Trojan svchhost.exe

Résolu

sylux Messages postés 26 Date d'inscription Statut Membre Dernière intervention -
sylux Messages postés 26 Date d'inscription Statut Membre Dernière intervention - 27 févr. 2010 à 08:58

Bonjour,

Après une procédure de suppression du virus, localisé dans C:/WINDOWS/Temp/XXXX.tmp/svchost.exe, avec XXXX prenant un nom différent à chaque réapparition, je demande votre aide afin de l'éradiquer une bonne fois pour toute de mon ordinateur.

Jusqu'à présent plus de problèmes après un scan de mon antivirus, Avira Antivir, puis de du logiciel Malwarebytes' Anti-Malware, mais comment être sûr de s'en être débarassé ?

Je colle ici un rapport généré avec Hijackthis après avoir "supprimé" le trojan :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:08:29, on 24/02/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe
C:\Program Files\CheckPoint\ZAForceField\ForceField.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\SPEEDB~1\VideoAcceleratorEngine.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Program Files\D-Link\D-Link Wireless N DWA-140\AirNCFG.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\DAP\DAP.EXE
C:\Program Files\SpeedBit Video Accelerator\VideoAccelerator.exe
C:\PROGRA~1\MICROS~2\rapimgr.exe
C:\Program Files\Opera\Opera.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Sylvain\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.speedbit.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: ZoneAlarm Toolbar Registrar - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: (no name) - {F880A4A8-C436-4AC4-AFD1-AA0BDC9552DD} - (no file)
O2 - BHO: DAPIELoader Class - {FF6C3CF0-4B15-11D1-ABED-709549C10000} - C:\PROGRA~1\DAP\DAPIEL~1.DLL
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: ZoneAlarm Toolbar - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [D-Link D-Link Wireless N DWA-140] C:\Program Files\D-Link\D-Link Wireless N DWA-140\AirNCFG.exe
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [eabconfg.cpl] "C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe" /Start
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ISW] "C:\Program Files\CheckPoint\ZAForceField\ForceField.exe" /icon="hidden"
O4 - HKLM\..\RunOnce: [KB976002-v5] C:\WINDOWS\system32\browserchoice.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [DownloadAccelerator] "C:\Program Files\DAP\DAP.EXE" /STARTUP
O4 - HKCU\..\Run: [CursorXP] "C:\Program Files\CursorXP\CursorXP.exe" -s
O4 - HKCU\..\Run: [SpeedBitVideoAccelerator] C:\Program Files\SpeedBit Video Accelerator\VideoAccelerator.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Liens de téléchargement avec Mega Manager... - C:\Program Files\Megaupload\Mega Manager\mm_file.htm
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll
O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll
O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: ZoneAlarm Toolbar IswSvc (IswSvc) - Check Point Software Technologies - C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: VideoAcceleratorService - Speedbit Ltd. - C:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Afficher la suite

A voir également:

Trojan svchhost.exe
Trojan remover - Télécharger - Antivirus & Antimalwares
Trojan sms-par google ✓ - Forum Virus
Trojan agent ✓ - Forum Virus
Csrss.exe trojan - Forum Virus
Csrss.exe : processus suspect/virus ? - Forum Virus

34 réponses

Réponse 1 / 34

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

hello,

poste les rapports d' AntiVir et de MBAM que tu as obtenu déjà .... ;)

On avisera ensuite .... ( la redirection sur les recherche Google , ça sent pas bon du tout )

Réponse 2 / 34

sylux Messages postés 26 Date d'inscription Statut Membre Dernière intervention 5

Bonjour et merci de votre réponse,

Voici ce que vous avez demandé :

Rapport Avira Antivir :

Avira AntiVir Personal
Date de création du fichier de rapport : mercredi 24 février 2010 09:13

La recherche porte sur 1786422 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 2) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : HP

Informations de version :
BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 19/11/2009 21:19:52
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 21:19:49
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 21:19:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 22:14:45
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 21:38:53
VBASE004.VDF : 7.10.3.76 2048 Bytes 26/01/2010 21:38:53
VBASE005.VDF : 7.10.3.77 2048 Bytes 26/01/2010 21:38:53
VBASE006.VDF : 7.10.3.78 2048 Bytes 26/01/2010 21:38:53
VBASE007.VDF : 7.10.3.79 2048 Bytes 26/01/2010 21:38:53
VBASE008.VDF : 7.10.3.80 2048 Bytes 26/01/2010 21:38:53
VBASE009.VDF : 7.10.3.81 2048 Bytes 26/01/2010 21:38:53
VBASE010.VDF : 7.10.3.82 2048 Bytes 26/01/2010 21:38:53
VBASE011.VDF : 7.10.3.83 2048 Bytes 26/01/2010 21:38:53
VBASE012.VDF : 7.10.3.84 2048 Bytes 26/01/2010 21:38:54
VBASE013.VDF : 7.10.3.85 2048 Bytes 26/01/2010 21:38:54
VBASE014.VDF : 7.10.3.122 172544 Bytes 29/01/2010 21:39:14
VBASE015.VDF : 7.10.3.149 79872 Bytes 01/02/2010 21:06:39
VBASE016.VDF : 7.10.3.174 68608 Bytes 03/02/2010 21:12:43
VBASE017.VDF : 7.10.3.199 76800 Bytes 04/02/2010 21:12:44
VBASE018.VDF : 7.10.3.222 64512 Bytes 05/02/2010 21:21:11
VBASE019.VDF : 7.10.3.243 75776 Bytes 08/02/2010 21:21:00
VBASE020.VDF : 7.10.4.6 81920 Bytes 09/02/2010 21:21:05
VBASE021.VDF : 7.10.4.30 78848 Bytes 11/02/2010 21:21:13
VBASE022.VDF : 7.10.4.50 107520 Bytes 15/02/2010 15:13:28
VBASE023.VDF : 7.10.4.62 105472 Bytes 15/02/2010 15:13:28
VBASE024.VDF : 7.10.4.85 111616 Bytes 17/02/2010 15:14:13
VBASE025.VDF : 7.10.4.109 122368 Bytes 21/02/2010 13:13:46
VBASE026.VDF : 7.10.4.128 109056 Bytes 23/02/2010 21:46:59
VBASE027.VDF : 7.10.4.129 2048 Bytes 23/02/2010 21:47:00
VBASE028.VDF : 7.10.4.130 2048 Bytes 23/02/2010 21:47:00
VBASE029.VDF : 7.10.4.131 2048 Bytes 23/02/2010 21:47:00
VBASE030.VDF : 7.10.4.132 2048 Bytes 23/02/2010 21:47:00
VBASE031.VDF : 7.10.4.134 30208 Bytes 23/02/2010 21:47:01
Version du moteur : 8.2.1.172
AEVDF.DLL : 8.1.1.3 106868 Bytes 22/01/2010 21:38:04
AESCRIPT.DLL : 8.1.3.16 827771 Bytes 22/02/2010 13:13:51
AESCN.DLL : 8.1.4.0 127348 Bytes 27/01/2010 21:50:27
AESBX.DLL : 8.1.1.1 246132 Bytes 19/11/2009 21:19:51
AERDL.DLL : 8.1.4.2 479602 Bytes 16/02/2010 15:13:32
AEPACK.DLL : 8.2.0.8 426357 Bytes 16/02/2010 15:13:31
AEOFFICE.DLL : 8.1.0.39 196987 Bytes 22/02/2010 13:13:50
AEHEUR.DLL : 8.1.1.7 2326902 Bytes 22/02/2010 13:13:50
AEHELP.DLL : 8.1.10.0 237942 Bytes 14/01/2010 21:23:20
AEGEN.DLL : 8.1.1.87 369013 Bytes 22/02/2010 13:13:47
AEEMU.DLL : 8.1.1.0 393587 Bytes 08/10/2009 10:19:17
AECORE.DLL : 8.1.11.1 184694 Bytes 02/02/2010 21:06:42
AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 26/10/2009 21:21:26
AVREP.DLL : 8.0.0.7 159784 Bytes 18/02/2010 08:40:33
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:44:26
RCTEXT.DLL : 9.0.73.0 88321 Bytes 19/11/2009 21:19:47

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : mercredi 24 février 2010 09:13

La recherche d'objets cachés commence.
'52815' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rapimgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'VideoAccelerator.exe' - '1' module(s) sont contrôlés
Processus de recherche 'DAP.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wcescomm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'zlclient.exe' - '0' module(s) sont contrôlés
Processus de recherche 'eabservr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mbamgui.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AirNCFG.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WZCSLDR2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SOUNDMAN.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'PWRISOVM.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AGRSMMSG.exe' - '1' module(s) sont contrôlés
Processus de recherche 'VideoAcceleratorEngine.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ForceField.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'VideoAcceleratorService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'IoctlSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NBService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mbamservice.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ISWSVC.exe' - '1' module(s) sont contrôlés
Processus de recherche 'vsmon.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'44' processus ont été contrôlés avec '44' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '62' fichiers).

La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

Fin de la recherche : mercredi 24 février 2010 10:11
Temps nécessaire: 57:40 Minute(s)

La recherche a été effectuée intégralement

14847 Les répertoires ont été contrôlés
257499 Des fichiers ont été contrôlés
0 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
257497 Fichiers non infectés
4479 Les archives ont été contrôlées
2 Avertissements
2 Consignes
52815 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés

Rapport Malwarebytes' Anti-Malware :

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3779
Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

24/02/2010 11:44:43
mbam-log-2010-02-24 (11-44-43).txt

Type de recherche: Examen rapide
Eléments examinés: 115421
Temps écoulé: 11 minute(s), 49 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

J'avais précédemment parlé d'une mauvaise redirection de site, le phénomè s'est reproduit et j'ai pour cela recopié l'URL : http://findwebskills.com/search2.php?q=spyware&mfrom=PHsIsTFpgy784%2B5fxdW3PcxtUMNDHPO04yWn81d9PdaNrccAjbrbd3bWJ2bdBuRFl1otpjhoxMCTLoD5JrASZhgJD9mi9mvc0ACUV9f0S9q1wbiybWkv%2BfCflk4obopo&traftype=keyword&addkw=virus+mise+en+page+site&country=FR&qfirst=spyware&q=spyware jedéconseille à ceux qui me lisent de cliquer sur ce lien :x

Réponse 3 / 34

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

Re,

ces rapports ne montre aucune suppression ... il doit y en avoir d'autres qui correspondent au nettoyge que tu as fait ....

Donc poste moi ces rappports et on attaque juste après .... ;)

Réponse 4 / 34

sylux Messages postés 26 Date d'inscription Statut Membre Dernière intervention 5

Ce rapport d'Avira devrait être le bon :

Avira AntiVir Personal
Date de création du fichier de rapport : lundi 22 février 2010 08:29

La recherche porte sur 1771665 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 2) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : HP

Informations de version :
BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 19/11/2009 21:19:52
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 21:19:49
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 21:19:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 22:14:45
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 21:38:53
VBASE004.VDF : 7.10.3.76 2048 Bytes 26/01/2010 21:38:53
VBASE005.VDF : 7.10.3.77 2048 Bytes 26/01/2010 21:38:53
VBASE006.VDF : 7.10.3.78 2048 Bytes 26/01/2010 21:38:53
VBASE007.VDF : 7.10.3.79 2048 Bytes 26/01/2010 21:38:53
VBASE008.VDF : 7.10.3.80 2048 Bytes 26/01/2010 21:38:53
VBASE009.VDF : 7.10.3.81 2048 Bytes 26/01/2010 21:38:53
VBASE010.VDF : 7.10.3.82 2048 Bytes 26/01/2010 21:38:53
VBASE011.VDF : 7.10.3.83 2048 Bytes 26/01/2010 21:38:53
VBASE012.VDF : 7.10.3.84 2048 Bytes 26/01/2010 21:38:54
VBASE013.VDF : 7.10.3.85 2048 Bytes 26/01/2010 21:38:54
VBASE014.VDF : 7.10.3.122 172544 Bytes 29/01/2010 21:39:14
VBASE015.VDF : 7.10.3.149 79872 Bytes 01/02/2010 21:06:39
VBASE016.VDF : 7.10.3.174 68608 Bytes 03/02/2010 21:12:43
VBASE017.VDF : 7.10.3.199 76800 Bytes 04/02/2010 21:12:44
VBASE018.VDF : 7.10.3.222 64512 Bytes 05/02/2010 21:21:11
VBASE019.VDF : 7.10.3.243 75776 Bytes 08/02/2010 21:21:00
VBASE020.VDF : 7.10.4.6 81920 Bytes 09/02/2010 21:21:05
VBASE021.VDF : 7.10.4.30 78848 Bytes 11/02/2010 21:21:13
VBASE022.VDF : 7.10.4.50 107520 Bytes 15/02/2010 15:13:28
VBASE023.VDF : 7.10.4.62 105472 Bytes 15/02/2010 15:13:28
VBASE024.VDF : 7.10.4.85 111616 Bytes 17/02/2010 15:14:13
VBASE025.VDF : 7.10.4.86 2048 Bytes 17/02/2010 15:14:13
VBASE026.VDF : 7.10.4.87 2048 Bytes 17/02/2010 15:14:13
VBASE027.VDF : 7.10.4.88 2048 Bytes 17/02/2010 15:14:13
VBASE028.VDF : 7.10.4.89 2048 Bytes 17/02/2010 15:14:13
VBASE029.VDF : 7.10.4.90 2048 Bytes 17/02/2010 15:14:13
VBASE030.VDF : 7.10.4.91 2048 Bytes 17/02/2010 15:14:13
VBASE031.VDF : 7.10.4.96 42496 Bytes 18/02/2010 15:14:14
Version du moteur : 8.2.1.170
AEVDF.DLL : 8.1.1.3 106868 Bytes 22/01/2010 21:38:04
AESCRIPT.DLL : 8.1.3.15 827771 Bytes 16/02/2010 15:13:34
AESCN.DLL : 8.1.4.0 127348 Bytes 27/01/2010 21:50:27
AESBX.DLL : 8.1.1.1 246132 Bytes 19/11/2009 21:19:51
AERDL.DLL : 8.1.4.2 479602 Bytes 16/02/2010 15:13:32
AEPACK.DLL : 8.2.0.8 426357 Bytes 16/02/2010 15:13:31
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 27/08/2009 10:10:07
AEHEUR.DLL : 8.1.1.5 2326901 Bytes 07/02/2010 21:20:57
AEHELP.DLL : 8.1.10.0 237942 Bytes 14/01/2010 21:23:20
AEGEN.DLL : 8.1.1.86 369012 Bytes 02/02/2010 21:06:43
AEEMU.DLL : 8.1.1.0 393587 Bytes 08/10/2009 10:19:17
AECORE.DLL : 8.1.11.1 184694 Bytes 02/02/2010 21:06:42
AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 26/10/2009 21:21:26
AVREP.DLL : 8.0.0.7 159784 Bytes 18/02/2010 08:40:33
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:44:26
RCTEXT.DLL : 9.0.73.0 88321 Bytes 19/11/2009 21:19:47

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : lundi 22 février 2010 08:29

La recherche d'objets cachés commence.
'52544' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'VideoAcceleratorEngine.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NMIndexingService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'VideoAcceleratorService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'IoctlSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NBService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mbamservice.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rapimgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NMIndexStoreSvr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'VideoAccelerator.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'DAP.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wcescomm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mbamgui.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AirNCFG.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WZCSLDR2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SOUNDMAN.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'PWRISOVM.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AGRSMMSG.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'44' processus ont été contrôlés avec '44' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '59' fichiers).

La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\System Volume Information\_restore{0A22B2B7-D043-4600-9D0E-2E800DA9CFF8}\RP158\A0037422.dll
[RESULTAT] Contient le cheval de Troie TR/Agent.232448.A
C:\System Volume Information\_restore{0A22B2B7-D043-4600-9D0E-2E800DA9CFF8}\RP165\A0043370.exe
[0] Type d'archive: NSIS
--> bin/QtHelp4.dll
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
C:\WINDOWS\msa.VIR
[RESULTAT] Contient le cheval de Troie TR/Dldr.Zlob.Q

Début de la désinfection :
C:\System Volume Information\_restore{0A22B2B7-D043-4600-9D0E-2E800DA9CFF8}\RP158\A0037422.dll
[RESULTAT] Contient le cheval de Troie TR/Agent.232448.A
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bb24309.qua' !
C:\WINDOWS\msa.VIR
[RESULTAT] Contient le cheval de Troie TR/Dldr.Zlob.Q
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4be3434c.qua' !

Fin de la recherche : lundi 22 février 2010 09:39
Temps nécessaire: 1:09:23 Heure(s)

La recherche a été effectuée intégralement

14696 Les répertoires ont été contrôlés
278456 Des fichiers ont été contrôlés
2 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
2 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
278452 Fichiers non infectés
4762 Les archives ont été contrôlées
4 Avertissements
4 Consignes
52544 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés

Malheureusement je n'ai pas pu récupérer le rapport de Malwarebytes' concernant la découverte des trojans

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 5 / 34

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

Re,

Malheureusement je n'ai pas pu récupérer le rapport de Malwarebytes' concernant la découverte des trojans

Regarde bien ici > dans l'onglet "rapport/log"de Malwarebytes', un des derniers en date ...

Réponse 6 / 34

sylux Messages postés 26 Date d'inscription Statut Membre Dernière intervention 5

J'ai dû effacer l'historique des rapports/logs...

J'ai remarqué que la mise en page de certains sites est complètement saccagé, comme Facebook.

Réponse 7 / 34

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

Bon ....

on fera sans alors .... ^^

voilà ce que tu va faire pour avoir un diagnostique plus précis de la situation :

1- Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

!! déconnecte toi et ferme toutes tes applications en cours !!

> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) .

> Lance ZHPDiag depuis le raccourci du bureau .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )

Une liste apparait dans l'encadré principal > vérifie que toutes les lignes soient bien cochées sauf les 045 et 061 ( important ! ) .

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .

Laisses travailler l'outil ...

> Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )

Puis ferme le programme ...

> rends toi ensuite sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....

======================

2- Lance de nouveau ZHPDiag,

!! déconnecte toi et ferme toutes tes applications en cours !!

* Tu vas faire une " analyse détaillée/MD5 " en procédant ainsi :

> tu cliques cette fois ci sur le bouton " dossier+loupe " ( en haut à droite ) pour lancer le scan.

Laisse travailler l'outil et ne touche à rien ( cela peut-être relativement long ) .

* Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistre le de façon à le retrouver facilement ( sur le bureau par exemple ).

* Fais moi parvenir ce rapport via " Cijoint " dans ta prochaine réponse pour analyse ...

Réponse 8 / 34

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

C'est le patch atapi.sys (TDSS/Alueron) qui est à l'origine de ces téléchargement, cf : https://forum.malekal.com/viewtopic.php?t=22604&start=

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

Hello,

je m'en doute bien ! .... ^^

mais j'aime bien avant de partir à la chasse , avoir un diag précis ... ;)

Combo suivra après ...

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685 > sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention

ok si tu savais :)

Réponse 9 / 34

sylux Messages postés 26 Date d'inscription Statut Membre Dernière intervention 5

I - Rapport ZHPDiag : http://www.cijoint.fr/cjlink.php?file=cj201002/cijrWbnVHd.txt

II - Rapport ZHDiag : http://www.cijoint.fr/cjlink.php?file=cj201002/cijVbg1kyD.txt

Réponse 10 / 34

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

Bien ...

fait ceci maintenant :

1- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !):

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

--------------------------------- [ ! ATTENTION ! ] ------------------------------------------
• Ferme tes applications en cours ( ainsi que ton navigateur ) .
• DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe .
En effet, activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !
->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
• Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
• Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
--------------------------------- [ ! ATTENTION ! ] ------------------------------------------

Ensuite :
> Double-clique sur l'icône "Combofix.exe" pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...

-- Pour XP, l' installation de la Console de Récupération sera demandé :
* Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gif
*Reconnecte toi avant de cliquer sur "yes", et uniquement le temps de cette manipulation.
*Une fois la console installée,
image > http://img.photobucket.com/albums/v706/ried7/whatnext.png
re-déconnecte toi avant de cliquer sur "yes" pour lancer le scan --

Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée ici : C:\Combofix.txt

Réactive bien tes défenses .

Poste le rapport Combofix pour analyse ...

============================

2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

Réponse 11 / 34

sylux Messages postés 26 Date d'inscription Statut Membre Dernière intervention 5

Rapport ComboFix :

ComboFix 10-02-23.04 - Sylvain 24/02/2010 15:11:35.1.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.511.184 [GMT 1:00]
Lancé depuis: c:\documents and settings\Sylvain\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.
[i] ADS - system32: deleted 12 bytes in 1 streams. /i

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\install.exe

Une copie infectée de c:\windows\system32\DRIVERS\atapi.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty ate it :p
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS

((((((((((((((((((((((((((((( Fichiers créés du 2010-01-24 au 2010-02-24 ))))))))))))))))))))))))))))))))))))
.

2010-02-24 11:32 . 2010-02-24 11:50 -------- d-----w- c:\program files\ZHPDiag
2010-02-24 07:48 . 2006-03-02 12:00 347136 -c--a-w- c:\windows\system32\dllcache\tourstrt.exe
2010-02-24 07:48 . 2006-03-02 12:00 347136 ----a-w- c:\windows\system32\tourstart.exe
2010-02-23 22:28 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
2010-02-23 22:16 . 2010-02-23 22:16 -------- d-----w- c:\documents and settings\Sylvain\Application Data\CheckPoint
2010-02-23 22:14 . 2010-02-24 14:29 -------- d-----w- c:\windows\Internet Logs
2010-02-23 21:45 . 2010-02-23 21:45 -------- d-----w- c:\program files\Sunbelt Software
2010-02-19 12:50 . 2010-02-19 12:58 -------- d-----w- C:\devkitPro
2010-02-17 15:51 . 2010-02-17 15:51 -------- d-----w- C:\MinGW
2010-02-17 14:47 . 2010-02-17 14:47 -------- d-----w- c:\documents and settings\Sylvain\.designer
2010-02-17 14:12 . 2010-02-17 14:48 -------- d-----w- c:\documents and settings\Sylvain\Application Data\Nokia
2010-02-17 14:08 . 2010-02-17 14:08 -------- d-----w- C:\Qt
2010-02-16 17:07 . 2010-02-16 17:07 -------- d-----w- C:\wbfs
2010-02-14 00:12 . 2010-02-14 00:12 -------- d-----w- c:\documents and settings\Sylvain\Local Settings\Application Data\Ahead
2010-02-14 00:09 . 2010-02-14 00:09 -------- d-----w- c:\documents and settings\Sylvain\Application Data\Nero
2010-02-14 00:04 . 2010-02-14 00:07 -------- d-----w- c:\program files\Fichiers communs\Nero
2010-02-14 00:04 . 2010-02-14 00:04 -------- d-----w- c:\documents and settings\All Users\Application Data\Nero
2010-02-14 00:04 . 2010-02-14 00:04 -------- d-----w- c:\program files\Nero
2010-02-09 22:08 . 2010-02-09 22:08 -------- d-----w- C:\TYPSoft FTP Server
2010-02-08 21:55 . 2010-02-24 12:52 -------- d-----w- c:\documents and settings\Sylvain\Application Data\vlc
2010-02-08 21:50 . 2010-02-08 21:50 -------- d--h--w- c:\windows\system32\GroupPolicy
2010-02-05 23:01 . 2010-02-05 23:01 -------- d-----w- c:\documents and settings\Sylvain\Application Data\Axialis
2010-02-05 23:01 . 2010-02-06 23:00 -------- d-----w- c:\program files\Axialis
2010-02-05 23:00 . 2010-02-22 22:51 -------- d-----w- c:\documents and settings\Sylvain\Local Settings\Application Data\Axialis
2010-02-04 14:17 . 2010-02-04 14:17 -------- d-----w- c:\documents and settings\Sylvain\Local Settings\Application Data\Blizzard Entertainment
2010-02-04 14:13 . 2010-02-14 22:54 -------- d-----w- c:\program files\Fichiers communs\Blizzard Entertainment
2010-02-02 18:17 . 2010-02-02 18:17 -------- d-----w- c:\program files\iPod
2010-02-02 18:16 . 2010-02-02 18:18 -------- d-----w- c:\program files\iTunes
2010-01-29 22:41 . 2004-06-18 12:07 656542 ----a-w- C:\271_icol.dll
2010-01-29 22:28 . 2010-01-29 22:28 -------- d-----w- c:\documents and settings\Sylvain\Local Settings\Application Data\Identities
2010-01-29 22:14 . 2010-01-29 22:14 -------- d-----w- c:\documents and settings\Sylvain\Application Data\FindeXer
2010-01-29 22:07 . 2010-01-29 22:07 153367 ----a-w- c:\windows\BricoPackUninst.cmd
2010-01-29 22:06 . 2010-01-29 22:06 -------- d-----w- c:\program files\RK Launcher
2010-01-29 22:06 . 2010-01-29 22:06 -------- d-----w- c:\documents and settings\Sylvain\Local Settings\Application Data\Stardock
2010-01-29 22:06 . 2010-01-29 22:41 -------- d-----w- c:\program files\CursorXP
2010-01-29 22:05 . 2010-02-24 07:48 -------- d-----w- c:\program files\iColorFolder
2010-01-29 22:01 . 2010-01-29 22:07 7909 ----a-w- c:\windows\BricoPackFoldersDelete.cmd
2010-01-29 21:59 . 2010-01-29 21:59 -------- d-----w- c:\windows\BricoPacks
2010-01-29 16:39 . 2010-01-29 16:39 -------- d-----w- c:\documents and settings\Sylvain\Application Data\Mostick
2010-01-28 22:09 . 2010-01-28 22:09 -------- d-----w- c:\documents and settings\All Users\Application Data\U3
2010-01-28 21:30 . 2010-01-28 21:54 -------- d-----w- c:\documents and settings\Sylvain\Application Data\U3
2010-01-27 21:41 . 2010-01-27 21:42 -------- d-----w- c:\program files\OpenXML-ODF Translator
2010-01-26 16:53 . 2010-01-27 23:02 -------- d-----w- c:\program files\Microsoft Works
2010-01-26 16:50 . 2010-01-26 16:50 -------- d-----w- c:\program files\Microsoft.NET
2010-01-26 16:46 . 2010-01-26 16:52 -------- d-----w- c:\windows\SHELLNEW
2010-01-26 16:44 . 2010-01-26 16:44 -------- d-----r- C:\MSOCache

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-24 14:33 . 2010-01-11 21:45 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2010-02-24 14:28 . 2010-02-23 22:51 509638 ----a-w- c:\windows\Internet Logs\tvDebug.Zip
2010-02-24 09:56 . 2006-03-02 12:00 81824 ----a-w- c:\windows\system32\perfc00C.dat
2010-02-24 09:56 . 2006-03-02 12:00 503866 ----a-w- c:\windows\system32\perfh00C.dat
2010-02-23 22:15 . 2010-02-23 22:15 -------- d-----w- c:\program files\CheckPoint
2010-02-23 22:15 . 2010-02-23 22:15 4212 ---ha-w- c:\windows\system32\zllictbl.dat
2010-02-23 22:15 . 2010-02-23 22:15 -------- d-----w- c:\program files\Zone Labs
2010-02-23 08:19 . 2006-03-02 12:00 95360 ----a-w- c:\windows\system32\drivers\atapi.sys
2010-02-22 13:32 . 2010-01-11 21:44 -------- d-----w- c:\documents and settings\All Users\Application Data\SpeedBit
2010-02-19 23:38 . 2009-08-29 20:52 -------- d-----w- c:\documents and settings\Sylvain\Application Data\dvdcss
2010-02-19 22:56 . 2009-08-23 10:58 70824 ----a-w- c:\documents and settings\Sylvain\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-02-19 18:09 . 2009-08-25 18:37 -------- d-----w- c:\documents and settings\Sylvain\Application Data\codeblocks
2010-02-12 16:24 . 2010-01-12 15:35 -------- d-----w- c:\program files\SpeedBit Video Accelerator
2010-02-10 14:22 . 2009-08-23 17:31 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-02-09 22:17 . 2009-11-15 22:13 -------- d-----w- c:\documents and settings\Sylvain\Application Data\uTorrent
2010-02-03 12:47 . 2010-01-21 22:19 -------- d-----w- c:\documents and settings\Sylvain\Application Data\AVS4YOU
2010-02-03 12:45 . 2010-01-21 22:05 -------- d-----w- c:\program files\AVS4YOU
2010-02-03 12:27 . 2009-12-03 14:44 -------- d-----w- c:\program files\Free Video Converter
2010-02-02 22:04 . 2010-01-21 22:12 -------- d-----w- c:\program files\Fichiers communs\AVSMedia
2010-02-02 18:17 . 2009-08-23 12:46 -------- d-----w- c:\program files\Fichiers communs\Apple
2010-01-29 22:07 . 2006-03-02 12:00 219648 ----a-w- c:\windows\system32\uxtheme.dll
2010-01-24 00:14 . 2010-01-11 21:44 -------- d-----w- c:\program files\DAP
2010-01-23 23:41 . 2010-01-23 23:41 -------- d-----w- c:\program files\Xilisoft
2010-01-23 21:20 . 2009-11-04 21:55 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-01-21 22:17 . 2010-01-21 22:17 -------- d-----w- c:\documents and settings\All Users\Application Data\AVS4YOU
2010-01-20 14:08 . 2010-01-20 14:08 -------- d-----w- c:\program files\Image Convert 1.0
2010-01-20 14:04 . 2010-01-20 13:38 -------- d-----w- c:\documents and settings\Sylvain\Application Data\CoyoteReplay
2010-01-20 13:27 . 2010-01-20 13:27 -------- d-----w- c:\program files\ANI
2010-01-20 13:27 . 2009-08-23 11:07 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-01-20 13:26 . 2010-01-20 13:26 -------- d-----w- c:\program files\D-Link
2010-01-20 13:12 . 2010-01-20 13:12 -------- d-----w- c:\documents and settings\Sylvain\Application Data\InstallShield
2010-01-20 13:07 . 2010-01-20 13:07 -------- d-----w- c:\documents and settings\All Users\Application Data\Ralink Driver
2010-01-20 12:40 . 2009-08-23 11:07 -------- d-----w- c:\program files\ATI Technologies
2010-01-20 12:36 . 2010-01-20 12:35 -------- d-----w- c:\program files\Realtek AC97
2010-01-20 10:22 . 2010-01-20 10:22 -------- d-----w- c:\program files\Intel
2010-01-20 09:53 . 2010-01-20 09:53 -------- d-----w- c:\program files\ma-config.com
2010-01-20 09:53 . 2010-01-20 09:53 -------- d-----w- c:\documents and settings\All Users\Application Data\ma-config.com
2010-01-20 09:49 . 2010-01-20 09:49 -------- d-----w- c:\documents and settings\All Users\Application Data\PC Drivers HeadQuarters
2010-01-19 16:08 . 2009-08-25 18:33 -------- d-----w- c:\program files\Fichiers communs\Adobe
2010-01-19 13:31 . 2009-11-02 21:12 -------- d-----w- c:\program files\CCleaner
2010-01-19 12:51 . 2010-01-19 12:51 -------- d-----w- c:\program files\PowerISO
2010-01-15 22:34 . 2010-01-15 22:01 -------- d-----w- c:\program files\adslTV
2010-01-15 21:44 . 2010-01-15 21:44 -------- d-----w- c:\program files\MSXML 4.0
2010-01-15 21:39 . 2010-01-15 21:39 -------- d-----w- c:\program files\Datel
2010-01-13 16:11 . 2010-01-12 22:09 -------- d-----w- c:\documents and settings\Sylvain\Application Data\DMCache
2010-01-12 11:46 . 2009-12-10 21:54 -------- d-----w- c:\program files\Fichiers communs\Real
2010-01-07 15:07 . 2009-11-04 21:55 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-07 15:07 . 2009-11-04 21:55 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-02 22:25 . 2010-01-02 22:25 -------- d-----w- c:\program files\CodeBlocks
2009-12-31 16:14 . 2006-03-02 12:00 352640 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-21 19:07 . 2006-03-02 12:00 916480 ----a-w- c:\windows\system32\Wininet.dll
2009-12-14 11:33 . 2010-01-20 10:22 53248 ----a-w- c:\windows\system32\CSVer.dll
2009-12-14 07:36 . 2006-03-02 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll
2009-12-11 18:00 . 2009-12-16 21:59 85504 ----a-w- c:\windows\system32\ff_vfw.dll
2009-12-10 21:08 . 2009-08-23 11:14 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-09 10:26 . 2004-08-19 16:04 2059776 ----a-w- c:\windows\system32\ntkrnlpa.exe
2009-12-09 10:26 . 2006-03-02 12:00 2182400 ----a-w- c:\windows\system32\ntoskrnl.exe
2009-12-04 14:41 . 2006-03-02 12:00 453760 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2009-12-01 22:42 . 2009-11-13 13:04 678104 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
2009-11-27 17:34 . 2006-03-02 12:00 1297408 ----a-w- c:\windows\system32\quartz.dll
2009-11-27 17:34 . 2004-08-19 16:09 17920 ----a-w- c:\windows\system32\msyuv.dll
2009-11-27 16:38 . 2006-03-02 12:00 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-11-27 16:38 . 2006-03-02 12:00 28672 ----a-w- c:\windows\system32\msvidc32.dll
2009-11-27 16:38 . 2006-03-02 12:00 11264 ----a-w- c:\windows\system32\msrle32.dll
2009-11-27 16:38 . 2004-08-19 16:09 48128 ----a-w- c:\windows\system32\iyuv_32.dll
2009-11-27 16:38 . 2001-08-23 17:47 8704 ----a-w- c:\windows\system32\tsbyuv.dll
2009-11-26 16:02 . 2010-01-20 13:14 221184 ----a-w- c:\windows\system32\RaCoInst.dll
2009-11-26 16:02 . 2010-01-20 13:07 13931 ----a-w- c:\windows\system32\RaCoInst.dat
2010-01-13 16:15 . 2010-01-20 12:23 251392 ----a-w- c:\program files\opera\program\plugins\dapop.dll
2006-03-02 12:00 . 2010-01-29 22:03 60416 --sha-w- c:\windows\BricoPacks\SysFiles\160_msimn.exe
2006-03-02 12:00 . 2010-01-29 22:03 73728 --sha-w- c:\windows\BricoPacks\SysFiles\209_wmplayer.exe
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FF6C3CF0-4B15-11D1-ABED-709549C10000}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DownloadAccelerator"="c:\program files\DAP\DAP.EXE" [2010-01-13 2803200]
"CursorXP"="c:\program files\CursorXP\CursorXP.exe" [2005-01-19 128000]
"SpeedBitVideoAccelerator"="c:\program files\SpeedBit Video Accelerator\VideoAccelerator.exe" [2010-02-11 1611368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AGRSMMSG"="AGRSMMSG.exe" [2005-04-19 88209]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"AdobeCS4ServiceManager"="c:\program files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]
"PWRISOVM.EXE"="c:\program files\PowerISO\PWRISOVM.EXE" [2009-11-09 180224]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-22 35760]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 577536]
"ANIWZCS2Service"="c:\program files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 49152]
"D-Link D-Link Wireless N DWA-140"="c:\program files\D-Link\D-Link Wireless N DWA-140\AirNCFG.exe" [2008-04-15 1675264]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2010-01-07 429392]
"NeroFilterCheck"="c:\program files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2008-06-19 570664]
"NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-06-08 2221352]
"eabconfg.cpl"="c:\program files\HPQ\Quick Launch Buttons\EabServr.exe" [2004-12-03 290816]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2009-11-22 1037192]
"ISW"="c:\program files\CheckPoint\ZAForceField\ForceField.exe" [2009-10-14 730480]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-02 15360]

[HKLM\~\startupfolder\C:^Documents and Settings^Sylvain^Menu Démarrer^Programmes^Démarrage^LaunchU3.exe.lnk]
path=c:\documents and settings\Sylvain\Menu Démarrer\Programmes\Démarrage\LaunchU3.exe.lnk
backup=c:\windows\pss\LaunchU3.exe.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-01-22 18:16 141608 ----a-w- c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2009-08-27 12:03 39408 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"AdobeBridge"=

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil_.exe"=
"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Fichiers communs\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Opera\\opera.exe"=
"c:\\Program Files\\DAP\\DAP.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\TYPSoft FTP Server\\ftpserv.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"5353:TCP"= 5353:TCP:Adobe CSI CS4
"17860:TCP"= 17860:TCP:BitComet 17860 TCP
"17860:UDP"= 17860:UDP:BitComet 17860 UDP
"55000:TCP"= 55000:TCP:BitComet 55000 TCP
"55000:UDP"= 55000:UDP:BitComet 55000 UDP

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [23/08/2009 12:14 108289]
R2 ISWKL;ZoneAlarm Toolbar ISWKL;c:\program files\CheckPoint\ZAForceField\ISWKL.sys [14/10/2009 14:30 25208]
R2 IswSvc;ZoneAlarm Toolbar IswSvc;c:\program files\CheckPoint\ZAForceField\ISWSVC.exe [14/10/2009 14:30 476528]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [04/11/2009 22:55 236368]
R2 VideoAcceleratorService;VideoAcceleratorService;c:\progra~1\SPEEDB~1\VideoAcceleratorService.exe -start -scm --> c:\progra~1\SPEEDB~1\VideoAcceleratorService.exe -start -scm [?]
R3 CONAN;CONAN;c:\windows\system32\drivers\o2mmb.sys [23/08/2009 12:12 182101]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [04/11/2009 22:55 19160]
R3 MbxStby;MbxStby;c:\windows\system32\drivers\MbxStby.sys [23/08/2009 12:12 5689]
S2 Scutum50;Scutum50 NDIS Protocol Driver;c:\windows\system32\Drivers\Scutum50.sys --> c:\windows\system32\Drivers\Scutum50.sys [?]
S3 CV2K1;CommView Network Monitor;c:\windows\system32\DRIVERS\cv2k1.sys --> c:\windows\system32\DRIVERS\cv2k1.sys [?]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [17/12/2009 19:00 243056]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [02/08/2005 22:10 32512]
S3 rt2870;Ralink 802.11n USB Wireless LAN Card Driver;c:\windows\system32\drivers\rt2870.sys [20/01/2010 14:26 560896]
.
Contenu du dossier 'Tâches planifiées'

2010-02-19 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Clean Traces - c:\program files\DAP\Privacy Package\dapcleanerie.htm
IE: &Download with &DAP - c:\program files\DAP\dapextie.htm
IE: Download &all with DAP - c:\program files\DAP\dapextie2.htm
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Liens de téléchargement avec Mega Manager... - c:\program files\Megaupload\Mega Manager\mm_file.htm
LSP: c:\progra~1\SPEEDB~1\sblsp.dll
TCP: {CCE93BED-ADF2-49C0-A6E1-98AE81F71CA1} = 192.168.1.1
Name-Space Handler: ftp\ZDA - {5BFA1DAF-5EDC-11D2-959E-00C00C02DA5E} - c:\progra~1\DAP\dapie.dll
Name-Space Handler: http\ZDA - {5BFA1DAF-5EDC-11D2-959E-00C00C02DA5E} - c:\progra~1\DAP\dapie.dll
.
- - - - ORPHELINS SUPPRIMES - - - -

WebBrowser-{A057A204-BACC-4D26-C39E-35F1D2A32EC8} - (no file)
WebBrowser-{8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - (no file)

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-24 15:30
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(732)
c:\windows\system32\Ati2evxx.dll
c:\program files\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll

- - - - - - - > 'lsass.exe'(788)
c:\progra~1\SPEEDB~1\sblsp.dll
c:\program files\SpeedBit Video Accelerator\Accelerator.dll
c:\program files\Bonjour\mdnsNSP.dll
c:\program files\SpeedBit Video Accelerator\Collector.dll
c:\program files\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll

- - - - - - - > 'explorer.exe'(1696)
c:\program files\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\program files\Fichiers communs\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe
c:\windows\system32\IoctlSvc.exe
c:\progra~1\SPEEDB~1\VideoAcceleratorService.exe
c:\progra~1\SPEEDB~1\VideoAcceleratorEngine.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\AGRSMMSG.exe
c:\windows\SOUNDMAN.EXE
c:\program files\Microsoft ActiveSync\wcescomm.exe
c:\progra~1\MICROS~2\rapimgr.exe
.
**************************************************************************
.
Heure de fin: 2010-02-24 15:41:48 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-02-24 14:41

Avant-CF: 12 113 911 808 octets libres
Après-CF: 12 220 485 632 octets libres

- - End Of File - - A757E80F2A85EF48A6546E930730CE2A

Rapport ZHPDiag : http://www.cijoint.fr/cjlink.php?file=cj201002/cij46ujAz0.txt

Réponse 12 / 34

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

impec ....

la suite dans l'ordre :

1- Créer un doc texte sur ton bureau:
pointe ta souris sur ton bureau , clique droit / va dans "nouveau" et choisis "document texte" .

* Rends toi sur cette page > http://www.cijoint.fr/cj201002/cijKkD8foG.txt

* copie/colle tout le texte qui s'y trouve ( et rien d'autre!) dans le fichier texte que tu viens de créer :

* Pour sauvegarder, va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ... ( sauvegarde le bien sur le bureau )

2- Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

-->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

Cette manipulation va relancer Combofix .

> Puis patiente le temps du scan ( Le Bureau va disparaître à plusieurs reprises : c'est normal !).

! Ne touches à rien tant que le scan n'est pas terminé !

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

=====================

3- Avoir accès aux fichiers cachés :

Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )

4- Rends toi sur ce site :

https://www.virustotal.com/gui/

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
C:\WINDOWS\System32\ANIWZCS{CCE93BED-ADF2-49C0-A6E1-98AE81F71CA1}

Clique sur Send File ( = " Envoyer le fichier " ).

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses

Fais de même pour :

c:\windows\system32\JJAKEn.dll
c:\windows\system32\WlanApp.dll

Poste moi donc ces 3 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...

Réponse 13 / 34

sylux Messages postés 26 Date d'inscription Statut Membre Dernière intervention 5

Voilà les différents rapports (4), ça fait très lourd à lire...

Rapport ComboFix avec CFScript :

ComboFix 10-02-23.04 - Sylvain 24/02/2010 23:16:54.2.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.511.273 [GMT 1:00]
Lancé depuis: c:\documents and settings\Sylvain\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Sylvain\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

FILE ::
"C:\271_icol.dll"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\271_icol.dll

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TS_LB

((((((((((((((((((((((((((((( Fichiers créés du 2010-01-24 au 2010-02-24 ))))))))))))))))))))))))))))))))))))
.

2010-02-24 11:32 . 2010-02-24 11:50 -------- d-----w- c:\program files\ZHPDiag
2010-02-24 07:48 . 2006-03-02 12:00 347136 -c--a-w- c:\windows\system32\dllcache\tourstrt.exe
2010-02-24 07:48 . 2006-03-02 12:00 347136 ----a-w- c:\windows\system32\tourstart.exe
2010-02-23 22:28 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
2010-02-23 22:16 . 2010-02-23 22:16 -------- d-----w- c:\documents and settings\Sylvain\Application Data\CheckPoint
2010-02-23 22:14 . 2010-02-24 22:28 -------- d-----w- c:\windows\Internet Logs
2010-02-23 21:45 . 2010-02-23 21:45 -------- d-----w- c:\program files\Sunbelt Software
2010-02-19 12:50 . 2010-02-19 12:58 -------- d-----w- C:\devkitPro
2010-02-17 15:51 . 2010-02-17 15:51 -------- d-----w- C:\MinGW
2010-02-17 14:47 . 2010-02-17 14:47 -------- d-----w- c:\documents and settings\Sylvain\.designer
2010-02-17 14:12 . 2010-02-17 14:48 -------- d-----w- c:\documents and settings\Sylvain\Application Data\Nokia
2010-02-17 14:08 . 2010-02-17 14:08 -------- d-----w- C:\Qt
2010-02-16 17:07 . 2010-02-16 17:07 -------- d-----w- C:\wbfs
2010-02-14 00:12 . 2010-02-14 00:12 -------- d-----w- c:\documents and settings\Sylvain\Local Settings\Application Data\Ahead
2010-02-14 00:09 . 2010-02-14 00:09 -------- d-----w- c:\documents and settings\Sylvain\Application Data\Nero
2010-02-14 00:04 . 2010-02-14 00:07 -------- d-----w- c:\program files\Fichiers communs\Nero
2010-02-14 00:04 . 2010-02-14 00:04 -------- d-----w- c:\documents and settings\All Users\Application Data\Nero
2010-02-14 00:04 . 2010-02-14 00:04 -------- d-----w- c:\program files\Nero
2010-02-09 22:08 . 2010-02-09 22:08 -------- d-----w- C:\TYPSoft FTP Server
2010-02-08 21:55 . 2010-02-24 12:52 -------- d-----w- c:\documents and settings\Sylvain\Application Data\vlc
2010-02-08 21:50 . 2010-02-08 21:50 -------- d--h--w- c:\windows\system32\GroupPolicy
2010-02-05 23:01 . 2010-02-05 23:01 -------- d-----w- c:\documents and settings\Sylvain\Application Data\Axialis
2010-02-05 23:01 . 2010-02-06 23:00 -------- d-----w- c:\program files\Axialis
2010-02-05 23:00 . 2010-02-22 22:51 -------- d-----w- c:\documents and settings\Sylvain\Local Settings\Application Data\Axialis
2010-02-04 14:17 . 2010-02-04 14:17 -------- d-----w- c:\documents and settings\Sylvain\Local Settings\Application Data\Blizzard Entertainment
2010-02-04 14:13 . 2010-02-14 22:54 -------- d-----w- c:\program files\Fichiers communs\Blizzard Entertainment
2010-02-02 18:17 . 2010-02-02 18:17 -------- d-----w- c:\program files\iPod
2010-02-02 18:16 . 2010-02-02 18:18 -------- d-----w- c:\program files\iTunes
2010-01-29 22:28 . 2010-01-29 22:28 -------- d-----w- c:\documents and settings\Sylvain\Local Settings\Application Data\Identities
2010-01-29 22:14 . 2010-01-29 22:14 -------- d-----w- c:\documents and settings\Sylvain\Application Data\FindeXer
2010-01-29 22:07 . 2010-01-29 22:07 153367 ----a-w- c:\windows\BricoPackUninst.cmd
2010-01-29 22:06 . 2010-01-29 22:06 -------- d-----w- c:\program files\RK Launcher
2010-01-29 22:06 . 2010-01-29 22:06 -------- d-----w- c:\documents and settings\Sylvain\Local Settings\Application Data\Stardock
2010-01-29 22:06 . 2010-01-29 22:41 -------- d-----w- c:\program files\CursorXP
2010-01-29 22:05 . 2010-02-24 07:48 -------- d-----w- c:\program files\iColorFolder
2010-01-29 22:01 . 2010-01-29 22:07 7909 ----a-w- c:\windows\BricoPackFoldersDelete.cmd
2010-01-29 21:59 . 2010-01-29 21:59 -------- d-----w- c:\windows\BricoPacks
2010-01-29 16:39 . 2010-01-29 16:39 -------- d-----w- c:\documents and settings\Sylvain\Application Data\Mostick
2010-01-28 22:09 . 2010-01-28 22:09 -------- d-----w- c:\documents and settings\All Users\Application Data\U3
2010-01-28 21:30 . 2010-01-28 21:54 -------- d-----w- c:\documents and settings\Sylvain\Application Data\U3
2010-01-27 21:41 . 2010-01-27 21:42 -------- d-----w- c:\program files\OpenXML-ODF Translator
2010-01-26 16:53 . 2010-01-27 23:02 -------- d-----w- c:\program files\Microsoft Works
2010-01-26 16:50 . 2010-01-26 16:50 -------- d-----w- c:\program files\Microsoft.NET
2010-01-26 16:46 . 2010-01-26 16:52 -------- d-----w- c:\windows\SHELLNEW
2010-01-26 16:44 . 2010-01-26 16:44 -------- d-----r- C:\MSOCache

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-24 22:31 . 2010-01-11 21:45 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2010-02-24 21:38 . 2009-08-23 10:58 70424 ----a-w- c:\documents and settings\Sylvain\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-02-24 14:28 . 2010-02-23 22:51 509638 ----a-w- c:\windows\Internet Logs\tvDebug.Zip
2010-02-24 09:56 . 2006-03-02 12:00 81824 ----a-w- c:\windows\system32\perfc00C.dat
2010-02-24 09:56 . 2006-03-02 12:00 503866 ----a-w- c:\windows\system32\perfh00C.dat
2010-02-23 22:15 . 2010-02-23 22:15 -------- d-----w- c:\program files\CheckPoint
2010-02-23 22:15 . 2010-02-23 22:15 4212 ---ha-w- c:\windows\system32\zllictbl.dat
2010-02-23 22:15 . 2010-02-23 22:15 -------- d-----w- c:\program files\Zone Labs
2010-02-23 08:19 . 2006-03-02 12:00 95360 ------w- c:\windows\system32\drivers\atapi.sys
2010-02-22 13:32 . 2010-01-11 21:44 -------- d-----w- c:\documents and settings\All Users\Application Data\SpeedBit
2010-02-19 23:38 . 2009-08-29 20:52 -------- d-----w- c:\documents and settings\Sylvain\Application Data\dvdcss
2010-02-19 18:09 . 2009-08-25 18:37 -------- d-----w- c:\documents and settings\Sylvain\Application Data\codeblocks
2010-02-12 16:24 . 2010-01-12 15:35 -------- d-----w- c:\program files\SpeedBit Video Accelerator
2010-02-10 14:22 . 2009-08-23 17:31 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-02-09 22:17 . 2009-11-15 22:13 -------- d-----w- c:\documents and settings\Sylvain\Application Data\uTorrent
2010-02-03 12:47 . 2010-01-21 22:19 -------- d-----w- c:\documents and settings\Sylvain\Application Data\AVS4YOU
2010-02-03 12:45 . 2010-01-21 22:05 -------- d-----w- c:\program files\AVS4YOU
2010-02-03 12:27 . 2009-12-03 14:44 -------- d-----w- c:\program files\Free Video Converter
2010-02-02 22:04 . 2010-01-21 22:12 -------- d-----w- c:\program files\Fichiers communs\AVSMedia
2010-02-02 18:17 . 2009-08-23 12:46 -------- d-----w- c:\program files\Fichiers communs\Apple
2010-01-29 22:07 . 2006-03-02 12:00 219648 ----a-w- c:\windows\system32\uxtheme.dll
2010-01-24 00:14 . 2010-01-11 21:44 -------- d-----w- c:\program files\DAP
2010-01-23 23:41 . 2010-01-23 23:41 -------- d-----w- c:\program files\Xilisoft
2010-01-23 21:20 . 2009-11-04 21:55 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-01-21 22:17 . 2010-01-21 22:17 -------- d-----w- c:\documents and settings\All Users\Application Data\AVS4YOU
2010-01-20 14:08 . 2010-01-20 14:08 -------- d-----w- c:\program files\Image Convert 1.0
2010-01-20 14:04 . 2010-01-20 13:38 -------- d-----w- c:\documents and settings\Sylvain\Application Data\CoyoteReplay
2010-01-20 13:27 . 2010-01-20 13:27 -------- d-----w- c:\program files\ANI
2010-01-20 13:27 . 2009-08-23 11:07 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-01-20 13:26 . 2010-01-20 13:26 -------- d-----w- c:\program files\D-Link
2010-01-20 13:12 . 2010-01-20 13:12 -------- d-----w- c:\documents and settings\Sylvain\Application Data\InstallShield
2010-01-20 13:07 . 2010-01-20 13:07 -------- d-----w- c:\documents and settings\All Users\Application Data\Ralink Driver
2010-01-20 12:40 . 2009-08-23 11:07 -------- d-----w- c:\program files\ATI Technologies
2010-01-20 12:36 . 2010-01-20 12:35 -------- d-----w- c:\program files\Realtek AC97
2010-01-20 10:22 . 2010-01-20 10:22 -------- d-----w- c:\program files\Intel
2010-01-20 09:53 . 2010-01-20 09:53 -------- d-----w- c:\program files\ma-config.com
2010-01-20 09:53 . 2010-01-20 09:53 -------- d-----w- c:\documents and settings\All Users\Application Data\ma-config.com
2010-01-20 09:49 . 2010-01-20 09:49 -------- d-----w- c:\documents and settings\All Users\Application Data\PC Drivers HeadQuarters
2010-01-19 16:08 . 2009-08-25 18:33 -------- d-----w- c:\program files\Fichiers communs\Adobe
2010-01-19 13:31 . 2009-11-02 21:12 -------- d-----w- c:\program files\CCleaner
2010-01-19 12:51 . 2010-01-19 12:51 -------- d-----w- c:\program files\PowerISO
2010-01-15 22:34 . 2010-01-15 22:01 -------- d-----w- c:\program files\adslTV
2010-01-15 21:44 . 2010-01-15 21:44 -------- d-----w- c:\program files\MSXML 4.0
2010-01-15 21:39 . 2010-01-15 21:39 -------- d-----w- c:\program files\Datel
2010-01-13 16:11 . 2010-01-12 22:09 -------- d-----w- c:\documents and settings\Sylvain\Application Data\DMCache
2010-01-12 11:46 . 2009-12-10 21:54 -------- d-----w- c:\program files\Fichiers communs\Real
2010-01-07 15:07 . 2009-11-04 21:55 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-07 15:07 . 2009-11-04 21:55 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-02 22:25 . 2010-01-02 22:25 -------- d-----w- c:\program files\CodeBlocks
2009-12-31 16:14 . 2006-03-02 12:00 352640 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-21 19:07 . 2006-03-02 12:00 916480 ------w- c:\windows\system32\Wininet.dll
2009-12-14 11:33 . 2010-01-20 10:22 53248 ----a-w- c:\windows\system32\CSVer.dll
2009-12-14 07:36 . 2006-03-02 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll
2009-12-11 18:00 . 2009-12-16 21:59 85504 ----a-w- c:\windows\system32\ff_vfw.dll
2009-12-10 21:08 . 2009-08-23 11:14 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-09 10:26 . 2004-08-19 16:04 2059776 ------w- c:\windows\system32\ntkrnlpa.exe
2009-12-09 10:26 . 2006-03-02 12:00 2182400 ------w- c:\windows\system32\ntoskrnl.exe
2009-12-04 14:41 . 2006-03-02 12:00 453760 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2009-12-01 22:42 . 2009-11-13 13:04 678104 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
2009-11-27 17:34 . 2006-03-02 12:00 1297408 ----a-w- c:\windows\system32\quartz.dll
2009-11-27 17:34 . 2004-08-19 16:09 17920 ----a-w- c:\windows\system32\msyuv.dll
2009-11-27 16:38 . 2006-03-02 12:00 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-11-27 16:38 . 2006-03-02 12:00 28672 ----a-w- c:\windows\system32\msvidc32.dll
2009-11-27 16:38 . 2006-03-02 12:00 11264 ----a-w- c:\windows\system32\msrle32.dll
2009-11-27 16:38 . 2004-08-19 16:09 48128 ----a-w- c:\windows\system32\iyuv_32.dll
2009-11-27 16:38 . 2001-08-23 17:47 8704 ----a-w- c:\windows\system32\tsbyuv.dll
2010-01-13 16:15 . 2010-01-20 12:23 251392 ----a-w- c:\program files\opera\program\plugins\dapop.dll
2006-03-02 12:00 . 2010-01-29 22:03 60416 --sha-w- c:\windows\BricoPacks\SysFiles\160_msimn.exe
2006-03-02 12:00 . 2010-01-29 22:03 73728 --sha-w- c:\windows\BricoPacks\SysFiles\209_wmplayer.exe
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FF6C3CF0-4B15-11D1-ABED-709549C10000}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DownloadAccelerator"="c:\program files\DAP\DAP.EXE" [2010-01-13 2803200]
"CursorXP"="c:\program files\CursorXP\CursorXP.exe" [2005-01-19 128000]
"SpeedBitVideoAccelerator"="c:\program files\SpeedBit Video Accelerator\VideoAccelerator.exe" [2010-02-11 1611368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AGRSMMSG"="AGRSMMSG.exe" [2005-04-19 88209]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"AdobeCS4ServiceManager"="c:\program files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]
"PWRISOVM.EXE"="c:\program files\PowerISO\PWRISOVM.EXE" [2009-11-09 180224]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-22 35760]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 577536]
"ANIWZCS2Service"="c:\program files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 49152]
"D-Link D-Link Wireless N DWA-140"="c:\program files\D-Link\D-Link Wireless N DWA-140\AirNCFG.exe" [2008-04-15 1675264]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2010-01-07 429392]
"NeroFilterCheck"="c:\program files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2008-06-19 570664]
"NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-06-08 2221352]
"eabconfg.cpl"="c:\program files\HPQ\Quick Launch Buttons\EabServr.exe" [2004-12-03 290816]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2009-11-22 1037192]
"ISW"="c:\program files\CheckPoint\ZAForceField\ForceField.exe" [2009-10-14 730480]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-02 15360]

[HKLM\~\startupfolder\C:^Documents and Settings^Sylvain^Menu Démarrer^Programmes^Démarrage^LaunchU3.exe.lnk]
path=c:\documents and settings\Sylvain\Menu Démarrer\Programmes\Démarrage\LaunchU3.exe.lnk
backup=c:\windows\pss\LaunchU3.exe.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-01-22 18:16 141608 ----a-w- c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2009-08-27 12:03 39408 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"AdobeBridge"=

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil_.exe"=
"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Fichiers communs\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Opera\\opera.exe"=
"c:\\Program Files\\DAP\\DAP.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\TYPSoft FTP Server\\ftpserv.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"5353:TCP"= 5353:TCP:Adobe CSI CS4
"17860:TCP"= 17860:TCP:BitComet 17860 TCP
"17860:UDP"= 17860:UDP:BitComet 17860 UDP
"55000:TCP"= 55000:TCP:BitComet 55000 TCP
"55000:UDP"= 55000:UDP:BitComet 55000 UDP

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [23/08/2009 12:14 108289]
R2 ISWKL;ZoneAlarm Toolbar ISWKL;c:\program files\CheckPoint\ZAForceField\ISWKL.sys [14/10/2009 14:30 25208]
R2 IswSvc;ZoneAlarm Toolbar IswSvc;c:\program files\CheckPoint\ZAForceField\ISWSVC.exe [14/10/2009 14:30 476528]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [04/11/2009 22:55 236368]
R2 VideoAcceleratorService;VideoAcceleratorService;c:\progra~1\SPEEDB~1\VideoAcceleratorService.exe -start -scm --> c:\progra~1\SPEEDB~1\VideoAcceleratorService.exe -start -scm [?]
R3 CONAN;CONAN;c:\windows\system32\drivers\o2mmb.sys [23/08/2009 12:12 182101]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [04/11/2009 22:55 19160]
R3 MbxStby;MbxStby;c:\windows\system32\drivers\MbxStby.sys [23/08/2009 12:12 5689]
S2 Scutum50;Scutum50 NDIS Protocol Driver;c:\windows\system32\Drivers\Scutum50.sys --> c:\windows\system32\Drivers\Scutum50.sys [?]
S3 CV2K1;CommView Network Monitor;c:\windows\system32\DRIVERS\cv2k1.sys --> c:\windows\system32\DRIVERS\cv2k1.sys [?]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [17/12/2009 19:00 243056]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [02/08/2005 22:10 32512]
S3 rt2870;Ralink 802.11n USB Wireless LAN Card Driver;c:\windows\system32\drivers\rt2870.sys [20/01/2010 14:26 560896]
.
Contenu du dossier 'Tâches planifiées'

2010-02-19 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Clean Traces - c:\program files\DAP\Privacy Package\dapcleanerie.htm
IE: &Download with &DAP - c:\program files\DAP\dapextie.htm
IE: Download &all with DAP - c:\program files\DAP\dapextie2.htm
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Liens de téléchargement avec Mega Manager... - c:\program files\Megaupload\Mega Manager\mm_file.htm
LSP: c:\progra~1\SPEEDB~1\sblsp.dll
TCP: {CCE93BED-ADF2-49C0-A6E1-98AE81F71CA1} = 192.168.1.1
Name-Space Handler: ftp\ZDA - {5BFA1DAF-5EDC-11D2-959E-00C00C02DA5E} - c:\progra~1\DAP\dapie.dll
Name-Space Handler: http\ZDA - {5BFA1DAF-5EDC-11D2-959E-00C00C02DA5E} - c:\progra~1\DAP\dapie.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-24 23:28
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(736)
c:\windows\system32\Ati2evxx.dll
c:\program files\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll

- - - - - - - > 'lsass.exe'(792)
c:\progra~1\SPEEDB~1\sblsp.dll
c:\program files\SpeedBit Video Accelerator\Accelerator.dll
c:\program files\Bonjour\mdnsNSP.dll
c:\program files\SpeedBit Video Accelerator\Collector.dll
c:\program files\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll

- - - - - - - > 'explorer.exe'(208)
c:\program files\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\program files\Fichiers communs\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe
c:\windows\system32\IoctlSvc.exe
c:\progra~1\SPEEDB~1\VideoAcceleratorService.exe
c:\progra~1\SPEEDB~1\VideoAcceleratorEngine.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\AGRSMMSG.exe
c:\windows\SOUNDMAN.EXE
c:\program files\Microsoft ActiveSync\wcescomm.exe
c:\progra~1\MICROS~2\rapimgr.exe
.
**************************************************************************
.
Heure de fin: 2010-02-24 23:41:55 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-02-24 22:41
ComboFix2.txt 2010-02-24 14:41

Avant-CF: 12 214 611 968 octets libres
Après-CF: 12 145 405 952 octets libres

- - End Of File - - 2C745F186F315C518345AC0E6D16714C

==================================================================

***ANIWZCS{CCE93BED-ADF2-49C0-A6E1-98AE81F71CA1} :

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.02.24 -
AhnLab-V3 5.0.0.2 2010.02.24 -
AntiVir 8.2.1.172 2010.02.24 -
Antiy-AVL 2.0.3.7 2010.02.24 -
Authentium 5.2.0.5 2010.02.24 -
Avast 4.8.1351.0 2010.02.24 -
Avast5 5.0.332.0 2010.02.24 -
AVG 9.0.0.730 2010.02.24 -
BitDefender 7.2 2010.02.24 -
CAT-QuickHeal 10.00 2010.02.24 -
ClamAV 0.96.0.0-git 2010.02.24 -
Comodo 4052 2010.02.24 -
DrWeb 5.0.1.12222 2010.02.24 -
eSafe 7.0.17.0 2010.02.24 -
eTrust-Vet 35.2.7327 2010.02.24 -
F-Prot 4.5.1.85 2010.02.24 -
F-Secure 9.0.15370.0 2010.02.24 -
Fortinet 4.0.14.0 2010.02.21 -
GData 19 2010.02.24 -
Ikarus T3.1.1.80.0 2010.02.24 -
Jiangmin 13.0.900 2010.02.24 -
K7AntiVirus 7.10.981 2010.02.23 -
Kaspersky 7.0.0.125 2010.02.24 -
McAfee 5902 2010.02.24 -
McAfee+Artemis 5902 2010.02.24 -
McAfee-GW-Edition 6.8.5 2010.02.24 -
Microsoft 1.5406 2010.02.24 -
NOD32 4893 2010.02.24 -
Norman 6.04.08 2010.02.24 -
nProtect 2009.1.8.0 2010.02.24 -
Panda 10.0.2.2 2010.02.24 -
PCTools 7.0.3.5 2010.02.24 -
Prevx 3.0 2010.02.24 -
Rising 22.34.01.03 2010.02.11 -
Sophos 4.50.0 2010.02.24 -
Sunbelt 5697 2010.02.24 -
Symantec 20091.2.0.41 2010.02.24 -
TheHacker 6.5.1.6.209 2010.02.24 -
TrendMicro 9.120.0.1004 2010.02.24 -
VBA32 3.12.12.2 2010.02.24 -
ViRobot 2010.2.24.2200 2010.02.24 -
VirusBuster 5.0.27.0 2010.02.24 -
Information additionnelle
File size: 3284 bytes
MD5...: cbe4a4db68d7cf408abae65c498b5268
SHA1..: 82454eb376bc7222f195a61f2297c99c0f320726
SHA256: c9f022da061329ceb284368e88ec0a4c48905bcc956e7727b4d4e69f9f98fe3d
ssdeep: 3:Pl/3zAg/Ulll4lnTHNjMvlTHNjMvlTHNjMvlTHNjMvn/Vl/l/l/lhQgLAEd3zA
gX:x2QFMPMPMPM3JbAq0uZl/
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: OpenGL object (49.7%)
Lotus 123 Worksheet (generic) (24.9%)
MacBinary 1 header (12.7%)
MacBinary 2 header (12.4%)
MS Flight Simulator Aircraft Performance Info (0.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

***JJAKEn.dll :

a-squared 4.5.0.50 2010.02.24 -
AhnLab-V3 5.0.0.2 2010.02.24 -
AntiVir 8.2.1.172 2010.02.24 -
Antiy-AVL 2.0.3.7 2010.02.24 -
Authentium 5.2.0.5 2010.02.24 -
Antivirus Version Dernière mise à jour Résultat
Avast 4.8.1351.0 2010.02.24 -
Avast5 5.0.332.0 2010.02.24 -
AVG 9.0.0.730 2010.02.24 -
BitDefender 7.2 2010.02.24 -
CAT-QuickHeal 10.00 2010.02.24 -
ClamAV 0.96.0.0-git 2010.02.24 -
Comodo 4052 2010.02.24 -
DrWeb 5.0.1.12222 2010.02.24 -
eSafe 7.0.17.0 2010.02.24 -
eTrust-Vet 35.2.7327 2010.02.24 -
F-Prot 4.5.1.85 2010.02.24 -
F-Secure 9.0.15370.0 2010.02.24 -
Fortinet 4.0.14.0 2010.02.21 -
GData 19 2010.02.24 -
Ikarus T3.1.1.80.0 2010.02.24 -
Jiangmin 13.0.900 2010.02.24 -
K7AntiVirus 7.10.981 2010.02.23 -
Kaspersky 7.0.0.125 2010.02.24 -
McAfee 5902 2010.02.24 -
McAfee+Artemis 5902 2010.02.24 -
McAfee-GW-Edition 6.8.5 2010.02.24 -
Microsoft 1.5406 2010.02.24 -
NOD32 4893 2010.02.24 -
Norman 6.04.08 2010.02.24 -
nProtect 2009.1.8.0 2010.02.24 -
Panda 10.0.2.2 2010.02.24 -
PCTools 7.0.3.5 2010.02.24 -
Prevx 3.0 2010.02.24 -
Rising 22.34.01.03 2010.02.11 -
Sophos 4.50.0 2010.02.24 -
Sunbelt 5697 2010.02.24 -
Symantec 20091.2.0.41 2010.02.24 -
TheHacker 6.5.1.6.209 2010.02.24 -
TrendMicro 9.120.0.1004 2010.02.24 -
VBA32 3.12.12.2 2010.02.24 -
ViRobot 2010.2.24.2200 2010.02.24 -
VirusBuster 5.0.27.0 2010.02.24 -
Information additionnelle
File size: 49152 bytes
MD5...: b9fecd748f2d0096bcf1da11579eba13
SHA1..: 01d8908429d05246376e5583c4c3f9ecba54b31c
SHA256: f37ec3159500335e7d252993a5aab4843e482f76f73549f05bb670b8b3d4fc2b
ssdeep: 768:HGs24q53dpPYxj/0Baho9S4AJKqBz8MZ2pHlA:me+3dpPY9/0N9S4A3spFA
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2fd7
timedatestamp.....: 0x42f1adae (Thu Aug 04 05:54:54 2005)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2156 0x3000 5.10 1a458ddfe99621ff4c71fed02de4a2d6
.rdata 0x4000 0x40f1 0x5000 6.45 11f734264df7ef8af9d2ad2b9f8702f7
.data 0x9000 0x1314 0x1000 0.62 03c4d885938ccadd6c203aacc158c4ed
.rsrc 0xb000 0x350 0x1000 0.87 4401212d5935d81ad617a2e834011f44
.reloc 0xc000 0x340 0x1000 1.74 2b909f684e307632182942796b68ad6e

( 3 imports )
> MFC42.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> MSVCRT.dll: _adjust_fdiv, malloc, _initterm, free, __1type_info@@UAE@XZ, _onexit, __dllonexit, _CxxThrowException, __0exception@@QAE@ABQBD@Z, __1exception@@UAE@XZ, __0exception@@QAE@ABV0@@Z, __CxxFrameHandler
> KERNEL32.dll: LocalFree, LocalAlloc

( 2 exports )
JJDe, JJEn
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Dynamic Link Library (generic) (65.4%)
Generic Win/DOS Executable (17.2%)
DOS Executable Generic (17.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....:
copyright....: Copyright (C) 2005
product......: JJAKEn Dynamic Link Library
description..: JJAKEn DLL
original name: JJAKEn.DLL
internal name: JJAKEn
file version.: 1, 0, 0, 1
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

***WlanApp.dll :

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.02.24 -
AhnLab-V3 5.0.0.2 2010.02.24 -
AntiVir 8.2.1.172 2010.02.24 -
Antiy-AVL 2.0.3.7 2010.02.24 -
Authentium 5.2.0.5 2010.02.24 -
Avast 4.8.1351.0 2010.02.24 -
Avast5 5.0.332.0 2010.02.24 -
AVG 9.0.0.730 2010.02.24 -
BitDefender 7.2 2010.02.24 -
CAT-QuickHeal 10.00 2010.02.24 -
ClamAV 0.96.0.0-git 2010.02.24 -
Comodo 4052 2010.02.24 -
DrWeb 5.0.1.12222 2010.02.24 -
eSafe 7.0.17.0 2010.02.24 -
eTrust-Vet 35.2.7327 2010.02.24 -
F-Prot 4.5.1.85 2010.02.24 -
F-Secure 9.0.15370.0 2010.02.24 -
Fortinet 4.0.14.0 2010.02.21 -
GData 19 2010.02.24 -
Ikarus T3.1.1.80.0 2010.02.24 -
Jiangmin 13.0.900 2010.02.24 -
K7AntiVirus 7.10.981 2010.02.23 -
Kaspersky 7.0.0.125 2010.02.24 -
McAfee 5902 2010.02.24 -
McAfee+Artemis 5902 2010.02.24 -
McAfee-GW-Edition 6.8.5 2010.02.24 -
Microsoft 1.5406 2010.02.24 -
NOD32 4893 2010.02.24 -
Norman 6.04.08 2010.02.24 -
nProtect 2009.1.8.0 2010.02.24 -
Panda 10.0.2.2 2010.02.24 -
PCTools 7.0.3.5 2010.02.24 -
Rising 22.34.01.03 2010.02.11 -
Sophos 4.50.0 2010.02.24 -
Sunbelt 5697 2010.02.24 -
Symantec 20091.2.0.41 2010.02.24 -
TheHacker 6.5.1.6.209 2010.02.24 -
TrendMicro 9.120.0.1004 2010.02.24 -
VBA32 3.12.12.2 2010.02.24 -
ViRobot 2010.2.24.2200 2010.02.24 -
VirusBuster 5.0.27.0 2010.02.24 -
Information additionnelle
File size: 245760 bytes
MD5...: 05a0d40aab3d2cd5af532943d92de69b
SHA1..: 4c920cdd8db40df0208c0d5eabcfe8400f7cb55d
SHA256: 4c117aac9e2a86df166588a2942d6048e29b46341340d9b5603d988b4deb9903
ssdeep: 6144:TpoW072XqZUrt41Qaar19YqqDLu5C+D8z1:Tk72XsUrt4UqnuYt
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2849d
timedatestamp.....: 0x475e3ddf (Tue Dec 11 07:35:59 2007)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2afda 0x2b000 6.39 4d2bf9ac8d2c4987aa918453629a472f
.rdata 0x2c000 0x890c 0x9000 6.27 9da36c1824a7715d906ae4e7b75ec18f
.data 0x35000 0x36ac 0x3000 4.36 e5b359e109d42f27df3463669f0d705d
.rsrc 0x39000 0x400 0x1000 1.07 8ff120e8f050326dffa557b52de3135d
.reloc 0x3a000 0x2e12 0x3000 5.93 34425f7281a1d74e583aef64aa080622

( 10 imports )
> SHLWAPI.dll: StrToIntExA
> CRYPT32.dll: CertOpenStore, CertOpenSystemStoreA, CertEnumCertificatesInStore
> CRYPTUI.dll: CryptUIWizExport
> MFC42.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> MSVCRT.dll: __1type_info@@UAE@XZ, _adjust_fdiv, malloc, _initterm, _onexit, __dllonexit, atoi, memmove, sprintf, strtoul, rand, _iob, fprintf, _CxxThrowException, _mbscmp, __CxxFrameHandler, _mbsicmp, free
> KERNEL32.dll: LocalAlloc, LocalFree, LoadLibraryA, GetModuleHandleA, GetCurrentProcess, GetWindowsDirectoryA, EnterCriticalSection, LeaveCriticalSection, CallNamedPipeA, WaitForSingleObject, GetCurrentProcessId, SetEvent, ReleaseMutex, FreeLibrary, DeleteCriticalSection, InitializeCriticalSection, OpenFileMappingA, MapViewOfFile, UnmapViewOfFile, CreateMutexA, CreateEventA, InterlockedDecrement, GetProcAddress, GetSystemTime, LockFile, WriteFile, UnlockFile, CreateFileA, CloseHandle, SetFilePointer, ReadFile, GetFileSize, VirtualAlloc, VirtualFree, lstrlenA, lstrcpyA, lstrcatA, lstrcmpA, GetVersionExA, DeleteFileA, MultiByteToWideChar, GetTickCount, GetSystemDirectoryA, GetLastError
> ADVAPI32.dll: CloseServiceHandle, QueryServiceStatus, RegEnumKeyExA, RegGetKeySecurity, RegSetKeySecurity, GetUserNameA, RegDeleteValueA, RegDeleteKeyA, RegCreateKeyExA, RegSetValueExA, RegEnumValueA, RegEnumKeyA, RegQueryInfoKeyA, RegQueryValueExA, RegOpenKeyExA, RegCloseKey, GetFileSecurityA, SetFileSecurityA, OpenSCManagerA, OpenServiceA
> ole32.dll: CoUninitialize, CoInitialize, CoCreateInstance
> OLEAUT32.dll: -, -, -, -, -
> VERSION.dll: VerQueryValueA, GetFileVersionInfoA, GetFileVersionInfoSizeA

( 137 exports )
ANSC_CopyVPK2InstPath, ANSC_Filter_AddEX, ANSC_Filter_Delete, ANSC_Filter_GetAt, ANSC_Filter_GetCount, ANSC_GetCurStatus, ANSC_GetVendorPK, ANSC_SendCmd_TriggerSkip, ANSC_SetCurStatus, Adv_GetAESCapable, Adv_GetAccessMode, Adv_GetAutoConnect, Adv_GetControlFlag, Adv_GetCurrWEPKeyLength, Adv_GetGroupRoaming, Adv_GetHoldUI, Adv_GetIPConfig, Adv_GetIdle, Adv_GetKeepConnect, Adv_GetRadioOFF, Adv_GetRescanWaitTime, Adv_SetAESCapable, Adv_SetAccessMode, Adv_SetAutoConnect, Adv_SetControlFlag, Adv_SetCurrWEPKeyLength, Adv_SetGroupRoaming, Adv_SetHoldUI, Adv_SetIPConfig, Adv_SetIdle, Adv_SetKeepConnect, Adv_SetRadioOFF, Adv_SetRescanWaitTime, Cvt_AscToHex, Cvt_FrequencyToChannel, Cvt_KeyStrToByte, Cvt_RssiToSignalPercent, Cvt_StrIPToByteIP, Gen_CreateWZCProfile, Gen_Delete_WpaSupplicantConf, Gen_GetBackupDescPath, Gen_GetDeviceDesc, Gen_GetDriverVersion, Gen_GetSavedRegPath, Gen_GetVender, Gen_IsUseWpaSupplicant, Gen_IsZeroConfiguration, Gen_SendCmdToWZCBDL, Gen_SendIdleToWZCBDL, Gen_SetRegKey2HLM, Gen_SetVender, Gen_WPASupplicant_Conf, GroupCtrl_GetFixed, GroupCtrl_SetFixed, Group_Add, Group_ClearRoot, Group_Copy, Group_CopyFromRootTo, Group_CopyToRootFrom, Group_Delete, Group_GetAllCount, Group_GetCurrent, Group_GetFixIndex, Group_GetNameAt, Group_ReName, Group_SetCurrent, Group_SetFixIndex, Profile_ANSC, Profile_Add, Profile_AddEX, Profile_Backup, Profile_ConnectFix, Profile_ConnectRescan, Profile_DeleteAt, Profile_Export, Profile_GetActiveIndex, Profile_GetAdhocCount, Profile_GetAllCount, Profile_GetAt, Profile_GetCycleCount, Profile_GetInfraCount, Profile_GetStartAtIndex, Profile_Import, Profile_InsertAt, Profile_IsExist, Profile_MoveDown, Profile_MoveTo, Profile_MoveUp, Profile_ReadFromFile, Profile_Restore, Profile_RestoreBasic2User, Profile_SetActiveIndex, Profile_SetCycleCount, Profile_SetStartAtIndex, Profile_UpdateAt, Profile_WriteToFile, SonySAKE_Connect, SonySAKE_GetDeviceInfo, SonySAKE_Profile_Add, SonySAKE_Profile_Get, SonySAKE_SetDeviceInfo, TempProfile_Add, TempProfile_Get, VisWlanapi_SetWlanHandle, VisWlanapi_WlanConnect, WPA2_GetCapable, WPA2_SetCapable, WPA_DeleteAllCertServerName, WPA_GetANSCInfoMsg1, WPA_GetANSCInfoMsg2, WPA_GetANSCInfoTitle, WPA_GetAllServerCertCount, WPA_GetCapable, WPA_GetServerCertNameAt, WPA_GetValidateServerMsg1, WPA_GetValidateServerMsg2, WPA_GetValidateServerTitle, WPA_SetANSCInfo, WPA_SetCapable, WPA_SetServerCertNameAt, WPA_SetServerCertNameAtEX, WPA_SetValidateServerInfo, Wisecon_GetCurError, Wisecon_GetCurState, Wisecon_GetCurStatus, Wisecon_GetNakErrorMessage, Wisecon_GetNakErrorType, Wisecon_GetPinRetryCount, Wisecon_GetTlsError, Wisecon_Profile_AddEX, Wisecon_Profile_Delete, Wisecon_Profile_GetAt, Wisecon_Profile_GetCount, Wisecon_SetCurStatus, Wisecon_SetNakError, Wisecon_SetPinRetryCount, Wisecon_SetTlsError
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (53.1%)
Windows Screen Saver (18.4%)
Win32 Executable Generic (12.0%)
Win32 Dynamic Link Library (generic) (10.6%)
Generic Win/DOS Executable (2.8%)
sigcheck:
publisher....:
copyright....: Copyright (C) 2007, All Rights Reserved.
product......: WlanApp Dynamic Link Library
description..: WlanApp DLL
original name: WlanApp.DLL
internal name: WlanApp
file version.: 1, 0, 34, 1211
comments.....:
signers......: -
signing date.: -
verified.....: Unsigned

=================================================

Je vais terminer cette soirée par ces manipulations, je te souhaite une bonne nuit et espère te retrouver très prochainement ^^

Réponse 14 / 34

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

Impec ...

On a bien avancé ...

la suite pour demain ... dans l'ordre :

1- Télécharge Ad-remover ( de C_XX ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
ou ici https://www.androidworld.fr/

! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !

• Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

• Au menu principal choisis l'option "S" et tape sur [entrée] .

• le scan démarre , laisse travailler l'outil et ne touche à rien ...

/!\ l'outil donne l'impression qu'il a planté et qu'il ne se passe rien , mais ce n'est pas le cas ! ( le scan est très discret et assez long , donc patience ... )

--> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...

( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus :
(AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Aides en images (Installation) : http://pagesperso-orange.fr/NosTools/tuto_ad_r1.html
Aides en images (Recherche) : http://pagesperso-orange.fr/NosTools/tuto_ad_r2.html

========================

2- Télécharge UsbFix ( de C_XX, Chimay8 & El desaparecido ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou ici https://www.ionos.fr/?affiliate_id=77097

! Déconnecte toi d'internet et ferme toutes applications en cours !

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

Réponse 15 / 34

sylux Messages postés 26 Date d'inscription Statut Membre Dernière intervention 5

Rapport AD-Remover :

.
======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 05.02.2010 à 17:34
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 9:47:30, 25/02/2010 | Mode Normal | Option: SCAN
Exécuté de: C:\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™ Service Pack 2 v5.1.2600
Nom du PC: HP | Utilisateur actuel: Sylvain
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.

.
HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
HKCU\software\TCP Loader
HKLM\Software\Classes\Interface\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}
HKU\s-1-5-21-1214440339-1677128483-854245398-1003\software\TCP Loader
.
============== Scan additionnel ==============
.
.
* Internet Explorer Version 8.0.6001.18702 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://www.google.fr/
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Enable Browser Extensions: YES
Use Search Asst:
Start Page Redirect Cache: hxxp://fr.msn.com/?ocid=iehp
Start Page Redirect Cache_TIMESTAMP: 90104f02da5cca01
Start Page Redirect Cache AcceptLangs: fr
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Search Bar: hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: hxxp://search.speedbit.com/tab/
.
============== Suspect (Cracks, Serials, ...) ==============
.
C:\Documents and Settings\Sylvain\Application Data\uTorrent\AVS Video Converter 6.3.3.371 + CRACK - nVidia840.torrent
C:\Documents and Settings\Sylvain\Application Data\uTorrent\PowerISO_4.6___Serial.rar.torrent
C:\Documents and Settings\Sylvain\Mes documents\Games\Tools\Hack rom\DSlazy\ndspatch.exe
.
===================================
.
2390 Octet(s) - C:\Ad-Report-SCAN[1].log
.
23 Fichier(s) - C:\DOCUME~1\Sylvain\LOCALS~1\Temp
14 Fichier(s) - C:\WINDOWS\Temp
129 Fichier(s) - C:\WINDOWS\Prefetch
.
1 Fichier(s) - C:\Ad-Remover\BACKUP
0 Fichier(s) - C:\Ad-Remover\QUARANTINE
.
Fin à: 9:57:59 | 25/02/2010 - SCAN[1]
.
============== E.O.F ==============
.

Réponse 16 / 34

sylux Messages postés 26 Date d'inscription Statut Membre Dernière intervention 5

Rapport UsbFix :

############################## | UsbFix V6.097 |

User : Sylvain (Administrateurs) # HP
Update on 20/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 10:21:47 | 25/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) M processor 1.60GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | Updated ]
FW : ZoneAlarm Firewall[ (!) Disabled ]9.1.007.002

C:\ -> Disque fixe local # 37,25 Go (11,27 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque fixe local # 117,19 Go (90,24 Go free) [Iomega] # NTFS
F:\ -> Disque amovible # 7,51 Go (4,82 Go free) [SYLUX] # NTFS
G:\ -> Disque fixe local

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\CheckPoint\ZAForceField\ForceField.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\SPEEDB~1\VideoAcceleratorEngine.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Program Files\D-Link\D-Link Wireless N DWA-140\AirNCFG.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\DAP\DAP.EXE
C:\Program Files\SpeedBit Video Accelerator\VideoAccelerator.exe
C:\PROGRA~1\MICROS~2\rapimgr.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Elements infectieux |

C:\temp.txt

################## | Registre |

[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

################## | Mountpoints2 |

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné !

################## | ! Fin du rapport # UsbFix V6.097 ! |

Réponse 17 / 34

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

hello,

on contiue .... dans l'ordre :

1- ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !

• Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

• Au menu principal choisis cette fois l'option "L" et tape sur [entrée] .

• Le nettoyage débute > Laisse travailler l'outil et ne touche à rien !...

/!\ l'outil donne l'impression qu'il a planté et qu'il ne se passe rien , mais ce n'est pas le cas ! ( le scan est très discret et assez long , donc patience ... )

--> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ...

( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log)
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

========================

2- ! Déconnecte toi d'internet et ferme toutes applications en cours !

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil .

# Cette fois ci , tu choisis l' option 2 ( Suppression ) .

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

# Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .

( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\

============================

3- Télécharge CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "français" en langue .
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

============================

4- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

Réponse 18 / 34

sylux Messages postés 26 Date d'inscription Statut Membre Dernière intervention 5

Rapprt AD-Remover :

.
======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 05.02.2010 à 17:34
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 11:40:58, 25/02/2010 | Mode Normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™ Service Pack 2 v5.1.2600
Nom du PC: HP | Utilisateur actuel: Sylvain
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.

(!) -- Fichiers temporaires supprimés.

.
HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
HKCU\software\TCP Loader
HKLM\Software\Classes\Interface\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}
.
============== Scan additionnel ==============
.
.
* Internet Explorer Version 8.0.6001.18702 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Enable Browser Extensions: YES
Use Search Asst:
Start Page Redirect Cache: hxxp://fr.msn.com/?ocid=iehp
Start Page Redirect Cache_TIMESTAMP: 90104f02da5cca01
Start Page Redirect Cache AcceptLangs: fr
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Start Page: hxxp://fr.msn.com/
Search Bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials, ...) ==============
.
C:\Documents and Settings\Sylvain\Application Data\uTorrent\AVS Video Converter 6.3.3.371 + CRACK - nVidia840.torrent
C:\Documents and Settings\Sylvain\Application Data\uTorrent\PowerISO_4.6___Serial.rar.torrent
C:\Documents and Settings\Sylvain\Mes documents\Games\Tools\Hack rom\DSlazy\ndspatch.exe
.
===================================
.
2518 Octet(s) - C:\Ad-Report-CLEAN[1].log
2728 Octet(s) - C:\Ad-Report-SCAN[1].log
.
33 Fichier(s) - C:\DOCUME~1\Sylvain\LOCALS~1\Temp
22 Fichier(s) - C:\WINDOWS\Temp
10 Fichier(s) - C:\WINDOWS\Prefetch
.
18 Fichier(s) - C:\Ad-Remover\BACKUP
0 Fichier(s) - C:\Ad-Remover\QUARANTINE
.
Fin à: 13:38:33 | 25/02/2010 - CLEAN[1]
.
============== E.O.F ==============
.

Rapport UsbFix :

############################## | UsbFix V6.097 |

User : Sylvain (Administrateurs) # HP
Update on 20/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 14:25:14 | 25/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) M processor 1.60GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
FW : ZoneAlarm Firewall[ Enabled ]9.1.007.002

C:\ -> Disque fixe local # 37,25 Go (11,18 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque fixe local # 117,19 Go (90,24 Go free) [Iomega] # NTFS
F:\ -> Disque amovible # 7,51 Go (4,82 Go free) [SYLUX] # NTFS
G:\ -> Disque fixe local

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\CheckPoint\ZAForceField\ForceField.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe
C:\PROGRA~1\SPEEDB~1\VideoAcceleratorEngine.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Elements infectieux |

Supprimé ! C:\temp.txt
Supprimé ! C:\Recycler\S-1-5-21-1214440339-1677128483-854245398-1003
Supprimé ! E:\$Recycle.Bin\S-1-5-21-2534090798-2557655485-4098490791-1000
Supprimé ! E:\Recycler\S-1-5-21-1214440339-1677128483-854245398-1003
Supprimé ! E:\Recycler\S-1-5-21-1482476501-57989841-682003330-1003
Supprimé ! E:\Recycler\S-1-5-21-796845957-1177238915-682003330-1003

################## | Registre |

Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

################## | Mountpoints2 |

################## | Listing des fichiers présent |

[25/02/2010 13:38|--a------|2901] C:\Ad-Report-CLEAN[1].log
[25/02/2010 09:57|--a------|2728] C:\Ad-Report-SCAN[1].log
[23/08/2009 11:52|--a------|0] C:\AUTOEXEC.BAT
[23/08/2009 12:53|--a------|192] C:\BcBtRmv.log
[23/08/2009 12:11|--a------|90] C:\bcmwl5.log
[19/02/2010 16:13|--a------|212] C:\Boot.bak
[24/02/2010 14:37|-rahs----|282] C:\boot.ini
[02/03/2006 13:00|-rahs----|4952] C:\Bootfont.bin
[03/08/2004 23:00|--a------|263488] C:\cmldr
[24/02/2010 23:41|--a------|22162] C:\ComboFix.txt
[23/08/2009 11:52|--a------|0] C:\CONFIG.SYS
[07/11/2007 08:00|--a------|17734] C:\eula.1028.txt
[07/11/2007 08:00|--a------|17734] C:\eula.1031.txt
[07/11/2007 08:00|--a------|10134] C:\eula.1033.txt
[07/11/2007 08:00|--a------|17734] C:\eula.1036.txt
[07/11/2007 08:00|--a------|17734] C:\eula.1040.txt
[07/11/2007 08:00|--a------|118] C:\eula.1041.txt
[07/11/2007 08:00|--a------|17734] C:\eula.1042.txt
[07/11/2007 08:00|--a------|17734] C:\eula.2052.txt
[07/11/2007 08:00|--a------|17734] C:\eula.3082.txt
[07/11/2007 08:00|--a------|1110] C:\globdata.ini
[?|?|?] C:\hiberfil.sys
[15/12/2009 17:41|--a------|7860] C:\ignuteel.log
[07/11/2007 08:00|--a------|843] C:\install.ini
[07/11/2007 08:03|--a------|76304] C:\install.res.1028.dll
[07/11/2007 08:03|--a------|96272] C:\install.res.1031.dll
[07/11/2007 08:03|--a------|91152] C:\install.res.1033.dll
[07/11/2007 08:03|--a------|97296] C:\install.res.1036.dll
[07/11/2007 08:03|--a------|95248] C:\install.res.1040.dll
[07/11/2007 08:03|--a------|81424] C:\install.res.1041.dll
[07/11/2007 08:03|--a------|79888] C:\install.res.1042.dll
[07/11/2007 08:03|--a------|75792] C:\install.res.2052.dll
[07/11/2007 08:03|--a------|96272] C:\install.res.3082.dll
[23/08/2009 11:52|-rahs----|0] C:\IO.SYS
[23/08/2009 11:52|-rahs----|0] C:\MSDOS.SYS
[02/03/2006 13:00|-rahs----|47564] C:\NTDETECT.COM
[02/03/2006 13:00|-rahs----|251712] C:\ntldr
[?|?|?] C:\pagefile.sys
[25/02/2010 14:35|--a------|5008] C:\UsbFix.txt
[07/11/2007 08:00|--a------|5686] C:\vcredist.bmp
[07/11/2007 08:09|--a------|1442522] C:\VC_RED.cab
[07/11/2007 08:12|--a------|232960] C:\VC_RED.MSI
[22/02/2010 14:45|--a------|233] F:\11059_Michina_Arceus_Jolly_11_08_09.rar
[24/02/2010 13:25|--a------|3370400] F:\ccsetup228.exe
[24/02/2010 13:32|--a------|37366] F:\emoadder.zip
[19/11/2009 11:43|--a------|311740034] F:\iPod3,1_3.1.2_7D11_Restore.ipsw
[29/01/2010 22:46|--a------|43387280] F:\leopardxp_leopardxp_francais_249514.exe
[18/12/2009 23:18|--a------|196607] F:\Louvre-Aile-Denon-Pyramide-de-Nuit-1-WRWR52987E-1280x800.exe
[19/02/2010 13:50|--a------|7295075] F:\PAlib0912XX_Beta.7z
[24/02/2010 13:23|--a------|1164624] F:\wlsetup-custom.exe

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# F:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

################## | Upload |

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_HP.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.097 ! |

Rapport ZHPDiag :

http://www.cijoint.fr/cjlink.php?file=cj201002/cijaGElGnA.txt

Réponse 19 / 34

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

nickel ...

la suite dans l'ordre ( si le dernier rapport est clean , on pourra finaliser ) :

( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )

1- Utilisation de l'outil ZHPFix :

> Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert :

!! ferme tes autres applications en cours !!

A- Clique sur le bouton " Nettoyeur de tools " ( le grand A rouge ) . Des lignes pré-cochées apparaissent alors dans l'encadré principal .

Là tu décoches la case devant ZHPDiag !

> Enfin clique en bas sur "Nettoyer" .

laisse travailler l'outil ... une fois terminé , un nouveau rapport apparait dans l'encadré principal .

-> Copie/colle le contenu de ce rapport pour analyse ...

( il est également sauvegardé ici : C:\Program files\ZHPFix\ZHPFixReport.txt)

Note : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fait le !

B- Clique sur le bouton en haut à droite " Vider la quarantaine " ( la poubelle vide ).

Au message de confirmation , clique sur "Ok" .

Puis ferme ZHPFix ...

======================================

2- Refais un coup de CCleaner ( registre compris ) .

======================================

3- Télécharge et installe le logiciel HijackThis :

ici https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment )

======================================

4- Important :
Purge de la restauration système
*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
---> Redémarre ton PC ...

*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
--->Redémarre ton PC ...

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).

======================================

5- Fais ce scan en ligne pour vérifier :

( ne rien faire d'autre avec le PC durant le scan ! )

Fais un scan en ligne avec " Panda " :

> https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
( clique sur "scan your PC now" )

tuto :
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId237368

poste moi le rapport obtenu pour analyse ...

Réponse 20 / 34

sylux Messages postés 26 Date d'inscription Statut Membre Dernière intervention 5

Rapport ZHPFix :

ZHPFix v1.12.306 by Nicolas Coolman - Rapport de suppression du 25/02/2010 19:25:11
Fichier d'export Registre :
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
C:\Qoobox => Supprimé et mis en quarantaine
C:\UsbFix => Supprimé et mis en quarantaine

Fichier :
c:\combofix.txt => Supprimé et mis en quarantaine
c:\documents and settings\sylvain\bureau\usbfix.exe => Supprimé et mis en quarantaine
c:\usbfix.txt => Supprimé et mis en quarantaine

Logiciel :
O63 - Logiciel: Ad-Remover By C_XX => Logiciel supprimé avec succès
O63 - Logiciel: ComboFix - (sUBs) => Logiciel supprimé avec succès
O63 - Logiciel: UsbFix - (El Desaparecido) => Logiciel supprimé avec succès

Script Registre :
(Néant)

Autre :
(Néant)

Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 2
Fichier : 3
Logiciel : 3
Autre : 0

End of the scan

====================================

Je terminerai l'étape n°5 demain matin ^^

Discussions similaires

Comment supprimer le virus Trojan

Aide pour un virus

Trojan impossible à supprimer!

cheval de troie trojan

Trojan Csrss.exe

Votre réponse

Discussions similaires