Je crois que j'ai un virus

Bonjour,

Pourrais tu me faire ceci bien plus complet que hijackthis :

* Sous Vista : ▶ Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

* Clique sur Démarrer puis sur panneau de configuration
* Double Clique sur l'icône "Comptes d'utilisateurs"
* Clique ensuite sur désactiver et valide.
* Redémarre le PC

▶ Télécharge Random's System Information Tool (RSIT).

▶ Un tutoriel est à ta disposition pour l'installer et l'utiliser correctement ici

▶ Double clique sur RSIT.exe pour lancer l'outil.

▶ Clique sur 'Continue' à l'écran Disclaimer.

▶ Si l'outil Hijackthis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

▶ Une fois le scan fini , 2 rapports vont apparaitre. ▶ copie le contenu des 2 rapports.

( C:\RSIT\log.txt et C:\RSIT\info.txt )

CTRL A pour sélectionner tout, CTRL C pour copier et puis CTRL V pour coller

▶ Ensuite viens coller dans ta prochaine réponse le rapport log.txt et dans une autre réponse la rapport info.txt afin qu'ils soient complet tout les 2.

Salut,

plusieurs infections effectivement ...

/!\ Pour le bon déroulement de la désinfection :
* Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
* N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
* Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
* Si tu as un quelconque problème n'hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).

Commence par faire ceci pour avoir un diag plus précis du PC :

1- Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

!! déconnecte toi et ferme toutes tes applications en cours !!

> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) .

> Lance ZHPDiag depuis le raccourci du bureau .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )

Une liste apparait dans l'encadré principal > vérifie que toutes les lignes soient bien cochées sauf les 045 et 061 ( important ! ) .

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .

Laisses travailler l'outil ( ceci peut-être relativement long ) ...

> Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )

Puis ferme le programme ...

> rends toi ensuite sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....

======================

2-Lance de nouveau ZHPDiag,

!! déconnecte toi et ferme toutes tes applications en cours !!

* Tu vas faire une " analyse détaillée/MD5 " en procédant ainsi :

> tu cliques cette fois ci sur le bouton " dossier+loupe " ( en haut à droite ) pour lancer le scan.

Laisse travailler l'outil et ne touche à rien .

* Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistre le de façon à le retrouver facilement ( sur le bureau par exemple ).

* Fais moi parvenir ce rapport via " Cijoint " dans ta prochaine réponse pour analyse ...

"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne
vous l'a pas dit !

Je te laisse bien volontier sKe69.

@+ et bon courage.

comment faire pour fermer TOUTE LES APPLICATIONS et se déconnecter de quoi ??de ccm ??

http://www.cijoint.fr/cjlink.php?file=cj201003/cijV24YA3R.txt voilou pour analyse détaillée/MD5
http://www.cijoint.fr/cjlink.php?file=cj201003/cijmaIdqg5.txt voila pour le scan

bon je suis collégien, j'ai cours a 13h30 je reviens a 17 h

Bien ....

commence par ceci dans l'ordre :

1- Utilisation de l'outil ZHPFix :

* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

[MD5.00000000000000000000000000000000] - (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\mschost.exe
O4 - HKLM\..\Run: [Windows Host Service] . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\mschost.exe
O4 - HKCU\..\Run: [RegClean] C:\Program Files\RegClean\RegClean.exe -boot
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\RegClean Scheduled Scan.job
O40 - ASIC: (no name) - {45B3B8BB-ADA2-7D9E-E956-B6D89DDD7204} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\mschost.exe
O43 - CFD:Common File Directory ----D- C:\Program Files\RegClean
O44 - LFC:[MD5.93137669B89C0DF0764BD07E20325AC4] - 22/03/2010 - 12:40:52 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\mschost
O64 - Services: CurCS - (.not file.) - SSHNAS (SSHNAS)  .(.Pas de propriétaire - Pas de description.) - LEGACY_SSHNAS

Puis Lance ZHPFix depuis le raccouci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie :
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
- que les lignes soient disposées les unes en dessous des autres .

* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide .

Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!

* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .

-> laisse travailler l'outil et ne touche à rien ...

-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )

Pense à réactiver tes défenses !...

============================

2- Rends toi sur ce site :

https://www.virustotal.com/gui/

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
C:\Program Files\Weather\Weather.exe

Clique sur Send File ( = " Envoyer le fichier " ).

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses

==============================

3- Télécharges Malwarebytes' :
ici https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
ou ici : http://www.malwarebytes.org/mbam.php
ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )

* Potasse le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebytes' .

Fais un examen dit "RAPIDE" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...

==========================

4- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

Le fichier weater.exe n'existe pas

alors voilou le tout
ZHPFix
ZHPFix v1.12.3078 by Nicolas Coolman - Rapport de suppression du 22/03/2010 17:45:21
Fichier Registre : C:\ZHPExportRegistry-22-03-2010-17-43-57.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

Processus mémoire :
C:\WINDOWS\system32\mschost.exe => Fichier supprimé au reboot

Module mémoire :
(Néant)

Clé du Registre :
O40 - ASIC: (no name) - {45B3B8BB-ADA2-7D9E-E956-B6D89DDD7204} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\mschost.exe => Clé supprimée avec succès

Valeur du Registre :
O4 - HKLM\..\Run: [Windows Host Service] . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\mschost.exe => Valeur supprimée avec succès
O4 - HKCU\..\Run: [RegClean] C:\Program Files\RegClean\RegClean.exe -boot => Valeur absente

Elément de données du Registre :
(Néant)

Dossier :
C:\Program Files\RegClean => Dossier absent

Fichier :
c:\windows\system32\mschost.exe => Fichier supprimé au reboot
c:\program files\regclean\regclean.exe => Fichier absent
c:\windows\tasks\regclean scheduled scan.job => Fichier absent
c:\windows\system32\mschost => Fichier absent

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)

Récapitulatif :
Processus mémoire : 1
Module mémoire : 0
Clé du Registre : 1
Valeur du Registre : 2
Elément de données du Registre : 0
Dossier : 1
Fichier : 4
Logiciel : 0
Autre : 0

End of the scan

Ensuite Malwarebytes
voila le rapport
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3901
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

22/03/2010 21:04:14
mbam-log-2010-03-22 (21-04-14).txt

Type de recherche: Examen rapide
Eléments examinés: 137478
Temps écoulé: 4 minute(s), 33 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\PUT2VIDQLG (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\B1RQJ7YJ0U (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

j'ai pas mal de truc en quarantaine

Et pour finir zhpdiag
http://www.cijoint.fr/cjlink.php?file=cj201003/cijEtikiE7.txt

dsl pour les reponses tardives

Bien ...

il me manque un bout du rapport de Malwarebytes ... tu peux me refaire un copier/coller du rapport complet stp ?

Puis fait ceci dans l'ordre :

1-Télécharge et installe la dernière version de CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "français" en langue .
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

==========================

2- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !):

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

--------------------------------- [ ! ATTENTION ! ] ------------------------------------------
* Ferme tes applications en cours ( ainsi que ton navigateur ) .
* DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe .
En effet, activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !
->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
* Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
* Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
--------------------------------- [ ! ATTENTION ! ] ------------------------------------------

Ensuite :
> Double-clique sur l'icône "Combofix.exe" pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...

-- Pour XP, l' installation de la Console de Récupération sera demandé :
* Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gif
*Reconnecte toi avant de cliquer sur "yes", et uniquement le temps de cette manipulation.
*Une fois la console installée,
image > http://img.photobucket.com/albums/v706/ried7/whatnext.png
re-déconnecte toi avant de cliquer sur "yes" pour lancer le scan --

Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée ici : C:\Combofix.txt

Réactive bien tes défenses .

Poste le rapport Combofix pour analyse et attends la suite ...

j'arrive pas a désactiver mc afee

Re,

pour désactivr ton macAfee , cela doit être comme ceci :

* clique droit sur l'icone présent dans la barre des taches et ouvre MacAfee ( centre de sécurité )
* regarde cette petit animation et fait exactement pareil > http://img.photobucket.com/albums/v666/sUBs/mcafee_disable.gif

mets bien tout les types de protection sur "Off"

tiens voila de quoi t'occuper.
rapport combofix
ComboFix 10-03-22.02 - Lambert 22/03/2010 22:50:59.1.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.3070.2617 [GMT 1:00]
Lancé depuis: c:\documents and settings\Lambert\Mes documents\Downloads\ComboFix.exe
AV: McAfee VirusScan *On-access scanning enabled* (Outdated) {84B5EE75-6421-4CDE-A33A-DD43BA9FAD83}
FW: McAfee Personal Firewall *disabled* {94894B63-8C7F-4050-BDA4-813CA00DA3E8}
* Un antivirus résident est actif

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Lambert\Application Data\chrtmp
c:\windows\system32\ealregsnapshot1.reg
c:\windows\system32\ReadMe.txt
c:\windows\system32\Thumbs.db

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS

((((((((((((((((((((((((((((( Fichiers créés du 2010-02-22 au 2010-03-22 ))))))))))))))))))))))))))))))))))))
.

2010-03-22 21:57 . 2010-03-22 21:57 -------- d-----w- c:\windows\system32\Lang
2010-03-22 19:57 . 2010-03-22 19:57 -------- d-----w- c:\documents and settings\Lambert\Application Data\Malwarebytes
2010-03-22 19:57 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-22 19:57 . 2010-03-22 19:57 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-03-22 19:57 . 2010-03-22 19:57 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-03-22 19:57 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-22 11:39 . 2010-03-22 20:17 -------- d-----w- c:\program files\ZHPDiag
2010-03-22 11:01 . 2010-03-22 11:01 -------- d-----w- c:\program files\Trend Micro
2010-03-20 18:47 . 2010-03-20 18:47 -------- d-----w- c:\documents and settings\Lambert\Application Data\RegClean
2010-03-17 11:38 . 2010-03-18 18:17 -------- d-----w- c:\documents and settings\Lambert\Local Settings\Application Data\Temp
2010-03-17 10:35 . 2010-03-17 10:35 -------- d-----w- c:\program files\CCleaner
2010-03-10 09:12 . 2009-10-23 15:28 3558912 ------w- c:\windows\system32\dllcache\moviemk.exe
2010-03-06 13:27 . 2010-03-06 13:27 2434856 ----a-w- c:\windows\system32\pbsvc_bc2.exe
2010-03-06 10:18 . 2009-04-26 23:42 457248 ----a-w- c:\windows\system32\NVUNINST.EXE
2010-03-06 10:18 . 2010-03-06 10:18 -------- d-----w- C:\NVIDIA
2010-03-06 09:01 . 2010-03-06 09:01 -------- d-----w- c:\program files\CPUID
2010-03-06 09:01 . 2009-03-27 00:16 12672 ----a-w- c:\windows\system32\drivers\cpuz132_x32.sys
2010-03-05 12:26 . 2010-03-05 12:26 -------- d-----w- c:\program files\Ubisoft
2010-03-02 07:32 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-22 21:46 . 2010-02-03 15:31 477488 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
2010-03-21 17:34 . 2008-11-01 16:30 215128 ----a-w- c:\windows\system32\PnkBstrB.exe
2010-03-21 17:30 . 2008-11-01 16:31 139128 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2010-03-09 21:42 . 2010-01-10 15:21 -------- d-----w- c:\documents and settings\Lambert\Application Data\uTorrent
2010-03-06 13:27 . 2008-11-01 16:31 138056 ----a-w- c:\documents and settings\Lambert\Application Data\PnkBstrK.sys
2010-03-06 13:27 . 2008-11-01 16:31 138056 ----a-w- c:\documents and settings\Lambert\Application Data\PnkBstrK.sys
2010-03-06 13:27 . 2008-11-01 16:30 75064 ----a-w- c:\windows\system32\PnkBstrA.exe
2010-03-06 10:20 . 2008-03-17 11:34 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard
2010-03-06 10:20 . 2008-03-17 11:49 -------- d-----w- c:\program files\AGEIA Technologies
2010-03-05 12:34 . 2009-05-08 14:08 -------- d-----w- c:\documents and settings\Lambert\Application Data\Ubisoft
2010-03-05 12:34 . 2009-05-08 14:05 -------- d-----w- c:\documents and settings\All Users\Application Data\Ubisoft
2010-03-05 12:26 . 2007-12-01 12:38 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-03-04 07:00 . 2009-09-01 08:50 -------- d-----w- c:\program files\Fichiers communs\Adobe
2010-02-19 21:50 . 2010-02-19 13:07 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-02-19 13:12 . 2007-12-24 09:38 80352 ----a-w- c:\documents and settings\Lambert\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-02-19 13:10 . 2010-02-19 13:10 -------- d-----w- c:\program files\Microsoft Synchronization Services
2010-02-19 13:10 . 2010-02-19 13:10 -------- d-----w- c:\program files\Microsoft.NET
2010-02-19 13:10 . 2010-02-19 13:10 -------- d-----w- c:\program files\Microsoft SQL Server Compact Edition
2010-02-19 13:09 . 2010-02-19 13:09 -------- d-----w- c:\program files\Microsoft Analysis Services
2010-02-13 07:22 . 2010-02-13 07:22 -------- d-----w- c:\program files\iPod
2010-02-13 07:22 . 2009-06-27 19:36 -------- d-----w- c:\program files\Fichiers communs\Apple
2010-02-13 07:19 . 2009-06-27 19:36 -------- d-----w- c:\program files\QuickTime
2010-02-13 07:16 . 2010-02-13 07:16 72488 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.0.3.15\SetupAdmin.exe
2010-02-12 21:46 . 2004-01-08 10:38 208896 ----a-w- c:\windows\system32\lame_enc.dll
2010-02-12 21:28 . 2010-02-12 21:28 -------- d-----w- c:\program files\Audacity
2010-02-05 17:52 . 2010-02-03 16:24 -------- d-----w- c:\documents and settings\Lambert\Application Data\La Bataille pour la Terre du Milieu (TM) II
2010-02-03 15:59 . 2010-02-03 15:59 720896 ----a-w- c:\windows\iun6002.exe
2010-02-02 20:02 . 2010-02-02 19:16 -------- d-----w- c:\program files\Microsoft Games for Windows - LIVE
2010-02-02 19:28 . 2007-12-24 10:27 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
2010-02-02 17:05 . 2010-02-02 12:30 -------- d-----w- c:\program files\DAEMON Tools Lite
2010-02-02 12:06 . 2008-08-12 13:56 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-02-02 12:05 . 2010-02-02 12:05 -------- d-----w- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2010-02-02 12:05 . 2010-02-02 12:05 -------- d-----w- c:\documents and settings\Lambert\Application Data\DAEMON Tools Lite
2010-02-01 21:04 . 2007-12-24 14:04 2188 ----a-w- c:\documents and settings\Lambert\Application Data\wklnhst.dat
2010-01-05 17:53 . 2004-08-20 10:24 85636 ----a-w- c:\windows\system32\perfc00C.dat
2010-01-05 17:53 . 2004-08-20 10:24 512292 ----a-w- c:\windows\system32\perfh00C.dat
2010-01-05 17:52 . 2010-01-05 17:52 152576 ----a-w- c:\documents and settings\Lambert\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
2010-01-05 17:52 . 2009-11-05 08:47 79488 ----a-w- c:\documents and settings\Lambert\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
2009-12-31 16:50 . 2004-08-20 10:24 353792 ----a-w- c:\windows\system32\drivers\srv.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B4F3A835-0E21-4959-BA22-42B3008E02FF}]
2009-11-03 20:12 556432 ----a-w- c:\progra~1\MICROS~3\Office14\URLREDIR.DLL

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DellSupportCenter"="c:\program files\Dell Support Center\bin\sprtcmd.exe" [2009-05-21 206064]
"AlcoholAutomount"="c:\program files\Alcohol Soft\Alcohol 120\axcmd.exe" [2008-03-20 217544]
"RocketDock"="c:\program files\RocketDock\RocketDock\RocketDock.exe" [2007-09-02 495616]
"RGSC"="c:\disque 2\Jeux\GTAIV\Rockstar Games Social Club\RGSCLauncher.exe" [2010-02-02 306088]
"Google Update"="c:\documents and settings\Lambert\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-03-17 136176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-16 16132608]
"ISUSPM Startup"="c:\program files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" [2005-08-11 249856]
"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2005-08-11 81920]
"RoxWatchTray"="c:\program files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2006-11-05 221184]
"RoxioDragToDisc"="c:\program files\Roxio\Drag-to-Disc\DrgToDsc.exe" [2006-08-17 1116920]
"PDVDDXSrv"="c:\program files\CyberLink\PowerDVD DX\PDVDDXSrv.exe" [2006-10-20 118784]
"MskAgentexe"="c:\program files\McAfee\MSK\MskAgent.exe" [2007-01-17 152144]
"dscactivate"="c:\program files\Dell Support Center\gs_agent\custom\dsca.exe" [2007-10-09 16384]
"BigDogPath"="c:\windows\VM_STI.EXE" [2004-06-09 40960]
"DellSupportCenter"="c:\program files\Dell Support Center\bin\sprtcmd.exe" [2009-05-21 206064]
"mcagent_exe"="c:\program files\McAfee.com\Agent\mcagent.exe" [2007-11-01 582992]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"DAEMON Tools-1033"="c:\disque 2\Daemon tools\daemon.exe" [2004-08-22 81920]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]
"iTunesHelper"="c:\disque 2\Itunes\iTunesHelper.exe" [2010-01-22 141608]
"BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" [2009-09-26 83312]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-22 35760]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672]
"nwiz"="nwiz.exe" [2009-04-30 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-04-30 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-04-30 13750272]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
TrayMin315.exe.lnk - c:\program files\Philips\Philips SPC315NC Webcam\TrayMin315.exe [2007-12-24 278528]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Fichiers communs\\McAfee\\MNA\\McNASvc.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Disque 2\\Jeux\\call of duty 4\\iw3mp.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Disque 2\\Jeux\\GRAW2\\Ghost Recon Advanced Warfighter 2\\graw2.exe"=
"c:\\Disque 2\\Jeux\\GRAW2\\Ghost Recon Advanced Warfighter 2\\graw2_dedicated.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Disque 2\\Jeux\\ASSASSIN\\AssassinsCreed_Dx9.exe"=
"c:\\Disque 2\\Jeux\\ASSASSIN\\AssassinsCreed_Dx10.exe"=
"c:\\Disque 2\\Jeux\\ASSASSIN\\AssassinsCreed_Launcher.exe"=
"c:\\Disque 2\\Jeux\\Steam\\Steam.exe"=
"c:\\Disque 2\\Jeux\\GTAIV\\Rockstar Games Social Club\\RGSCLauncher.exe"=
"c:\\Disque 2\\Jeux\\GTAIV\\Grand Theft Auto IV\\LaunchGTAIV.exe"=
"c:\\Disque 2\\Jeux\\Bataille pour la terre du milieu 2\\game.dat"=
"c:\\Disque 2\\Itunes\\iTunes.exe"=
"c:\\Disque 2\\Jeux\\Steam\\SteamApps\\common\\aliens vs predator demo\\AvP.exe"=
"c:\\Disque 2\\Jeux\\Steam\\SteamApps\\common\\call of duty modern warfare 2\\iw4sp.exe"=
"c:\\Disque 2\\Jeux\\Steam\\SteamApps\\common\\call of duty modern warfare 2\\iw4mp.exe"=
"c:\\Disque 2\\utorrent\\uTorrent.exe"=
"c:\\Program Files\\Ubisoft\\Ubisoft Game Launcher\\UbisoftGameLauncher.exe"=
"c:\\Disque 2\\Jeux\\assassin's creed 2\\AssassinsCreedIIGame.exe"=
"c:\\Disque 2\\Jeux\\assassin's creed 2\\AssassinsCreedII.exe"=
"c:\\Disque 2\\Jeux\\assassin's creed 2\\UPlayBrowser.exe"=
"c:\\Disque 2\\Jeux\\Bad compagny 2\\BFBC2Updater.exe"=

R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [02/02/2010 18:03 155136]
R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [02/02/2010 18:03 5248]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [12/08/2008 14:56 691696]
S3 osppsvc;Office Software Protection Platform;c:\program files\Fichiers communs\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [26/09/2009 04:28 4639136]
.
Contenu du dossier 'Tâches planifiées'

2010-03-11 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2010-03-22 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3082794619-2706239650-3021782991-1006Core.job
- c:\documents and settings\Lambert\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-03-17 11:38]

2010-02-15 c:\windows\Tasks\McDefragTask.job
- c:\program files\mcafee\mqc\QcConsol.exe [2007-12-01 11:32]

2010-03-01 c:\windows\Tasks\McQcTask.job
- c:\program files\mcafee\mqc\QcConsol.exe [2007-12-01 11:32]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - c:\program files\Fichiers communs\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
FF - ProfilePath - c:\documents and settings\Lambert\Application Data\Mozilla\Firefox\Profiles\lspf4slk.default\
FF - plugin: c:\disque 2\Itunes\Mozilla Plugins\npitunes.dll
FF - plugin: c:\documents and settings\Lambert\Local Settings\Application Data\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\progra~1\MICROS~3\Office14\NPAUTHZ.DLL
FF - plugin: c:\progra~1\MICROS~3\Office14\NPSPWRAP.DLL
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
FF - user.js: dom.disable_open_during_load - true // Popupblocker control handled by McAfee Privacy Service
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - ORPHELINS SUPPRIMES - - - -

ActiveSetup-{45B3B8BB-ADA2-7D9E-E956-B6D89DDD7204} - c:\windows\system32\mschost.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-22 22:57
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A6CC848]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xb80ecf28
\Driver\ACPI -> ACPI.sys @ 0xb7e4dcb8
\Driver\atapi -> 0x8a6cc848
\Driver\iaStor -> iaStor.sys @ 0xb7d946d0
IoDeviceObjectType -> ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: Intel(R) 82562V-2 10/100 Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xb7c34bb0
PacketIndicateHandler -> NDIS.sys @ 0xb7c23a0d
SendHandler -> NDIS.sys @ 0xb7c37b40
Warning: possible MBR rootkit infection !
user & kernel MBR OK

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-3082794619-2706239650-3021782991-1006\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:d8,15,2d,98,4d,6c,c7,5a,0a,a2,18,24,39,7f,38,12,cf,30,a4,c8,46,93,21,
79,27,b5,6b,41,52,50,ff,7c,31,c8,15,9e,3f,02,11,24,78,cb,90,ae,cc,88,2c,3d,\
"??"=hex:3f,eb,b2,a8,d5,51,4b,c2,1b,01,ec,08,0f,18,11,95

[HKEY_USERS\S-1-5-21-3082794619-2706239650-3021782991-1006\Software\SecuROM\License information*]
"datasecu"=hex:77,65,fc,ea,c5,2d,62,2d,ad,0a,e5,63,8a,ce,87,84,cc,52,49,c8,6c,
8e,d2,23,48,c0,73,fe,1d,8e,ca,4f,6f,a7,4e,2e,43,23,a7,0a,62,7c,e1,8a,d3,20,\
"rkeysecu"=hex:3c,62,8c,aa,2c,06,88,40,0d,b6,be,12,82,dd,f9,8b
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(2308)
c:\program files\RocketDock\RocketDock\RocketDock.dll
c:\program files\McAfee\MSK\mskoeplg.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\program files\Roxio\Drag-to-Disc\Shellex.dll
c:\windows\system32\DLAAPI_W.DLL
c:\windows\system32\CDRTC.DLL
c:\program files\Roxio\Drag-to-Disc\ShellRes.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\McAfee\HackerWatch\HWAPI.exe
c:\progra~1\McAfee\MSC\mcmscsvc.exe
c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe
c:\progra~1\McAfee\VIRUSS~1\mcods.exe
c:\progra~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
c:\progra~1\FICHIE~1\mcafee\redirsvc\redirsvc.exe
c:\progra~1\McAfee\VIRUSS~1\mcshield.exe
c:\progra~1\McAfee\VIRUSS~1\mcsysmon.exe
c:\program files\McAfee\MPF\MPFSrv.exe
c:\progra~1\McAfee\MPS\mps.exe
c:\program files\McAfee\MSK\MskSrver.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\program files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
c:\program files\Dell Support Center\bin\sprtsvc.exe
c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\program files\McAfee\MPS\mpsevh.exe
c:\progra~1\mcafee.com\agent\mcagent.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\progra~1\McAfee\MSC\mcregist.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\RUNDLL32.EXE
c:\disque 2\Jeux\GTAIV\Rockstar Games Social Club\1_1_3_0\RGSC.exe
c:\program files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\Fichiers communs\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
c:\windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
c:\progra~1\mcafee\msc\mcuimgr.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\msiexec.exe
.
**************************************************************************
.
Heure de fin: 2010-03-22 23:02:53 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-03-22 22:02

Avant-CF: 177 748 627 456 octets libres
Après-CF: 177 752 821 760 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

- - End Of File - - AC1602DFA4E1EF090E07F6B889D970F1

et voila le rapport en entier de l'autre truc
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3901
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

22/03/2010 21:04:14
mbam-log-2010-03-22 (21-04-14).txt

Type de recherche: Examen rapide
Eléments examinés: 137478
Temps écoulé: 4 minute(s), 33 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\PUT2VIDQLG (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\B1RQJ7YJ0U (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Lambert\Local Settings\Temp\RegClean.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\WINDOWS\msa.exe (Trojan.Fraudpack) -> Quarantined and deleted successfully.

bon merci d'avance je vais faire dodo je suis la demain jusqu'a 10 h et je re a 12 h a demain et encore merci bocoup ^^

Bien ....

donc pour demain :

1- Avoir accès aux fichiers cachés :

Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )

2- Rends toi sur ce site :

https://www.virustotal.com/gui/

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
c:\windows\system32\pbsvc_bc2.exe

Clique sur Send File ( = " Envoyer le fichier " ).

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses

Fais de même pour :

C:\WINDOWS\DUMP8d1d.tmp

Poste moi donc ces 2 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...

"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne
vous l'a pas dit !

C:\WINDOWS\DUMP8d1d.tmp n'existe pas

voila l'autre rapport de :\windows\system32\pbsvc_bc2.exe
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.03.23 -
AhnLab-V3 5.0.0.2 2010.03.23 -
AntiVir 8.2.1.196 2010.03.23 -
Antiy-AVL 2.0.3.7 2010.03.23 -
Authentium 5.2.0.5 2010.03.23 -
Avast 4.8.1351.0 2010.03.22 -
Avast5 5.0.332.0 2010.03.22 -
AVG 9.0.0.787 2010.03.23 -
BitDefender 7.2 2010.03.23 -
CAT-QuickHeal 10.00 2010.03.23 -
ClamAV 0.96.0.0-git 2010.03.23 -
Comodo 4355 2010.03.23 -
eSafe 7.0.17.0 2010.03.21 -
eTrust-Vet 35.2.7383 2010.03.23 -
F-Prot 4.5.1.85 2010.03.23 -
F-Secure 9.0.15370.0 2010.03.23 -
Fortinet 4.0.14.0 2010.03.22 -
GData 19 2010.03.23 -
Ikarus T3.1.1.80.0 2010.03.23 -
Jiangmin 13.0.900 2010.03.23 -
Kaspersky 7.0.0.125 2010.03.23 -
McAfee 5928 2010.03.22 -
McAfee+Artemis 5928 2010.03.22 -
McAfee-GW-Edition 6.8.5 2010.03.23 -
Microsoft 1.5605 2010.03.23 -
NOD32 4966 2010.03.22 -
Norman 6.04.09 2010.03.22 -
nProtect 2009.1.8.0 2010.03.23 -
Panda 10.0.2.2 2010.03.22 -
PCTools 7.0.3.5 2010.03.23 -
Prevx 3.0 2010.03.23 -
Rising 22.40.01.04 2010.03.23 -
Sophos 4.51.0 2010.03.23 -
Sunbelt 6031 2010.03.22 -
Symantec 20091.2.0.41 2010.03.23 -
TheHacker 6.5.2.0.241 2010.03.22 -
ViRobot 2010.3.23.2239 2010.03.23 -
VirusBuster 5.0.27.0 2010.03.22 -
Information additionnelle
File size: 2434856 bytes
MD5...: 97ae01e23fb8d7048377ab08d1938711
SHA1..: 0f859ec5eaf65d68f3b16555582c274fd8bb3b66
SHA256: c6f7f08911282586a53be8b536ec08e6f3d9f7655780e9ff62d3397e0015cc2c
ssdeep: 49152:nMhzYbhBnC5WBlKEha9okHfxhFbkTV5uHGq8x4OKuGsJ/sUGgpgV62Z/0E
/JGOzS:ngzYbhBnCQKr9ok5hFbkTV5GGq8x4rur
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x303890
timedatestamp.....: 0x4b2a6d78 (Thu Dec 17 17:42:16 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xcc000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xcd000 0x237000 0x236c00 7.81 de893f80b37e99694e115a9ae74654e9
.rsrc 0x304000 0x1b000 0x1a200 4.51 2181c98de9951d45449ab156d9ac3924

( 12 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.dll: FreeSid
> COMCTL32.dll: -
> comdlg32.dll: PrintDlgA
> CRYPT32.dll: CryptMsgClose
> GDI32.dll: Arc
> ole32.dll: OleInitialize
> OLEAUT32.dll: -
> SHELL32.dll: DragFinish
> USER32.dll: GetDC
> WINTRUST.dll: WinVerifyTrust
> WSOCK32.dll: -

( 0 exports )
RDS...: NSRL Reference Data Set
-
packers (Kaspersky): PE_Patch.UPX, UPX
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: Even Balance, Inc.
VeriSign Class 3 Code Signing 2004 CA
Class 3 Public Primary Certification Authority
signing date.: 6:51 PM 12/17/2009
verified.....: -
packers (F-Prot): UPX

PS : y a en encore pour combien d'étaapes ?? c'est juste une quetion, me frappe pas ^^

hello,

reste encore du travail ... ^^'

2 cliques pour s'infecter , et plusieurs heure pour nettoyer : c'est le tarif ...

la suite :

1- Créer un doc texte sur ton bureau:
* Pointe ta souris sur ton bureau , clique droit / va dans "nouveau" et choisis "document texte" .

* Copie/colle tout le texte qui se trouve ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :

File::
c:\windows\iun6002.exe
C:\WINDOWS\DUMP8d1d.tmp

RegLock::
[HKEY_USERS\S-1-5-21-3082794619-2706239650-3021782991-1006\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
[HKEY_USERS\S-1-5-21-3082794619-2706239650-3021782991-1006\Software\SecuROM\License information*]

* Sauvegarde le fichier : va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ... ( sauvegarde le bien sur le bureau )

2- Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

-->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

Cette manipulation va relancer Combofix .

> Puis patiente le temps du scan ( Le Bureau va disparaître à plusieurs reprises : c'est normal !).

! Ne touches à rien tant que le scan n'est pas terminé !

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

========================

3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne
vous l'a pas dit !

re,

combox fix n'est pas sur mon bureau, mais dans mes telechargements

et qu'est-ce que j'avais dis sur la première manipe de Combo ! ...

Sur le bureau ! ... si je me donne la peinne de le préciser , c'est pas pour enfiler des perles ! .... ^^"

Donc tu déplaces ComboFix sur ton bureau et tu fait la manipe que je viens de te donner ...

"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne
vous l'a pas dit !

rapport combo fix
ComboFix 10-03-22.02 - Lambert 23/03/2010 10:35:20.2.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.3070.2613 [GMT 1:00]
Lancé depuis: c:\documents and settings\Lambert\Mes documents\Downloads\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Lambert\Bureau\CFScript.txt
AV: McAfee VirusScan *On-access scanning enabled* (Outdated) {84B5EE75-6421-4CDE-A33A-DD43BA9FAD83}
FW: McAfee Personal Firewall *disabled* {94894B63-8C7F-4050-BDA4-813CA00DA3E8}
* Un nouveau point de restauration a été créé
* Un antivirus résident est actif

FILE ::
"c:\windows\DUMP8d1d.tmp"
"c:\windows\iun6002.exe"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\iun6002.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-02-23 au 2010-03-23 ))))))))))))))))))))))))))))))))))))
.

2010-03-22 21:57 . 2010-03-22 21:57 -------- d-----w- c:\windows\system32\Lang
2010-03-22 19:57 . 2010-03-22 19:57 -------- d-----w- c:\documents and settings\Lambert\Application Data\Malwarebytes
2010-03-22 19:57 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-22 19:57 . 2010-03-22 19:57 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-03-22 19:57 . 2010-03-22 19:57 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-03-22 19:57 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-22 11:39 . 2010-03-22 20:17 -------- d-----w- c:\program files\ZHPDiag
2010-03-22 11:01 . 2010-03-22 11:01 -------- d-----w- c:\program files\Trend Micro
2010-03-20 18:47 . 2010-03-20 18:47 -------- d-----w- c:\documents and settings\Lambert\Application Data\RegClean
2010-03-17 11:38 . 2010-03-18 18:17 -------- d-----w- c:\documents and settings\Lambert\Local Settings\Application Data\Temp
2010-03-17 10:35 . 2010-03-17 10:35 -------- d-----w- c:\program files\CCleaner
2010-03-10 09:12 . 2009-10-23 15:28 3558912 ------w- c:\windows\system32\dllcache\moviemk.exe
2010-03-06 13:27 . 2010-03-06 13:27 2434856 ----a-w- c:\windows\system32\pbsvc_bc2.exe
2010-03-06 10:18 . 2009-04-26 23:42 457248 ----a-w- c:\windows\system32\NVUNINST.EXE
2010-03-06 10:18 . 2010-03-06 10:18 -------- d-----w- C:\NVIDIA
2010-03-06 09:01 . 2010-03-06 09:01 -------- d-----w- c:\program files\CPUID
2010-03-06 09:01 . 2009-03-27 00:16 12672 ----a-w- c:\windows\system32\drivers\cpuz132_x32.sys
2010-03-05 12:26 . 2010-03-05 12:26 -------- d-----w- c:\program files\Ubisoft
2010-03-02 07:32 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-23 09:32 . 2010-02-03 15:31 477488 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
2010-03-21 17:34 . 2008-11-01 16:30 215128 ----a-w- c:\windows\system32\PnkBstrB.exe
2010-03-21 17:30 . 2008-11-01 16:31 139128 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2010-03-09 21:42 . 2010-01-10 15:21 -------- d-----w- c:\documents and settings\Lambert\Application Data\uTorrent
2010-03-06 13:27 . 2008-11-01 16:31 138056 ----a-w- c:\documents and settings\Lambert\Application Data\PnkBstrK.sys
2010-03-06 13:27 . 2008-11-01 16:31 138056 ----a-w- c:\documents and settings\Lambert\Application Data\PnkBstrK.sys
2010-03-06 13:27 . 2008-11-01 16:30 75064 ----a-w- c:\windows\system32\PnkBstrA.exe
2010-03-06 10:20 . 2008-03-17 11:34 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard
2010-03-06 10:20 . 2008-03-17 11:49 -------- d-----w- c:\program files\AGEIA Technologies
2010-03-05 12:34 . 2009-05-08 14:08 -------- d-----w- c:\documents and settings\Lambert\Application Data\Ubisoft
2010-03-05 12:34 . 2009-05-08 14:05 -------- d-----w- c:\documents and settings\All Users\Application Data\Ubisoft
2010-03-05 12:26 . 2007-12-01 12:38 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-03-04 07:00 . 2009-09-01 08:50 -------- d-----w- c:\program files\Fichiers communs\Adobe
2010-02-19 21:50 . 2010-02-19 13:07 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-02-19 13:12 . 2007-12-24 09:38 80352 ----a-w- c:\documents and settings\Lambert\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-02-19 13:10 . 2010-02-19 13:10 -------- d-----w- c:\program files\Microsoft Synchronization Services
2010-02-19 13:10 . 2010-02-19 13:10 -------- d-----w- c:\program files\Microsoft.NET
2010-02-19 13:10 . 2010-02-19 13:10 -------- d-----w- c:\program files\Microsoft SQL Server Compact Edition
2010-02-19 13:09 . 2010-02-19 13:09 -------- d-----w- c:\program files\Microsoft Analysis Services
2010-02-13 07:22 . 2010-02-13 07:22 -------- d-----w- c:\program files\iPod
2010-02-13 07:22 . 2009-06-27 19:36 -------- d-----w- c:\program files\Fichiers communs\Apple
2010-02-13 07:19 . 2009-06-27 19:36 -------- d-----w- c:\program files\QuickTime
2010-02-13 07:16 . 2010-02-13 07:16 72488 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.0.3.15\SetupAdmin.exe
2010-02-12 21:46 . 2004-01-08 10:38 208896 ----a-w- c:\windows\system32\lame_enc.dll
2010-02-12 21:28 . 2010-02-12 21:28 -------- d-----w- c:\program files\Audacity
2010-02-05 17:52 . 2010-02-03 16:24 -------- d-----w- c:\documents and settings\Lambert\Application Data\La Bataille pour la Terre du Milieu (TM) II
2010-02-02 20:02 . 2010-02-02 19:16 -------- d-----w- c:\program files\Microsoft Games for Windows - LIVE
2010-02-02 19:28 . 2007-12-24 10:27 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
2010-02-02 17:05 . 2010-02-02 12:30 -------- d-----w- c:\program files\DAEMON Tools Lite
2010-02-02 12:06 . 2008-08-12 13:56 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-02-02 12:05 . 2010-02-02 12:05 -------- d-----w- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2010-02-02 12:05 . 2010-02-02 12:05 -------- d-----w- c:\documents and settings\Lambert\Application Data\DAEMON Tools Lite
2010-02-01 21:04 . 2007-12-24 14:04 2188 ----a-w- c:\documents and settings\Lambert\Application Data\wklnhst.dat
2010-01-05 17:53 . 2004-08-20 10:24 85636 ----a-w- c:\windows\system32\perfc00C.dat
2010-01-05 17:53 . 2004-08-20 10:24 512292 ----a-w- c:\windows\system32\perfh00C.dat
2010-01-05 17:52 . 2010-01-05 17:52 152576 ----a-w- c:\documents and settings\Lambert\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
2010-01-05 17:52 . 2009-11-05 08:47 79488 ----a-w- c:\documents and settings\Lambert\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
2009-12-31 16:50 . 2004-08-20 10:24 353792 ----a-w- c:\windows\system32\drivers\srv.sys
.

((((((((((((((((((((((((((((( SnapShot@2010-03-22_21.58.42 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-03-23 09:33 . 2010-03-23 09:33 16384 c:\windows\Temp\Perflib_Perfdata_7b4.dat
+ 2007-12-24 09:32 . 2010-03-23 08:43 32768 c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
- 2007-12-24 09:32 . 2010-03-22 19:03 32768 c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2007-12-24 09:32 . 2010-03-23 08:43 32768 c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2007-12-24 09:32 . 2010-03-22 19:03 32768 c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2010-03-22 22:28 . 2010-03-23 08:43 32768 c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2007-12-24 09:32 . 2010-03-22 19:03 32768 c:\windows\system32\config\systemprofile\Cookies\index.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B4F3A835-0E21-4959-BA22-42B3008E02FF}]
2009-11-03 20:12 556432 ----a-w- c:\progra~1\MICROS~3\Office14\URLREDIR.DLL

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DellSupportCenter"="c:\program files\Dell Support Center\bin\sprtcmd.exe" [2009-05-21 206064]
"AlcoholAutomount"="c:\program files\Alcohol Soft\Alcohol 120\axcmd.exe" [2008-03-20 217544]
"RocketDock"="c:\program files\RocketDock\RocketDock\RocketDock.exe" [2007-09-02 495616]
"RGSC"="c:\disque 2\Jeux\GTAIV\Rockstar Games Social Club\RGSCLauncher.exe" [2010-02-02 306088]
"Google Update"="c:\documents and settings\Lambert\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-03-17 136176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-16 16132608]
"ISUSPM Startup"="c:\program files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" [2005-08-11 249856]
"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2005-08-11 81920]
"RoxWatchTray"="c:\program files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2006-11-05 221184]
"RoxioDragToDisc"="c:\program files\Roxio\Drag-to-Disc\DrgToDsc.exe" [2006-08-17 1116920]
"PDVDDXSrv"="c:\program files\CyberLink\PowerDVD DX\PDVDDXSrv.exe" [2006-10-20 118784]
"MskAgentexe"="c:\program files\McAfee\MSK\MskAgent.exe" [2007-01-17 152144]
"dscactivate"="c:\program files\Dell Support Center\gs_agent\custom\dsca.exe" [2007-10-09 16384]
"BigDogPath"="c:\windows\VM_STI.EXE" [2004-06-09 40960]
"DellSupportCenter"="c:\program files\Dell Support Center\bin\sprtcmd.exe" [2009-05-21 206064]
"mcagent_exe"="c:\program files\McAfee.com\Agent\mcagent.exe" [2007-11-01 582992]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"DAEMON Tools-1033"="c:\disque 2\Daemon tools\daemon.exe" [2004-08-22 81920]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]
"iTunesHelper"="c:\disque 2\Itunes\iTunesHelper.exe" [2010-01-22 141608]
"BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" [2009-09-26 83312]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-22 35760]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672]
"nwiz"="nwiz.exe" [2009-04-30 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-04-30 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-04-30 13750272]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
TrayMin315.exe.lnk - c:\program files\Philips\Philips SPC315NC Webcam\TrayMin315.exe [2007-12-24 278528]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Fichiers communs\\McAfee\\MNA\\McNASvc.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Disque 2\\Jeux\\call of duty 4\\iw3mp.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Disque 2\\Jeux\\GRAW2\\Ghost Recon Advanced Warfighter 2\\graw2.exe"=
"c:\\Disque 2\\Jeux\\GRAW2\\Ghost Recon Advanced Warfighter 2\\graw2_dedicated.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Disque 2\\Jeux\\ASSASSIN\\AssassinsCreed_Dx9.exe"=
"c:\\Disque 2\\Jeux\\ASSASSIN\\AssassinsCreed_Dx10.exe"=
"c:\\Disque 2\\Jeux\\ASSASSIN\\AssassinsCreed_Launcher.exe"=
"c:\\Disque 2\\Jeux\\Steam\\Steam.exe"=
"c:\\Disque 2\\Jeux\\GTAIV\\Rockstar Games Social Club\\RGSCLauncher.exe"=
"c:\\Disque 2\\Jeux\\GTAIV\\Grand Theft Auto IV\\LaunchGTAIV.exe"=
"c:\\Disque 2\\Jeux\\Bataille pour la terre du milieu 2\\game.dat"=
"c:\\Disque 2\\Itunes\\iTunes.exe"=
"c:\\Disque 2\\Jeux\\Steam\\SteamApps\\common\\aliens vs predator demo\\AvP.exe"=
"c:\\Disque 2\\Jeux\\Steam\\SteamApps\\common\\call of duty modern warfare 2\\iw4sp.exe"=
"c:\\Disque 2\\Jeux\\Steam\\SteamApps\\common\\call of duty modern warfare 2\\iw4mp.exe"=
"c:\\Disque 2\\utorrent\\uTorrent.exe"=
"c:\\Program Files\\Ubisoft\\Ubisoft Game Launcher\\UbisoftGameLauncher.exe"=
"c:\\Disque 2\\Jeux\\assassin's creed 2\\AssassinsCreedIIGame.exe"=
"c:\\Disque 2\\Jeux\\assassin's creed 2\\AssassinsCreedII.exe"=
"c:\\Disque 2\\Jeux\\assassin's creed 2\\UPlayBrowser.exe"=
"c:\\Disque 2\\Jeux\\Bad compagny 2\\BFBC2Updater.exe"=

R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [02/02/2010 18:03 155136]
R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [02/02/2010 18:03 5248]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [12/08/2008 14:56 691696]
S3 osppsvc;Office Software Protection Platform;c:\program files\Fichiers communs\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [26/09/2009 04:28 4639136]
.
Contenu du dossier 'Tâches planifiées'

2010-03-11 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2010-03-22 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3082794619-2706239650-3021782991-1006Core.job
- c:\documents and settings\Lambert\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-03-17 11:38]

2010-02-15 c:\windows\Tasks\McDefragTask.job
- c:\program files\mcafee\mqc\QcConsol.exe [2007-12-01 11:32]

2010-03-01 c:\windows\Tasks\McQcTask.job
- c:\program files\mcafee\mqc\QcConsol.exe [2007-12-01 11:32]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - c:\program files\Fichiers communs\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
FF - ProfilePath - c:\documents and settings\Lambert\Application Data\Mozilla\Firefox\Profiles\lspf4slk.default\
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
FF - user.js: dom.disable_open_during_load - true // Popupblocker control handled by McAfee Privacy Service
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.

**************************************************************************
Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés:

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-3082794619-2706239650-3021782991-1006\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:d8,15,2d,98,4d,6c,c7,5a,0a,a2,18,24,39,7f,38,12,cf,30,a4,c8,46,93,21,
79,27,b5,6b,41,52,50,ff,7c,31,c8,15,9e,3f,02,11,24,78,cb,90,ae,cc,88,2c,3d,\
"??"=hex:3f,eb,b2,a8,d5,51,4b,c2,1b,01,ec,08,0f,18,11,95

[HKEY_USERS\S-1-5-21-3082794619-2706239650-3021782991-1006\Software\SecuROM\License information*]
"datasecu"=hex:77,65,fc,ea,c5,2d,62,2d,ad,0a,e5,63,8a,ce,87,84,cc,52,49,c8,6c,
8e,d2,23,48,c0,73,fe,1d,8e,ca,4f,6f,a7,4e,2e,43,23,a7,0a,62,7c,e1,8a,d3,20,\
"rkeysecu"=hex:3c,62,8c,aa,2c,06,88,40,0d,b6,be,12,82,dd,f9,8b
.
Heure de fin: 2010-03-23 10:41:37
ComboFix-quarantined-files.txt 2010-03-23 09:41
ComboFix2.txt 2010-03-22 22:02

Avant-CF: 177 724 420 096 octets libres
Après-CF: 177 686 380 544 octets libres

- - End Of File - - A593706321DDEE99A3B1C06889248FFC

et rapport zhdiag
http://www.cijoint.fr/cjlink.php?file=cj201003/cijPcrxaux.txt

bon ...

j'ai oublier de te faire supprimer quelques chose ... ^^

fait donc ceci stp :

Télécharge OTM (de Old_Timer) sur ton Bureau.

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

Double clique sur "OTM.exe" pour ouvrir le prg .
Puis copie ce qui se trouve en citation ci-dessous,

:Files
C:\WINDOWS\System32\mschost
C:\Program Files\Weather

:Commands
[purity]
[emptytemp]
[Reboot]

et colle le dans le cadre de gauche de OTM :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)

! Déconnecte toi et ferme toutes tes applications en cours ! ( navigateurs compris )

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"
( " xxxx2010_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).

encore combien d'étapes ? stp

encore combien d'étapes ? stp

tu es encore infecté ....

précisement , je ne sais pas ... suivant si les dernières merdes qui restent font de la resistance ...

puis reste à finaliser derrière ( sécurisé correctement le PC / pallier aux failles de sécurité et faire les maj qui s'imposent ... )

bref,
j'attends le rapport demandé ...