Rapport hjack

rachelita -  
 anthony5151 -
Bonjour,

Voici mon rapport Hijack, pouvez vous me dire s'il faut supprimer qq chose ?

Merci de votre aide

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:52:27, on 23/02/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16981)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - 4D25F926-B9FE-4682-BF72-8AB8210D6D75} - (no file)
R3 - URLSearchHook: (no name) - 00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {3563CD78-F9EF-4BAD-9E31-713F88183317} - C:\WINDOWS\system32\ddccy.dll (file missing)
O2 - BHO: {e329db1a-3392-3cc8-df34-9c09a4a3a8e7} - {7e8a3a4a-90c9-43fd-8cc3-2933a1bd923e} - C:\WINDOWS\system32\dkornisj.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - https://www.afternic.com/domains/drivecleaner.com
O16 - DPF: {210D0CBC-8B17-48D1-B294-1A338DD2EB3A} (VatCtrl Class) - http://inforad.dyndns.org/VatDec.cab
O16 - DPF: {361E6B79-4A69-4376-B0F2-3D1EBEE9D7E2} (RtspVaPgCtrl Class) - http://82.237.8.236/RtspVaPgDec.cab
O16 - DPF: {4A026B12-94F3-4D2F-A468-96AA55DE20A5} (NetCamPlayerWeb11g Control) - http://82.237.8.236/img/NetCamPlayerWeb11g.ocx
O16 - DPF: {511E58D4-DA5A-4B4B-A997-6F62DF424BC4} (VideoViewer1 Class) - http://tcdistrib.dyndns.org:9019/main/VideoViewerAx1.cab
O16 - DPF: {7876E4A5-78B7-4020-B08F-C960A1ED54C9} (WebWatch Class) - http://82.226.219.189/AL/WinWebPush.cab
O16 - DPF: {AA0FB75C-C50E-47B6-B7E0-3B9C3FAA8AC4} (CamImage Class) - http://192.168.1.100/Comm/IPCamControl.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = EOL.local
O17 - HKLM\Software\..\Telephony: DomainName = EOL.local
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/html - (no CLSID) - (no file)
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\
O20 - Winlogon Notify: ddccy - C:\WINDOWS\system32\ddccy.dll (file missing)
O20 - Winlogon Notify: vtutq - C:\WINDOWS\system32\vtutq.dll (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe

--
End of file - 5054 bytes
Configuration: Windows XP / Internet Explorer 7.0

38 réponses

  • 1
  • 2
Résumé de la discussion

Plusieurs éléments du rapport HijackThis indiquent la présence de restes d'injections publicitaires et de modules potentiellement malveillants liés à Yahoo! Toolbar, à des plugins Java et à des DLL manquantes. Des recommandations d'action prioritaires préconisent l'utilisation de RSIT pour diagnostiquer, puis MBAM pour la suppression, complétées par des outils spécifiques comme AD-Remover, Navilog et ComboFix selon les symptômes observés. Le fil aborde une possible infection par Navipromo/Magic Control et propose des procédures d'exécution séquencée des outils après désactivation temporaire des protections, afin d'obtenir des rapports propres et exploitables. Certaines interventions soulignent que certains éléments (dll manquantes, services, entrées Run) nécessitent une désinstallation ou une remise en état, et que les résultats doivent être partagés via des rapports complémentaires.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. ric025
     
    Salut.

    Des raisons qui t'ont poussées à passer cet outil ?

    Tu sembles infectée. Fais ceci stp :

    ▶ Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

    http://images.malwareremoval.com/random/RSIT.exe

    ▶ Double-clique sur RSIT.exe.

    ▶ Clique sur Continue à l'écran Disclaimer.

    ▶ Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

    ▶ Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

    ▶ A noter: Les rapports se trouvent également ici: C:\rsit.

    ++
    1
  2. My sql Messages postés 20 Date d'inscription   Statut Membre Dernière intervention   195
     
    R3 - URLSearchHook: (no name) - 4D25F926-B9FE-4682-BF72-8AB8210D6D75} - (no file)
    Il vaudrait mieux effacer cette inscription si aucun programme (connu) n’est mentionné dans le message
    d’erreur. Il vaudrait mieux effacer cette inscription si aucun programme (connu) n’est mentionné.

    O2 - BHO: (no name) - {3563CD78-F9EF-4BAD-9E31-713F88183317} - C:\WINDOWS\system32\ddccy.dll (file missing)
    Programme inconnu.
    Inscription superflue (car sans effet) qui peut donc être effacée !

    O2 - BHO: {e329db1a-3392-3cc8-df34-9c09a4a3a8e7} - {7e8a3a4a-90c9-43fd-8cc3-2933a1bd923e} - C:\WINDOWS\system32\dkornisj.dll (file missing)
    Programme inconnu.
    Inscription superflue (car sans effet) qui peut donc être effacée !

    O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - https://www.afternic.com/domains/drivecleaner.com
    Il vaut mieux effacer cette inscription ! Cette inscription est probablement méchante.

    O20 - Winlogon Notify: ddccy - C:\WINDOWS\system32\ddccy.dll (file missing)
    Inscription superflue (car sans effet) qui peut donc être effacée !

    O20 - Winlogon Notify: vtutq - C:\WINDOWS\system32\vtutq.dll (file missing)
    inscription superflue (car sans effet) qui peut donc être effacée !

    Traduit avec le robot d'hijackthis
    0
  3. rachelita
     
    merci à tous pour votre aide.

    Voici les 2 rapport

    Logfile of random's system information tool 1.06 (written by random/random)
    Run by poste2 at 2010-02-23 15:29:29
    Microsoft Windows XP Professionnel Service Pack 3
    System drive C: has 22 GB (29%) free of 76 GB
    Total RAM: 510 MB (38% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:29:31, on 23/02/2010
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16981)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\SYSTEM32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\mobsync.exe
    C:\Documents and Settings\Poste2\Local Settings\Temporary Internet Files\Content.IE5\B2INR9EX\RSIT[1].exe
    C:\Program Files\Trend Micro\HijackThis\poste2.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
    O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O16 - DPF: {210D0CBC-8B17-48D1-B294-1A338DD2EB3A} (VatCtrl Class) - http://inforad.dyndns.org/VatDec.cab
    O16 - DPF: {361E6B79-4A69-4376-B0F2-3D1EBEE9D7E2} (RtspVaPgCtrl Class) - http://82.237.8.236/RtspVaPgDec.cab
    O16 - DPF: {4A026B12-94F3-4D2F-A468-96AA55DE20A5} (NetCamPlayerWeb11g Control) - http://82.237.8.236/img/NetCamPlayerWeb11g.ocx
    O16 - DPF: {511E58D4-DA5A-4B4B-A997-6F62DF424BC4} (VideoViewer1 Class) - http://tcdistrib.dyndns.org:9019/main/VideoViewerAx1.cab
    O16 - DPF: {7876E4A5-78B7-4020-B08F-C960A1ED54C9} (WebWatch Class) - http://82.226.219.189/AL/WinWebPush.cab
    O16 - DPF: {AA0FB75C-C50E-47B6-B7E0-3B9C3FAA8AC4} (CamImage Class) - http://192.168.1.100/Comm/IPCamControl.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = EOL.local
    O17 - HKLM\Software\..\Telephony: DomainName = EOL.local
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O18 - Filter hijack: text/html - (no CLSID) - (no file)
    O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
    O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
    0
  4. ric025
     
    Re.

    Plusieurs choses, pour la plupart des restes. On va vérifier :

    ▶ Télécharge Malwarebytes Anti-Malware (MBAM): ---> Malwarebytes Anti-Malware <---

    ▶ Installe-le en vérifiant que la case de mise à jour soit bien cochée en fin d'installation.

    ▶ Après la mise à jour, lance-le et coche "Examen Rapide". Puis "Rechercher".

    ▶ Si MBAM trouve quelque chose: fais "Voir les résultats" puis "Supprimer la sélection".

    ▶ Poste le rapport généré.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. rachelita
     
    j'ai fait ce que tu m'as dit et voici le rapport :

    Malwarebytes' Anti-Malware 1.44
    Version de la base de données: 3780
    Windows 5.1.2600 Service Pack 3
    Internet Explorer 7.0.5730.13

    23/02/2010 16:42:33
    mbam-log-2010-02-23 (16-42-24).txt

    Type de recherche: Examen rapide
    Eléments examinés: 160504
    Temps écoulé: 26 minute(s), 34 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 23
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 2
    Fichier(s) infecté(s): 5

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00a6faf1-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18ea9-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18eab-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9ff05104-b030-46fc-94b8-81276e4e27df} (Adware.MyWebSearch) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{59c7fc09-1c83-4648-b3e6-003d2bbc7481} (Adware.MyWebSearch) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68af847f-6e91-45dd-9b68-d6a12c30e5d7} (Adware.MyWebSearch) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9170b96c-28d4-4626-8358-27e6caeef907} (Adware.MyWebSearch) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{d1a71fa0-ff48-48dd-9b6d-7a13a3e42127} (Adware.MyWebSearch) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{ddb1968e-ead6-40fd-8dae-ff14757f60c7} (Adware.MyWebSearch) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{f138d901-86f0-4383-99b6-9cdd406036da} (Adware.MyWebSearch) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{90b5a95a-afd5-4d11-b9bd-a69d53d22226} (Adware.Hotbar) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8109fd3d-d891-4f80-8339-50a4913ace6f} (Adware.Zango) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll (Adware.MyWebSearch) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\jkwslist (Malware.Trace) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Juan (Trojan.Vundo) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> No action taken.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    C:\Program Files\Fichiers communs\SystemDoctor 2006 (Rogue.SystemDoctor) -> No action taken.
    C:\Program Files\Winsudate (Adware.Gibmedia) -> No action taken.

    Fichier(s) infecté(s):
    C:\Program Files\Winsudate\gibidl.dll (Adware.Gibmedia) -> No action taken.
    C:\WINDOWS\system32\aijmjyia_nav.dat (Adware.NaviPromo) -> No action taken.
    C:\WINDOWS\system32\aijmjyia_navps.dat (Adware.NaviPromo) -> No action taken.
    C:\WINDOWS\cookies.ini (Malware.Trace) -> No action taken.
    C:\WINDOWS\pskt.ini (Trojan.Vundo) -> No action taken.
    0
  7. ric025
     
    Bonsoir.

    Ok ! :)

    -> No action taken.

    As-tu supprimé la sélection ensuite ?

    Si oui, peux-tu retrouver le rapport et le poster ? Tu ouvres MBAM, vas sur l'onglet "Rapports/Logs" et ouvres le dernier en date.

    Si non, relance MBAM et fais bien "Voir les résultats" puis "Supprimer la sélection".

    ======================

    J'attends déjà ça pour la suite.

    ++
    0
  8. rachelita
     
    Salut

    J'ai bien supprimé la sélection et voici le rapport:

    Malwarebytes' Anti-Malware 1.44
    Version de la base de données: 3780
    Windows 5.1.2600 Service Pack 3
    Internet Explorer 7.0.5730.13

    23/02/2010 16:44:11
    mbam-log-2010-02-23 (16-44-11).txt

    Type de recherche: Examen rapide
    Eléments examinés: 160504
    Temps écoulé: 26 minute(s), 34 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 23
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 2
    Fichier(s) infecté(s): 5

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00a6faf1-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18ea9-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18eab-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9ff05104-b030-46fc-94b8-81276e4e27df} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{59c7fc09-1c83-4648-b3e6-003d2bbc7481} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68af847f-6e91-45dd-9b68-d6a12c30e5d7} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9170b96c-28d4-4626-8358-27e6caeef907} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{d1a71fa0-ff48-48dd-9b6d-7a13a3e42127} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{ddb1968e-ead6-40fd-8dae-ff14757f60c7} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{f138d901-86f0-4383-99b6-9cdd406036da} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{90b5a95a-afd5-4d11-b9bd-a69d53d22226} (Adware.Hotbar) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8109fd3d-d891-4f80-8339-50a4913ace6f} (Adware.Zango) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\jkwslist (Malware.Trace) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Juan (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    C:\Program Files\Fichiers communs\SystemDoctor 2006 (Rogue.SystemDoctor) -> Quarantined and deleted successfully.
    C:\Program Files\Winsudate (Adware.Gibmedia) -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    C:\Program Files\Winsudate\gibidl.dll (Adware.Gibmedia) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\aijmjyia_nav.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\aijmjyia_navps.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.
    C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
    C:\WINDOWS\pskt.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
    0
  9. ric025
     
    Salut.

    Très bien, on va assurer avec les outils spécifiques :

    AD-Remover :

    * Sous Vista : ▶ Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

    * Clique sur Démarrer puis sur panneau de configuration
    * Double Clique sur l'icône "Comptes d'utilisateurs"
    * Clique ensuite sur désactiver et valide.
    * Redémarre le PC

    ▶ Télécharge et enregistre le fichier d installation sur ton bureau : ---> AD-REMOVER DE C_XX<---

    ▶ Ici, le ---<Tutoriel d'installation>--- si besoin.

    ▶ Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( le bureau )

    ▶ Ouvre le dossier Ad-remover présent sur ton bureau

    ▶ Double clique sur Ad-remover.bat.

    * Si Vista : clic droit sur AD-Remover et sélectionner "Exécuter en tant qu'administrateur"

    ▶ Au menu principal choisi l'option "L" et tape sur [entrée] .

    ▶ Laisse travailler l'outil et ne touche à rien ...

    ▶ Poste le rapport qui apparait à la fin.

    ( le rapport est sauvegardé aussi sous C:\Ad-report.log )

    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note :

    Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


    =================================

    Tu es infecté par Navipromo/ Magic Control:

    C'est un adware installé par les programmes suivants:
    
    * Funky Emoticons 
    * Games Attack
    * go-astro
    * GoRecord
    * HotTVPlayer / HotTVPlayer & Paris Hilton
    * Live-Player
    * MailSkinner
    * Messenger Skinner
    * Instant Access
    * InternetGameBox
    * Official Emule (Version d'Emule modifiée)
    * Original Solitaire
    * SuperSexPlayer
    * Speed Downloading
    * Sudoplanet
    * Webmediaplayer
    * Sur le site www.games-desktop.com (n'allez pas dessus!!)


    (N'aie plus aucun contact avec eux)

    Lien utile: http://www.malekal.com/Adware.Magic_Control.php

    Navilog 1 :

    ▶ Télécharge Navilog1 (de IL-MAFIOSO) et enregistre-le sur le Bureau.

    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

    ▶ Double-clique sur Navilog1.exe.
    (Si Vista, clique-droit >> Exécuter en tant qu'administrateur)

    ▶ Appuie sur F puis valide par Entrée.
    ▶ Appuie sur une touche de ton clavier à chaque fois que cela est demandé, tu arriveras au menu des options.
    ▶ Choisis l'option 1 et appuie sur la touche Entrée pour valider ton choix.
    ▶ Patiente le temps du scan. Il te sera peut-être demandé de redémarrer ton PC.
    ▶ Patiente jusqu'au message : "" Scan terminé le ..... ""
    ▶ Le rapport apparaît, poste-le dans ta prochaine réponse.

    A noter : Le rapport se trouve également ici : C:\cleannavi.txt

    ++
    0
  10. rachelita
     
    Ok c'est fait et voici le prmier rapport :
    ======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
    .
    Mis à jour par C_XX le 05.02.2010 à 17:34
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 11:12:04, 24/02/2010 | Mode Normal | Option: CLEAN
    Exécuté de: C:\Ad-Remover\
    Système d'exploitation: Microsoft® Windows XP™ Service Pack 3 v5.1.2600
    Nom du PC: POSTE-02 | Utilisateur actuel: poste2
    .
    ============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
    .

    C:\Program Files\Mozilla FireFox\Components\AskSearch.js
    C:\WINDOWS\pack.epk
    C:\DOCUME~1\ALLUSE~1\APPLIC~1\Trymedia

    (!) -- Fichiers temporaires supprimés.

    .
    HKCU\software\microsoft\internet explorer\searchscopes\{19F2B849-4ADE-4d4b-85F9-C31C643DBDE9}
    HKCU\software\microsoft\internet explorer\searchscopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
    HKLM\software\AskBarDis
    HKLM\Software\Classes\CLSID\{1A35C83D-5401-B8C9-8553-C1AEF285104B}
    HKLM\Software\Classes\CLSID\{FAF438ED-8384-AD1D-913E-5C3457FC14FC}
    HKLM\software\classes\EoRezoBHO.EoBho
    HKLM\software\classes\EoRezoBHO.EoBho.1
    HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
    HKLM\Software\Classes\TypeLib\{4509D3CC-B642-4745-B030-645B79522C6D}
    HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
    HKLM\software\classes\URLSearchHook.ToolbarURLSearchHook
    HKLM\software\classes\URLSearchHook.ToolbarURLSearchHook.1
    HKLM\software\ItsLabel
    HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A9EC7436-2E72-4ac7-A4AD-04E6F1E930C9}
    HKLM\software\microsoft\internet explorer\searchscopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
    HKLM\software\microsoft\shared tools\msconfig\startupreg\EoEngine
    HKLM\software\microsoft\shared tools\msconfig\startupreg\EoRss
    HKLM\software\Poker 770
    HKLM\software\Titan Poker
    .
    ============== Scan additionnel ==============
    .
    .
    * Internet Explorer Version 7.0.5730.13 *
    .
    [HKEY_CURRENT_USER\..\Internet Explorer\Main]
    .
    Do404Search: 01000000
    Local Page: C:\windows\system32\blank.htm
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    Use Custom Search URL: 0 (0x0)
    Enable Browser Extensions: yes
    SearchAssistant:
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    .
    [HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\windows\system32\blank.htm
    Start Page: hxxp://fr.msn.com/
    Use Custom Search URL: 0 (0x0)
    Search bar: hxxp://search.msn.com/spbasic.htm
    HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\main\Start Page
    .
    [HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    .
    ===================================
    .
    3215 Octet(s) - C:\Ad-Report-CLEAN[1].log
    .
    24 Fichier(s) - C:\DOCUME~1\Poste2\LOCALS~1\Temp
    8 Fichier(s) - C:\WINDOWS\Temp
    0 Fichier(s) - C:\WINDOWS\Prefetch
    .
    16 Fichier(s) - C:\Ad-Remover\BACKUP
    6 Fichier(s) - C:\Ad-Remover\QUARANTINE
    .
    Fin à: 11:16:12 | 24/02/2010 - CLEAN[1]
    .
    ============== E.O.F ==============
    .
    0
  11. rachelita
     
    ci dessous le rapport de Navilog

    Fix Navipromo version 4.0.6 commencé le 24/02/2010 11:21:11,23

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!

    Outil exécuté depuis C:\Program Files\navilog1

    Mise à jour le 03.01.2010 à 11h00 par IL-MAFIOSO

    Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
    X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) 4 CPU 3.00GHz )
    BIOS : Phoenix ROM BIOS PLUS Version 1.10 A07
    USER : poste2 ( Not Administrator ! )
    BOOT : Normal boot

    C:\ (Local Disk) - NTFS - Total:74 Go (Free:21 Go)
    D:\ (CD or DVD)
    S:\ (Network Disk) - NTFS - Total:39 Go (Free:24 Go)
    Y:\ (Network Disk) - NTFS - Total:39 Go (Free:24 Go)
    Z:\ (Network Disk) - NTFS - Total:39 Go (Free:24 Go)
    0
  12. rachelita
     
    J'ai une petite question additionnelle :

    Pourquoi Internet explorer me prend autant de ressources (122 700 Ko) dans "Procesus " du gestionnaire de tache ?
    0
  13. ric025
     
    Re.

    Pourquoi Internet explorer me prend autant de ressources (122 700 Ko) dans "Procesus " du gestionnaire de tache ?

    Cela me paraît correct ! ;)

    Pour Navilog, ok. La suite :

    UsbFix XP

    Option 1 : recherche

    ▶ Télécharge UsbFix de Chimay8 & C_XX & El Desaparecido
    ▶ Tutoriel de Recherche

    ▶ Lance l'installation avec les paramètres par défaut
    ▶ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir
    ▶ Double clique sur le raccourci UsbFix sur ton bureau
    ▶ Choisis l'option 1 (recherche)
    ▶ Laisse travailler l'outil
    ▶ Ensuite poste le rapport UsbFix.txt qui apparaîtra

    * Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

    * Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus


    ++

    =========================

    Comment va le pc ?

    +
    0
  14. rachelita
     
    Fix Navipromo version 4.0.6 commencé le 24/02/2010 11:39:31,34

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!

    Outil exécuté depuis C:\Program Files\navilog1

    Mise à jour le 03.01.2010 à 11h00 par IL-MAFIOSO

    Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
    X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) 4 CPU 3.00GHz )
    BIOS : Phoenix ROM BIOS PLUS Version 1.10 A07
    USER : poste2 ( Not Administrator ! )
    BOOT : Normal boot

    C:\ (Local Disk) - NTFS - Total:74 Go (Free:21 Go)
    D:\ (CD or DVD)
    S:\ (Network Disk) - NTFS - Total:39 Go (Free:24 Go)
    Y:\ (Network Disk) - NTFS - Total:39 Go (Free:24 Go)
    Z:\ (Network Disk) - NTFS - Total:39 Go (Free:24 Go)

    Recherche executée en mode normal

    [b]Aucune Infection Navipromo/Egdaccess trouvée/b

    C:\WINDOWS\system32\prqss.bak1 trouvé ! Infection Vundo possible non traitée par cet outil !
    C:\WINDOWS\system32\qqstv.bak1 trouvé ! Infection Vundo possible non traitée par cet outil !
    C:\WINDOWS\system32\qtutv.bak1 trouvé ! Infection Vundo possible non traitée par cet outil !
    C:\WINDOWS\system32\yccdd.bak1 trouvé ! Infection Vundo possible non traitée par cet outil !
    C:\WINDOWS\system32\prqss.bak2 trouvé ! Infection Vundo possible non traitée par cet outil !
    C:\WINDOWS\system32\qtutv.bak2 trouvé ! Infection Vundo possible non traitée par cet outil !
    C:\WINDOWS\system32\yccdd.bak2 trouvé ! Infection Vundo possible non traitée par cet outil !

    *** Scan terminé 24/02/2010 11:42:03,45 ***
    0
  15. rachelita
     
    Le rapport

    ############################## | UsbFix V6.097 |

    User : poste2 () # POSTE-02
    Update on 20/02/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 11:47:07 | 24/02/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Intel(R) Pentium(R) 4 CPU 3.00GHz
    Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
    Internet Explorer 7.0.5730.13
    Windows Firewall Status : Enabled

    C:\ -> Disque fixe local # 74,44 Go (21,27 Go free) # NTFS
    D:\ -> Disque CD-ROM
    S:\ -> Connexion réseau # 39,03 Go (24,67 Go free) [data] # NTFS
    Y:\ -> Connexion réseau # 39,03 Go (24,67 Go free) [data] # NTFS
    Z:\ -> Connexion réseau # 39,03 Go (24,67 Go free) [data] # NTFS

    ############################## | Processus actifs |

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\SYSTEM32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
    C:\Program Files\GecoMaes\gecomaes.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    ################## | Elements infectieux |

    S:\autorun.inf -> fichier appelé : "S:\RECYCLED\INFO.exe" ( Absent ! )
    S:\autorun.inf
    Y:\autorun.inf -> fichier appelé : "Y:\RECYCLED\INFO.exe" ( Absent ! )
    Y:\autorun.inf
    Y:\DATA

    ################## | Registre |

    ################## | Mountpoints2 |

    HKCU\..\..\Explorer\MountPoints2\{3f554229-eed7-11de-bab7-001320ad6d01}
    Shell\AutoRun\command =E:\InstallTomTomHOME.exe

    HKCU\..\..\Explorer\MountPoints2\{e95a0a0c-e0e9-11de-baa3-001320ad6d01}
    Shell\AutoRun\command =E:\
    Shell\explore\Command =E:\RECYCLED\INFO.exe
    Shell\open\Command =E:\RECYCLED\INFO.exe

    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné !

    ################## | ! Fin du rapport # UsbFix V6.097 ! |
    0
  16. rachelita
     
    à la question : comment va mon pc ?

    Ben ... beaucoup mieux mais parfois il bloque.

    Est ce que je peux apporter des améliorations ?

    Merci pour ton aide docteur ;-)
    0
  17. ric025
     
    Ok, on verra USBFix plus tard, fais ceci pour nettoyer l'infection Vundo :

    /!\ A l'attention de ceux qui passent sur ce sujet : L'outil qui suit ne doit pas être utilisé sans avis /!\

    /!\ Désactive tes protections résidentes (Antivirus, Antispywares, etc...) /!\


    Télécharge ComboFix (de sUBs) sur ton Bureau.

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    * Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
    * Il va te demander d'installer la console de récupération : ACCEPTE !.
    * Ne touche pas au pc durant le scan.
    * Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

    Pour t'aider : Un Tutoriel sur l'utilisation de ComboFix (à lire avant de le lancer)

    -->> https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    ++
    0
  18. rachelita
     
    ComboFix 10-02-23.04 - poste2 24/02/2010 12:57:06.1.1 - x86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.510.265 [GMT 1:00]
    Lancé depuis: c:\documents and settings\Poste2\Bureau\ComboFix.exe
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\cleanup.exe
    c:\documents and settings\Poste2\Application Data\Icones\icones_pa.ico
    C:\POSTE-02.txt
    c:\progra~1\FICHIE~1\{30F5D~1
    c:\progra~1\FICHIE~1\{70F5D~1
    c:\progra~1\FICHIE~1\{70F5D~2
    c:\windows\system32\abfdcf_d.dll
    c:\windows\system32\abxujdps.ini
    c:\windows\system32\agrmqduh.ini
    c:\windows\system32\alqeibpg.ini
    c:\windows\system32\anhttjao.ini
    c:\windows\system32\annrbfub.ini
    c:\windows\system32\anntvraq.ini
    c:\windows\system32\anvnyscr.ini
    c:\windows\system32\baocwiqd.ini
    c:\windows\system32\bbunuvnr.ini
    c:\windows\system32\berbqbby.ini
    c:\windows\system32\bgvhetgf.ini
    c:\windows\system32\bqjbtsjx.ini
    c:\windows\system32\buqubcni.ini
    c:\windows\system32\cfuifdpl.ini
    c:\windows\system32\ckokarjt.ini
    c:\windows\system32\csxcmebl.ini
    c:\windows\system32\cubkcgmk.ini
    c:\windows\system32\cyhchwrx.ini
    c:\windows\system32\dbiqmdkn.ini
    c:\windows\system32\diwrlquj.ini
    c:\windows\system32\djjaylnq.ini
    c:\windows\system32\dnhwdhbi.ini
    c:\windows\system32\dnuepftr.ini
    c:\windows\system32\dpacwwrh.ini
    c:\windows\system32\dqrlfpdb.ini
    c:\windows\system32\dqusgfvn.ini
    c:\windows\system32\dywdyghr.ini
    c:\windows\system32\edojgivg.ini
    c:\windows\system32\eqrlhjyf.ini
    c:\windows\system32\fdmvcqco.ini
    c:\windows\system32\fiebjjgc.ini
    c:\windows\system32\fjjkdqry.ini
    c:\windows\system32\fptpidoj.ini
    c:\windows\system32\gbjyhfda.ini
    c:\windows\system32\ggpelfov.ini
    c:\windows\system32\gnuqxfrl.ini
    c:\windows\system32\gqdgxrrg.ini
    c:\windows\system32\grmonigs.ini
    c:\windows\system32\gvtaqcxs.ini
    c:\windows\system32\hhikhoxa.ini
    c:\windows\system32\huicdbdh.ini
    c:\windows\system32\ijimxxjo.ini
    c:\windows\system32\ipioplqn.ini
    c:\windows\system32\iqjhljcj.ini
    c:\windows\system32\jivfwubu.ini
    c:\windows\system32\jpumqdsd.ini
    c:\windows\system32\jqjanuif.ini
    c:\windows\system32\jqxrcobu.ini
    c:\windows\system32\jsqvcjma.ini
    c:\windows\system32\jytbrwtj.ini
    c:\windows\system32\kcngbgtf.ini
    c:\windows\system32\kfuyydbr.ini
    c:\windows\system32\kmrruvkg.ini
    c:\windows\system32\ktykddnr.ini
    c:\windows\system32\kyelubrh.ini
    c:\windows\system32\lnwqwpxt.ini
    c:\windows\system32\lqbnrtat.ini
    c:\windows\system32\lrivwqqa.ini
    c:\windows\system32\ltdidusa.ini
    c:\windows\system32\ltiktvnh.ini
    c:\windows\system32\lviykdws.ini
    c:\windows\system32\lyoqndqw.ini
    c:\windows\system32\mddfcgyr.ini
    c:\windows\system32\mkmqcnmo.ini
    c:\windows\system32\mqordpyw.ini
    c:\windows\system32\noeimybh.ini
    c:\windows\system32\npurkpbe.ini
    c:\windows\system32\nutodqfu.ini
    c:\windows\system32\oouaeblw.ini
    c:\windows\system32\owhmbtgk.ini
    c:\windows\system32\owwholtd.ini
    c:\windows\system32\parbfvto.ini
    c:\windows\system32\pfwvifjr.ini
    c:\windows\system32\pgdrcipa.ini
    c:\windows\system32\phjkafrg.ini
    c:\windows\system32\pqnmjire.ini
    c:\windows\system32\prqss.bak1
    c:\windows\system32\prqss.bak2
    c:\windows\system32\prqss.ini
    c:\windows\system32\qebuctdn.ini
    c:\windows\system32\qfmmwndo.ini
    c:\windows\system32\qfyfjxry.ini
    c:\windows\system32\qiamejbx.ini
    c:\windows\system32\qobywinf.ini
    c:\windows\system32\qovapygt.ini
    c:\windows\system32\qqstv.bak1
    c:\windows\system32\qqstv.ini
    c:\windows\system32\qtutv.bak1
    c:\windows\system32\qtutv.bak2
    c:\windows\system32\qtutv.ini
    c:\windows\system32\qugwqewf.ini
    c:\windows\system32\qwfawevx.ini
    c:\windows\system32\rgsqeqit.ini
    c:\windows\system32\rpndxgdf.ini
    c:\windows\system32\rtghmcxm.ini
    c:\windows\system32\siukxtii.ini
    c:\windows\system32\sjwfjidw.ini
    c:\windows\system32\slskwycu.ini
    c:\windows\system32\slvqwadc.ini
    c:\windows\system32\sttymfmc.ini
    c:\windows\system32\tfhfdiah.ini
    c:\windows\system32\tfvbuomw.ini
    c:\windows\system32\tmp.reg
    c:\windows\system32\tteohfwq.ini
    c:\windows\system32\tywatklt.ini
    c:\windows\system32\ubrwcyrf.ini
    c:\windows\system32\ukunqkyc.ini
    c:\windows\system32\umjortvk.ini
    c:\windows\system32\uncueimn.ini
    c:\windows\system32\uuvjmsye.ini
    c:\windows\system32\vegtewnd.ini
    c:\windows\system32\vrpjdiuv.ini
    c:\windows\system32\vulukrkp.ini
    c:\windows\system32\vumpuyln.ini
    c:\windows\system32\wahnksyy.ini
    c:\windows\system32\wfxophlg.ini
    c:\windows\system32\wijfrxxn.ini
    c:\windows\system32\wjfrbosf.ini
    c:\windows\system32\wmubuwlr.ini
    c:\windows\system32\ybrktxkr.ini
    c:\windows\system32\yccdd.bak1
    c:\windows\system32\yccdd.bak2
    c:\windows\system32\yccdd.tmp
    c:\windows\system32\ycumsxcj.ini
    c:\windows\system32\yggmvhwh.ini
    c:\windows\system32\ywxblpay.ini
    c:\windows\system32\yxvinnxc.ini
    c:\windows\system32\yymrnapm.ini
    c:\windows\system32\yyrbiogw.ini
    c:\windows\winexecw32.txt

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_CLIENT_IP-IPX

    ((((((((((((((((((((((((((((( Fichiers créés du 2010-01-24 au 2010-02-24 ))))))))))))))))))))))))))))))))))))
    .

    2010-02-24 10:46 . 2010-02-24 10:48 -------- d-----w- C:\UsbFix
    2010-02-24 10:20 . 2010-02-24 10:42 -------- d-----w- c:\program files\Navilog1
    2010-02-24 10:07 . 2010-02-24 10:16 -------- d-----w- C:\Ad-Remover
    2010-02-23 15:12 . 2010-02-23 15:12 -------- d-----w- c:\documents and settings\Poste2\Application Data\Malwarebytes
    2010-02-23 15:11 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-02-23 15:11 . 2010-02-23 15:11 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2010-02-23 15:11 . 2010-02-23 15:11 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-02-23 15:11 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-02-23 14:29 . 2010-02-23 14:29 -------- d-----w- C:\rsit
    2010-02-23 13:22 . 2010-02-23 13:22 -------- d-----w- c:\documents and settings\Poste2\Application Data\Uniblue
    2010-02-23 10:29 . 2010-02-23 10:29 574 ----a-w- C:\cleanup.bat
    2010-02-23 10:29 . 2010-02-23 10:29 135168 ----a-w- C:\zip.exe
    2010-02-23 10:15 . 2010-02-23 10:15 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
    2010-02-22 16:55 . 2010-02-23 09:06 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Adobe
    2010-02-22 12:47 . 2010-02-23 12:47 -------- d-----w- c:\program files\JkDefrag
    2010-02-22 11:33 . 2010-02-22 11:33 -------- d-----w- c:\documents and settings\Poste2\Application Data\Windows Search
    2010-02-22 11:32 . 2010-02-22 11:32 -------- d-----w- c:\windows\system32\XPSViewer
    2010-02-22 11:32 . 2010-02-22 11:32 -------- d-----w- c:\program files\Reference Assemblies
    2010-02-22 11:31 . 2008-07-06 12:06 89088 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\filterpipelineprintproc.dll
    2010-02-22 11:31 . 2008-07-06 12:06 89088 ------w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
    2010-02-22 11:31 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
    2010-02-22 11:31 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\dllcache\xpsshhdr.dll
    2010-02-22 11:31 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
    2010-02-22 11:31 . 2008-07-06 10:50 597504 ------w- c:\windows\system32\Spool\prtprocs\w32x86\printfilterpipelinesvc.exe
    2010-02-22 11:31 . 2008-07-06 10:50 597504 ------w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
    2010-02-22 11:31 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
    2010-02-22 11:31 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\dllcache\xpssvcs.dll
    2010-02-22 11:31 . 2010-02-22 11:31 -------- d-----w- C:\31f21ac240adb782c04b
    2010-02-22 11:10 . 2010-02-23 11:13 -------- d-----w- c:\program files\Windows Desktop Search
    2010-02-22 11:09 . 2010-02-22 11:09 -------- d-----w- c:\windows\system32\GroupPolicy
    2010-02-22 11:08 . 2008-03-07 17:02 98304 ------w- c:\windows\system32\dllcache\nlhtml.dll
    2010-02-22 11:08 . 2008-03-07 17:02 29696 ------w- c:\windows\system32\dllcache\mimefilt.dll
    2010-02-22 11:08 . 2008-03-07 17:02 192000 ------w- c:\windows\system32\dllcache\offfilt.dll
    2010-02-22 11:07 . 2010-02-22 11:07 -------- d-----w- c:\program files\Windows Media Connect 2
    2010-02-22 11:04 . 2010-02-22 11:06 -------- d-----w- c:\windows\system32\drivers\UMDF
    2010-02-22 10:49 . 2010-02-22 14:48 -------- d-----w- c:\program files\Registry Winner
    2010-02-19 16:00 . 2010-02-19 16:01 -------- d-----w- c:\documents and settings\Poste2\Application Data\CloneSpy

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-02-24 12:04 . 2010-01-14 14:52 -------- d-----w- c:\documents and settings\Poste2\Application Data\Icones
    2010-02-24 09:49 . 2008-02-12 12:13 -------- d-----w- c:\documents and settings\All Users\Application Data\pdf995
    2010-02-24 09:49 . 2008-02-12 12:13 59 ----a-w- c:\windows\wpd99.drv
    2010-02-23 15:51 . 2009-10-27 17:30 -------- d-----w- c:\program files\VuPassword
    2010-02-23 11:19 . 2008-01-18 09:39 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
    2010-02-23 11:15 . 2006-04-14 16:34 -------- d-----w- c:\program files\Google
    2010-02-23 11:09 . 2008-11-26 14:09 -------- d-----w- c:\program files\Fichiers communs\DVDVideoSoft
    2010-02-23 11:08 . 2004-08-19 13:03 86274 ----a-w- c:\windows\system32\perfc00C.dat
    2010-02-23 11:08 . 2004-08-19 13:03 514630 ----a-w- c:\windows\system32\perfh00C.dat
    2010-02-23 11:02 . 2008-03-11 10:04 85656 ----a-w- c:\documents and settings\Poste2\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2010-02-22 11:32 . 2008-01-17 09:57 -------- d-----w- c:\program files\MSBuild
    2010-02-22 11:15 . 2008-01-17 09:49 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
    2010-02-19 16:17 . 2009-10-27 17:02 -------- d-----w- c:\documents and settings\Poste2\Application Data\Skype
    2010-02-02 09:10 . 2010-01-20 16:08 -------- d-----w- c:\documents and settings\Poste2\Application Data\Samsung
    2010-02-02 09:10 . 2006-01-18 14:33 -------- d--h--w- c:\program files\InstallShield Installation Information
    2010-01-27 08:18 . 2009-11-19 16:41 -------- d-----w- c:\program files\Spybot - Search & Destroy
    2010-01-27 08:17 . 2009-10-06 08:22 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
    2010-01-21 17:01 . 2010-01-21 17:01 -------- d-----w- c:\program files\MSXML 4.0
    2010-01-20 16:07 . 2007-05-10 18:53 -------- d-----w- c:\program files\DIFX
    2010-01-05 09:56 . 2004-08-19 13:03 832512 ----a-w- c:\windows\system32\wininet.dll
    2010-01-05 09:56 . 2004-08-19 13:03 78336 ----a-w- c:\windows\system32\ieencode.dll
    2010-01-05 09:56 . 2004-08-19 13:03 17408 ------w- c:\windows\system32\corpol.dll
    2009-12-31 16:50 . 2006-01-18 14:18 353792 ----a-w- c:\windows\system32\drivers\srv.sys
    2009-12-17 07:41 . 2006-02-27 10:42 347648 ----a-w- c:\windows\system32\mspaint.exe
    2009-12-14 07:09 . 2004-08-19 13:03 33280 ----a-w- c:\windows\system32\csrsrv.dll
    2009-12-09 10:09 . 2004-08-04 00:48 2068096 ----a-w- c:\windows\system32\ntkrnlpa.exe
    2009-12-09 10:09 . 2004-08-19 13:03 2191232 ----a-w- c:\windows\system32\ntoskrnl.exe
    2009-12-04 18:22 . 2006-01-18 14:18 455424 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
    2009-11-27 17:13 . 2004-08-19 13:03 1297920 ----a-w- c:\windows\system32\quartz.dll
    2009-11-27 17:13 . 2004-08-04 00:54 17920 ----a-w- c:\windows\system32\msyuv.dll
    2009-11-27 16:08 . 2004-08-19 13:03 28672 ----a-w- c:\windows\system32\msvidc32.dll
    2009-11-27 16:08 . 2004-08-19 13:03 11264 ----a-w- c:\windows\system32\msrle32.dll
    2009-11-27 16:08 . 2004-08-19 13:03 85504 ----a-w- c:\windows\system32\avifil32.dll
    2009-11-27 16:08 . 2004-08-04 00:54 48128 ----a-w- c:\windows\system32\iyuv_32.dll
    2009-11-27 16:08 . 2001-08-23 17:47 8704 ----a-w- c:\windows\system32\tsbyuv.dll
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
    "NoWelcomeScreen"= 1 (0x1)

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
    2009-02-27 16:10 35696 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]
    2008-04-14 02:34 110592 ----a-w- c:\windows\system32\bthprops.cpl

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
    2008-04-14 02:33 15360 ------w- c:\windows\system32\ctfmon.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxhkcmd]
    2005-09-20 15:32 77824 ----a-w- c:\windows\system32\hkcmd.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxpers]
    2005-09-20 15:36 114688 ----a-w- c:\windows\system32\igfxpers.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxtray]
    2005-09-20 15:35 94208 ----a-w- c:\windows\system32\igfxtray.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PinnacleDriverCheck]
    2003-11-10 15:06 406016 ----a-w- c:\windows\system32\PSDrvCheck.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
    2009-08-12 11:16 149280 ----a-w- c:\program files\Java\jre6\bin\jusched.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Synchronization Manager]
    2008-04-14 02:34 143872 ----a-w- c:\windows\system32\mobsync.exe

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "c:\\WINDOWS\\system32\\sessmgr.exe"=
    "c:\\Documents and Settings\\All Users\\Application Data\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 7.0.1.321\\French\\setup.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Skype\\Phone\\Skype.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "5900:TCP"= 5900:TCP:VNC

    R2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [26/08/2008 08:32 6016]
    S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys --> c:\windows\system32\DRIVERS\Lbd.sys [?]
    S2 IPCap;IPCap I/O Protocol;c:\windows\system32\DRIVERS\IPCap.sys --> c:\windows\system32\DRIVERS\IPCap.sys [?]
    S3 SG760_XP;SAGEM 802.11g XG760 1211 Driver;c:\windows\system32\drivers\WlanUZXP.sys [12/05/2005 15:24 260608]
    S3 UDTTLOAD;UDTTLOAD;c:\windows\system32\drivers\UDTTload.sys [29/03/2006 18:10 17754]
    S3 UDTTUSB;USBDTT - USB DVB-T adapter Driver;c:\windows\system32\drivers\UDTTcap.sys [29/03/2006 18:10 16200]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##Srvsbs#Sage]
    \Shell\AutoRun\command - S:\
    \Shell\explore\Command - RECYCLED\INFO.exe
    \Shell\open\Command - RECYCLED\INFO.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##Srvsbs#Tnt]
    \Shell\AutoRun\command - Y:\
    \Shell\explore\Command - RECYCLED\INFO.exe
    \Shell\open\Command - RECYCLED\INFO.exe
    .
    Contenu du dossier 'Tâches planifiées'
    .
    .
    ------- Examen supplémentaire -------
    .
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
    DPF: {210D0CBC-8B17-48D1-B294-1A338DD2EB3A} - hxxp://inforad.dyndns.org/VatDec.cab
    DPF: {361E6B79-4A69-4376-B0F2-3D1EBEE9D7E2} - hxxp://82.237.8.236/RtspVaPgDec.cab
    DPF: {4A026B12-94F3-4D2F-A468-96AA55DE20A5} - hxxp://82.237.8.236/img/NetCamPlayerWeb11g.ocx
    DPF: {511E58D4-DA5A-4B4B-A997-6F62DF424BC4} - hxxp://tcdistrib.dyndns.org:9019/main/VideoViewerAx1.cab
    DPF: {7876E4A5-78B7-4020-B08F-C960A1ED54C9} - hxxp://82.226.219.189/AL/WinWebPush.cab
    DPF: {AA0FB75C-C50E-47B6-B7E0-3B9C3FAA8AC4} - hxxp://192.168.1.100/Comm/IPCamControl.cab
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
    WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
    Notify-avgrsstarter - (no file)
    MSConfigStartUp-70f5d219 - c:\windows\system32\hrbuleyk.dll
    MSConfigStartUp-aijmjyia - c:\windows\system32\aijmjyia.exe
    MSConfigStartUp-BM73c6e185 - c:\windows\system32\ftiamuur.dll
    MSConfigStartUp-msnmsgr - c:\program files\Windows Live\Messenger\msnmsgr.exe
    MSConfigStartUp-WinLogon - c:\windows\logon.exe
    AddRemove-HijackThis - c:\documents and settings\Poste2\Local Settings\Temporary Internet Files\Content.IE5\DF1ZFGG3\HijackThis.exe

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-02-24 13:13
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'explorer.exe'(1916)
    c:\windows\system32\eappprxy.dll
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\Java\jre6\bin\jqs.exe
    c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    .
    **************************************************************************
    .
    Heure de fin: 2010-02-24 13:20:12 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-02-24 12:20

    Avant-CF: 22 743 535 616 octets libres
    Après-CF: 22 975 635 456 octets libres

    WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

    - - End Of File - - 6267C24184E40C8BAC28DBF55E09E4A9
    0
  19. ric025
     
    Ok, il va falloir vérifier des choses encore :

    Rends-toi sur ce site : https://www.virustotal.com/gui/

    Fais analyser ce fichier en gras : c:\windows\wpd99.drv

    Un lien te sera donné, poste-le ici.

    ==================================

    OTM :

    ▶ Télécharge OTM (de Old_Timer) sur ton Bureau

    ▶ Double-clique sur OTM.exe pour le lancer.

    ▶ Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.

    ▶ Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous "Paste instructions for item to be moved".

    -----------------------------------------------------------------------------

    :processes
    explorer.exe

    :files
    c:\program files\Registry Winner


    -----------------------------------------------------------------------------

    ▶ clique sur MoveIt! pour lancer la suppression.

    ▶ Le résultat apparaitra dans le cadre "Results".

    ▶ Clique sur Exit pour fermer.

    ▶ Poste le rapport situé dans C:\_OTM\MovedFiles.

    ▶ Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

    ============================

    Je m'absente jusqu'à ce soir.

    ++
    0
  • 1
  • 2