Virus/ Rootkit Fermé

Question

Bonjour, j'ai un très gros problème et j'ai très très peur donc j'ai vraiment à tout prix besoin de votre aide.

Voila aujourd'hui comme d'habitude je prends mon ordi aucun problème, je vais consulter mes mails quand je vois que j'en ai reçu un de dailymotion. Bon, je lis et apparement il me propose de voir une vidéo vue par 7,6Millions de personnes.
Moi comme un abruti, je vais voir, pas de pépin ça me met sur dailymotion, c'est un clip musical je crois et au moment ou la vidéo devrait commencer (juste après leur pub), avast me dit : "ALERTE, IL Y A UN VIRUS SUR VOTRE ORDINATEUR" puis ouvre une fenêtre d'alerte ou il met que j'ai un "rootkit". Je n'avais jamais entendu parlé de cela, et avast me conseille de mettre en quarantaine le fichier infecté. C'est ce que je fais et là une autre fenêtre avast apparait alors je remet en quarantaine puis une autre apparait, je remet encore en quarantaine et ainsi de suite. Très inquiet (eh oui je ne suis pas vraiment un pro de l'informatique à part les bases), je me renseigne sur les rootkits et comment les supprimer. Je vois qu'il existe un logiciel nommé GMER qui peut détecter et supprimer les rootkits. Puis un tuto explique comment l'utiliser (https://www.malekal.com/supprimer-rootkit-windows/ ). Je l'installe et direct ça m'affiche : 

http://img502.imageshack.us/img502/1598/pbrootkit.png



Voilà, le problème c'est qu'apparement il montre des fichiers système et j'ai peur de supprimer quelque chose d'important donc j'ai rien supprimé, et rien fait.
Mais dois admettre que je suis très inquiet et totalement impuissant et j'ai vraiment besoin de votre aide, par pitié.


Que dois-je faire pour régler ce problème ? 


S'il vous plait répondez vite, merci .

verni29 · Answer

Bonjour, 

Relance Gmer et lorsque tu auras ce message, clique sur Oui pour que l'outil fasse un scan complet du PC.
A la fin du scan , clique sur save pour enregistrer le rapport.
Poste le dans ta prochaine réponse.

A+

chipleader78 · Answer

Voilà :



---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                          ZwClose [0xA862D6B8]                                                                                                <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                          ZwDeleteValueKey [0xA862DA52]                                                                                       <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                          ZwDuplicateObject [0xA862D14C]                                                                                      <-- ROOTKIT !!!
SSDT            spgb.sys                                                                                                       ZwEnumerateKey [0xF7427CA2]                                                                                         <-- ROOTKIT !!!
SSDT            spgb.sys                                                                                                       ZwEnumerateValueKey [0xF7428030]                                                                                    <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                          ZwOpenKey [0xA862D64E]                                                                                              <-- ROOTKIT !!!
SSDT            spgb.sys                                                                                                       ZwQueryKey [0xF7428108]                                                                                             <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                          ZwQueryValueKey [0xA862D76E]                                                                                        <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                          ZwRestoreKey [0xA862D72E]                                                                                           <-- ROOTKIT !!!

INT 0x62        ?                                                                                                              86D6CBF8
INT 0xA4        ?                                                                                                              86271BF8
INT 0xB4        ?                                                                                                              86DD8BF8

---- Kernel code sections - GMER 1.0.15 ----

?               spgb.sys                                                                                                       Le fichier spécifié est introuvable. !
.text           USBPORT.SYS!DllUnload                                                                                          F5FA88AC 5 Bytes  JMP 862711D8 
INIT            kklkoinj.SYS                                                                                                   9C546000 40 Bytes  [0C, 7A, 30, 7B, FD, 52, 56, ...]
INIT            kklkoinj.SYS                                                                                                   9C54603C 2 Bytes  [1A, 77]
INIT            kklkoinj.SYS                                                                                                   9C546040 6 Bytes  [2D, 9C, C8, BF, 90, 71]
INIT            kklkoinj.SYS                                                                                                   9C546048 2 Bytes  [9E, 71]
INIT            kklkoinj.SYS                                                                                                   9C54604C 2 Bytes  [B0, 71] {MOV AL, 0x71}
INIT            ...                                                                                                            
.pak2           C:\WINDOWS\System32\Drivers\kklkoinj.SYS                                                                       entry point in ".pak2" section [0x9C6153B6]
?               C:\WINDOWS\System32\Drivers\kklkoinj.SYS                                                                       Un périphérique attaché au système ne fonctionne pas correctement.

---- User code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\Explorer.EXE[3068] ntdll.dll!NtQueryDirectoryFile + 6                                               7C91D774 4 Bytes  [90, 61, 99, 00]

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                             [F740B040] spgb.sys
IAT             atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                     [F740B13C] spgb.sys
IAT             atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                            [F740B0BE] spgb.sys
IAT             atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                    [F740B7FC] spgb.sys
IAT             atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                            [F740B6D2] spgb.sys
IAT             \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                             [F741AD92] spgb.sys

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\WINDOWS\system32\services.exe[776] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW]   00380002
IAT             C:\WINDOWS\system32\services.exe[776] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW]         00380000

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                         85BD8B88
Device          \FileSystem\Ntfs \Ntfs                                                                                         86DD71F8

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                         aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                       aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                        SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                        eabfiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Development Company, L.P.)

Device          \Driver\usbehci \Device\USBPDO-0                                                                               861B4500
Device          \Driver\usbuhci \Device\USBPDO-1                                                                               862A2500
Device          \Driver\usbuhci \Device\USBPDO-2                                                                               862A2500
Device          \Driver\usbuhci \Device\USBPDO-3                                                                               862A2500
Device          \Driver\usbuhci \Device\USBPDO-4                                                                               862A2500

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                      aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device          \Driver\Ftdisk \Device\HarddiskVolume1                                                                         86DD91F8
Device          \Driver\Ftdisk \Device\HarddiskVolume2                                                                         86DD91F8
Device          \Driver\Cdrom \Device\CdRom0                                                                                   8623D1F8
Device          \Driver\iaStor \Device\Ide\iaStor0                                                                             [F72C77B0] iaStor.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3                                                                    [F7365B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdePort0                                                                             [F7365B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\iaStor \Device\Ide\IAAStorageDevice-0                                                                  [F72C77B0] iaStor.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\NetBT \Device\NetBt_Wins_Export                                                                        85D6B1F8
Device          \Driver\NetBT \Device\NetbiosSmb                                                                               85D6B1F8

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                      aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                    aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device          \Driver\usbuhci \Device\USBFDO-0                                                                               862A2500
Device          \Driver\NetBT \Device\NetBT_Tcpip_{61DBE669-74FF-494A-8F9D-E6ABAD247EBA}                                       85D6B1F8
Device          \Driver\usbuhci \Device\USBFDO-1                                                                               862A2500
Device          \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                              85CEF1F8
Device          \Driver\usbuhci \Device\USBFDO-2                                                                               862A2500
Device          \Driver\usbuhci \Device\USBFDO-3                                                                               862A2500
Device          \FileSystem\MRxSmb \Device\LanmanRedirector                                                                    85CEF1F8
Device          \Driver\Ftdisk \Device\FtControl                                                                               86DD91F8
Device          \Driver\usbehci \Device\USBFDO-4                                                                               861B4500
Device          \FileSystem\Cdfs \Cdfs                                                                                         86106500

---- Services - GMER 1.0.15 ----

Service          (*** hidden *** )                                                                                             [BOOT] kklkoinj                                                                                                     <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\kklkoinj@Type                                                           1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\kklkoinj@Start                                                          0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\kklkoinj@ErrorControl                                                   0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\kklkoinj@Group                                                          Boot Bus Extender
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                             771343423
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                             285507792
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                             1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                               
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                            0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                         0x0E 0xBE 0x6F 0x9B ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                            C:\Program Files\Alcohol Soft\Alcohol 120\
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0                   0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)           
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                0
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                             0x0E 0xBE 0x6F 0x9B ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                                C:\Program Files\Alcohol Soft\Alcohol 120\
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0                       0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)           
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                0
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                             0x0E 0xBE 0x6F 0x9B ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                                C:\Program Files\Alcohol Soft\Alcohol 120\
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0                       0x20 0x01 0x00 0x00 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}@scansk                                      0xDA 0x66 0x93 0x25 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{e330e314-fe35-446b-a227-4c2776ef5f59}@Model                                       349
Reg             HKLM\SOFTWARE\Classes\CLSID\{e330e314-fe35-446b-a227-4c2776ef5f59}@Therad                                      38
Reg             HKLM\SOFTWARE\Classes\CLSID\{e330e314-fe35-446b-a227-4c2776ef5f59}@MData                                       0x2B 0x8F 0x78 0x29 ...

---- EOF - GMER 1.0.15 ----

verni29 · Answer

chipleader78, 

Il y a bien une infection par un rootkit.
Il faudra aussi vérifier certains drivers système.

1/ Ouvre le bloc-notes ( Démarrer --> tous les programmes --> accessoires --> Bloc-notes ) et sélectionne le texte en citation.
Copie/colle le texte ci-dessous dans le bloc-notes. 

gmer -killall
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kklkoinj"
gmer -del file "C:\WINDOWS\System32\Drivers\kklkoinj.sys"
gmer -reboot

Puis, toujours dans la même fenêtre :
# Menu Fichier --> enregistrer --> une boite de dialogue va s'ouvrir
# Il y a deux lignes en bas de la fenêtre :
--> la première pour le nom : tape CCM.bat
--> la deuxième pour le type : vérifie que l'onglet est tous les fichiers

il te reste alors à choisir l'emplacement où tu vas l'enregistrer.
Clique sur le flêche en haut jusqu'à arriver au bureau.

Double-clique ensuite sur le fichier pour lancer la désinfection.
Le PC va redémarrer. C'est normal. 

2/ Au redémarrage, 

Commence par désactiver ou arrêter Alcolhol Soft car il biaise le rapport de gmer.

relance gmer .

# Le logiciel va commencer par faire une première analyse.
# A la fin de cette première analyse, vérifie que les différents onglets ( system, sections , ... ) sont cochés puis clique sur scan.
# A la fin de cette analyse, clique sur save pour enregistrer le rapport.

Poste le dans ton prochain message.

EDIT : Si tu n'as pas encore relancé gmer, il te faudra également stopper tes protections actives ainsi que fermer ton navigateur et les applications ouvertes avant de lancer gmer.

A+

chipleader78 · Answer

"1/ Ouvre le bloc-notes ( Démarrer --> tous les programmes --> accessoires --> Bloc-notes ) et sélectionne le texte en citation. "


le texte en citation dont tu parles c'est : 
gmer -killall
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kklkoinj"
gmer -del file "C:\WINDOWS\System32\Drivers\kklkoinj.sys"
gmer -reboot 

?



Donc j'ouvre un bloc-note avec dedans : 
gmer -killall
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kklkoinj"
gmer -del file "C:\WINDOWS\System32\Drivers\kklkoinj.sys"
gmer -reboot 

et je fais enregistrer c'est ça ? et après ça redémarre c'est bien ça ?

verni29 · Answer

Oui, c'est cela.

A+

chipleader78 · Answer

je l'ai fait mais ça a mis après :    gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kklkoinj" 

"couldn't find this file"

donc j'ai fait ok.


après il a fait le 2° et après reboot la fenêtre s'est fermée et donc je me retrouve avec juste mon fond d'écran sans la barre de menu démarrer et sans les icones du bureau (la je suis sur un autre ordi)

Donc ça fait un peu plus d'une demi-heure voire un peu moins d'une heure qu'il est comme ça. Alors est-ce que je laisse ou je l'éteint manuellement ?

Merci de me répondre rapidement j'ai pas trop envie de le laisser toute la nuit.

verni29 · Answer

Re, 

OK, désolé pour le problème avec les outils.

Pour afficher ton bureau.
CTRL+ALT+SUPP --> ceci va ouvrir le gestionnaire de taches
menu Fichier --> nouvelle tache --> tape : explorer.exe puis valide.

ceci devrait ouvrir ta session.

Puis

Télécharge OTL (de OldTimer) sur ton Bureau. 
http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ 

* Double-clique sur OTL.exe pour le lancer. Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan. 
* Dans la partie Customs Scans, copie/colle la liste suivante.

netsvcs 
%SYSTEMDRIVE%\*.exe 
/md5start 
eventlog.dll 
scecli.dll 
netlogon.dll 
cngaudit.dll 
sceclt.dll 
ntelogon.dll 
logevent.dll 
iaStor.sys 
nvstor.sys 
atapi.sys 
IdeChnDr.sys 
viasraid.sys 
AGP440.sys 
vaxscsi.sys 
nvatabus.sys 
viamraid.sys 
nvata.sys 
nvgts.sys 
iastorv.sys 
ViPrt.sys 
eNetHook.dll 
ahcix86.sys 
KR10N.sys 
nvstor32.sys 
ahcix86s.sys 
nvrd32.sys 
/md5stop 
%systemroot%\*. /mp /s 
CREATERESTOREPOINT 

* Enfin, clique sur le bouton Quick Scan. 

* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau) 

Utilise un site comme http://cijoint.fr pour les déposer. 
indique ensuite les deux liens crées.

A+

chipleader78 · Answer

CTRL+ALT+SUPP ne fait rien, l'écran reste sur mon fond d'écran et pas de barre menu démarrer, ni icones.

En gros, il se passe rien quand je fais ça. Que dois-je faire svp ?

verni29 · Answer

Re, 

Pour redémarrer le PC.
CTRL+ALT+SUPP --> menu Arrêter --> redémarrer

Puis fais la manip avec OTL pour avoir plus d'informations.

A+

chipleader78 · Answer

je viens de te dire que le gestionnaire des tâches ne s'affiche pas. il n'y a rien du tout

verni29 · Answer

Re, 

Éteins l'ordi. Tu appuies plusieurs secondes sur le bouton marche/arrêt.
Redémarre le PC et dis moi si tu arrives sous windows avec ton bureau.

chipleader78 · Answer

c'est bon je suis sur mon bureau, la je suis avec mon propre ordi.
Par contre quand j'ai relancé ma session, j'ai reçu une alerte d'avast pr un fichier malveillant :

http://img202.imageshack.us/img202/7061/alerteavast.png


Je sais pas si ça a un rapport direct.


Voila sinon je suis dispo


(désolé de vous presser mais j'aimerais bien finir ça avant de me coucher parce que ça me stresse un peu voire beaucoup et j'aimerai bien passer une nuit tranquille ^^ )

chipleader78 · Answer

là j'ai eu une 2° alerte entre temps : 

http://img706.imageshack.us/img706/3711/alerteavast2.png

verni29 · Answer

Chipleader78, 

Passe OTL comme indiqué au message suivant
https://forums.commentcamarche.net/forum/affich-16784370-virus-rootkit#7
Le PC doit être plus infecté que seulement par le rootkit.

A+

chipleader78 · Answer

dois-je désactiver avast quand je lance OTL ?

verni29 · Answer

Non. pas la peine.

A+

chipleader78 · Answer

voilà les 2 sont :

OTL.txt : http://www.cijoint.fr/cjlink.php?file=cj201002/cijzj1aDXf.txt

Extras.txt : http://www.cijoint.fr/cjlink.php?file=cj201002/cij4uTGBph.txt


Merci, encore et j'espère que vous pourrez me trouver une solution parce que là je stresse de plus en plus et je suis très très inquiet.

A+

verni29 · Answer

Re, 

La machine est bien infectée. beaucoup de choses à vérifier.
On va commencer par le rootkit.

1 / Télécharge The Avenger  sur ton Bureau.
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

    * Click droit sur Avenger.zip et choisis Extraire tout .
      Vérifie qu'un dossier avenger a été crée sur le bureau  

2/ Copie le texte ci-dessous :

Begin copying here :

Drivers to disable:
kklkoinj

Drivers to delete:
kklkoinj

Files to delete:
C:\WINDOWS\System32\Drivers\kklkoinj.sys
c:\documents and settings\XXXX\menu démarrer\programmes\démarrage\winesm32.exe
 c:\documents and settings\XXXX\application data\avdrn.dat

Note: Le code ci-dessus a été crée spécialement pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE SUIVEZ pas ces directives : elles pourraient endommager votre système.

3/ Maintenant, lancer The Avenger en cliquant sur Avenger.exe dans le dossier crée.

    *  Clique sur OK au message qui va s'ouvrir
    *  Dans le rectangle blanc, sous "Input script here", colle-le texte . 
    * Cliquer "Execute" comme ceci :
http://img100.imageshack.us/img100/7672/avengerve6pq1.jpg

    * Une boîte de dialogue indique que le pc va redémarrer. Il faut accepter.

4/ The Avenger va automatiquement faire ce qui suit:

    * Il va Re-démarrer le système. 
      Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera votre système 2 fois
    * Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
    * The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5/ Pour finir copier/coller le contenu du ficher c:\avenger.txt dans votre réponse

A+

chipleader78 · Answer

non pas de dossier créé en décompressant avenger, juste une application qui s'appelle avenger avec une épée.
Qu'est-ce que je fais ?

verni29 · Answer

C'est cela.

A+

chipleader78 · Answer

bonjour,
désolé hier soir j'étais fatigué alors j'ai éteint mon ordi et suis allé me coucher. Et ce matin en le rallumant, je reçois une alerte du pare-feu windows : 

http://www.cijoint.fr/cjlink.php?file=cj201002/cijMyN0bwN.jpg


j'ai mis maintenir le blocage et me demander ultérieurement.

En tous cas, avast n'a pas cessé de m'afficher des alertes selon lesquelles il y avait trop de messages envoyés à faible intervalle de temps et suppose une infection (comme sur la capture d'écran que je vous ai envoyé précédemment, je l'ai désactivé car il m'affichait sa toutes les 30sec.

Je vais lancer avenger, mais s'il vous plait, dites moi qu'il existe une solution à mon problème parce que ça empire j'ai l'impression...

chipleader78 · Answer

Bon, Avenger m'affiche le message d'erreur suivant :

http://www.cijoint.fr/cjlink.php?file=cj201002/cijn9cfk3W.jpg

Que dois-je faire ?

verni29 · Answer

OK, 

L'outil a évolué. Problème de syntaxe.
Recommence la manip avec Avenger avec le texte suivant :

Drivers to disable:
kklkoinj

Drivers to delete:
kklkoinj

Files to delete:
C:\WINDOWS\System32\Drivers\kklkoinj.sys
c:\documents and settings\XXXX\menu démarrer\programmes\démarrage\winesm32.exe
c:\documents and settings\XXXX\application data\avdrn.dat 

A+

chipleader78 · Answer

Voilà le rapport :

//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "kklkoinj" disabled successfully.
Driver "kklkoinj" deleted successfully.
File "C:\WINDOWS\System32\Drivers\kklkoinj.sys" deleted successfully.
File "c:\documents and settings\XXXX\menu démarrer\programmes\démarrage\winesm32.exe" deleted successfully.
File "c:\documents and settings\XXXX\application data\avdrn.dat" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

verni29 · Answer

OK, 

On avance.

1/ Relance OTL.exe.

    * Sous l'onglet Custom Scans/Fixes en bas de la fenêtre, copie-colle le texte suivant :

:OTL
FF - prefs.js..extensions.enabledItems: askopensearch-VTS@ask.com:1.0.0.0
FF - HKLM\software\mozilla\Firefox\Extensions\Zango@Zango.com: C:\Program Files\Zango\bin\10.0.341.0\firefox\extensions
[2009/07/26 01:19:43 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Yannis\Application Data\Mozilla\Firefox\Profiles\xty50xgm.default\extensions\askopensearch-VTS@ask.com
O2 - BHO: (no name) - {07AA283A-43D7-4CBE-A064-32A21112D94D} - No CLSID value found.
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {07AA283A-43D7-4CBE-A064-32A21112D94D} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {00000000-5736-4205-0008-781CD0E19F00} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {07AA283A-43D7-4CBE-A064-32A21112D94D} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - Startup: C:\Documents and Settings\Yannis\Menu Démarrer\Programmes\Démarrage\winesm32.exe ()
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: NTSpool = NTSpool.exe
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Windows Security Tool = WinSecure.exe
O9 - Extra Button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe File not found 
O9 - Extra Button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe File not found
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - CLSID or File not found.
[2010/02/26 23:19:16 | 000,000,000 | ---D | C] -- C:	dsskiller
[2010/02/26 23:01:48 | 000,000,016 | ---- | C] () -- C:\Documents and Settings\NetworkService\Application Databuwzv.dat
[2009/09/20 14:40:25 | 000,000,000 | -HSD | M] -- C:\Documents and Settings\Yannis\Application Data\.#
[2007/08/17 21:26:16 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Yannis\Application Data\Zango


:files
C:\WINDOWS\system32\NTSpool.exe
C:\WINDOWS\system32\WinSecure.exe
C:\PROGRA~1\FlashGet
C:\Program Files\Zango


:Commands
[emptytemp]

    *  Puis clique sur le bouton Run Fix en haut de la fenêtre.
    * Laisse le programme travailler, le PC va redémarrer.

Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).
Sauvegarde-le sur ton Bureau et poste-le.

Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles
Regarde suivant la date : 02272010_xxxxxxxx.log

2/ Relance ensuite OTL et clique sur QuickScan.
poste le rapport.

A+

chipleader78 · Answer

Re,
j'ai fait ça, il a redémarré et je me suis absenté quelques minutes (toilettes ^^) et quand je suis revenu il a affiché le fond bleu hp qu'il affiche normalement avant d'afficher les sessions. Sauf que les sessions apparaissent pas et il reste bloqué sur ce fond (cela fait plusieurs minutes qu'il est comme ça). Est-ce normal ? Que dois-je faire ?

verni29 · Answer

Re, 

Laisse lui encore un peu de temps.
L'outil doit finir le nettoyage.

Si dans 5 mn, il n'a pas bougé.
Essaie la manip avec le gestionnaire de taches comme dans le lien suivant :
https://forums.commentcamarche.net/forum/affich-16784370-virus-rootkit#7

Sinon, il te faut le redémarrer.

A+

chipleader78 · Answer

j'ai essayé pr le gestionnaire de tâches mais il n'apparait pas. Je tiens a te préciser que ma session n'est toujours pas ouverte.

Je l'éteins manuellement comme hier ? j'appuie quelques secondes sur le bouton marche/arrêt c'est ça ?

verni29 · Answer

pas simple ton problème.
C'est embettant quand les outils ne passent pas correctement.

Oui, redémarre le PC comme hier.

A+

chipleader78 · Answer

Voilà, alors le 02272010_XXXXXXXX.log c'est : 

All processes killed
========== OTL ==========
Prefs.js: askopensearch-VTS@ask.com:1.0.0.0 removed from extensions.enabledItems
Registry value HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\Zango@Zango.com deleted successfully.
File C:\Program Files\Zango\bin\10.0.341.0\firefox\extensions not found.
Folder C:\Documents and Settings\Yannis\Application Data\Mozilla\Firefox\Profiles\xty50xgm.default\extensions\as­kopensearch-VTS@ask.com\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{07AA283A-43D7-4CBE-A064-32A21112D94D}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{07AA283A-43D7-4CBE-A064-32A21112D94D}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\{07AA283A-43D7-4CBE-A064-32A21112D94D} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{07AA283A-43D7-4CBE-A064-32A21112D94D}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\{E0E899AB-F487-11D5-8D29-0050BA6940E3} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E0E899AB-F487-11D5-8D29-0050BA6940E3}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{00000000-5736-4205-0008-781CD0E19F00} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000000-5736-4205-0008-781CD0E19F00}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{07AA283A-43D7-4CBE-A064-32A21112D94D} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{07AA283A-43D7-4CBE-A064-32A21112D94D}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{EF99BD32-C1FB-11D2-892F-0090271D4F88} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ deleted successfully.
File C:\Documents and Settings\Yannis\Menu Démarrer\Programmes\Démarrage\winesm32.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Expl­orer\Run not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Expl­orer\Run not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{D6E814A0-E0C5-11d4-8D29-0050BA6940E3}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D6E814A0-E0C5-11d4-8D29-0050BA6940E3}\ not found.
Starting removal of ActiveX control {8FFBE65D-2C9C-4669-84BD-5829DC0B603C}
C:\WINDOWS\Downloaded Program Files\erma.inf moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\CDBurn deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}\ not found.
C:	dsskiller folder moved successfully.
C:\Documents and Settings\NetworkService\Application Databuwzv.dat moved successfully.
C:\Documents and Settings\Yannis\Application Data\.# folder moved successfully.
C:\Documents and Settings\Yannis\Application Data\Zango\IESkins folder moved successfully.
C:\Documents and Settings\Yannis\Application Data\Zango folder moved successfully.
========== FILES ==========
File\Folder C:\WINDOWS\system32\NTSpool.exe not found.
File\Folder C:\WINDOWS\system32\WinSecure.exe not found.
File\Folder C:\PROGRA~1\FlashGet not found.
File\Folder C:\Program Files\Zango not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Invité
->Temp folder emptied: 1516 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 147858 bytes
->FireFox cache emptied: 5070771 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 64489043 bytes
 
User: X
->Temp folder emptied: 133262 bytes
->Temporary Internet Files folder emptied: 3144166 bytes
->FireFox cache emptied: 81915065 bytes
 
User: XXXX
->Temp folder emptied: 41593431 bytes
->Temporary Internet Files folder emptied: 816045 bytes
->Java cache emptied: 13 bytes
->FireFox cache emptied: 110121782 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2148251 bytes
%systemroot%\System32 .tmp files removed: 3533312 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 408803 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 23969876 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 104647943 bytes
 
Total Files Cleaned = 422,00 mb
 
 
OTL by OldTimer - Version 3.1.30.3 log created on 02272010_133029

Files\Folders moved on Reboot...
File move failed. C:\WINDOWS	emp\_avast4_\Webshlock.txt scheduled to be moved on reboot.
File move failed. C:\WINDOWS	emp\Perflib_Perfdata_5c8.dat scheduled to be moved on reboot.

Registry entries deleted on Reboot...



et pour le rapport de scan je te l'envoie, ça arrive, je le colle dans mon prochain post.

chipleader78 · Answer

Voilà le rapport OTL de "Quick Scan" :


http://www.cijoint.fr/cjlink.php?file=cj201002/cij8ytLnlN.txt



A+

verni29 · Answer

Re, 

Pendant que je regarde le rapport, relance gmer.

Durant l’utilisation du logiciel, désactive tes protections actives ( antivirus et parefeu )
Ferme également toutes les applications actives dont ton navigateur.

# Double-clique sur l’exécutable téléchargé .
( Si sous Vista , click droit sur l’exécutable et choisir exécuter en tant qu’administrateur )
# Le scan va se lancer de lui-même.
# Après cette première analyse, vérifie que tous les onglets sont cochés puis clique sur scan .
# A la fin de l'analyse, clique sur save pour enregistrer le rapport.

Poste le dans ton prochain message.

A+

chipleader78 · Answer

voilà le rapport GMER : 

http://www.cijoint.fr/cjlink.php?file=cj201002/cijX120aRP.txt

A+

verni29 · Answer

Il reste encore des choses à faire.

1/ Tu vas sur le site de VirusTotal et tu vas pouvoir analyser deux fichiers.
https://www.virustotal.com/gui/

# Copie successivement le chemin indiqué ci-dessous et le coller dans la zone à analyser :

Chemin : C:\Documents and Settings\Yannis\Mes documents\aionmemo_22485d39.dat

Puis pour l'autre analyse : C:\Documents and Settings\Yannis\Mes documents\aionmemo_f5cbd0b5.dat

# Tu cliques ensuite sur envoyer le fichier.
# Tu postes le rapport de l'analyse ( pour cela, tu sélectionnes la zone de résultat --> click droit --> copier )

2/ Pour vérifier :

Télécharge LopS&D. 
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/LopSD.exe?attachauth=ANoY7co3ntqUavpZ3q1BG-h4pc13vqDZmhcNeEPChtsyrgAykRbhE8bZzhk979EfQD4AgwtQUHCaQ7ZQwNYMo3_0kA8htAspckDJtu2K5t6J9z6dLW4fpZyH4FpFL1tVMBZ8H-KnN7afZ5vt-WxZRpnynk-a0XmV_Y0C0q6DxGEDKie1TnPT7gFoZnoCnspzBmbW6ZzxA4fNr3oEDlbelNZON-LjF8nOmQ%3D%3D&attredirects=2 

Installe le logiciel. 
Une icône va apparaitre sur le bureau. Double clique dessus pour lancer le logiciel 

Tu choisis la langue et l'option 1 pour effectuer la recherche. 

A la fin de la recherche, un rapport LopR.txt apparait.
Copie le contenu de ce rapport dans ton prochain message.

Il se trouve également en C:\LopR.txt.

3/ Télécharge AD-Remover  de C_XX sur ton bureau :
http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

Tu te déconnectes du net et ferme toutes les applications en cours.

Sous Vista, il faut nécessairement désactiver l'UAC ou contrôle de compte utilisateur.
Tuto : https://www.pcastuces.com/pratique/windows/vista/astuces/desactiver_uac.htm

    * Double-clique sur AD-R.exe .
    *  Au menu principal, choisis l'option "L" pour effectuer le nettotyage .
    * Le PC va redémarrer pour procéder au nettoyage.

Après redémarrage, un rapport va apparaitre. Poste le contenu dans ton prochain message.

Note : Il se trouve en C:\AD-Report-SCAN.log


A+

verni29 · Answer

Je suis absent ce soir.
Poste les rapports.

Le plus gros est fait et tu dois être plus tranquille.

A+

chipleader78 · Answer

Si pendant le redémarrage, ça bloque encore sur le fond d'écran ou autre, je redémarre manuellement encore une fois ?

verni29 · Answer

Cela ne devrait plus bloquer maintenant.
Comme je te le disais ;
- commence par le gestionnaire de taches
- si cela ne marche pas, il n'y a pas d'autre choix que de redémarrer.

chipleader78 · Answer

Alors :

1/ pour virustotal :      

Fichier aionmemo_22485d39.dat reçu le 2010.02.27 17:34:39 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/42 (0%)


Fichier aionmemo_f5cbd0b5.dat reçu le 2010.02.27 17:39:26 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/42 (0%)

2/ pour LopS&D : 

 --------------------\  Listing des dossiers dans APPLIC~1

   [17/08/2007|12:56] C:\DOCUME~1\ALLUSE~1\APPLIC~1\2ACA5CC3-0F83-453D-A079-1076FE1A8B65
   [20/12/2009|15:50] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
   [24/02/2009|16:41] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple Computer
   [03/02/2009|18:26] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Blizzard
   [17/12/2009|20:14] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Blizzard Entertainment
   [20/12/2007|21:42] C:\DOCUME~1\ALLUSE~1\APPLIC~1\DVD Shrink
   [21/11/2007|19:07] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Elaborate Bytes
   [19/10/2007|20:18] C:\DOCUME~1\ALLUSE~1\APPLIC~1\FLEXnet
   [30/03/2008|21:14] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Google
   [15/08/2007|23:46] C:\DOCUME~1\ALLUSE~1\APPLIC~1\HotSync
   [16/08/2007|20:08] C:\DOCUME~1\ALLUSE~1\APPLIC~1\hpqLog
   [16/08/2007|20:29] C:\DOCUME~1\ALLUSE~1\APPLIC~1\InstallShield
   [14/10/2009|21:17] C:\DOCUME~1\ALLUSE~1\APPLIC~1\MainSoft
   [20/01/2010|20:50] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Messenger Plus!
   [18/02/2010|17:07] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
   [10/02/2008|13:43] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft Help
   [16/12/2007|19:07] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Nero
   [25/11/2007|18:44] C:\DOCUME~1\ALLUSE~1\APPLIC~1\pixelStorm
   [23/06/2009|13:09] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Skype
   [21/11/2007|18:52] C:\DOCUME~1\ALLUSE~1\APPLIC~1\SlySoft
   [18/01/2008|18:45] C:\DOCUME~1\ALLUSE~1\APPLIC~1\SMSI
   [07/02/2009|19:15] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec
   [01/01/2009|16:10] C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP
   [08/11/2008|23:33] C:\DOCUME~1\ALLUSE~1\APPLIC~1\TrackMania
   [24/02/2010|20:56] C:\DOCUME~1\ALLUSE~1\APPLIC~1\VirtualizedApplications
   [12/09/2007|11:16] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage
   [16/01/2008|15:08] C:\DOCUME~1\ALLUSE~1\APPLIC~1\WindowsLiveInstaller
   [26/02/2008|22:54] C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller

   [20/12/2009|15:50] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Macromedia
   [15/08/2007|23:11] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft

   [06/11/2007|23:14] C:\DOCUME~1\INVIT~1\APPLIC~1\HotSync
   [06/11/2007|23:14] C:\DOCUME~1\INVIT~1\APPLIC~1\Identities
   [06/11/2007|23:14] C:\DOCUME~1\INVIT~1\APPLIC~1\Microsoft

   [15/10/2007|17:05] C:\DOCUME~1\LOCALS~1\APPLIC~1\Macromedia
   [15/08/2007|23:11] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft
   [31/10/2007|16:08] C:\DOCUME~1\LOCALS~1\APPLIC~1\Mozilla
   [08/11/2008|02:28] C:\DOCUME~1\LOCALS~1\APPLIC~1\Symantec
   [31/10/2007|16:08] C:\DOCUME~1\LOCALS~1\APPLIC~1\Talkback

   [09/03/2008|01:05] C:\DOCUME~1\NETWOR~1\APPLIC~1\Macromedia
   [18/08/2007|12:30] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft
   [28/10/2007|10:14] C:\DOCUME~1\NETWOR~1\APPLIC~1\Symantec

   [04/06/2008|05:10] C:\DOCUME~1\Papa\APPLIC~1\Adobe
   [23/12/2007|13:36] C:\DOCUME~1\Papa\APPLIC~1\AdobeUM
   [30/09/2008|22:46] C:\DOCUME~1\Papa\APPLIC~1\BitTorrent
   [30/09/2008|17:28] C:\DOCUME~1\Papa\APPLIC~1\DivX
   [31/10/2009|15:11] C:\DOCUME~1\Papa\APPLIC~1\DNA
   [13/08/2008|09:40] C:\DOCUME~1\Papa\APPLIC~1\dvdcss
   [30/03/2008|11:23] C:\DOCUME~1\Papa\APPLIC~1\Google
   [07/11/2007|18:26] C:\DOCUME~1\Papa\APPLIC~1\HotSync
   [07/11/2007|18:26] C:\DOCUME~1\Papa\APPLIC~1\Identities
   [07/11/2007|18:27] C:\DOCUME~1\Papa\APPLIC~1\Macromedia
   [13/08/2008|11:28] C:\DOCUME~1\Papa\APPLIC~1\Microsoft
   [10/09/2008|12:59] C:\DOCUME~1\Papa\APPLIC~1\Mozilla
   [02/12/2007|18:53] C:\DOCUME~1\Papa\APPLIC~1\Nero
   [10/04/2008|07:24] C:\DOCUME~1\Papa\APPLIC~1\OpenOffice.org2
   [29/09/2008|16:04] C:\DOCUME~1\Papa\APPLIC~1\Symantec
   [08/11/2007|23:21] C:\DOCUME~1\Papa\APPLIC~1\Talkback
   [19/06/2009|18:40] C:\DOCUME~1\Papa\APPLIC~1\TigerPlayer
   [30/07/2008|20:37] C:\DOCUME~1\Papa\APPLIC~1\vlc
   [02/12/2007|19:04] C:\DOCUME~1\Papa\APPLIC~1\WinRAR

   [08/12/2007|16:32] C:\DOCUME~1\Yannis\APPLIC~1\AccurateRip
   [20/12/2009|15:50] C:\DOCUME~1\Yannis\APPLIC~1\Adobe
   [14/12/2007|20:30] C:\DOCUME~1\Yannis\APPLIC~1\AdobeUM
   [18/11/2007|17:46] C:\DOCUME~1\Yannis\APPLIC~1\AKVIS LLC
   [27/10/2007|19:02] C:\DOCUME~1\Yannis\APPLIC~1\Anvil Studio
   [01/11/2009|04:00] C:\DOCUME~1\Yannis\APPLIC~1\Apowersoft
   [20/10/2007|18:37] C:\DOCUME~1\Yannis\APPLIC~1\Apple Computer
   [29/12/2007|21:00] C:\DOCUME~1\Yannis\APPLIC~1\Audacity
   [09/01/2010|20:08] C:\DOCUME~1\Yannis\APPLIC~1\BitTorrent
   [01/10/2007|17:18] C:\DOCUME~1\Yannis\APPLIC~1\Credential Manager
   [14/10/2007|11:49] C:\DOCUME~1\Yannis\APPLIC~1\DivX
   [08/03/2008|21:42] C:\DOCUME~1\Yannis\APPLIC~1\DMCache
   [28/07/2009|14:24] C:\DOCUME~1\Yannis\APPLIC~1\dvdcss
   [30/12/2009|21:04] C:\DOCUME~1\Yannis\APPLIC~1\EPSON
   [20/02/2010|12:31] C:\DOCUME~1\Yannis\APPLIC~1\fltk.org
   [22/12/2007|21:14] C:\DOCUME~1\Yannis\APPLIC~1\foobar2000
   [22/02/2010|14:49] C:\DOCUME~1\Yannis\APPLIC~1\GetRightToGo
   [02/04/2008|20:01] C:\DOCUME~1\Yannis\APPLIC~1\Google
   [26/10/2007|21:52] C:\DOCUME~1\Yannis\APPLIC~1\Help
   [15/08/2007|23:45] C:\DOCUME~1\Yannis\APPLIC~1\HotSync
   [10/01/2010|13:39] C:\DOCUME~1\Yannis\APPLIC~1\HpUpdate
   [20/01/2008|12:54] C:\DOCUME~1\Yannis\APPLIC~1\IcoFX
   [15/08/2007|23:19] C:\DOCUME~1\Yannis\APPLIC~1\Identities
   [03/03/2008|14:11] C:\DOCUME~1\Yannis\APPLIC~1\IDM
   [15/01/2008|19:27] C:\DOCUME~1\Yannis\APPLIC~1\InstallShield
   [17/08/2007|21:24] C:\DOCUME~1\Yannis\APPLIC~1\InterVideo
   [15/08/2007|23:48] C:\DOCUME~1\Yannis\APPLIC~1\Leadertech
   [20/12/2009|16:24] C:\DOCUME~1\Yannis\APPLIC~1\LolClient.F24C99354F615F3BAB18AE7B93E3F9B9E8784FA6.1
   [30/08/2007|12:43] C:\DOCUME~1\Yannis\APPLIC~1\Macromedia
   [24/02/2009|16:21] C:\DOCUME~1\Yannis\APPLIC~1\Media Player Classic
   [25/06/2009|08:09] C:\DOCUME~1\Yannis\APPLIC~1\Microsoft
   [05/09/2008|17:43] C:\DOCUME~1\Yannis\APPLIC~1\Mozilla
   [22/11/2007|22:27] C:\DOCUME~1\Yannis\APPLIC~1\MSNInstaller
   [19/02/2010|19:24] C:\DOCUME~1\Yannis\APPLIC~1\Mumble
   [29/10/2007|11:28] C:\DOCUME~1\Yannis\APPLIC~1\Nero
   [20/02/2010|11:55] C:\DOCUME~1\Yannis\APPLIC~1\NVD
   [07/11/2007|19:53] C:\DOCUME~1\Yannis\APPLIC~1\Nvu
   [18/02/2010|20:07] C:\DOCUME~1\Yannis\APPLIC~1\OpenOffice.org2
   [23/01/2009|00:09] C:\DOCUME~1\Yannis\APPLIC~1\Regressi
   [03/02/2009|18:04] C:\DOCUME~1\Yannis\APPLIC~1\Samsung
   [29/12/2009|17:10] C:\DOCUME~1\Yannis\APPLIC~1\Skype
   [29/12/2009|16:08] C:\DOCUME~1\Yannis\APPLIC~1\skypePM
   [23/02/2010|13:09] C:\DOCUME~1\Yannis\APPLIC~1\SoftGrid Client
   [11/09/2007|17:02] C:\DOCUME~1\Yannis\APPLIC~1\Sonic
   [28/09/2007|20:45] C:\DOCUME~1\Yannis\APPLIC~1\Sun
   [29/03/2008|20:07] C:\DOCUME~1\Yannis\APPLIC~1\Symantec
   [16/08/2007|21:29] C:\DOCUME~1\Yannis\APPLIC~1\Talkback
   [29/12/2009|19:26] C:\DOCUME~1\Yannis\APPLIC~1\teamspeak2
   [24/02/2009|16:43] C:\DOCUME~1\Yannis\APPLIC~1\TigerPlayer
   [18/02/2010|17:04] C:\DOCUME~1\Yannis\APPLIC~1\TP
   [23/01/2008|16:17] C:\DOCUME~1\Yannis\APPLIC~1\TrueCrypt
   [06/06/2008|16:01] C:\DOCUME~1\Yannis\APPLIC~1\U3
   [30/09/2007|10:25] C:\DOCUME~1\Yannis\APPLIC~1\vlc
   [31/07/2009|19:34] C:\DOCUME~1\Yannis\APPLIC~1\VoipBuster
   [11/01/2009|18:55] C:\DOCUME~1\Yannis\APPLIC~1\VoipCheapCom
   [19/05/2008|20:07] C:\DOCUME~1\Yannis\APPLIC~1\WAUMod
   [03/10/2007|15:46] C:\DOCUME~1\Yannis\APPLIC~1\WengoPhone
   [16/08/2007|21:42] C:\DOCUME~1\Yannis\APPLIC~1\WinRAR
   [13/01/2008|11:29] C:\DOCUME~1\Yannis\APPLIC~1\Xi
 
   --------------------\  Tâches planifiées dans C:\WINDOWS\tasks

   [22/10/2008 17:53][--a------] C:\WINDOWS\tasks\Low Battery Alarm Program.job
   [23/02/2010 15:31][--a------] C:\WINDOWS\tasks\AppleSoftwareUpdate.job
   [27/02/2010 14:32][--ah-----] C:\WINDOWS\tasks\SA.DAT
   [02/03/2006 13:00][-r-h-c---] C:\WINDOWS\tasks\desktop.ini

   --------------------\  Listing des dossiers dans C:\Program Files

   [30/08/2008|14:42] C:\Program Files\Adobe
   [07/03/2008|20:12] C:\Program Files\Ahead
   [29/10/2007|18:46] C:\Program Files\Alcohol Soft
   [04/11/2009|04:02] C:\Program Files\Alice MOBILE
   [01/03/2009|17:44] C:\Program Files\Alwil Software
   [16/08/2007|20:03] C:\Program Files\Analog Devices
   [07/02/2009|19:32] C:\Program Files\Ares
   [25/05/2008|19:09] C:\Program Files\AskPBar
   [24/02/2010|02:12] C:\Program Files\BitComet
   [09/01/2010|20:08] C:\Program Files\BitTorrent
   [02/02/2008|12:35] C:\Program Files\Bonjour
   [29/08/2008|19:31] C:\Program Files\Broadcom
   [06/10/2007|17:44] C:\Program Files\Camtech
   [15/06/2008|21:38] C:\Program Files\CardDetector
   [27/09/2008|15:25] C:\Program Files\CCleaner
   [20/09/2009|14:45] C:\Program Files\Common Files
   [15/08/2007|23:09] C:\Program Files\ComPlus Applications
   [13/01/2008|15:02] C:\Program Files\DAP
   [03/02/2009|18:02] C:\Program Files\DivX
   [31/10/2009|14:01] C:\Program Files\DNA
   [02/12/2007|00:01] C:\Program Files\Elaborate Bytes
   [30/12/2009|20:54] C:\Program Files\epson
   [22/01/2009|18:08] C:\Program Files\Evariste
   [12/01/2010|19:39] C:\Program Files\Fichiers communs
   [16/08/2007|20:18] C:\Program Files\Fingerprint Sensor
   [05/03/2008|15:55] C:\Program Files\FreshDevices
   [23/03/2008|00:24] C:\Program Files\FunWebProducts
   [09/01/2010|20:07] C:\Program Files\Game Cam V2
   [16/10/2008|16:17] C:\Program Files\Google
   [16/08/2007|20:32] C:\Program Files\Hewlett-Packard
   [10/01/2010|13:38] C:\Program Files\Hp
   [16/08/2007|20:26] C:\Program Files\Hp Broadband Wireless Tour
   [25/10/2007|18:51] C:\Program Files\HPQ
   [09/01/2010|20:08] C:\Program Files\HyCam2
   [22/02/2010|14:50] C:\Program Files\InstallShield Installation Information
   [16/08/2007|20:33] C:\Program Files\Intel
   [22/01/2010|23:36] C:\Program Files\Internet Explorer
   [03/02/2009|18:03] C:\Program Files\InterVideo
   [02/02/2008|14:36] C:\Program Files\iPod
   [02/02/2008|14:36] C:\Program Files\iTunes
   [12/09/2008|19:40] C:\Program Files\Java
   [22/06/2009|13:31] C:\Program Files\KC Softwares
   [24/02/2010|12:46] C:\Program Files\League of Legends
   [28/09/2008|16:00] C:\Program Files\Logitech
   [10/09/2008|12:25] C:\Program Files\MainSoft
   [09/01/2010|20:00] C:\Program Files\MediaCoder
   [28/10/2007|23:00] C:\Program Files\Mega Bloc Notes
   [21/07/2009|21:28] C:\Program Files\Menara
   [12/01/2009|17:20] C:\Program Files\Messenger
   [20/01/2010|17:00] C:\Program Files\Messenger Plus! Live
   [07/12/2009|20:36] C:\Program Files\Microsoft
   [18/02/2010|17:06] C:\Program Files\Microsoft Application Virtualization Client
   [29/09/2007|19:24] C:\Program Files\Microsoft CAPICOM 2.1.0.2
   [15/08/2007|23:12] C:\Program Files\microsoft frontpage
   [18/02/2010|17:06] C:\Program Files\Microsoft Office
   [21/01/2010|18:04] C:\Program Files\Microsoft Silverlight
   [03/09/2007|21:25] C:\Program Files\Microsoft.NET
   [02/11/2007|18:45] C:\Program Files\MIKSOFT
   [21/02/2010|01:06] C:\Program Files\Millenium 3.3.0
   [12/01/2009|19:54] C:\Program Files\Movie Maker
   [27/02/2010|17:30] C:\Program Files\Mozilla Firefox
   [06/02/2009|19:58] C:\Program Files\Mp3 My Mp3 2.0
   [02/01/2010|19:37] C:\Program Files\MpcStar
   [06/09/2009|13:25] C:\Program Files\MSBuild
   [16/01/2008|15:07] C:\Program Files\MSN
   [15/08/2007|23:08] C:\Program Files\MSN Gaming Zone
   [30/10/2007|13:38] C:\Program Files\MSXML 4.0
   [19/02/2010|19:15] C:\Program Files\Mumble
   [23/02/2010|09:16] C:\Program Files\NCSoft
   [11/01/2009|02:56] C:\Program Files\NetMeeting
   [07/06/2008|15:42] C:\Program Files\Neuf
   [08/02/2009|10:30] C:\Program Files\Norton AntiVirus
   [15/08/2007|23:08] C:\Program Files\Online Services
   [12/03/2008|10:25] C:\Program Files\OpenOffice.org 2.3
   [15/07/2008|15:27] C:\Program Files\OrangeBS
   [24/10/2009|23:19] C:\Program Files\Outlook Express
   [21/01/2009|00:43] C:\Program Files\PartyGaming
   [09/01/2010|20:00] C:\Program Files\PDFCreator
   [09/01/2010|19:59] C:\Program Files\PhoTags Express
   [09/01/2010|19:57] C:\Program Files\QuickTime
   [24/02/2010|18:23] C:\Program Files\RealVNC
   [06/10/2008|17:57] C:\Program Files\Red Kawa
   [06/09/2009|13:25] C:\Program Files\Reference Assemblies
   [13/01/2009|21:15] C:\Program Files\RocketDock
   [21/07/2009|21:16] C:\Program Files\SAGEM
   [18/12/2007|23:44] C:\Program Files\Samsung
   [15/08/2007|23:10] C:\Program Files\Services en ligne
   [16/08/2007|20:11] C:\Program Files\Sierra Wireless
   [23/06/2009|13:09] C:\Program Files\Skype
   [26/03/2008|17:21] C:\Program Files\Sonic
   [04/01/2009|12:12] C:\Program Files\Starcraft
   [24/10/2007|22:08] C:\Program Files\Stardock
   [16/08/2007|20:09] C:\Program Files\Synaptics
   [16/12/2009|23:14] C:\Program Files\Teamspeak2_RC2
   [09/02/2008|16:35] C:\Program Files\Temporary
   [02/07/2008|23:46] C:\Program Files\Trend Micro
   [23/01/2008|16:15] C:\Program Files\TrueCrypt
   [15/08/2007|23:19] C:\Program Files\Uninstall Information
   [16/08/2007|20:30] C:\Program Files\Venturi Client
   [22/04/2009|23:25] C:\Program Files\Veoh Networks
   [05/10/2007|21:57] C:\Program Files\VideoLAN
   [25/10/2007|18:55] C:\Program Files\Vista Drive Icon
   [25/10/2007|18:55] C:\Program Files\Vista Start Menu
   [27/07/2009|16:14] C:\Program Files\Windows Live
   [27/07/2009|16:13] C:\Program Files\Windows Live SkyDrive
   [12/09/2007|11:19] C:\Program Files\Windows Media Connect
   [09/01/2010|20:13] C:\Program Files\Windows Media Connect 2
   [11/01/2009|02:56] C:\Program Files\Windows Media Player
   [11/01/2009|02:56] C:\Program Files\Windows NT
   [04/11/2007|10:38] C:\Program Files\WindowsUpdate
   [14/10/2007|14:17] C:\Program Files\WinDS PRO2
   [16/08/2007|23:08] C:\Program Files\WinRAR
   [17/02/2010|14:20] C:\Program Files\World Of Warcraft
   [01/11/2009|11:16] C:\Program Files\WowCartographe
   [26/12/2009|20:21] C:\Program Files\Xenocode
   [15/08/2007|23:12] C:\Program Files\xerox
   [11/11/2007|16:46] C:\Program Files\Yahoo!
   [20/02/2010|12:31] C:\Program Files\ZynAddSubFX

   --------------------\  Listing des dossiers dans C:\Program Files\Fichiers communs

   [07/03/2008|00:45] C:\Program Files\Fichiers communs\Adobe
   [16/02/2010|18:25] C:\Program Files\Fichiers communs\Adobe AIR
   [15/09/2007|18:45] C:\Program Files\Fichiers communs\Apple
   [12/01/2010|19:39] C:\Program Files\Fichiers communs\Blizzard Entertainment
   [03/09/2007|21:26] C:\Program Files\Fichiers communs\DESIGNER
   [15/06/2008|22:17] C:\Program Files\Fichiers communs\France Telecom
   [26/03/2008|17:21] C:\Program Files\Fichiers communs\InstallShield
   [16/08/2007|20:17] C:\Program Files\Fichiers communs\Java
   [29/10/2007|11:54] C:\Program Files\Fichiers communs\LightScribe
   [02/10/2007|17:46] C:\Program Files\Fichiers communs\Logitech
   [22/02/2010|13:11] C:\Program Files\Fichiers communs\Microsoft Shared
   [15/08/2007|23:09] C:\Program Files\Fichiers communs\MSSoap
   [16/08/2007|00:49] C:\Program Files\Fichiers communs\ODBC
   [15/08/2007|23:10] C:\Program Files\Fichiers communs\Services
   [23/06/2009|13:09] C:\Program Files\Fichiers communs\Skype
   [30/03/2008|10:04] C:\Program Files\Fichiers communs\snp325
   [26/03/2008|17:20] C:\Program Files\Fichiers communs\Sonic Shared
   [16/08/2007|00:49] C:\Program Files\Fichiers communs\SpeechEngines
   [26/03/2008|17:21] C:\Program Files\Fichiers communs\SureThing Shared
   [20/09/2009|12:29] C:\Program Files\Fichiers communs\SWF Studio
   [08/02/2009|10:33] C:\Program Files\Fichiers communs\Symantec Shared
   [11/01/2009|02:56] C:\Program Files\Fichiers communs\System
   [27/07/2009|16:06] C:\Program Files\Fichiers communs\Windows Live
   [16/01/2008|15:44] C:\Program Files\Fichiers communs\WindowsLiveInstaller
   [21/11/2007|18:33] C:\Program Files\Fichiers communs\Wise Installation Wizard

   --------------------\  Process

   ( 67 Processes )

   ... OK !

   --------------------\  Recherche avec S_Lop

   Aucun fichier / dossier Lop trouvé !
 
   --------------------\  Recherche de Fichiers / Dossiers Lop

   Aucun fichier / dossier Lop trouvé ! 
 
   --------------------\  Verification du Registre
 
   ..... OK !

   --------------------\  Verification du fichier Hosts

   Fichier Hosts PROPRE


   --------------------\  Recherche de fichiers avec Catchme
 
   catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
   Rootkit scan 2010-02-27 19:12:12
   Windows 5.1.2600 Service Pack 3 NTFS
   scanning hidden processes ...
   scanning hidden files ...
   scan completed successfully
   hidden processes: 0
   hidden files: 1058
 
   --------------------\  Recherche d'autres infections

   [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\..\{BE02E0A3-BE08-4084-9242-336BF3F10446}]
    NameServer	REG_SZ	85.255.116.24,85.255.112.84
   [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\..\{BE02E0A3-BE08-4084-9242-336BF3F10446}]
    NameServer	REG_SZ	85.255.116.24,85.255.112.84
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\..\{BE02E0A3-BE08-4084-9242-336BF3F10446}]
    NameServer	REG_SZ	85.255.116.24,85.255.112.84
   [b]==> WAREOUT <==/b
 
   --------------------\  Cracks & Keygens ..

   C:\DOCUME~1\Yannis\Mes documents\Counter Strike Condition Zero\CS-CZ - Crack and Keys.rar
   C:\DOCUME~1\Yannis\Mes documents\Counter Strike Condition Zero\Read me- Cracking Instructions.txt


   [F:2][D:3]-> C:\DOCUME~1\Yannis\LOCALS~1\Temp
   [F:19][D:0]-> C:\DOCUME~1\Yannis\Cookies
   [F:8][D:4]-> C:\DOCUME~1\Yannis\LOCALS~1\TEMPOR~1\content.IE5

   1 - "C:\Lop SD\LopR_1.txt" - 27/02/2010|19:19 - Option : [1]

   --------------------\  Fin du rapport a 19:19:43


3/ pour AD-Remover : 

.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.

C:\Program Files\AskPBar 
C:\Program Files\FunWebProducts 
C:\Program Files\PartyGaming 
C:\DOCUME~1\ALLUSE~1\APPLIC~1\2ACA5CC3-0F83-453D-A079-1076FE1A8B65 
C:\Documents and Settings\Papa\Bureau\[MFT] Naruto Chapitre 452\EUROBARRE gagnez de l'argent sans rien faire !.txt 

(!) -- Fichiers temporaires supprimés.
 
.
HKCU\software\fcn
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0E5CBF21-D15F-11D0-8301-00AA005B4383} 
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00A6FAF1-072E-44CF-8957-5838F569A31D}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA1-A523-4961-B6BB-170DE4475CCA}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA9-A523-4961-B6BB-170DE4475CCA}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EAB-A523-4961-B6BB-170DE4475CCA}
HKCU\software\PartyGaming
HKLM\Software\Classes\Interface\{00B77587-BE1B-4201-B8E9-09FCF50AB771}
HKLM\Software\Classes\Interface\{1230CF51-6BC4-4A23-B3F1-C7CF0AFED619}
HKLM\Software\Classes\Interface\{2E9937FC-CF2F-4F56-AF54-5A6A3DD375CC}
HKLM\Software\Classes\Interface\{4E8B851B-05B0-4BAF-B24D-D0DFE88DDED3}
HKLM\Software\Classes\Interface\{50C3E2B3-4FD7-4CB9-91F9-641A6E6B3689}
HKLM\Software\Classes\Interface\{5A4737A8-B92A-4E54-970E-C2891D98CE3F}
HKLM\Software\Classes\Interface\{62B0B239-F9AC-4A5B-BFAE-62C7A23F7627}
HKLM\Software\Classes\Interface\{741DE825-A6F0-4497-9AA6-8023CF9B0FFF}
HKLM\Software\Classes\Interface\{ACE99E77-AA2A-43C2-8C9D-CAF2020FDF2B}
HKLM\Software\Classes\Interface\{B9CC2B92-5611-453F-8381-8B6F72D9C0B8}
HKLM\Software\Classes\Interface\{C4543E64-1498-410D-8E72-4744EEA99AB9}
HKLM\Software\Classes\Interface\{E0FB1610-B25B-49F6-BE20-751B2F230E6F}
HKLM\Software\Classes\TypeLib\{087C4054-0A2B-4F35-B0DB-BED3E21650F4}
HKLM\Software\Classes\TypeLib\{229D2451-A617-4B30-B5E8-8138694240CB}
HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{BD937FFE-0352-4FDE-88F2-C30D1A9B25CF}
HKLM\software\microsoft\internet explorer\searchscopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}
HKLM\Software\Microsoft\Multimedia\WMPlayer\Schemes\f3pss
HKU\S-1-5-21-789336058-1303643608-682003330-1004\Software\Microsoft\Internet Explorer\Searchscopes\{56256A51-B582-467E-B8D4-7786EDA79AE0}
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.0.18 [fr] *
.
 Nom du profil: xty50xgm.default (Yannis)
.
(Yannis, Invalidprefs.js) Browser.download.lastDir, C:\Documents and Settings\Yannis\Bureau
(Yannis, Invalidprefs.js) Browser.startup.homepage, hxxp://fr.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
(Yannis, Invalidprefs.js) Extensions.enabledItems, ,fr@dictionaries.addons.mozilla.org:3.5,{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}:6.0.03,{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}:6.0.05,{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}:6.0.02,{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}:6.0.07,{20a82645-c095-46ed-80e3-08825760534b}:1.1,{5c8bfb7c-9a54-11dc-8314-0800200c9a66}:3.6.3,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.0.18,{07b2a769-ed19-4483-87ce-c643914c81bb}:3.0.0.7
(Yannis, Invalidprefs.js) Privacy.popups.showBrowserMessage, false
. 
(Yannis, Invalidprefs.js) EFFACE - Extensions.opensearch@ask.com.install-event-fired, true
. 
(Yannis, prefs.js) Browser.download.lastDir, C:\Documents and Settings\Yannis\Bureau
(Yannis, prefs.js) Browser.startup.homepage, hxxp://fr.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
. 
.
* Internet Explorer Version 7.0.5730.13 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no
Search Bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Enable Browser Extensions: yes
Use Custom Search URL: 1 (0x1)
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Start Page: hxxp://fr.msn.com/
Search Bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials, ...) ==============
.
C:\Documents and Settings\Yannis\patcher.exe
C:\Documents and Settings\Yannis\Mes documents\Counter Strike Condition Zero\CS-CZ - Crack and Keys.rar
.
===================================
.
5325 Octet(s) - C:\Ad-Report-CLEAN[1].log 
.
1 Fichier(s) - C:\DOCUME~1\Yannis\LOCALS~1\Temp 
3 Fichier(s) - C:\WINDOWS\Temp 
1 Fichier(s) - C:\WINDOWS\Prefetch 
.
19 Fichier(s) - C:\Ad-Remover\BACKUP
470 Fichier(s) - C:\Ad-Remover\QUARANTINE
.
Fin à: 19:47:56 | 27/02/2010 - CLEAN[1]
.
============== E.O.F ==============
.

verni29 · Answer

Re, 

Il y a une infection Wareout sur le PC ( détournement de serveur DNS ).

Tu télécharges MalwareBytes. 
http://www.malwarebytes.org/mbam/program/mbam-setup.exe 

Tu l'installes. Choisis les options par défaut. 
# A la fin de l’installation, il te sera demandé de mettre à jour MalwareBytes et de l’éxecuter .
# Accepte. Après la, mise à jour, le logiciel va s’ouvrir. 

# Dans l’onglet Recherche, sélectionne Exécuter un examen complet. 
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l’ordinateur. 
# Clique sur lancer l’examen. 

# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection. 
Tu postes le rapport dans ton prochain message.

Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l’onglet  Rapport/logs. Il y est. Clique dessus et choisir ouvrir. 

A+

chipleader78 · Answer

Bonjour,
désolé je n'étais pas là en début d'après-midi, donc je n'ai pas pu faire ce que vous avez dit.

Donc, voilà je l'ai lancé en rentrant : il a détecté plusieurs infections par contre il y en a certaines pour lesquelles il fallait redémarrer l'ordinateur, donc je sais pas si ça a influencé le rapport mais en tous cas, j'ai redémarré directement.

Voilà le rapport :



Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3807
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

28/02/2010 19:29:18
mbam-log-2010-02-28 (19-29-18).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 218213
Temps écoulé: 58 minute(s), 57 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 18
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
C:\WINDOWS\system32\drivers\svchost.exe (Trojan.Downloader) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\setup.player (Spyware.MarketScore) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\setup.player.2k2 (Spyware.MarketScore) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{2e623b96-b166-4c70-8169-820761794299} (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{726f0ab9-b842-4ae4-90c7-230e233e6a99} (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{bf1bf02c-5a86-4ecf-adac-472c54c4d21e} (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{35b7e48b-9d81-4c6c-9578-5fd4f620d886} (Spyware.MarketScore) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Installer\Features\9ee2330ae5f4470cac801baac83818c9 (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Installer\Products\568267acfc5644dab06f058006ddbae3 (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{93b0fa7b-50f6-41b4-ac7e-612a72ce8c3c} (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07aa283a-43d7-4cbe-a064-32a21112d94d} (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{93b0fa7b-50f6-41b4-ac7e-612a72ce8c3c} (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1e5b2693-d348-4ca7-8364-4f5e51bf9c6d} (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{2e54ac53-efa4-4831-a3f6-b47b1a1937cf} (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{54a3f8b7-228e-4ed8-895b-de832b2c3959} (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{bd937ffe-0352-4fde-88f2-c30d1a9b25cf} (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\WR (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\kernelexe (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Dot1XCfg (Trojan.Downloader) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\*.starsdoor.com (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\windows security tool (Trojan.Dropper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
tspool (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform\zango 10.0.341.0 (Adware.Zango) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{be02e0a3-be08-4084-9242-336bf3f10446}\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.24,85.255.112.84 -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\Program Files\Temporary (Trojan.Agent) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\System Volume Information\_restore{39323D57-9044-44F8-8A65-4D93B3CE2A83}\RP422\A0294191.sys (HackTool.Agent) -> Delete on reboot.
C:\System Volume Information\_restore{39323D57-9044-44F8-8A65-4D93B3CE2A83}\RP422\A0295153.sys (HackTool.Agent) -> Delete on reboot.
C:\System Volume Information\_restore{39323D57-9044-44F8-8A65-4D93B3CE2A83}\RP423\A0295179.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{39323D57-9044-44F8-8A65-4D93B3CE2A83}\RP423\A0295186.sys (HackTool.Agent) -> Delete on reboot.
C:\System Volume Information\_restore{39323D57-9044-44F8-8A65-4D93B3CE2A83}\RP423\A0295189.exe (Trojan.Banker) -> Quarantined and deleted successfully.
C:\WINDOWS\system32ar.exe (Trojan.Backdoor) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\svchost.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Sysvxd.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

verni29 · Answer

re, 

As-tu toujours ces alertes de ton antivirus ?

On passe un dernier outil.

Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( important pour la suite )
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.

# Lance Combofix.exe et suis les invites.
# Il te sera demandé d’installer la console de récupération.
Important. Fais le absolument.

Il est possible que ComBoFix redémarre l’ordinateur pour supprimer certains fichiers. 

# Une fois le scan fini, un rapport va apparaitre.

Copie/colle ce rapport dans ta prochaine réponse.

Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.

A+

chipleader78 · Answer

Tu me dis de brancher mes périphériques (clés usb, disque dur externe ...) : juste ceux qui étaient présents pendant la contamination ou utilisés après ? 

Parce que quand j'ai eu ma première alerte je n'avais aucun périphérique branché et je n'en ai branché aucun depuis. Donc a priori aucun de mes périphériques n'a été infecté.

verni29 · Answer

A priori, les supports ne sont pas infectés mais branche les.
on verra ce que l'outil trouvera.

A+

chipleader78 · Answer

Je peux pas, j'ai trop de périphériques.

Sinon pour les alertes, je ne suis pas sûr mais je crois qu'il y en a eu une mais je ne me souviens plus si c'était avant ou après la désinfection par Malware.

Bon, je lance ComboFix et j'envoie le rapport une fois que c'est bon.

Par contre j'ai remarqué que mon ordi rame au début et quand je passe ma souris sur la barre des tâches, le pointeur de ma souris est un sablier (rame), jusqu'à ce que le son d'ouverture de la session retentisse (environ 1 min après). Après ça rame plus.

verni29 · Answer

Comme je te le disais, les périphériques ne sont pas à prioiri infectés.
On les vaccinera ensuite. 
Branche les supports comme les disques durs externes de préference.

A+

chipleader78 · Answer

J'en ai pas actuellement je comptais m'en acheter un prochainement, mais pour l'instant j'ai que des clés usb de maximum 4Go


Bon, à part ça, j'ai fini le scan de ComboFix, j'ai bien pu installer la console de récupération et voici le rapport : 


ComboFix 10-02-27.04 - Yannis 28/02/2010  22:07:49.1.1 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1015.580 [GMT 1:00]
Lancé depuis: c:\documents and settings\Yannis\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1368 [VPS 100223-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\install.exe
c:\windows\system32\_000006_.tmp.dll
c:\windows\system32	wain_32.dll
D:\Autorun.inf

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-01-28 au 2010-02-28  ))))))))))))))))))))))))))))))))))))
.

2010-02-28 17:24 . 2010-02-28 17:24	--------	d-----w-	c:\documents and settings\Yannis\Application Data\Malwarebytes
2010-02-28 17:23 . 2010-01-07 15:07	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-02-28 17:23 . 2010-02-28 17:23	--------	dc----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2010-02-28 17:23 . 2010-02-28 17:24	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-02-28 17:23 . 2010-01-07 15:07	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-02-27 18:52 . 2010-02-12 10:03	293376	------w-	c:\windows\system32\browserchoice.exe
2010-02-27 18:39 . 2010-02-27 18:47	--------	dc----w-	C:\Ad-Remover
2010-02-27 17:41 . 2010-02-27 18:19	--------	dc----w-	C:\Lop SD
2010-02-27 12:30 . 2010-02-27 12:30	--------	dc----w-	C:\_OTL
2010-02-26 15:14 . 2008-04-13 18:40	8192	-c--a-w-	c:\windows\system32\dllcache\changer.sys
2010-02-26 15:14 . 2008-04-13 18:40	8192	----a-w-	c:\windows\system32\drivers\changer.sys
2010-02-24 17:23 . 2009-07-24 23:38	26624	----a-w-	c:\windows\system32\VNCpm.dll
2010-02-24 17:23 . 2009-07-24 23:38	4608	----a-w-	c:\windows\system32\drivers\vncmirror.sys
2010-02-24 17:23 . 2009-07-24 23:38	20992	----a-w-	c:\windows\system32\vncmirror.dll
2010-02-24 17:23 . 2010-02-24 17:23	--------	d-----w-	c:\program files\RealVNC
2010-02-22 13:50 . 2010-02-22 13:50	--------	d-----w-	c:\documents and settings\Yannis\Local Settings\Application Data\assembly
2010-02-22 13:50 . 2010-02-23 08:16	--------	d-----w-	c:\program files\NCSoft
2010-02-20 13:05 . 2010-02-24 19:56	--------	dc----w-	c:\documents and settings\All Users\Application Data\VirtualizedApplications
2010-02-20 11:16 . 2010-02-20 11:31	--------	d-----w-	c:\program files\ZynAddSubFX
2010-02-20 10:55 . 2010-02-20 10:55	--------	d-----w-	c:\documents and settings\Yannis\Local Settings\Application Data\NVD
2010-02-20 10:55 . 2010-02-20 10:55	--------	d-----w-	c:\documents and settings\Yannis\Application Data\NVD
2010-02-20 10:54 . 2010-02-20 10:54	--------	d-----w-	c:\documents and settings\Yannis\Local Settings\Application Data\SoftGrid Client
2010-02-19 18:16 . 2010-02-19 18:24	--------	d-----w-	c:\documents and settings\Yannis\Application Data\Mumble
2010-02-19 18:14 . 2010-02-19 18:15	--------	d-----w-	c:\program files\Mumble
2010-02-18 17:52 . 2010-02-23 12:09	--------	d-----w-	c:\documents and settings\Yannis\Application Data\SoftGrid Client
2010-02-18 16:07 . 2010-02-18 16:07	--------	d-----w-	c:\windows\system32\config\systemprofile\Application Data\{20140062-0062-040C-0000-0000000FF1CE}
2010-02-18 16:07 . 2010-02-28 21:01	--------	d-----w-	c:\windows\system32\config\systemprofile\Application Data\SoftGrid Client
2010-02-18 16:06 . 2010-02-19 06:45	--------	d-----w-	c:\windows\system32\config\systemprofile\Local Settings\Application Data\SoftGrid Client
2010-02-18 16:06 . 2010-02-18 16:06	--------	d-----w-	c:\program files\Microsoft Application Virtualization Client
2010-02-18 16:06 . 2010-02-18 16:06	--------	dc----w-	c:\documents and settings\All Users\Microsoft
2010-02-18 16:04 . 2010-02-18 16:04	--------	d-----w-	c:\documents and settings\Yannis\Application Data\TP

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-26 15:07 . 2010-02-26 15:07	12	----a-w-	c:\windows\system32\config\systemprofile\Application Databuwzv.dat
2010-02-24 11:46 . 2009-12-20 14:27	--------	d-----w-	c:\program files\League of Legends
2010-02-24 01:12 . 2009-02-24 14:31	--------	d-----w-	c:\program files\BitComet
2010-02-22 13:50 . 2007-08-16 19:00	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-02-22 13:49 . 2007-10-14 14:55	--------	d-----w-	c:\documents and settings\Yannis\Application Data\GetRightToGo
2010-02-21 00:06 . 2009-10-21 15:03	--------	d-----w-	c:\program files\Millenium 3.3.0
2010-02-20 11:31 . 2007-10-06 17:57	--------	d-----w-	c:\documents and settings\Yannis\Application Data\fltk.org
2010-02-18 19:07 . 2008-04-10 05:13	1	----a-w-	c:\documents and settings\Yannis\Application Data\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2010-02-18 19:07 . 2008-03-11 22:32	--------	d-----w-	c:\documents and settings\Yannis\Application Data\OpenOffice.org2
2010-02-18 16:06 . 2006-03-02 12:00	81132	----a-w-	c:\windows\system32\perfc00C.dat
2010-02-18 16:06 . 2006-03-02 12:00	501582	----a-w-	c:\windows\system32\perfh00C.dat
2010-02-17 13:20 . 2010-01-10 16:57	--------	d-----w-	c:\program files\World Of Warcraft
2010-02-16 17:25 . 2009-12-20 14:49	--------	d-----w-	c:\program files\Fichiers communs\Adobe AIR
2010-02-16 17:24 . 2009-12-20 14:50	38784	----a-w-	c:\documents and settings\Default User\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-01-21 17:04 . 2009-07-27 15:14	--------	d-----w-	c:\program files\Microsoft Silverlight
2010-01-20 19:50 . 2008-01-16 14:54	--------	d-----w-	c:\documents and settings\All Users\Application Data\Messenger Plus!
2010-01-20 16:00 . 2008-01-16 14:51	--------	d-----w-	c:\program files\Messenger Plus! Live
2010-01-18 20:28 . 2010-01-18 20:28	1232	----a-w-	c:\program files\unins000.dat
2010-01-18 20:28 . 2010-01-18 20:28	710619	----a-w-	c:\program files\unins000.exe
2010-01-12 18:39 . 2010-01-12 18:39	--------	d-----w-	c:\program files\Fichiers communs\Blizzard Entertainment
2010-01-10 12:39 . 2010-01-10 12:37	--------	d-----w-	c:\documents and settings\Yannis\Application Data\HpUpdate
2010-01-10 12:38 . 2007-08-16 19:23	--------	d-----w-	c:\program files\Hp
2010-01-09 19:13 . 2007-09-12 10:21	--------	d-----w-	c:\program files\Windows Media Connect 2
2010-01-09 19:08 . 2008-12-27 17:18	--------	d-----w-	c:\program files\HyCam2
2010-01-09 19:08 . 2007-10-27 13:58	--------	d-----w-	c:\documents and settings\Yannis\Application Data\BitTorrent
2010-01-09 19:08 . 2008-09-30 21:29	--------	d-----w-	c:\program files\BitTorrent
2010-01-09 19:07 . 2008-12-25 17:16	--------	d-----w-	c:\program files\Game Cam V2
2010-01-09 19:00 . 2007-10-28 20:46	--------	d-----w-	c:\program files\PDFCreator
2010-01-09 19:00 . 2009-02-21 14:52	--------	d-----w-	c:\program files\MediaCoder
2010-01-09 18:59 . 2008-06-04 18:44	--------	d-----w-	c:\program files\PhoTags Express
2010-01-09 18:57 . 2007-12-23 18:40	--------	d-----w-	c:\program files\QuickTime
2010-01-05 09:56 . 2006-03-02 12:00	832512	----a-w-	c:\windows\system32\wininet.dll
2010-01-05 09:56 . 2006-03-02 12:00	78336	----a-w-	c:\windows\system32\ieencode.dll
2010-01-05 09:56 . 2006-03-02 12:00	17408	------w-	c:\windows\system32\corpol.dll
2010-01-02 18:37 . 2009-02-24 15:41	--------	d-----w-	c:\program files\MpcStar
2009-12-31 16:50 . 2006-03-02 12:00	353792	----a-w-	c:\windows\system32\drivers\srv.sys
2009-12-17 07:41 . 2007-08-15 22:08	347648	----a-w-	c:\windows\system32\mspaint.exe
2009-12-14 07:09 . 2006-03-02 12:00	33280	----a-w-	c:\windows\system32\csrsrv.dll
2009-12-09 10:09 . 2004-08-19 16:04	2068096	----a-w-	c:\windows\system32
tkrnlpa.exe
2009-12-09 10:09 . 2006-03-02 12:00	2191232	----a-w-	c:\windows\system32
toskrnl.exe
2009-12-04 18:22 . 2006-03-02 12:00	455424	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2009-11-23 11:09 . 2010-01-18 20:28	478208	----a-w-	c:\program files\Launcher.exe
2005-12-28 19:44 . 2010-01-18 20:28	162816	----a-w-	c:\program files\fmod.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856]
"RocketDock"="c:\program files\RocketDock\RocketDock.exe" [2007-09-02 495616]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]
"PTHOSTTR"="c:\program files\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE" [2006-02-14 122880]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-03-03 761948]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2006-03-23 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-03-23 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2006-03-23 118784]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"Cpqset"="c:\program files\HPQ\Default Settings\cpqset.exe" [2006-01-26 172094]
"hpWirelessAssistant"="c:\program files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-02-14 454656]
"QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-05-08 131072]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2005-07-19 221184]
"DrvIcon"="c:\program files\Vista Drive Icon\DrvIcon.exe" [2007-07-04 45056]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-01-15 267048]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"FixCamera"="c:\windows\FixCamera.exe" [2008-07-12 0]
"tsnp325"="c:\windows	snp325.exe" [2007-04-21 270336]
"snp325"="c:\windows\vsnp325.exe" [2007-05-09 835584]
"CardDetectorGX0301"="c:\program files\CardDetector\GX0301\CardDetector.exe" [2007-11-13 278528]
"BEWINTERNET-FR-DMESessionManager"="c:\program files\OrangeBS\BEWInternet\SessionManager\SessionManager.exe" [2007-10-30 102400]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Yannis\Menu D‚marrer\Programmes\D‚marrage\
Yahoo! Widget Engine.lnk - c:\program files\Yahoo!\Widgets\YahooWidgetEngine.exe [2007-7-20 2913584]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
DSLMON.lnk - c:\program files\Menara\dslmon.exe [2009-7-21 839680]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\OrangeBS\BEWInternet\Connectivity\ConnectivityManager.exe"=
"c:\Program Files\DNA\btdna.exe"=
"c:\Program Files\Ares\Ares.exe"=
"c:\Program Files\BitComet\BitComet.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\League of Legends\Air\LolClient.exe"=
"c:\Program Files\League of Legends\Game\League of Legends.exe"=
"c:\Program Files\Skype\Phone\Skype.exe"=
"c:\Program Files\World Of Warcraft\WoW-3.2.0-frFR-downloader.exe"=
"c:\Program Files\RealVNC\VNC4\winvnc4.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:WoW
"3724:UDP"= 3724:UDP:WoW
"6112:TCP"= 6112:TCP:WoW
"24011:TCP"= 24011:TCP:BitComet 24011 TCP
"24011:UDP"= 24011:UDP:BitComet 24011 UDP
"8394:TCP"= 8394:TCP:League of Legends Launcher
"8394:UDP"= 8394:UDP:League of Legends Launcher
"6949:TCP"= 6949:TCP:League of Legends Launcher
"6949:UDP"= 6949:UDP:League of Legends Launcher
"6933:TCP"= 6933:TCP:League of Legends Launcher
"6933:UDP"= 6933:UDP:League of Legends Launcher
"6961:TCP"= 6961:TCP:League of Legends Launcher
"6961:UDP"= 6961:UDP:League of Legends Launcher

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [01/03/2009 17:44 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [01/03/2009 17:44 20560]
R2 cvhsvc;Client Virtualization Handler;c:\program files\Fichiers communs\Microsoft Shared\Virtualization Handler\CVHSVC.EXE [26/09/2009 07:35 819600]
R2 sftlist;Application Virtualization Client;c:\program files\Microsoft Application Virtualization Client\sftlist.exe [23/09/2009 15:04 447832]
R3 sftfs;sftfs;c:\program files\Microsoft Application Virtualization Client\drivers\SftFSXP.sys [23/09/2009 15:04 543064]
R3 sftplay;sftplay;c:\program files\Microsoft Application Virtualization Client\drivers\sftplayxp.sys [23/09/2009 15:04 190312]
R3 Sftredir;Sftredir;c:\windows\system32\drivers\Sftredirxp.sys [23/09/2009 15:05 21864]
R3 sftvol;sftvol;c:\program files\Microsoft Application Virtualization Client\drivers\SftVolXP.sys [23/09/2009 15:04 14680]
R3 sftvsa;Application Virtualization Service Agent;c:\program files\Microsoft Application Virtualization Client\sftvsa.exe [23/09/2009 15:04 203608]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [29/10/2007 18:40 716272]
S2 IKANLOADER2;General Purpose USB Driver (e4ldr.sys);c:\windows\system32\drivers\e4ldr.sys [21/07/2009 21:16 63555]
S2 ONDA Autorun CDROM Monitor;ONDA Autorun CDROM Monitor;c:\windows\system32\SupportAppXL\onda_mon.exe [04/11/2009 03:26 86016]
S2 PTWsvc;PCTimeWatch;c:\program files\MainSoft\PC TimeWatch\PTWsvc.exe [25/09/2007 13:23 933888]
S3 e4usbaw;USB ADSL2 WAN Adapter;c:\windows\system32\drivers\e4usbaw.sys [21/07/2009 21:16 114616]
S3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\system32\drivers\Gt51Ip.sys [15/06/2008 21:39 95744]
S3 GT72UBUS;GT 72 U BUS;c:\windows\system32\drivers\gt72ubus.sys [15/06/2008 21:39 51968]
S3 ONDAusbmdm6k;ONDA Proprietary USB Driver;c:\windows\system32\drivers\ONDAusbmdm6k.sys [04/11/2009 03:26 104960]
S3 ONDAusbnet;ONDA USB-NDIS miniport;c:\windows\system32\drivers\ONDAusbnet.sys [04/11/2009 03:26 110080]
S3 ONDAusbnmea;ONDA NMEA Port;c:\windows\system32\drivers\ONDAusbnmea.sys [04/11/2009 03:26 104960]
S3 ONDAusbser6k;ONDA Diagnostic Port;c:\windows\system32\drivers\ONDAusbser6k.sys [04/11/2009 03:26 104960]
S3 osppsvc;Office Software Protection Platform;c:\program files\Fichiers communs\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [26/09/2009 04:28 4639136]
S3 PALLADIA;Palladia 300/400 Usb Adsl Modem;c:\windows\system32\drivers\usbiad.sys [13/06/2005 04:57 31579]
S3 PTWDrv;PTW - Process monitoring driver;\??\c:\program files\MainSoft\PC TimeWatch\PTWatch.sys --> c:\program files\MainSoft\PC TimeWatch\PTWatch.sys [?]
S3 SNP325;USB PC Camera (SNPSTD325);c:\windows\system32\drivers\snp325.sys [30/03/2008 10:04 10343168]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E4066320-E4AE-11CF-B1B0-00AA00BBAD66}]
2010-01-05 09:56	124928	----a-w-	c:\windows\system32\advpack.dll
.
Contenu du dossier 'Tâches planifiées'
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://us.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/?p=us
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Tout télécharger avec BitComet - c:\program files\BitComet\BitComet.exe/AddAllLink.htm
IE: Tout télécharger en utilisant FlashGet - c:\program files\FlashGet\jc_all.htm
IE: Télécharger avec BitComet - c:\program files\BitComet\BitComet.exe/AddLink.htm
IE: Télécharger en utilisant FlashGet - c:\program files\FlashGet\jc_link.htm
IE: Télécharger toutes les vidéos avec BitComet - c:\program files\BitComet\BitComet.exe/AddVideo.htm
Name-Space Handler: ftp\FD - {3BF4771A-18F5-4EAB-80B7-AC254D3C7503} - c:\progra~1\FRESHD~1\FRESHD~1\fdcatch.dll
Name-Space Handler: http\FD - {3BF4771A-18F5-4EAB-80B7-AC254D3C7503} - c:\progra~1\FRESHD~1\FRESHD~1\fdcatch.dll
FF - ProfilePath - c:\documents and settings\Yannis\Application Data\Mozilla\Firefox\Profiles\xty50xgm.default\
FF - prefs.js: browser.startup.homepage - hxxp://fr.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
FF - plugin: c:\progra~1\MI1933~1\Office14\NPSPWRAP.DLL
FF - plugin: c:\program files\Microsoft\Office Live
pOLW.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
pyaxmpb.dll
FF - plugin: c:\program files\MpcStar\Codecs\Real\browser\plugins
ppl3260.dll
FF - plugin: c:\program files\MpcStar\Codecs\Real\browser\plugins
prpjplug.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-WengoPhoneNG - f:\apps\PortableWengoPhone\qtwengophone.exe
HKCU-Run-PlayNC Launcher - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-28 22:12
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  Cpqset = c:\program files\HPQ\Default Settings\cpqset.exe????HW??4?3?6?0??????? ??4B??????????????hB? ???HW? 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]
@Denied: (Full) (Everyone)
"scansk"=hex(0):da,66,93,25,42,39,e0,51,7a,5a,29,df,d5,fc,8a,c1,98,ab,c0,50,fe,
   74,7e,31,78,cd,09,f7,67,1f,3f,0d,5a,16,4e,1f,80,95,cb,d6,00,00,00,00,00,00,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{e330e314-fe35-446b-a227-4c2776ef5f59}]
@Denied: (Full) (Everyone)
"Model"=dword:0000015d
"Therad"=dword:00000026
"MData"=hex(0):2b,8f,78,29,5a,0c,ce,ec,48,d4,68,e5,9f,6a,96,3e,ab,de,c5,81,26,
   38,95,44,85,b1,12,f9,90,dd,23,a1,49,8c,bf,1a,9d,fe,41,71,cb,3f,46,a4,7c,ab,\
.
Heure de fin: 2010-02-28  22:14:38
ComboFix-quarantined-files.txt  2010-02-28 21:14

Avant-CF: 10 069 762 048 octets libres
Après-CF: 10 072 055 808 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

- - End Of File - - 0C8E5A979B8C249A91838178D9AF04B9

chipleader78 · Answer

Ah au fait, je peux réactiver mon firewall et ma protection résidente antivirus ?

verni29 · Answer

Oui, évidemment.

chipleader78 · Answer

Ok bah j'attends votre réponse.

verni29 · Answer

OK,ra 

Cela semble bon pour les infections.
On va vérifier et vacciner les supports.

Si tu n'as pas assez de ports USB pour les différents supports ( USB, lecteur MP3, ... ), tu utiliseras deux fois l'outil suivant.
Commence les manips pour une partie de supports. On verra ensuite pour les autres.

Télécharge  USBFix  ( par Desparacido ) sur ton bureau.

 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir
• Double clic sur UsbFix.exe présent sur ton bureau .
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 
• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 
• Laisse travailler l'outil.
• Ensuite post le rapport UsbFix.txt qui apparaitra.

 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

tuto

A+

chipleader78 · Answer

Ah par contre j'ai un problème, c'est-à-dire que combofix a désactivé les icônes à côté de l'heure (zone de notification je crois). Or la protection résidente d'avast s'affichait ici mais maintenant je trouve pas comment l'activer, vous n'auriez pas une idée ?

verni29 · Answer

Redémarre le PC.
Dis-moi si cela ne sait pas rétablit.

On regardera aussi pour la lenteur du PC mais c'est un peu normal vu ce qui a été modifié et nettoyé sur le PC

A+

chipleader78 · Answer

Il est impossible qu'elles aient été infectées ça doit faire au moins 2-3 semaines que je les ai pas branchées.

verni29 · Answer

On va vérifier. 
Et les vacciner pour éviter toute autre infection sur tes clé ou autres supports;

chipleader78 · Answer

Alors, plusieurs bonnes nouvelles : 

Tout d'abord, le son d'ouverture de la session retentit presque instantanément (comme avant on va dire), il rame plus au démarrage et puis mes icônes de la zone de notification sont toutes réapparues au redémarrage comme avast et autres.

Bon alors que dois-je faire à présent ?

verni29 · Answer

message 50 :
https://forums.commentcamarche.net/forum/affich-16784370-virus-rootkit?page=3#50

verni29 · Answer

boulot demain.
Je regarderais cela demain

chipleader78 · Answer

Bon, je suis désolé mais au final j'ai que 2 clés USB (enfin une 3° que j'ai pas utilisé depuis au moins 5-6mois) et une des 2 je l'ai prêtée (mais pas utilisée par moi depuis 2-3 semaines) sinon là dernière c'est celle de mon frère mais j'ai peur qu'elle contienne un virus (j'ai de bonnes raisons de le penser) alors est-ce que je la branche ou pas , parce qu'elle pourrait contaminer mon ordi ?

verni29 · Answer

Tu les connectes mais sans les ouvrir.
USBFix va les analyser et on verra si elles sont infectées.

A+

chipleader78 · Answer

Voilà j'ai analysé la clé de mon frère et ça donne ça : 

C:\ -> Disque fixe local # 67,15 Go (9,41 Go free) # NTFS
D:\ -> Disque fixe local # 7,38 Go (433,3 Mo free) [HP_RECOVERY] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 3,72 Go (2,97 Go free) # FAT32
Q:\ -> Disque fixe local

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Vista Drive Icon\DrvIcon.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\vsnp325.exe
C:\Program Files\CardDetector\GX0301\CardDetector.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Menara\dslmon.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgetEngine.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgetEngine.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgetEngine.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\SupportAppXL\onda_mon.exe
C:\Program Files\Microsoft Application Virtualization Client\sftvsa.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Venturi Client\Client\ventc.exe
C:\Program Files\Microsoft Application Virtualization Client\sftlist.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\Windows Media Player\WMPNetwk.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Virtualization Handler\CVHSVC.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\hpq\Shared\HPQTOA~1.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Elements infectieux |

D:\AUTORUN.FCB  
F:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx   
F:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665  

################## | Registre |

[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"  

################## | Mountpoints2 |


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné !  

################## | ! Fin du rapport # UsbFix V6.097 ! |

verni29 · Answer

OK, 

Sa clé était bien infecté ( par conficker ).

Relance USBFix et cette fois-ci choisis l'option 2.
Poste le rapport.

A+

chipleader78 · Answer

C:\ -> Disque fixe local # 67,15 Go (9,4 Go free) # NTFS
D:\ -> Disque fixe local # 7,38 Go (433,3 Mo free) [HP_RECOVERY] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 3,72 Go (2,97 Go free) # FAT32
Q:\ -> Disque fixe local

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\SupportAppXL\onda_mon.exe
C:\Program Files\Microsoft Application Virtualization Client\sftvsa.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Venturi Client\Client\ventc.exe
C:\Program Files\Microsoft Application Virtualization Client\sftlist.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\Windows Media Player\WMPNetwk.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Virtualization Handler\CVHSVC.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

################## | Elements infectieux |

Supprimé ! D:\AUTORUN.FCB 
Supprimé ! D:\Recycler\S-1-5-21-2000478354-963894560-839522115-1004 
Supprimé ! D:\Recycler\S-1-5-21-2117456058-179019292-1573194710-1007 
Supprimé ! D:\Recycler\S-1-5-21-2117456058-179019292-1573194710-500 
Supprimé ! D:\Recycler\S-1-5-21-789336058-1303643608-682003330-1004 
Supprimé ! D:\Recycler\S-1-5-21-789336058-1303643608-682003330-1006 
Supprimé ! F:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx  
Supprimé ! F:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665 

################## | Registre |

Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"  
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"  

################## | Mountpoints2 |


################## | Listing des fichiers présent |

[27/02/2010 19:47|--a--c---|5663] C:\Ad-Report-CLEAN[1].log 
[15/08/2007 23:55|--a--c---|360] C:\additdiag.txt 
[15/08/2007 23:11|--a--c---|0] C:\AUTOEXEC.BAT 
[29/08/2008 19:32|--a--c---|90] C:\bcmwl5.log 
[15/08/2007 23:03|--a--c---|216] C:\Boot.bak 
[28/02/2010 22:05|-rahsc---|286] C:\boot.ini 
[02/03/2006 13:00|-rahsc---|4952] C:\Bootfont.bin 
[16/08/2007 20:33|--a--c---|40024] C:\chpst.log 
[03/08/2004 23:00|--a--c---|263488] C:\cmldr 
[18/12/2007 23:49|--a--c---|74] C:\CMLoader.log 
[28/02/2010 22:14|--a--c---|19728] C:\ComboFix.txt 
[15/08/2007 23:11|--a--c---|0] C:\CONFIG.SYS 
[16/08/2007 20:22|--a--c---|3223638] C:\DNSP1.LOG 
[16/08/2007 20:02|--a--c---|161] C:\esuinst.log 
[07/11/2007 08:00|--a--c---|17734] C:\eula.1028.txt 
[07/11/2007 08:00|--a--c---|17734] C:\eula.1031.txt 
[07/11/2007 08:00|--a--c---|10134] C:\eula.1033.txt 
[07/11/2007 08:00|--a--c---|17734] C:\eula.1036.txt 
[07/11/2007 08:00|--a--c---|17734] C:\eula.1040.txt 
[07/11/2007 08:00|--a--c---|118] C:\eula.1041.txt 
[07/11/2007 08:00|--a--c---|17734] C:\eula.1042.txt 
[07/11/2007 08:00|--a--c---|17734] C:\eula.2052.txt 
[07/11/2007 08:00|--a--c---|17734] C:\eula.3082.txt 
[07/11/2007 08:00|--a--c---|1110] C:\globdata.ini 
[16/08/2007 20:18|--a--c---|182] C:\guides.log 
[16/08/2007 20:08|--a--c---|200] C:\hda.log 
[16/08/2007 20:24|--a--c---|200] C:\HPACCTour.log 
[16/08/2007 20:14|--a--c---|169] C:\HSC.log 
[30/03/2008 10:46|--a--c---|921624] C:\img2-001.raw 
[07/11/2007 08:00|--a--c---|843] C:\install.ini 
[07/11/2007 08:03|--a--c---|76304] C:\install.res.1028.dll 
[07/11/2007 08:03|--a--c---|96272] C:\install.res.1031.dll 
[07/11/2007 08:03|--a--c---|91152] C:\install.res.1033.dll 
[07/11/2007 08:03|--a--c---|97296] C:\install.res.1036.dll 
[07/11/2007 08:03|--a--c---|95248] C:\install.res.1040.dll 
[07/11/2007 08:03|--a--c---|81424] C:\install.res.1041.dll 
[07/11/2007 08:03|--a--c---|79888] C:\install.res.1042.dll 
[07/11/2007 08:03|--a--c---|75792] C:\install.res.2052.dll 
[07/11/2007 08:03|--a--c---|96272] C:\install.res.3082.dll 
[15/08/2007 23:11|-rahsc---|0] C:\IO.SYS 
[21/08/2003 13:11|-----c---|2736] C:\LANG.INI 
[27/02/2010 19:19|--a--c---|18350] C:\lopR.txt 
[27/06/2008 16:00|---h-c---|8682] C:\MessengerStyleSheet.xsl 
[15/08/2007 23:11|-rahsc---|0] C:\MSDOS.SYS 
[16/08/2007 20:02|--a--c---|186] C:\msuaa.log 
[29/08/2008 19:31|--a--c---|198] C:
etwork.log 
[?|?|?] C:\NortonT Security Scan.lnk 
[02/03/2006 13:00|-rahs----|47564] C:\NTDETECT.COM 
[11/01/2009 02:40|-rahs----|252240] C:
tldr 
[?|?|?] C:\pagefile.sys 
[10/09/2008 13:49|--a--c---|1550] C:\pctw.ptw 
[16/08/2007 20:02|--a--c---|227] C:\sedinst2.log 
[29/08/2008 19:33|--a--c---|171] C:\setup.log 
[16/08/2007 20:17|--a--c---|23872] C:\sunjava.log 
[16/08/2007 20:10|--a--c---|190] C:\syntp.log 
[26/02/2010 23:19|--a--c---|15910] C:\TDSSKiller.2.2.7_26.02.2010_23.19.18_log.txt 
[26/02/2010 23:20|--a--c---|15910] C:\TDSSKiller.2.2.7_26.02.2010_23.20.07_log.txt 
[16/08/2007 20:09|--a--c---|32] C:	icrdbus.log 
[01/03/2010 15:47|--a--c---|6352] C:\UsbFix.txt 
[07/11/2007 08:00|--a--c---|5686] C:\vcredist.bmp 
[07/11/2007 08:09|--a--c---|1442522] C:\VC_RED.cab 
[07/11/2007 08:12|--a--c---|232960] C:\VC_RED.MSI 
[28/07/2001 00:07|---hs----|0] D:\AUTOEXEC.BAT 
[09/01/2002 13:52|---hs----|244] D:\BOOT.INI 
[17/08/2001 03:26|---hs----|237728] D:\CMLDR 
[28/07/2001 00:07|---hs----|0] D:\CONFIG.SYS 
[01/07/2005 14:16|--ahs----|102] D:\Desktop.ini 
[24/03/2007 18:23|---hs----|0] D:\DRECOVERY 
[22/11/2004 18:28|---hs----|8130] D:\Folder.htt 
[30/11/2004 14:01|---hs----|73728] D:\Info.exe 
[28/07/2001 00:07|---hs----|0] D:\IO.SYS 
[12/02/2007 21:23|---hs----|1280] D:\MASTER.LOG 
[21/06/2005 20:22|---hs----|0] D:\MENUND 
[28/07/2001 00:07|---hs----|0] D:\MSDOS.SYS 
[25/07/2001 16:00|---hs----|45124] D:\NTDETECT.COM 
[19/06/2001 01:53|---hs----|0] D:\NTFS 
[18/05/2005 16:24|---hs----|245920] D:\NTLDR 
[10/09/2002 12:58|---hs----|181616] D:\protect.ed 
[12/02/2007 21:25|---hs----|0] D:\RCBoot.sys 
[28/07/2005 22:09|---hs----|36] D:\SAVEFILE.DIR 
[04/08/2004 00:55|---hs----|28672] D:\setupSNK.exe 
[21/10/2005 12:12|---hs----|42] D:\st_log.ini 
[08/02/2002 18:44|---hs----|88038] D:\Warning.bmp 
[18/08/2001 11:00|---hs----|10] D:\WIN51 
[22/01/2001 11:00|---hs----|11] D:\WIN51.B2 
[25/07/2001 11:00|---hs----|11] D:\WIN51.RC1 
[25/07/2001 16:47|---hs----|11] D:\WIN51.RC2 
[18/08/2001 11:00|---hs----|10] D:\WIN51IC 
[20/03/2001 11:00|---hs----|11] D:\WIN51IC.B2 
[25/07/2001 11:00|---hs----|11] D:\WIN51IC.RC1 
[25/07/2001 11:00|---hs----|11] D:\WIN51IC.RC2 
[17/08/2001 11:00|---hs----|10] D:\WIN51IP 
[22/01/2001 11:00|---hs----|11] D:\WIN51IP.B2 
[25/07/2001 16:47|---hs----|11] D:\WIN51IP.RC2 
[17/08/2001 09:17|---hs----|184] D:\WINBOM.INI 
[24/05/2001 05:19|---hs----|0] D:\XGA 
[05/02/2010 06:54|--a------|421781] F:\Expo.odp 
[18/02/2010 22:13|--a------|1123759] F:\Expos‚ Style PlanŠte.odp 
[18/02/2010 21:30|--a------|1594494] F:\Diapo 11.bmp 
[18/02/2010 21:21|--a------|6083] F:\Diapo 7.gif 
[18/02/2010 21:20|--a------|8711] F:\Diapo 5.gif 
[21/02/2010 21:49|--a------|432823] F:\img018.jpg 
[21/02/2010 21:34|--a------|688326] F:\img017.jpg 
[21/02/2010 21:44|--a------|921760] F:\ihi.JPG 
[23/02/2010 18:14|--a------|44245] F:\17360_109018912445376_100000118032679_230830_2464476_n.jpg 
[23/02/2010 18:14|--a------|33064] F:\22260_109040479109886_100000118032679_231286_3429030_n.jpg 
[24/02/2010 23:50|--a------|733343744] F:\diary of the dead french dvdrip xvid-monk.avi 
[22/02/2010 18:34|--a------|4243752] F:\Cartman.mp4 
[24/02/2010 19:53|--a------|53518500] F:\Asian Bad Romance.avi 
[27/02/2010 19:34|--a------|13340574] F:\Cartman.avi 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# F:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 

################## | Upload | 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_YANNIS.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.097 ! |

verni29 · Answer

Une dernière analyse : le scan en ligne.
Suis le tuto : https://forum.pcastuces.com/default.asp

A+

chipleader78 · Answer

Avec ça je scan la clé usb ou mon pc ?

verni29 · Answer

C'est une dernière vérification qu'on fait toujours car on utilise une base de définition différente de l'antivirus du PC.
Et tu scannes ton PC.

chipleader78 · Answer

Voilà le rapport : 

http://www.cijoint.fr/cjlink.php?file=cj201003/cijIRtn7J4.jpg


Sinon, si ça suffit pas, j'ai le rapport dans :   C:\WINDOWS\BDOSCAN8\bdoscan.log

A+

verni29 · Answer

Oui, poste le fichier .log

A+.

chipleader78 · Answer

Voilà : 

http://www.cijoint.fr/cjlink.php?file=cj201003/cijLpwwsHA.txt

verni29 · Answer

Des infections dans la restauration système qu'il faudra nettoyer.
Deux posts encore et on aura terminé.

Quelques recommandations.

mets à jour ton PC pour éviter ces failles de sécurité.

1/ Mets à jour Acrobat Reader. Il est la cible d'attaques et il est important d'avoir la dernière version sur son PC.
https://get2.adobe.com/fr/reader/otherversions/

2/ Télécharge JavaRa de PaulMcLain et Fred De Vries.
https://javara.fr.malavida.com/

    * Click droit sur l'archive JavaRa.zip et extraire sur le bureau.
    *  Un dossier sera crée. L'ouvrir et double-cliquer sur JavaRa.exe pour le lancer
    * Choisis la langue ( français )

Une fenêtre va s'ouvrir ou tu auras le choix entre mettre à jour et supprimer les anciennes versions de Java.

- Mise à jour :

    * clique sur Recherche de mise à jour et choisis l'option Mettre à jour via jucheck.exe .
    * Il te sera précisé si il existe ou pas de nouvelle version à installer sur ton PC.
    * Si oui, clique sur Installer puis suis les invites.

Note : Si  tu n'y arrives pas avec cette option, choisis l'autre Mettre à jour via le site Internet de Sun  ou alors sur le site suivant https://www.java.com/fr/download/manual.jsp

- Suppression des anciennes versions :

    * Relance JavaRa.exe s'il le faut et choisis Effacer les anciennes versions
    * Suis les invites.
    * Il te sera précisé de la suppression les versions trouvées et supprimées

Un rapport sera crée. Poste-le.

A+

chipleader78 · Answer

Voilà : 


JavaRa 1.15 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Mon Mar 01 18:42:10 2010

Found and removed: C:\Program Files\Java\jre1.5.0_06

Found and removed: C:\Program Files\Java\jre1.6.0_02

Found and removed: C:\Program Files\Java\jre1.6.0_03

Found and removed: C:\Program Files\Java\jre1.6.0_05

Found and removed: C:\Program Files\Java\jre1.6.0_07

Found and removed: C:\Documents and Settings\Yannis\Application Data\Sun\Java\jre1.6.0_11

Found and removed: Software\JavaSoft\Java2D\1.5.0_06

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\Installer\Features\8A0F842331866D117AB7000B0D510006

Found and removed: SOFTWARE\Classes\Installer\Products\8A0F842331866D117AB7000B0D510006

Found and removed: SOFTWARE\Classes\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D510006

Found and removed: SOFTWARE\Classes\JavaPlugin.150_06

Found and removed: SOFTWARE\Classes\JavaWebStart.isInstalled.1.5.0.0

Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.5.0_06

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.5

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.5.0_06

Found and removed: SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ACBB9B2318A96D117A58000B0D510006

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\8A0F842331866D117AB7000B0D510006

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0150060}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBC}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBC}

Found and removed: SOFTWARE\Classes\Installer\Features\8A0F842331866D117AB7000B0D610002

Found and removed: SOFTWARE\Classes\Installer\Features\8A0F842331866D117AB7000B0D610003

Found and removed: SOFTWARE\Classes\Installer\Features\8A0F842331866D117AB7000B0D610005

Found and removed: SOFTWARE\Classes\Installer\Products\8A0F842331866D117AB7000B0D610002

Found and removed: SOFTWARE\Classes\Installer\Products\8A0F842331866D117AB7000B0D610003

Found and removed: SOFTWARE\Classes\Installer\Products\8A0F842331866D117AB7000B0D610005

Found and removed: SOFTWARE\Classes\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D610002

Found and removed: SOFTWARE\Classes\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D610003

Found and removed: SOFTWARE\Classes\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D610005

Found and removed: SOFTWARE\Classes\JavaPlugin.160_02

Found and removed: SOFTWARE\Classes\JavaPlugin.160_03

Found and removed: SOFTWARE\Classes\JavaPlugin.160_05

Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.6.0_02

Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.6.0_03

Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.6.0_05

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.6.0_02

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.6.0_03

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.6.0_05

Found and removed: SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D610002

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D610003

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D610005

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ACBB9B2318A96D117A58000B0D610002

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ACBB9B2318A96D117A58000B0D610003

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ACBB9B2318A96D117A58000B0D610005

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\8A0F842331866D117AB7000B0D610002

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\8A0F842331866D117AB7000B0D610003

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\8A0F842331866D117AB7000B0D610005

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0160020}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0160030}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0160050}

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.5.0_06

Found and removed: Software\Classes\JavaPlugin.160_02

Found and removed: Software\Classes\JavaPlugin.160_03

Found and removed: Software\Classes\JavaPlugin.160_05

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0005-ABCDEFFEDCBA}

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_02

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_03

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_04

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2.0_01

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.6.0_02

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.6.0_03

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.6.0_05

Found and removed: Software\JavaSoft\Java2D\1.6.0_02

Found and removed: Software\JavaSoft\Java2D\1.6.0_03

Found and removed: Software\JavaSoft\Java2D\1.6.0_05

Found and removed: Software\JavaSoft\Java Runtime Environment\1.6.0_02

Found and removed: Software\JavaSoft\Java Runtime Environment\1.6.0_03

Found and removed: Software\JavaSoft\Java Runtime Environment\1.6.0_05

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0000-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBB}

Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.6.0_07

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.6.0_07

Found and removed: SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ACBB9B2318A96D117A58000B0D610007

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\8A0F842331866D117AB7000B0D610007

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0160070}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.5.0_06\

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.6.0_02\

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.6.0_03\

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.6.0_05\

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.6.0_02\bin\

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.6.0_03\bin\

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.6.0_05\bin\

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.6.0_07\bin\

JavaRa 1.15 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Mon Mar 01 18:45:35 2010

------------------------------------

Finished reporting.

verni29 · Answer

On termine.

1) On va enlever les logiciels qui ont été utilisés..
Télécharge ToolsCleaner .sur le bureau
http://pc-system.fr/

Double-clique sur ToolsCleaner2.exe --> Recherche --> Suppression.
Il est possible que ton bureau disparaisse.

Fais un copier/coller du rapport qui se trouve dans C:\TCleaner.txt.

2/ Tu vas utiliser CCleaner. 
http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner 

utilise les fonctions nettoyeur et registre. 

3) Il est nécessaire nettoyer la restauration système  et de créer un point propre pour une utilisation ultérieure.

Les points de restauration : 

-  Panneau de configuration --> Système --> Restauration du système 

cocher " Désactiver la restauration .... " ( si elle est cochée sinon la décocher -- >  valider -- > cocher )
Une fenêtre va s’ouvrir pour t’avertir que les poins de restauration existants seront supprimés.
Accepte.

Décoche ensuite « Désactiver la restauration .... » pour réactiver la restauration système

- Tu vas recréer un point de restauration propre.

Pour recréer un point de restauration :
Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système
Choisis "Créer un point de restauration". Suis les invites.

-------------------------------------------------------

Ton PC est propre.
Tu as remarqué que ton PC était très infecté.
Sois prudent dans ton surf.

Une lecture : projet antimalwares


-------------------------------------------------------

En te souhaitant bonne lecture et bon surf.

Salut.

chipleader78 · Answer

Voilà : 

Pour la restauration, et CCleaner c'est bon. 

Le lien que vous m'avez donné est mort, mais je suppose qu'il s'agit de ce magnifique dossier de 34 pages =)

https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware.pdf


Sinon à part ça, je voulais savoir si vous auriez quelques conseils à me donner pour que mon pc demeure le plus propre possible et aussi et surtout si vous avez un antivirus à me conseiller (pour l'instant j'utilise avast mais si vous avez mieux à me proposer je prends !).

Voilà le rapport TCleaner : 

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\lopR.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\Lop SD: trouvé !
C:\HijackThis: trouvé !
C:\Qoobox: trouvé !
C:\UsbFix: trouvé !
C:\Ad-remover: trouvé !
C:\Ad-Remover\BACKUP\Ad-R.exe: trouvé !
C:\Documents and Settings\Yannis\Bureau\LopSD.exe: trouvé !
C:\Documents and Settings\Yannis\Bureau\Gmer.exe: trouvé !
C:\Documents and Settings\Yannis\Bureau\avenger.zip: trouvé !
C:\Documents and Settings\Yannis\Bureau\avenger.exe: trouvé !
C:\Documents and Settings\Yannis\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\Yannis\Bureau\Ad-R.exe: trouvé !
C:\Documents and Settings\Yannis\Bureau\UsbFix.exe: trouvé !
C:\Documents and Settings\Yannis\Bureau\UsbFix.txt: trouvé !
C:\Documents and Settings\Yannis\Bureau\dds.scr: trouvé !
C:\Documents and Settings\Yannis\Bureau\dds.txt: trouvé !
C:\Documents and Settings\Yannis\Recent\UsbFix.lnk: trouvé !
C:\HijackThis\HijackThis.exe: trouvé !
C:\HijackThis\hijackthis.log: trouvé !
C:\Lop SD\catchme.exe: trouvé !
C:\Lop SD\catchme.log: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\WINDOWS\msnfix.txt: trouvé !
C:\WINDOWS\mbr.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Ad-Remover\BACKUP\Ad-R.exe: supprimé !
C:\Documents and Settings\Yannis\Bureau\LopSD.exe: supprimé !
C:\Documents and Settings\Yannis\Bureau\Gmer.exe: supprimé !
C:\Documents and Settings\Yannis\Bureau\avenger.zip: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\Yannis\Bureau\avenger.exe: supprimé !
C:\Documents and Settings\Yannis\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\Yannis\Bureau\Ad-R.exe: supprimé !
C:\HijackThis\HijackThis.exe: supprimé !
C:\Lop SD\catchme.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\lopR.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\Yannis\Bureau\UsbFix.exe: supprimé !
C:\Documents and Settings\Yannis\Bureau\UsbFix.txt: supprimé !
C:\Documents and Settings\Yannis\Bureau\dds.scr: supprimé !
C:\Documents and Settings\Yannis\Bureau\dds.txt: supprimé !
C:\Documents and Settings\Yannis\Recent\UsbFix.lnk: supprimé !
C:\HijackThis\hijackthis.log: supprimé !
C:\Lop SD\catchme.log: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\WINDOWS\msnfix.txt: supprimé !
C:\WINDOWS\mbr.exe: supprimé !
C:\Lop SD: supprimé !
C:\HijackThis: supprimé !
C:\Qoobox: supprimé !
C:\UsbFix: supprimé !
C:\Ad-remover: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !


Tout est clean ? Est-ce enfin fini ? 


Sinon à part ça, je voudrais vous remercier infiniment pour tout ce que vous avez fait pour moi, tout le temps que vous avez consacré à m'aider depuis plus de 2 jours, tout le dérangement occasionné par ma faute etc ...
Et franchement vous êtes mon sauveur et vous êtes quelqu'un de génial. Je vous suis éternellement reconnaissant et je sais que ces mots ne sauraient compenser le temps que vous avez perdu à m'aider mais j'espère que l'idée de mon bonheur vous permettra de rattraper ce temps car ce que vous avez fait est très important, même si ça a l'air de rien...

                                MERCI BEAUCOUP POUR TOUT !

Au revoir.

verni29 · Answer

chipleader78, 

je n'ai pas perdu mon temps et ,comme tu le dis, quand on arrive à sortir du pétrin une personne, cela suffit à notre bonheur.

C'est vrai que Avast n'est pas un super antivirus.
C'est quelle version que tu as sur le PC ?

1/ Et c'est vrai que sur les forums il est préconisé un autre antivirus, antivir.

Désinstalle Avast.
cette procédure est valable pour les versions antérieurs à 5.0
Il te faut arrêter La protection en temps réel --> dans la barre de taches
Puis utilise l'outil suivant : http://www.avast.com/fre/avast-uninstall-utility.htm

2/ Télécharge Antivir.
http://www.free-av.com/en/products/index.html

Tu vas en profiter pour faire une analyse complète.

Suis le tuto pour installer Antivir :
https://www.malekal.com/avira-free-security-antivirus-gratuit/

    * Mets à jour Antivir et lance un scan complet
    * Pour cela, clique sur l'onglet Protection Locale puis Contrôler
    * Choisis les éléments à scanner ( disques durs locaux ).
    * Lance le scan en cliquant sur la loupe. 

Lorsque le scan est terminé, tu as la possibilité de générer un rapport en cliquant sur le bouton rapport.

Si tu trouves des virus, poste le rapport.

3/ pour une bonne protection, il faut également un parefeu comme ZoneAlarm, Comodo, ...
As-tu déjà installé ce type de logiciel sur le PC ?

A+

chipleader78 · Answer

Je vais faire ça.
Pour répondre à tes questions (si je peux te tutoyer), j'ai avast en 4.8
Et non je n'ai jamais installé de parefeu, car j'utilise tout simplement le parefeu windows, mais si tu en as un en particulier à me recommander je l'installerai

verni29 · Answer

Re, 

Si tu n'as jamais utilisé un parefeu, je te donne quelques infos.
Exemple de Zone alarm :

le réglage du parefeu, pas simple.

---------------------------------------------------

Il y a plusieurs niveaux de réglages d'un parefeu. On va dire bas, moyen et haut.
Si tu choisis un niveau élevé, le parefeu intervient en te demandant si telle application peut être autorisé ou pas à communiquer avec telle autre application.
C'est ce qu'on appellera une alerte.

-----------------------------------------------------

Quand tu installeras une application, Zone Alarm te mettra ces alertes la première fois qu'il y aura une action avec le processus. Lors de mises à jour, c'est également le cas. Et d'autres cas ( utilisation d'une appli tierce )
Accepte quand c'est une appli que tu connais en essayant de comprendre ce qui se passe.

Si tu as un doute avec une appli : la première fois, ne crée pas immédiatement la règle. Autorise et vois ce qui se passe.
Si tu ne remarques pas de problème, la fois suivante ( a priori ), tu peux créer la règle.

Comme ton PC est propre, il faut que tu acceptes et crées des règles pour la majorité des applis.
Après, tu seras dans le cas de figure d'au-dessus.

------------------------------------------------------

Quand un PC est propre, on autorise et on crée une règle sur ces alertes pour ne plus être réinterroger sur cette opération.
Les premiers jours où on installe un parefeu, on a des alertes de ce genre. Moins ensuite puisque les règles sont crées.

------------------------------------------------------

Si tu es trop embêté avec ces alertes, il faut diminuer le niveau de protection.
Les réglages par défaut donnent une protection raisonnable ( et meilleur que celui de XP évidemment )

je t'indique ce parefeu qui est un bon produit pour débuter.
zone alarm : https://www.malekal.com/tutoriel-zonealarm-firewall/
lis le tuto de zone alarm. Il y a des explications sur ces alertes.

@+

chipleader78 · Answer

Ok merci je vais essayer. Et je voulais savoir, est-ce que svchost est un processus légitime ou pas ?
Parce que c'est un processus récurrent d'après mon gestionnaire des tâches.

verni29 · Answer

oui, il est légitime.

Virus/ Rootkit

77 réponses

Discussions similaires