Conseil sur 2 lignes rapport Hijack

Résolu
Utilisateur anonyme -  
 Utilisateur anonyme -
Bonjour à tous
j'ai manifestement le malware qui provoque l'apparition de pubs intempestives à tout moment pdt les surfs et peut etre meme des fermetures brutales de firefox...
(suis sous XP + Firefox 3.6.2)

Sur le rapport Hi jack que j'ai fait en mode sans échec
un site de lecture automatique de ce rapport me conseille de supprimer :

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
et
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

qu'en pensez vous ??

voici le rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:24:53, on 27/03/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.hugedomains.com/domain_profile.cfm?d=duxet&e=com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [WorkFlowTray] "C:\Program Files\ScanSoft\OmniPagePro14.0\WorkFlowTray.exe"
O4 - HKLM\..\Run: [Opware14] "C:\Program Files\ScanSoft\OmniPagePro14.0\Opware14.exe"
O4 - HKLM\..\Run: [OpScheduler] "C:\Program Files\ScanSoft\OmniPagePro14.0\OpScheduler.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ATnotes.exe] C:\Program Files\ATnotes\ATnotes.exe
O4 - HKCU\..\Run: [Anniversaires] C:\Program Files\Anniversaires\Rappel.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .mu3: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .mus: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .mxl: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .mya: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .myr: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .myt: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .xmz: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0063F5B-C8DE-4670-AEC8-BE2F52F3EE6D}: NameServer = 192.168.1.1
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
A voir également:

62 réponses

Réponse 1 / 62
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
bonjour

ton hjlackthis ne montre rien d'infecté

Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

Rend toi sur Cjoint : http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Cliquez ici pour déposerle fichier " et copie/colle le lien dans ton prochain message


0
Réponse 2 / 62
Utilisateur anonyme
 
Voici le lien que tu m'as demandé
http://www.cijoint.fr/cjlink.php?file=cj201003/cijfw9Gl8w.txt
0
Réponse 3 / 62
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
rien de visible aux point de vue pubs...

en revanche ton centre de sécurité est lui modifié

1)

postes le dernier rapport MalwareByte's Anti-Malware en ta possesion

2)

Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent(car il est detecté a tort comme infection)

Télécharge et installe List&Kill'em et enregistre le sur ton bureau
http://sd-1.archive-host.com/...


double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

coche la case "creer une icone sur le bureau"

une fois terminée , clic sur "terminer" et le programme se lancer seul

choisis la langue puis choisis l'option SEARCH

laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , mais ne le supprime pas pour l instant, le scan n'est pas fini.

? Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

tu peux supprimer le rapport catchme.log de ton bureau maintenant.


0
Réponse 4 / 62
Utilisateur anonyme
 
Rapport de mon dernier "MalwareByte's Anti-Malware" :

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3890
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

21/03/2010 12:18:05
mbam-log-2010-03-21 (12-18-05).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 232566
Temps écoulé: 36 minute(s), 26 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 11

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{fe5b2d9d-91b0-b04b-ac20-14a260769687} (Adware.ColorSoft) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\al4d_se7kzwao (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\AppDataLow\HavingFunOnline (Adware.BHO.FL) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3908a9ed-b8cc-f9e4-f05f-e9298b769936} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{3908a9ed-b8cc-f9e4-f05f-e9298b769936} (Adware.BHO) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://www3.iamwired.net/ Good: (http://www.Google.com) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{567EA6BD-B40B-47B5-90C5-D23AAF9D604C}\RP403\A0033340.exe (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{567EA6BD-B40B-47B5-90C5-D23AAF9D604C}\RP404\A0033401.exe (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{567EA6BD-B40B-47B5-90C5-D23AAF9D604C}\RP404\A0033529.exe (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{567EA6BD-B40B-47B5-90C5-D23AAF9D604C}\RP405\A0033547.exe (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\aL4D_Se7KZWAo.exe (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\Documents and Settings\Jean-Pierre\Local Settings\Temp\ldm1.exe (Adware.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Jean-Pierre\Local Settings\Temporary Internet Files\Content.IE5\2C3XQB7U\setup[2].exe (Adware.BHO) -> Quarantined and deleted successfully.
C:\Documents and Settings\Jean-Pierre\Local Settings\Temporary Internet Files\Content.IE5\74HO6SF3\setup[2].exe (Adware.BHO) -> Quarantined and deleted successfully.
C:\Documents and Settings\Jean-Pierre\Local Settings\Temporary Internet Files\Content.IE5\74HO6SF3\setup[4].exe (Adware.BHO) -> Quarantined and deleted successfully.
C:\Documents and Settings\Jean-Pierre\Menu Démarrer\Programmes\Démarrage\update.exe (Trojan.StartPage) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\__cz9IBI.dll (Adware.BHO) -> Quarantined and deleted successfully.

------------------------------------------------------------------------------------------
Pour "List&Kill'em" :

Je n'ai pas eu specialement de rapport qui s'est ouvert à l'écran "Completed"
je te joins le contenu de "catchme :

catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-28 09:41:37
Windows 5.1.2600 Service Pack 3 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 62
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
regardes là C:\List'em.txt
0
Réponse 6 / 62
Utilisateur anonyme
 
OK trouvé ...... :

List'em by g3n-h@ckm@n 1.6.0.6

User : Jean-Pierre (Administrateurs)
Update on 27/03/2010 by g3n-h@ckm@n ::::: 14.50
Start at: 09:35:40 | 28/03/2010

AMD Athlon(tm) 64 X2 Dual Core Processor 5200+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : avast! Antivirus 5.0.83886542 [ (!) Disabled | Updated ]

C:\ -> Disque fixe local | 465,75 Go (386,82 Go free) | NTFS
D:\ -> Disque CD-ROM | 0 Mo (0 Mo free) [Audio CD] | CDFS
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible

Boot: Normal


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\ScanSoft\OmniPagePro14.0\WorkFlowTray.exe
C:\Program Files\ScanSoft\OmniPagePro14.0\Opware14.exe
C:\Program Files\ScanSoft\OmniPagePro14.0\OpScheduler.exe
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\ATnotes\ATnotes.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\List_Kill'em\List_Kill'em.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\List_Kill'em\pv.exe

======================
Keys "Run"
======================
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe
SpybotSD TeaTimer REG_SZ C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
ATnotes.exe REG_SZ C:\Program Files\ATnotes\ATnotes.exe
Anniversaires REG_SZ C:\Program Files\Anniversaires\Rappel.exe
MSMSGS REG_SZ "C:\Program Files\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
RTHDCPL REG_SZ RTHDCPL.EXE
Alcmtr REG_SZ ALCMTR.EXE
NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
NvMediaCenter REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
Ad-Watch REG_SZ C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
SSBkgdUpdate REG_SZ "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
WorkFlowTray REG_SZ "C:\Program Files\ScanSoft\OmniPagePro14.0\WorkFlowTray.exe"
Opware14 REG_SZ "C:\Program Files\ScanSoft\OmniPagePro14.0\Opware14.exe"
OpScheduler REG_SZ "C:\Program Files\ScanSoft\OmniPagePro14.0\OpScheduler.exe"
CloneCDTray REG_SZ "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
Adobe Reader Speed Launcher REG_SZ "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
Adobe ARM REG_SZ "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
avast5 REG_SZ C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
QuickTime Task REG_SZ "C:\Program Files\QuickTime\QTTask.exe" -atboottime
iTunesHelper REG_SZ "C:\Program Files\iTunes\iTunesHelper.exe"
TkBellExe REG_SZ "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

=====================
Other Keys
=====================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
dontdisplaylastusername REG_DWORD 0 (0x0)
legalnoticecaption REG_SZ
legalnoticetext REG_SZ
shutdownwithoutlogon REG_DWORD 1 (0x1)
undockwithoutlogon REG_DWORD 1 (0x1)

===============
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoDriveTypeAutoRun REG_DWORD 145 (0x91)

===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
HonorAutoRunSetting REG_DWORD 1 (0x1)

===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLS REG_SZ

===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
AutoRestartShell REG_DWORD 1 (0x1)
DefaultDomainName REG_SZ PERDRIER
DefaultUserName REG_SZ Jean-Pierre
LegalNoticeCaption REG_SZ
LegalNoticeText REG_SZ
PowerdownAfterShutdown REG_SZ 0
ReportBootOk REG_SZ 1
Shell REG_SZ Explorer.exe
ShutdownWithoutLogon REG_SZ 0
System REG_SZ
Userinit REG_SZ C:\WINDOWS\system32\userinit.exe,
VmApplet REG_SZ rundll32 shell32,Control_RunDLL "sysdm.cpl"
SfcQuota REG_DWORD -1 (0xffffffff)
allocatecdroms REG_SZ 0
allocatedasd REG_SZ 0
allocatefloppies REG_SZ 0
cachedlogonscount REG_SZ 10
forceunlocklogon REG_DWORD 0 (0x0)
passwordexpirywarning REG_DWORD 14 (0xe)
scremoveoption REG_SZ 0
AllowMultipleTSSessions REG_DWORD 1 (0x1)
UIHost REG_EXPAND_SZ logonui.exe
LogonType REG_DWORD 1 (0x1)
Background REG_SZ 0 0 0
DebugServerCommand REG_SZ no
SFCDisable REG_DWORD 0 (0x0)
WinStationsDisabled REG_SZ 0
HibernationPreviouslyEnabled REG_DWORD 1 (0x1)
ShowLogonOptions REG_DWORD 0 (0x0)
AltDefaultUserName REG_SZ Jean-Pierre
AltDefaultDomainName REG_SZ PERDRIER

===============
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\crypt32chain]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cryptnet]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cscdll]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ScCertProp]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Schedule]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sclgntfy]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\SensLogn]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\termsrv]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wlballoon]

===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{AEB6717E-7E19-11d0-97EE-00C04FD91972} REG_SZ

===============
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
%windir%\Network Diagnostic\xpnetdiag.exe REG_SZ %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000
%windir%\system32\sessmgr.exe REG_SZ %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
C:\Program Files\MSN Messenger\livecall.exe REG_SZ C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)
C:\Program Files\Windows Live\Messenger\wlcsdk.exe REG_SZ C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Disabled:Windows Live Call
C:\Program Files\Vidal\VidalCD\system\runtime\bin\java.exe REG_SZ C:\Program Files\Vidal\VidalCD\system\runtime\bin\java.exe:*:Enabled:Java(TM) Platform SE binary
C:\WINDOWS\pchealth\helpctr\binaries\HelpCtr.exe REG_SZ C:\WINDOWS\pchealth\helpctr\binaries\HelpCtr.exe:*:Enabled:Assistance à distance - Windows Messenger et voix
C:\Program Files\TeamViewer\Version4\TeamViewer.exe REG_SZ C:\Program Files\TeamViewer\Version4\TeamViewer.exe:*:Enabled:Teamviewer Remote Control Application
C:\Program Files\eMule\eMule.exe REG_SZ C:\Program Files\eMule\eMule.exe:*:Enabled:eMule Plus
C:\WINDOWS\system32\muzapp.exe REG_SZ C:\WINDOWS\system32\muzapp.exe:*:Enabled:MUZ AOD APP player
C:\Program Files\Windows Live\Messenger\msnmsgr.exe REG_SZ C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger
C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe REG_SZ C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live FolderShare
C:\Program Files\iTunes\iTunes.exe REG_SZ C:\Program Files\iTunes\iTunes.exe:*:Enabled:iTunes

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
%windir%\Network Diagnostic\xpnetdiag.exe REG_SZ %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000
%windir%\system32\sessmgr.exe REG_SZ %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
C:\Program Files\MSN Messenger\livecall.exe REG_SZ C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)
C:\Program Files\Windows Live\Messenger\wlcsdk.exe REG_SZ C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call
C:\Program Files\Windows Live\Messenger\msnmsgr.exe REG_SZ C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger
C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe REG_SZ C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live FolderShare

===============
ActivX controls
===============
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{8AD9C840-044E-11D1-B3E9-00805F499D93}]
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}]
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}]
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}]
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]

===============
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{26923b43-4d38-484f-9b9e-de460746276c}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10072CEC-8CC1-11D1-986E-00A0C955B42F}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{283807B5-2C60-11D0-A31D-00AA00B92C03}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{36f8ec70-c29a-11d1-b5c7-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3af36230-a269-11d1-b5bf-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3bf42070-b3b1-11d1-b5c5-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4278c270-a269-11d1-b5bf-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA848-CC51-11CF-AAFA-00AA00B6015C}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-AAFA-00AA00B6015F}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{45ea75a0-a269-11d1-b5bf-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f216970-c90c-11d1-b5c7-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f645220-306d-11d2-995d-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5056b317-8d4c-43ee-8543-b9d1e234b8f4}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5945c046-1e7d-11d1-bc44-00c04fd912be}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5A8D6EE0-3E18-11D0-821E-444553540000}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-9948-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{630b1da0-b465-11d1-9948-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6fab99d0-bab8-11d1-994a-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{73FA19D0-2D75-11D2-995D-00C04F98BBC9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4340}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4383}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9381D8F2-0288-11D0-9501-00AA00B911A5}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{ACC563BC-4266-43f0-B6ED-9D38C4202C7E}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9E9A340-D1F1-11D0-821E-444553540600}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CC2A9BA0-3BDD-11D0-821E-444553540000}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CDD7975E-60F8-41d5-8149-19E51D6F71D0}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{de5aed00-a4bf-11d1-9948-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E92B03AB-B707-11d2-9CBD-0000F87A369E}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{F196AC50-7C95-42E1-9947-BDAB18BF3C8C}]

==============
BHO :
======
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{53707962-6F74-2D53-2644-206D7942484F}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{E15A8DC0-8516-42A1-81EA-DC94EC1ACF10}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]

===
DNS
===

HKLM\SYSTEM\CCS\Services\Tcpip\..\{D0063F5B-C8DE-4670-AEC8-BE2F52F3EE6D}: NameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D0063F5B-C8DE-4670-AEC8-BE2F52F3EE6D}: NameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{D0063F5B-C8DE-4670-AEC8-BE2F52F3EE6D}: NameServer=192.168.1.1

================
Internet Explorer :
================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.hugedomains.com/domain_profile.cfm?d=duxet&e=com

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.google.com/?gws_rd=ssl

========
Services
========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]

Ndisuio : 0x3 ( OK = 3 )
EapHost : 0x3 ( OK = 2 )
SharedAccess : 0x2 ( OK = 2 )
wuauserv : 0x2 ( OK = 2 )

=========
Atapi.sys
=========

%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Program Files\List_Kill'em
## C:\> hashdeep.exe C:\WINDOWS\system32\drivers\atapi.sys
##
96512,9f3a2f5aa6875c72bf062c712cfa2674,b4df1d2c56a593c6b54de57395e3b51d288f547842893b32b0f59228a0cf70b9,C:\WINDOWS\system32\drivers\atapi.sys

Référence :
==========

Win 2000_SP2 : ff953a8f08ca3f822127654375786bbe
Win 2000_SP4 : 8c718aa8c77041b3285d55a0ce980867
Win XP_32b : a64013e98426e1877cb653685c5c0009
Win XP_SP2_32b : CDFE4411A69C224BD1D11B2DA92DAC51
Win XP_SP3_32b : 9F3A2F5AA6875C72BF062C712CFA2674
Vista_32b : e03e8c99d15d0381e02743c36afc7c6f
Vista_SP1_32b : 2d9c903dc76a66813d350a562de40ed9
Vista_SP2_32b : 1F05B78AB91C9075565A9D8A4B880BC4
Vista_SP2_64b : 1898FAE8E07D97F2F6C2D5326C633FAC
Windows 7_32b : 80C40F7FDFC376E4C5FEEC28B41C119E
Windows 7_64b : 02062C0B390B7729EDC9E69C680A6F3C
Windows 7_32b_Ultimate : 338c86357871c167a96ab976519bf59e

=======
Drive :
=======

D'fragmenteur de disque Windows
Copyright (c) 2001 Microsoft Corp. et Executive Software International Inc.

Rapport d'analyse
466 Go total, 387 Go libre (83%), 18% fragment' (fragmentation du fichier 36%)

Vous devriez d'fragmenter ce volume.

¤¤¤¤¤¤¤¤¤¤ Files/folders :

Present !! : C:\Documents and Settings\All Users\Application Data\.zreglib
Present !! : C:\WINDOWS\SET3.tmp
Present !! : C:\WINDOWS\SET4.tmp
Present !! : C:\WINDOWS\SET8.tmp
Present !! : C:\WINDOWS\wacam.TMP
Present !! : C:\WINDOWS\System32\*.dll.tmp"
Present !! : C:\WINDOWS\System32\drivers\etc\hosts.msn
Present !! : C:\WINDOWS\System32\muzapp.exe"
Present !! : C:\Documents and Settings\Jean-Pierre\Application Data\GDIPFONTCACHEV1.DAT
Present !! : C:\Documents and Settings\Jean-Pierre\Application Data\GDIPFONTCACHEV1.DAT
Present !! : C:\Documents and Settings\Jean-Pierre\Local Settings\Temp\zdx.bat
Present !! : C:\Documents and Settings\Jean-Pierre\LOCAL Settings\Temp\hijackthis-2.0.2.75917.exe
Present !! : C:\Documents and Settings\Jean-Pierre\LOCAL Settings\Temp\secuniasi6137326132829255333.dll

¤¤¤¤¤¤¤¤¤¤ Keys :

Present !! : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"
Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"

============

catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-28 09:41:37
Windows 5.1.2600 Service Pack 3 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spaa.sys >>UNKNOWN [0x89D7E938]<<
kernel: MBR read successfully
user & kernel MBR OK


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

End of scan : 9:41:37,87
0
Réponse 7 / 62
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
ok

1)

Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

choisis l'option CLEAN
ton PC va redemarrer,

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

colle le contenu dans ta reponse

Tu peux le désinstaller ensuite

......................

2)

ensuite pour vérifier


* Téléchargez FindyKill sur le Bureau.

http://pagesperso-orange.fr/NosTools/Chiquitine29/Setup.exe

Mirroir :

http://findykill.changelog.fr/Setup.exe

* Double-cliquez sur FindyKill présent sur le Bureau.

* Choisissez l'option 1 (Recherche).

* Laissez travailler l'outil.

* Ensuite postez le rapport FindyKill.txt qui apparaîtra (si vous avez créé un sujet sur un forum pour vous faire aider).

* Note : Le rapport FindyKill.txt est sauvegardé à la racine du disque (C:\FindyKill.txt).

(CTRL+A pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller)

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

* Tuto : http://pagesperso-orange.fr/NosTools/index.html





0
Réponse 8 / 62
Utilisateur anonyme
 
OK je fais tout çà et te poste ...

en attendant j'ai retrouvé le 1er rapport de "MalwareByte's Anti-Malware"
daté de qq jours qd je l'avais installé et qui m'avait trouvé des choses... si çà peut t'aider ... ??

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3890
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

21/03/2010 12:18:05
mbam-log-2010-03-21 (12-18-05).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 232566
Temps écoulé: 36 minute(s), 26 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 11

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{fe5b2d9d-91b0-b04b-ac20-14a260769687} (Adware.ColorSoft) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\al4d_se7kzwao (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\AppDataLow\HavingFunOnline (Adware.BHO.FL) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3908a9ed-b8cc-f9e4-f05f-e9298b769936} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{3908a9ed-b8cc-f9e4-f05f-e9298b769936} (Adware.BHO) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://www3.iamwired.net/ Good: (http://www.Google.com) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{567EA6BD-B40B-47B5-90C5-D23AAF9D604C}\RP403\A0033340.exe (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{567EA6BD-B40B-47B5-90C5-D23AAF9D604C}\RP404\A0033401.exe (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{567EA6BD-B40B-47B5-90C5-D23AAF9D604C}\RP404\A0033529.exe (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{567EA6BD-B40B-47B5-90C5-D23AAF9D604C}\RP405\A0033547.exe (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\aL4D_Se7KZWAo.exe (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\Documents and Settings\Jean-Pierre\Local Settings\Temp\ldm1.exe (Adware.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Jean-Pierre\Local Settings\Temporary Internet Files\Content.IE5\2C3XQB7U\setup[2].exe (Adware.BHO) -> Quarantined and deleted successfully.
C:\Documents and Settings\Jean-Pierre\Local Settings\Temporary Internet Files\Content.IE5\74HO6SF3\setup[2].exe (Adware.BHO) -> Quarantined and deleted successfully.
C:\Documents and Settings\Jean-Pierre\Local Settings\Temporary Internet Files\Content.IE5\74HO6SF3\setup[4].exe (Adware.BHO) -> Quarantined and deleted successfully.
C:\Documents and Settings\Jean-Pierre\Menu Démarrer\Programmes\Démarrage\update.exe (Trojan.StartPage) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\__cz9IBI.dll (Adware.BHO) -> Quarantined and deleted successfully.
0
Réponse 9 / 62
Utilisateur anonyme
 
La suite ..........
encore merci de ce que tu fais pour m'aider...

voici les 2 rapports demandés...
mais avant 2 choses:

1/ j'ai l'impression que la survenue des bannières de pub est tjrs là?? tu sais çà vient se mettre en haut de la page qui s'affiche (ce qui m'etonne est que d'habitude c'est une pub anglaise et là c'etait français.... jusque maintenant çà avait donc rapport avec "primawega" un site ??)

2/ qd je suis arrivé sur la page de "comment çà marche" il y a 2 minutes une fois PC relancé et mes rapports fait, Avast a envoyé ce message :

" le agent reseau Avast a bloqué une menace
- objet : ads.dns-lookup.com/tba/um?pubId=dc_FR&dg=FR
- infectant : URL:mal
- action : bloqué
- Processus : C:\Program Files\Mozilla Firefox\Firefox.exe
- La menace a été détectée et boquée au moment de la connexion à l'adresse URL."


Voila le rapport de "List_Kill'em" :

Kill'em by g3n-h@ckm@n 1.6.0.6

User : Jean-Pierre (Administrateurs)
Update on 27/03/2010 by g3n-h@ckm@n ::::: 14.50
Start at: 10:50:27 | 28/03/2010

AMD Athlon(tm) 64 X2 Dual Core Processor 5200+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! Antivirus 5.0.83886542 [ Enabled | Updated ]

C:\ -> Disque fixe local | 465,75 Go (386,92 Go free) | NTFS
D:\ -> Disque CD-ROM | 0 Mo (0 Mo free) [Audio CD] | CDFS
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast5\setup\avast.setup
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\List_Kill'em\ERUNT.EXE
C:\Program Files\List_Kill'em\pv.exe

Detections :
==========


¤¤¤¤¤¤¤¤¤¤ Files/folders :

Quarantined & Deleted !! : C:\Documents and Settings\All Users\Application Data\.zreglib
Quarantined & Deleted !! : C:\WINDOWS\SET3.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET4.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET8.tmp
Quarantined & Deleted !! : C:\WINDOWS\wacam.TMP

Quarantined & Deleted !! : C:\WINDOWS\System32\winhttp.dll.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\drivers\etc\hosts.msn
Quarantined & Deleted !! : C:\WINDOWS\System32\muzapp.exe
Quarantined & Deleted !! : C:\Documents and Settings\Jean-Pierre\Application Data\GDIPFONTCACHEV1.DAT
Quarantined & Deleted !! : C:\Documents and Settings\Jean-Pierre\Local Settings\Temp\zdx.bat
Quarantined & Deleted !! : C:\Documents and Settings\Jean-Pierre\LOCAL Settings\Temp\hijackthis-2.0.2.75917.exe
Quarantined & Deleted !! : C:\Documents and Settings\Jean-Pierre\LOCAL Settings\Temp\secuniasi6137326132829255333.dll
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc1.jpg
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc10.m4a
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc11.m4a
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc12.m4a
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc13.m4a
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc14.m4a
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc15.rar
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc16.exe
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc17.zip
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc18.msp
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc19.lnk
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc2.m4a
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc20.exe
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc21.exe
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc22.exe
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc23.lnk
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc24.exe
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc25.exe
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc26.exe
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc27.log
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc28.exe
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc29.txt
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc3.m4a
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc30.html
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc32.exe
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc33.zip
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc4.m4a
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc5.m4a
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc6.m4a
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc7.m4a
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc8.m4a
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc9.m4a

==============
host file OK !
==============

========
Registry
========

Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"
========
Services
=========

Ndisuio : Start = 3
EapHost : Start = 2
Ip6Fw : Start = 2
SharedAccess : Start = 2
wuauserv : Start = 2
wscsvc : Start = 2

============
Disk Cleaned
============

=================
anti-ver blaster : OK !!
=================

================
Prefetch cleaned
================



¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Kill'em by g3n-h@ckm@n 1.6.0.6

User : Jean-Pierre (Administrateurs)
Update on 27/03/2010 by g3n-h@ckm@n ::::: 14.50
Start at: 10:50:27 | 28/03/2010

AMD Athlon(tm) 64 X2 Dual Core Processor 5200+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! Antivirus 5.0.83886542 [ Enabled | Updated ]

C:\ -> Disque fixe local | 465,75 Go (386,92 Go free) | NTFS
D:\ -> Disque CD-ROM | 0 Mo (0 Mo free) [Audio CD] | CDFS
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast5\setup\avast.setup
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\List_Kill'em\ERUNT.EXE
C:\Program Files\List_Kill'em\pv.exe

Detections :
==========


¤¤¤¤¤¤¤¤¤¤ Files/folders :

Quarantined & Deleted !! : C:\Documents and Settings\All Users\Application Data\.zreglib
Quarantined & Deleted !! : C:\WINDOWS\SET3.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET4.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET8.tmp
Quarantined & Deleted !! : C:\WINDOWS\wacam.TMP

Quarantined & Deleted !! : C:\WINDOWS\System32\winhttp.dll.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\drivers\etc\hosts.msn
Quarantined & Deleted !! : C:\WINDOWS\System32\muzapp.exe
Quarantined & Deleted !! : C:\Documents and Settings\Jean-Pierre\Application Data\GDIPFONTCACHEV1.DAT
Quarantined & Deleted !! : C:\Documents and Settings\Jean-Pierre\Local Settings\Temp\zdx.bat
Quarantined & Deleted !! : C:\Documents and Settings\Jean-Pierre\LOCAL Settings\Temp\hijackthis-2.0.2.75917.exe
Quarantined & Deleted !! : C:\Documents and Settings\Jean-Pierre\LOCAL Settings\Temp\secuniasi6137326132829255333.dll
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc1.jpg
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc10.m4a
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc11.m4a
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc12.m4a
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc13.m4a
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc14.m4a
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc15.rar
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc16.exe
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc17.zip
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc18.msp
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc19.lnk
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc2.m4a
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc20.exe
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc21.exe
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc22.exe
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc23.lnk
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc24.exe
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc25.exe
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc26.exe
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc27.log
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc28.exe
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc29.txt
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc3.m4a
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc30.html
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc32.exe
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc33.zip
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc4.m4a
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc5.m4a
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc6.m4a
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc7.m4a
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc8.m4a
Deleted !! : C:\RECYCLER\S-1-5-21-1715567821-1614895754-682003330-1004\Dc9.m4a

==============
host file OK !
==============

========
Registry
========

Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"
========
Services
=========

Ndisuio : Start = 3
EapHost : Start = 2
Ip6Fw : Start = 2
SharedAccess : Start = 2
wuauserv : Start = 2
wscsvc : Start = 2

============
Disk Cleaned
============

=================
anti-ver blaster : OK !!
=================

================
Prefetch cleaned
================



¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤



Voila le rapport de "Findykill" :


############################## | FindyKill V5.038 |

# User : Jean-Pierre (Administrateurs) # PERDRIER
# Update on 15/03/2010 by El Desaparecido
# Start at: 11:02:18 | 28/03/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# AMD Athlon(tm) 64 X2 Dual Core Processor 5200+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : avast! Antivirus 5.0.83886542 [ Enabled | Updated ]

# C:\ # Disque fixe local # 465,75 Go (387,06 Go free) # NTFS
# D:\ # Disque CD-ROM # 0 Mo (0 Mo free) [Audio CD] # CDFS
# E:\ # Disque amovible
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible

################## | Eléments infectieux |


################## | Registre |


################## | Etat |

# Affichage des fichiers cachés : OK

# Mode sans echec : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | ! Fin du rapport # FindyKill V5.038 ! |
0
Réponse 10 / 62
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
encore des soucis de pubs ?

relances ZHP et fais moi un nouveau rapport stp
0
Réponse 11 / 62
Utilisateur anonyme
 
impossible de t'envoyer le nouveau rapport depuis 3/4 d'heure
çà mouline mais çà ne part pas !!??
a tout hasard voici le lien du fichier
http://www.cijoint.fr/cjlink.php?file=cj201003/cijZEexlJ9.txt

çà me dit "temps depassé" ou bien" activer javascript" ??
0
Réponse 12 / 62
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
? Téléchargez Dr.Web CureIt! sur ton Bureau :
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

? Double-cliquez sur drweb-cureit.exe et cliquez sur Commencer le scan.
? Ce scan rapide permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, cliquez sur le bouton Oui pour Tout à l'invite.
? Lorsque le scan rapide est terminé, cliquez sur Options > Changer la configuration.
? Choisissez l'onglet Scanner, et décochez Analyse heuristique.
? De retour à la fenêtre principale : choisissez Analyse complète.
? Cliquez la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, fermez-la.
? Cliquez Oui pour Tout si un fichier est détecté.
? A la fin du scan, si des infections sont trouvées, cliquez sur Tout sélectionner, puis sur Désinfecter. Si la désinfection est impossible, cliquez sur Quarantaine.
? Au menu principal de l'outil, en haut à gauche, cliquez sur le menu Fichier et choisissez Enregistrer le rapport.
? Sauvegardez le rapport sur votre Bureau. Ce dernier se nommera DrWeb.csv.
? Fermez Dr.Web CureIt!
? Redémarrez votre ordinateur (très important) car certains fichiers peuvent être déplacés/réparés au redémarrage.
? Postez (Copiez/Collez) le contenu du rapport de l'outil Dr.Web dans un bloc note

Ensuite :

? Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/
? Cliquez sur parcourir, chercher rapport DrWeb.txt puis sur cliquez ici pour déposer le fichier
? Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse
0
Réponse 13 / 62
Utilisateur anonyme
 
Hello me voici de retour apres ce long scan...
qui a donc trouvé des choses à priori...
qu'en penses tu ??

voici DR Web.txt
http://www.cijoint.fr/cjlink.php?file=cj201003/cijc7pbTA5.txt
0
Réponse 14 / 62
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
bof

j'en pense que tout est bon pour lui...

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\


? Télécharge : Gmer (by Przemyslaw Gmerek)

http://www.gmer.net/



? Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

? Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

si présence de lignes rouges, confirmes le moi...
0
Réponse 15 / 62
Utilisateur anonyme
 
OK Gmer est en train de tourner
je te poste dès la fin...
0
Réponse 16 / 62
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
ok

@+
0
Réponse 17 / 62
Utilisateur anonyme
 
J'ai été obligé de relancer Gmer
car çà s'etait bloque...!!
voici le rapport
aucune ligne rouge


GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-03-29 07:43:26
Windows 5.1.2600 Service Pack 3
Running: nvw7trub.exe; Driver: C:\DOCUME~1\JEAN-P~1\LOCALS~1\Temp\kxldapob.sys


---- System - GMER 1.0.15 ----

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xB6871C56]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xB6871B12]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteKey [0xB68720C6]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xB6871FF0]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xB68716E8]
SSDT spnc.sys ZwEnumerateKey [0xBA6C5DA4]
SSDT spnc.sys ZwEnumerateValueKey [0xBA6C6132]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xB6871BEC]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xB6871628]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xB687168C]
SSDT spnc.sys ZwQueryKey [0xBA6C620A]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xB6871D0C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRenameKey [0xB6872194]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xB6871CCC]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xB6871E4C]

INT 0x62 ? 89DCEBF8
INT 0x63 ? 89A1DBF8
INT 0x83 ? 89DCEBF8
INT 0x83 ? 89DCEBF8
INT 0x83 ? 89A1DBF8
INT 0x83 ? 89DCEBF8

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateProcessEx [0xB687E4FE]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateSection [0xB687E322]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwLoadDriver [0xB687E45C]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) NtCreateSection
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObInsertObject
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObMakeTemporaryObject

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!ZwCallbackReturn + 2CE0 8050457C 4 Bytes CALL 1706CC97
PAGE ntkrnlpa.exe!ZwLoadDriver 8058413A 7 Bytes JMP B687E460 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!NtCreateSection 805AB3AC 7 Bytes JMP B687E326 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ObMakeTemporaryObject 805BC520 5 Bytes JMP B687A4BA \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ObInsertObject 805C2FA4 5 Bytes JMP B687B972 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ZwCreateProcessEx 805D1144 7 Bytes JMP B687E502 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
? spnc.sys Le fichier spécifié est introuvable. !
.text USBPORT.SYS!DllUnload B97D88AC 5 Bytes JMP 89A1D1D8
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB9174360, 0x34CDBF, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text C:\Program Files\Mozilla Firefox\firefox.exe[3872] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 004013F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [BA6A8042] spnc.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [BA6A813E] spnc.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [BA6A80C0] spnc.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [BA6A8800] spnc.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [BA6A86D6] spnc.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [BA6B7E9C] spnc.sys

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\WINDOWS\system32\services.exe[788] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00380002
IAT C:\WINDOWS\system32\services.exe[788] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00380000

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs aswSP.SYS (avast! self protection module/ALWIL Software)
Device \FileSystem\Ntfs \Ntfs 89DCD1F8

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\usbohci \Device\USBPDO-0 89A171F8
Device \Driver\usbehci \Device\USBPDO-1 89A191F8

AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\USBSTOR \Device\00000070 8993C1F8
Device \Driver\Ftdisk \Device\HarddiskVolume1 89D5E1F8
Device \Driver\USBSTOR \Device\00000071 8993C1F8
Device \Driver\Cdrom \Device\CdRom0 89C3D500
Device \Driver\USBSTOR \Device\00000072 8993C1F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 [BA620B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort0 [BA620B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort1 [BA620B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort2 [BA620B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort3 [BA620B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-e [BA620B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\USBSTOR \Device\00000073 8993C1F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 890CB1F8
Device \Driver\NetBT \Device\NetbiosSmb 890CB1F8

AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\usbohci \Device\USBFDO-0 89A171F8
Device \Driver\USBSTOR \Device\0000006c 8993C1F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{D0063F5B-C8DE-4670-AEC8-BE2F52F3EE6D} 890CB1F8
Device \Driver\usbehci \Device\USBFDO-1 89A191F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 890721F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 890721F8
Device \Driver\USBSTOR \Device\0000006f 8993C1F8
Device \Driver\Ftdisk \Device\FtControl 89D5E1F8
Device \FileSystem\Cdfs \Cdfs 89A80500

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x3D 0x41 0xB3 0xE1 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x3D 0x41 0xB3 0xE1 ...

---- EOF - GMER 1.0.15 ----
0
Réponse 18 / 62
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
? Desactive ton Anti-virus le temps de la manip car il est detecte a tort comme infection puis :

? Télécharge List_All
http://sd-1.archive-host.com/membres/up/829108531491024/Mes_Tools/List_All.exe


? enregistre-le sur ton bureau et pas ailleurs


? Execute-le en double clic (clic droit et "en tant qu'administrateur" sous vista) pour le lancer.

? choisis la langue d'utilisation

? choisis l'option en gras ci-dessous :

1 : Elements du panneau de configuration (cpl)
2 : Liste des .dll systeme
3 : Listes des executables (.exe)
4 : Liste des fichiers systeme (Drivers)
5 : Liste du system32
6 : Liste de tout le systeme
7 : Liste des fichiers .tmp
8 : Liste des fichiers racine
9 : Liste des fichiers cachés
0 : Liste de Program Files


puis "entrée"

? rends-toi récupérer le rapport où il t'est indiqué ,

? envoie-le sur : http://www.cijoint.fr/ , fais-toi parcourir ,

puis envoie le fichier.

? un lien de cette forme va apparaitre :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

? renvoie le lien tout frais dans ta prochaine reponse .
0
Réponse 19 / 62
Utilisateur anonyme
 
Voilà.....

http://www.cijoint.fr/cjlink.php?file=cj201003/cijpfFdFak.txt
0
Réponse 20 / 62
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
on cherche (avec un ami) et on trouve pas grand chose...

ton service de sécurité semble modifié...as tu acces normalement à tes protection (AV, pare feux)

toujours des soucis de pubs ?

as tu installé l'extension de sécurité adblock plus
pour bloquer les publicités
http://www.clubic.com/telecharger-fiche45912-adblock-plus.html


enfin

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :

C:\WINDOWS\system32\CatRoot2\dberr.txt
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER



Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers :

Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu

Puis fais «appliquer» pour valider les changements.

Et OK
0

Discussions similaires

écrire un rapport de travail
asi -
REGINALD -

3 réponses
Paris multiple : explications de 2/3, 3/4, 2/4, 2/5, etc.
florent.c -
Aide -

85 réponses
Afficher toutes les lignes masquées excel
livlarsen -
Mehdiiii -

27 réponses
Voxbone ? qui est-ce ?
fanfan54 -
ntrece13 -

159 réponses
A3 paysage en deux A4...est-ce possible?
nikoss -
Lilo -

10 réponses