'instant
    0
    1. ahidyl19
       
      au secours Benurrr j'en peux plus de cet ordi , j'y passe 1 tps infini,
      j'ai suivi à la lettre toutes tes indications, Combofix a effectué 50 étapes qu'il a terminé, il a fermé et redémarré windows mais n'a édité aucun rapport, jai fait plusieurs fois des recherches ds C:, tjs infructueuses, j'ai l'icone de Combofix sur mon bureau mais rien de plus que le programme qui se relance si je clique dessus, qd je suis ds C: j'ai la aussi l'icone de combifix, et qd je clique ça m'ouvre la mme page que poste de travail

      merci+++
      0
  18. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    dans c: tu devrai avoir ceci Combofix.txt

    s'il a fait les 50 étape c'est qu'il a bien travailler de + tu me dit qu'il a redémarrer c'est qu'il a fait des suppression en première passe

    Télécharge ici :

    http://images.malwareremoval.com/random/RSIT.exe

    random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

    Double-clique sur RSIT.exe afin de lancer RSIT.

    Clique Continue à l'écran Disclaimer.

    Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

    Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

    Poste le contenu de log.txt (<<qui sera affiché)
    ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

    NB : Les rapports sont sauvegardés dans le dossier C:\rsit

    Tutoriel pour t'aider

    https://forum.pcastuces.com/randoms_system_information_tool_rsit-f31s31.htm
    0
    1. ahidyl19
       
      Logfile of random's system information tool 1.06 (written by random/random)
      Run by lydia at 2010-02-22 22:07:13
      Microsoft Windows XP Édition familiale Service Pack 3
      System drive C: has 16 GB (14%) free of 114 GB
      Total RAM: 1023 MB (29% free)

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 22:08:34, on 22/02/2010
      Platform: Windows XP SP3 (WinNT 5.01.2600)
      MSIE: Internet Explorer v8.00 (8.00.6001.18702)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\FsUsbExService.Exe
      C:\WINDOWS\System32\FTRTSVC.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
      C:\PROGRA~1\TRENDM~1\INTERN~2\PcCtlCom.exe
      C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
      C:\WINDOWS\system32\slserv.exe
      C:\WINDOWS\System32\svchost.exe
      C:\PROGRA~1\TRENDM~1\INTERN~2\Tmntsrv.exe
      C:\PROGRA~1\TRENDM~1\INTERN~2\TmPfw.exe
      C:\PROGRA~1\TRENDM~1\INTERN~2\tmproxy.exe
      C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\QuickTime\qttask.exe
      C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      C:\Program Files\Windows Live\Messenger\msnmsgr.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\WINDOWS\System32\wbem\wmiapsrv.exe
      C:\PROGRA~1\TRENDM~1\INTERN~2\PcScnSrv.exe
      C:\PROGRA~1\TRENDM~1\INTERN~2\PccGuide.exe
      C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
      C:\WINDOWS\system32\freecell.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Windows Live\Toolbar\wltuser.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Documents and Settings\lydia\Bureau\RSIT.exe
      C:\Program Files\trend micro\lydia.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.01net.com/telecharger/
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
      O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
      O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
      O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
      O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
      O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
      O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
      O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
      O3 - Toolbar: (no name) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - (no file)
      O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
      O3 - Toolbar: barre d'outils Orange - {D3028143-6145-4318-99D3-3EDCE54A95A9} - C:\Program Files\Orange\ToolbarFR\ToolbarContainer101000313.dll
      O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
      O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
      O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
      O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
      O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Orange\ToolbarFR\ToolbarContainer101000313.dll
      O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Orange\ToolbarFR\ToolbarContainer101000313.dll
      O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
      O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-2.0.cab
      O16 - DPF: {A9F8D9EC-3D0A-4A60-BD82-FBD64BAD370D} (DDRevision Class) - http://h20264.www2.hp.com/ediags/dd/install/HPDriverDiagnosticsxp2k.cab
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
      O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
      O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
      O23 - Service: FsUsbExService - Teruten - C:\WINDOWS\system32\FsUsbExService.Exe
      O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
      O23 - Service: Service Google Update (gupdate1c9d48b3a30ded6) (gupdate1c9d48b3a30ded6) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
      O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
      O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
      O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
      O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~2\PcCtlCom.exe
      O23 - Service: Protection Trend Micro contre les programmes espions (PcScnSrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~2\PcScnSrv.exe
      O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
      O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
      O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
      O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~2\Tmntsrv.exe
      O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~2\TmPfw.exe
      O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~2\tmproxy.exe
      O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
      O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
      O24 - Desktop Component 0: (no name) - file:///C:/Documents%20and%20Settings/flo/Mes%20documents/Mes%20images/divers/coeurs/EmoRomantic.gif
      0
  19. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    ****************************************************

    /!\ Manip crée spécialement pour cet utilisateur , ne pas reproduire chez soi ... /!\

    Ouvre le Bloc-Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)

    Copie ce texte ( en gras )d'une traite ( CTRL+C pour copier ) puis colle-le ( CTRL+V dans le bloc-note )

    File::
    C:\DOCUME~1\lydia\LOCALS~1\Temp\catchme.sys


    Sauvegarde ce fichier sur ton bureau sous le nom de CFScript.txt.

    Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

    http://img.photobucket.com/albums/v666/sUBs/CFScriptB-4.gif

    Cela va relancer Combofix,

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

    S'il n'y a pas de redémarrage, poste quand même les rapports.
    0
    1. ahidyl19
       
      Bonjour,

      Pb : la fenêtre bleue de Combofix s'ouvre, message "Combofix s'apprête à démarrer" mais ne démarre pas.

      autre fenêtre qui s'est ouverte Erreur de nom CFScript
      Etiez-vous en train d'exécuter CFScript ?
      Le nom CFScript semble être mal écrit

      OK

      j'ai cliqué sur OK ça m'a fermé cette fenetre plus celle de Combofix, j'ai reglissé CFScript ds Combofix les 2 fenetres se st réouvertes , cette fois j'ai fermé la fenetre erreur mais rien n'a progressé Combofix s'apprête tjs à demarrer,j'ai renouvelé la manip mais maintenant je ne sais plus quoi faire ?

      merci+++
      0
  20. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    salut, tu a mal ecrit CFScript en va faire autrement

    ---> Désactive ton antivirus le temps de la manipulation car OTM est détecté comme une infection à tort.

    ---> Télécharge OTM (OldTimer) sur ton Bureau :

    http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

    ---> Double-clique sur OTM.exe afin de le lancer.

    ---> Copie (Ctrl+C) le texte suivant ci-dessous :


    :processes
    explorer.exe

    :services
    catchme

    :files
    C:\DOCUME~1\lydia\LOCALS~1\Temp\catchme.sys

    :commands
    [purity]
    [emptytemp]
    [start explorer]
    [reboot]


    ---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

    ---> Clique maintenant sur le bouton MoveIt! puis ferme OTM

    Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
    Accepte en cliquant sur YES.

    ---> Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\
    Le nom du rapport correspond au moment de sa création : date_heure.log
    0
    1. ahidyl19
       
      j'ai desactivé antivirus et parefeu malgré ça je ne peux pas le télécharger faut-il aussi désactiver filtre de sites web ? est-ce que ça ne crée pas 1 risque trop grand ?
      0
  21. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    chez moi le lien est bon

    faut-il aussi désactiver filtre de sites web ?oui essaye comme sa

    est-ce que ça ne crée pas 1 risque trop grand ?non car c'est un site sure
    0
    1. ahidyl19
       
      All processes killed
      ========== PROCESSES ==========
      No active process named explorer.exe was found!
      ========== SERVICES/DRIVERS ==========
      Service catchme stopped successfully!
      Service catchme deleted successfully!
      ========== FILES ==========
      File/Folder C:\DOCUME~1\lydia\LOCALS~1\Temp\catchme.sys not found.
      ========== COMMANDS ==========

      [EMPTYTEMP]

      User: All Users

      User: Default User
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 32902 bytes

      User: flo
      ->Temp folder emptied: 702325212 bytes
      ->Temporary Internet Files folder emptied: 67337778 bytes
      ->Java cache emptied: 15048254 bytes
      ->FireFox cache emptied: 98086300 bytes

      User: gilbert bottelli

      User: LocalService
      ->Temp folder emptied: 66083 bytes
      ->Temporary Internet Files folder emptied: 10966631 bytes

      User: lydia
      ->Temp folder emptied: 17824 bytes
      ->Temporary Internet Files folder emptied: 135881071 bytes
      ->Java cache emptied: 7618319 bytes
      ->FireFox cache emptied: 97269520 bytes
      ->Google Chrome cache emptied: 6359331 bytes

      User: léo

      User: léo
      ->Temp folder emptied: 929132970 bytes
      ->Temporary Internet Files folder emptied: 164424794 bytes
      ->Java cache emptied: 13159225 bytes
      ->FireFox cache emptied: 90843826 bytes
      ->Google Chrome cache emptied: 6053089 bytes

      User: NetworkService
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 33170 bytes

      User: Propriétaire

      %systemdrive% .tmp files removed: 0 bytes
      %systemroot% .tmp files removed: 0 bytes
      %systemroot%\System32 .tmp files removed: 3072 bytes
      %systemroot%\System32\dllcache .tmp files removed: 0 bytes
      %systemroot%\System32\drivers .tmp files removed: 0 bytes
      Windows Temp folder emptied: 16384 bytes
      %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 23463438 bytes
      %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 34728 bytes
      RecycleBin emptied: 0 bytes

      Total Files Cleaned = 2 258,00 mb


      OTM by OldTimer - Version 3.1.9.0 log created on 02232010_130034

      Files moved on Reboot...
      File C:\Documents and Settings\flo\Local Settings\Temp\Répertoire temporaire 48 pour Apple's Top 100 Songs (Summer 2008) mp3, dance music, pop,RnB, radio edit..etc.zip\Mamma Mia! The Movie Soundtrack - 01 Amanda Seyfried; Ashley Lilley & Rachel Mcdowall - Honey Honey.mp3 not found!

      Registry entries deleted on Reboot...
      0
  • 1
  • 2