Démarrage en mode normal impossible Résolu/Fermé

Question

Bonsoir,

ce que je prenais pour un dysfonctionnement de mon PC VAIO PCV RX512 ressemble en fait à un virus. je m'en suis aperçu après avoir constaté que je ne pouvais pas finaliser l'installation de mises à jour Windows. Celles ci nécessitent généralement un redémarrage de l'ordi , ce que je laisse faire, mais systématiquement l'ordi reboot en venant sur l'écran "d'invit" au choix du style de démarrage.
J'utilise Aavast et de temps en temps Spybot pour faire un peu de ménage. le proces est un athlon  2400 j'ai 1Gb de ram et je suis sous xpSP3 .
Les ennuis ont commencés en fait après la réinstallation de DVDshrink...que j'ai depuis désinstallé.
Mes enfants utilisaient aussi MSN quand leur PC était occupé,donc pas souvent en fait,  mais depuis je l'ai désinstallé
je ne télécharge rien d'illégal, mes enfants non plus , je surfe plutôt
mes sites les plus visités:
Lick librairy
Wolfgang Vault
Audio Fanzine
E bay
et les sites de marchands de guitares...

Voici les symptômes:
Impossible de démarrer normalement je suis obligé de passer par l'invit : "dernière configuration connue". Même le mode sans échec ne fonctionne pas: l'ordinateur reboot pour toujours finir sur la page d'invit:
demarrage en mode sans echec
demarage en mode sans echec avec prise en charge réseau
dernière config connue
demarrage normal

pendant la séquence de démarrage on aperçoit fugacement une page bleue avec du texte mais impossibel de la "bloquer" pour la lire.
j'ai régulièrement des messages m'indiquant que des virus ont été trouvés:
inkhuf.sys
miwmk.sys
bxopxadu.sys
mais quoi que je fasse d'eux le résultat reste le même...

ça ressemble à du Rootkit non ??

il me reste à tenter un GMER 
(et peu être un HIJACKTHIS ??)

mais comme il est plus efficace en mode sans échec semble t il je suis un peu coincé.
je viens de lancer un scan minutieux avec AVAST mais j'y crois pas trop. je me suis laissé bluffer par RegistryBooster qui maintenant me "gave" à chaque démarrage :vous avez 1500 problèmes !!! achetez avant le 2 mai et vous serez enfin libre... 

L'un(e) d'entre vous aurait il un début de solution à me proposer ???

merci

bon il me reste mon MAC mais je l'aime bien mon PC c'est lui qui m'a tout appris !!!



Configuration: Mac OS X / Safari 531.22.7

gen-hackman · Answer

salut :

guitariste ? moi aussi ^^

si le pc tourne :

Télécharge OTL de OLDTimer

&#9654 enregistre le sur ton Bureau.

&#9654 Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.

&#9654 Coche les 2 cases Lop et Purity

&#9654 Coche la case devant tous les utilisateurs

&#9654 règle age du fichier sur "60 jours"

&#9654 dans la moitié gauche , mets tout sur "tous"

ne modifie pas ceci : 

"fichiers créés" et "fichiers Modifiés" 

&#9654Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

brutor58 · Answer

merci gen-hackman (un de mes acteurs préférés)
guitariste  amateur venant de s'y remettre=
répertoire plutôt éclectique mais années 60/ 70 tout de même avec un peu de français
guitares : Shergold Modulator, Gretsch Electromatic Dc5122, Hohner St58 copie de strat, et récemment une guitare complètement abandonnée et pourrie à refaire: une Venson copie Strat, une folk de 35 ans qui sonne toujours bien, un JC120Roland, un peavey classic 20,  un jaman looper acheté sur ebay la semaine dernière et une pedale ( pas terrible) Vox Tone Lab LE
juste pour le fun entre voisins!!!
mon PC tourne donc je vais suivre tes conseils, merci
je fais une copie papier de ta méthode et me lance dès que ^possible ( j'installe un rideau à lattes...)
en ce moment le scan que j'ai lancé cette nuit avec Avast se fait doucement j'en suis à 45%. Penses tu que ça vaille le coup de poursuivre?? il m'a trouvé un Trojan dans un dossier de backup hijackthis, je l'ai mis en quarantaine. 
à bientôt pour des nouvelles et encore merci

gen-hackman · Answer

ok lol oui ca vaut le coup ;)

Jackson (la meme que le chanteur de metallica),un marshall MDFX100 , et une pedale ME50 Boss....et pour le son c'est plutot du solo floydien , wishbone ash , un peu de perso....,rock progressif

à bientot ;)

brutor58 · Answer

Wishbone Ash en clôture du Festival D'Orange en 1975: un Must le Rock solaire avec le lever du soleil ...
le Floyd: allaité à , Relics,Meedle, Umaguma, Atom hearth Mother..
Fan de la première heure du King Crimson, des premiers yes, genesis,Van der Graf generator, Amon Dull II, Can,
mais aussi de l'english rock: Les Who , Led Zep, les premiers Stones,puis les autres...
Pour le hard, metal et consort , rien que du classique: ACDC, BOC, Alice Cooper,Thin Lizzy, Judas Priest et Metallica grâce au petit cousin..
Ah si Hawkwind devenu Mötorhead;

de la zique quoi

Guitare Jackson belle guitare de hard rock metal je crois, j'économise pour acheter un tout lampes: Fender Hotrod deluxe, suivi d'une pédale Fulltone OCD 
A+

gen-hackman · Answer

je prefere le FLoyd après le depart de waters....plus experimental ^^ moins anarchique :)

brutor58 · Answer

me revoici gen,

https://www.cjoint.com/?fbr7Emr2Ja  pour le otl txt

https://www.cjoint.com/?fbsaQTCJHg pouyr le extra txt

voici les 2 liens en question j'espère que tu pourras les exploiter,
merci encore

gen-hackman · Answer

/!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\ ________________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur ▶ On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil: https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix Avant d'utiliser ComboFix : ______________________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

brutor58 · Answer

hi Gen,
ça y est j'ai lancé le processus en renomant combofix BRUNO.
pour l'instant la console de récupérartion s'est installée et j'en suis à la recherche de fichiers infectés.
j'ai oublié de te dire que je n'avais plus la possibilité de créer de point de restauration système car au bout de 2 ans j'ai du changer mon DD d'origine. J'ai utilisé un outil de transfert bit à bit mais en oubliant de désactiver la restauration système sur le DD endommagé. ce qui a eu pour conséquence de ne plus me donner cette fonctionnalité sur le nouveau DD acheté.
mon windows d'alors était un oem puisqu'il sagit d'un ordi VAIO Sony PCVRX512

est ce que la perte de cette fonctionnalité peut ne pas permettre à Combofix de faire correctement son travail à ton avis ??
merci

gen-hackman · Answer

toute facon si la recherche est partie , c'est trop tard pour l'arreter

brutor58 · Answer

re bonsoir
parti chez des amis pour dîner j'ai laissé les choses se faire. à mon retour 4 heures après, l'écran était noir et impossible d'obtenir quoi que ce soit. après une extinction à la sauvage et un redémarrage je me retrouve avec une fenêtre combofix m'indiquant compte rendu en préparation. 
j'ai aussi eu une indication comme quoi des mises à jour de sécurité windows avaient due être installées et que cela avait nécessité un redémarrage de l'ordinateur. Ce qui peut expliqué l'écran noir à mon retour. Au redémarrage, j'ai brièvement une invite à utiliser la console de récupération, puis une bascule vers l'invite traditionnelle:
dernière config connue
mode sans échec...
j'ai relancé "dernière config connue"
j'ai par mégarde utilisé mon clavier...
j'en suis toujours à la rédaction du rapport
l'icône de mises à jour pour windows est réapparue.....
dois je tout refaire ???
merci

gen-hackman · Answer

regarde si tu as C:\Combofix.txt

brutor58 · Answer

Bonsoir -jour,
impossible  d'envoyer le rapport....
voici donc un lien Cjoint
https://www.cjoint.com/?fcbsa7ys34

brutor58 · Answer

ultime tentative pour coller le combo fix log... 

ComboFix 10-04-30.03 - Bruno Lompech 01/05/2010  19:19:38.1.1 - x86 
Microsoft Windows XP ...dition familiale  5.1.2600.3.1252.33.1036.18.1023.415 [GMT 2:00] 
LancÈ depuis: c:\documents and settings\Bruno Lompech\Bureau\BRUNO.exe 
AV: avast! antivirus 4.8.1356 [VPS 091103-1] *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D} 
. 

((((((((((((((((((((((((((((((((((((   Autres suppressions   )))))))))))))))))))))))))))))))))))))))))))))))) 
. 

c:\documents and settings\Bruno Lompech\Application Data\avdrn.dat 
c:\documents and settings\Bruno Lompech\Application Data\inst.exe 
c:\documents and settings\Bruno Lompech\css.exe 
c:\program files\Search Settings 
c:\program files\Search Settings\SeARchsettings.dll 
c:\program files\Search Settings\SearchSettings.exe 
c:\program files\Search Settings\SearchSettingsRes409.dll 
c:\program files\WindowsUpdate 
c:\windows\cookies.ini 
c:\windows\pack.epk 
c:\windows\patch.exe 
c:\windows\system32\byadepps.ini 
c:\windows\system32\drivers\aqvqcpe.sys 
c:\windows\system32\drivers\cpqstdj.sys 
c:\windows\system32\drivers\dqtljtqh.sys 
c:\windows\system32\drivers\lphjcli.sys 
c:\windows\system32\drivers\uerpl.sys 
c:\windows\system32\drivers\weyxv.sys 
c:\windows\system32\jfbssqxu.ini 
c:\windows\system32\kchdbjjl.ini 
c:\windows\system32\Thumbs.db 
c:\windows\system32\VB6KO.DLL 

. 
(((((((((((((((((((((((((((((   Fichiers crÈÈs du 2010-04-01 au 2010-05-01  )))))))))))))))))))))))))))))))))))) 
. 

2010-05-01 22:48 . 2010-05-01 22:49 574464 ----a-w- c:\windows\system32\driversodco.sys 
2010-05-01 15:34 . 2010-05-01 17:34 574464 ----a-w- c:\windows\system32\drivers\dphtja.sys 
2010-04-30 21:30 . 2010-05-01 15:17 574464 ----a-w- c:\windows\system32\drivers\uwxyysx.sys 
2010-04-30 18:36 . 2010-04-30 21:25 574464 ----a-w- c:\windows\system32\drivers\mviwmk.sys 
2010-04-30 17:25 . 2010-04-30 18:31 574464 ----a-w- c:\windows\system32\drivers\jnkhuf.sys 
2010-04-30 15:15 . 2010-04-30 17:19 574464 ----a-w- c:\windows\system32\drivers\pqektsd.sys 
2010-04-30 10:13 . 2010-04-30 12:25 574464 ----a-w- c:\windows\system32\drivers	hkpc.sys 
2010-04-22 10:21 . 2010-05-01 15:36 -------- d-----w- c:\windows\LastGood 
2010-04-19 15:28 . 2010-04-22 09:42 -------- d-----w- c:\windows\LastGood.Tmp 
2010-04-07 14:28 . 2010-04-07 14:28 104768 ----a-w- c:\windows\system32\drivers\AnyDVD.sys 
2010-04-05 22:31 . 2010-04-05 22:44 -------- d-----w- c:\documents and settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521} 

. 
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   )))))))))))))))))))))))))))))))))))))))))))))))) 
. 
2010-05-01 22:52 . 2010-03-08 22:43 802304 ----a-w- c:\windows\system32\drivers	xopxadu.sys 
2010-05-01 22:48 . 2008-11-08 13:56 -------- d-----w- c:\program files\DNA 
2010-05-01 22:48 . 2008-11-08 13:56 -------- d-----w- c:\documents and settings\Bruno Lompech\Application Data\DNA 
2010-05-01 15:42 . 2009-02-08 14:19 -------- d-----w- c:\program files\Flock 
2010-04-30 17:27 . 2004-10-31 16:47 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy 
2010-04-30 16:10 . 2009-04-25 11:26 -------- d-----w- c:\documents and settings\Bruno Lompech\Application Data\Uniblue 
2010-04-30 16:09 . 2009-04-25 11:25 -------- dc-h--w- c:\documents and settings\All Users\Application Data\~0 
2010-04-30 16:00 . 2004-10-31 17:30 -------- d--h--w- c:\program files\InstallShield Installation Information 
2010-04-30 15:26 . 2008-04-09 12:45 -------- d-----w- c:\program files\Windows Live 
2010-04-30 15:22 . 2004-10-31 17:29 -------- d-----w- c:\program files\Google 
2010-04-30 15:21 . 2007-01-20 20:30 -------- d-----w- c:\program files\NCH Swift Sound 
2010-04-30 15:21 . 2007-01-20 20:31 -------- d-----w- c:\documents and settings\All Users\Application Data\NCH Swift Sound 
2010-04-30 15:19 . 2004-12-23 18:57 -------- d-----w- c:\program files\DVD Shrink 
2010-04-22 13:11 . 2004-10-31 16:48 -------- d-----w- c:\documents and settings\Bruno Lompech\Application Data\Apple Computer 
2010-04-19 15:24 . 2009-10-04 08:52 -------- d-----w- c:\documents and settings\All Users\Application Data\CanonIJPLM 
2010-04-10 06:41 . 2007-01-21 09:57 -------- d-----w- c:\documents and settings\Bruno Lompech\Application Data\Vso 
2010-04-05 22:44 . 2004-12-12 09:16 -------- d-----w- c:\program files\iTunes 
2010-04-05 22:32 . 2007-06-13 10:31 -------- d-----w- c:\program files\iPod 
2010-04-05 22:32 . 2008-10-30 18:55 -------- d-----w- c:\program files\Fichiers communs\Apple 
2010-04-05 22:14 . 2005-09-19 05:24 -------- d-----w- c:\program files\QuickTime 
2010-04-05 21:55 . 2010-04-05 21:55 73000 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.1.0.79\SetupAdmin.exe 
2010-04-05 21:54 . 2008-10-30 18:44 -------- d-----w- c:\program files\AirPort 
2010-04-02 06:56 . 2010-04-02 06:56 503808 ----a-w- c:\documents and settings\Bruno Lompech\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-74b41001-n\msvcp71.dll 
2010-04-02 06:56 . 2010-04-02 06:56 499712 ----a-w- c:\documents and settings\Bruno Lompech\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-74b41001-n\jmc.dll 
2010-04-02 06:56 . 2010-04-02 06:56 348160 ----a-w- c:\documents and settings\Bruno Lompech\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-74b41001-n\msvcr71.dll 
2010-04-02 06:56 . 2010-04-02 06:56 61440 ----a-w- c:\documents and settings\Bruno Lompech\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-3499ac80-n\decora-sse.dll 
2010-04-02 06:56 . 2010-04-02 06:56 12800 ----a-w- c:\documents and settings\Bruno Lompech\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-3499ac80-n\decora-d3d.dll 
2010-04-02 06:56 . 2007-06-18 19:37 -------- d-----w- c:\program files\Fichiers communs\Java 
2010-04-02 06:55 . 2007-06-18 19:40 -------- d-----w- c:\program files\Java 
2010-04-02 06:42 . 2009-10-04 09:14 -------- d-----w- c:\documents and settings\All Users\Application Data\CanonIJ 
2010-03-28 09:17 . 2002-12-04 09:28 85826 ----a-w- c:\windows\system32\perfc00C.dat 
2010-03-28 09:17 . 2002-12-04 09:28 511422 ----a-w- c:\windows\system32\perfh00C.dat 
2010-03-21 09:20 . 2009-02-08 18:00 1 ----a-w- c:\documents and settings\Pablo\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys 
2010-03-20 09:06 . 2009-11-11 18:47 -------- d-----w- c:\documents and settings\Pablo\Application Data\Search Settings 
2010-03-19 13:31 . 2010-03-19 13:31 89256 ----a-w- c:\windows\system32\ElbyCDIO.dll 
2010-03-14 12:17 . 2009-01-09 18:27 1 ----a-w- c:\documents and settings\Bruno Lompech\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys 
2010-03-11 12:34 . 2007-09-28 18:25 832512 ----a-w- c:\windows\system32\wininet.dll 
2010-03-11 12:34 . 2007-10-28 17:04 78336 ----a-w- c:\windows\system32\ieencode.dll 
2010-03-11 12:34 . 2002-12-04 09:27 17408 ------w- c:\windows\system32\corpol.dll 
2010-03-09 11:10 . 2002-12-04 09:27 430080 ----a-w- c:\windows\system32\vbscript.dll 
2010-03-09 07:22 . 2010-03-09 07:22 20 ----a-w- c:\windows\system32\config\systemprofile\Application Databuwzv.dat 
2010-03-09 02:28 . 2009-08-03 14:09 411368 ----a-w- c:\windows\system32\deploytk.dll 
2010-03-08 23:37 . 2010-03-08 23:36 3906 ----a-w- C:\cc_20100309_0036.reg 
2010-03-08 23:34 . 2010-03-08 23:32 502 ----a-w- C:\cc_20100309_0032.reg 
2010-03-08 23:18 . 2010-03-08 22:44 -------- d-----w- c:\documents and settings\All Users\Application Data\37527832 
2010-03-08 22:43 . 2010-03-08 22:43 20 ----a-w- c:\documents and settings\LocalService\Application Databuwzv.dat 
2010-03-07 14:30 . 2010-03-07 14:30 -------- d-----w- c:\documents and settings\Bruno Lompech\Application Data\Imperium Romanum 
2010-03-07 14:29 . 2010-03-07 14:29 -------- d-----w- c:\program files\ProtectDisc Driver Installer 
2010-03-07 14:22 . 2010-03-07 14:22 -------- d-----w- c:\program files\Kalypso 
2010-02-24 13:11 . 2004-12-27 19:04 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys 
2010-02-21 12:17 . 2004-02-04 10:05 86136 ----a-w- c:\documents and settings\Bruno Lompech\Local Settings\Application Data\GDIPFONTCACHEV1.DAT 
2010-02-20 17:58 . 2005-11-29 18:08 86136 ----a-w- c:\documents and settings\Louise\Local Settings\Application Data\GDIPFONTCACHEV1.DAT 
2010-02-17 12:07 . 2003-05-29 20:20 2192000 ----a-w- c:\windows\system32
toskrnl.exe 
2010-02-16 19:07 . 2003-05-29 20:20 2068864 ----a-w- c:\windows\system32
tkrnlpa.exe 
2010-02-12 10:03 . 2010-02-25 15:32 293376 ------w- c:\windows\system32\browserchoice.exe 
2010-02-12 04:34 . 2006-05-19 12:14 100864 ----a-w- c:\windows\system32\6to4svc.dll 
2010-02-11 12:02 . 2002-12-04 09:27 226880 ----a-w- c:\windows\system32\drivers	cpip6.sys 
2004-01-31 13:25 . 2004-04-08 19:50 9862 ----a-w- c:\program files\Activescan.txt 
2006-05-03 10:06 . 2007-10-10 08:13 163328 --sha-r- c:\windows\system32\flvDX.dll 
2007-02-21 11:47 . 2008-03-30 09:23 31232 --sh--r- c:\windows\system32\msfDX.dll 
2007-12-17 13:43 . 2008-03-30 09:23 27648 --sh--w- c:\windows\system32\Smab0.dll 
. 

(((((((((((((((((((((((((((((((((   Points de chargement Reg   )))))))))))))))))))))))))))))))))))))))))))))))) 
. 
. 
*Note* les ÈlÈments vides & les ÈlÈments initiaux lÈgitimes ne sont pas listÈs  
REGEDIT4 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"IncrediMail"="c:\program files\IncrediMail\bin\IncMail.exe" [2009-02-02 251264] 
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-13 68856] 
"ccleaner"="d:\program files\CCleaner\ccleaner.exe" [2007-05-10 598920] 
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480] 
"Google Media Scanner"="c:\program files\Google\Google Media Server\GoogleMediaScanner.exe" [2008-09-13 319488] 
"NVIEW"="nview.dll" [2002-11-06 770117] 
"AnyDVD"="c:\program files\SlySoft\AnyDVD\AnyDVDtray.exe" [2010-04-09 3378112] 
"BitTorrent DNA"="c:\program files\DNA\btdna.exe" [2010-04-10 323392] 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2002-11-06 49152] 
"{0228e555-4f9c-4e35-a3ec-b109a192b4c2}"="c:\program files\Google\Gmail Notifier\gnotify.exe" [2005-07-15 479232] 
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-09-15 81000] 
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2009-12-13 30192] 
"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2008-12-12 722256] 
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040] 
"ArcSoft Connection Service"="c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2010-03-18 207360] 
"AirPort Base Station Agent"="c:\program files\AirPort\APAgent.exe" [2009-11-11 771360] 
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-03-25 142120] 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] 
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] 
"IncrediMail"="c:\program files\IncrediMail\bin\IncMail.exe" [2009-02-02 251264] 

c:\documents and settings\Louise\Menu DÇmarrer\Programmes\DÇmarrage\ 
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000] 

c:\documents and settings\Pablo\Menu DÇmarrer\Programmes\DÇmarrage\ 
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000] 

c:\documents and settings\All Users\Menu DÇmarrer\Programmes\DÇmarrage\ 
Microsoft Office.lnk - c:\program files\Office10\OSA.EXE [2001-2-13 83360] 
Rappels du Calendrier Microsoft Works.lnk - c:\program files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe [2000-7-12 24633] 
VAIO Action Setup (Serveur).lnk - c:\program files\Sony\VAIO Action Setup\VAServ.exe [2002-12-4 40960] 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] 
BootExecute REG_MULTI_SZ    c:\windows\system32\dluikhtd.exe c:\windows\system32\dluikhtd.exe:changelist\0autocheck autochk * 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice] 
@="Service" 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\OneCareMP] 
@="" 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu DÈmarrer^Programmes^DÈmarrage^Adobe Gamma Loader.lnk] 
path=c:\documents and settings\All Users\Menu DÈmarrer\Programmes\DÈmarrage\Adobe Gamma Loader.lnk 
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup 

[HKLM\~\startupfolder\C:^Documents and Settings^Bruno Lompech^Menu DÈmarrer^Programmes^DÈmarrage^Vente Flash.lnk] 
path=c:\documents and settings\Bruno Lompech\Menu DÈmarrer\Programmes\DÈmarrage\Vente Flash.lnk 
backup=c:\windows\pss\Vente Flash.lnkStartup 
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\au 
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Pando 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector] 
c:\program files\Picasa2\PicasaMediaDetector [X] 
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh 
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Watch 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader] 
2007-03-16 09:45 63712 ----a-w- c:\program files\Adobe\Photoshop Album Edition DÈcouverte\3.2\Apps\apdproxy.exe 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent] 
2007-09-07 23:01 43008 ----a-w- d:\program files\bittorrent.exe 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] 
2010-03-25 23:10 142120 ----a-w- c:\program files\iTunes\iTunesHelper.exe 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 
2010-03-17 19:53 421888 ----a-w- c:\program files\QuickTime\QTTask.exe 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] 
"GoogleDesktopManager"=3 (0x3) 
"iPod Service"=3 (0x3) 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun-disabled] 
"load32"=c:\windows\System32\winldra.exe 
"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions 
"PicasaNet"="c:\program files\Hello\Hello.exe" -b 
"xghhvj"=c:\windows\system32\xghhvj.exe xghhvj 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] 
"d:\Program Files\bittorrent.exe"= 
"%windir%\system32\sessmgr.exe"= 
"c:\Program Files\IncrediMail\bin\IncMail.exe"= 
"c:\Program Files\IncrediMail\bin\IMApp.exe"= 
"c:\Program Files\uTorrent\uTorrent.exe"= 
"%windir%\Network Diagnostic\xpnetdiag.exe"= 
"d:\Program Files\eMule\emule.exe"= 
"c:\Program Files\U.S. Robotics\EasyConfigurator\EasyConfigurator.exe"= 
"k:\Downloads\Synology\Ds10s assistant\Application\DSAssistant.exe"= 
"c:\Program Files\Synology Disk Station Assistant\DSAssistant.exe"= 
"d:\Program Files\Synology\Redirector.exe"= 
"c:\Program Files\IncrediMail\bin\ImpCnt.exe"= 
"c:\Program Files\Google\Google Media Server\GoogleMediaServer.exe"= 
"c:\WINDOWS\system32\fxsclnt.exe"= 
"c:\Program Files\DNA\btdna.exe"= 
"c:\Program Files\BitTorrent\bittorrent.exe"= 
"c:\Program Files\Fichiers communs\Ahead\Nero Web\SetupX.exe"= 
"c:\Program Files\Airfoil\Airfoil.exe"= 
"c:\Program Files\Airfoil\AirfoilSpeakers.exe"= 
"c:\Program Files\Real\RealOne Player\realplay.exe"= 
"c:\Program Files\Logitech\Logitech Harmony Remote Software 7\HarmonyRemote.exe"= 
"c:\Program Files\AirPort\APAgent.exe"= 
"c:\Program Files\iTunes\iTunes.exe"= 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] 
"10243:TCP"= 10243:TCP:windows media connect 1 
"10280:UDP"= 10280:UDP:windows media connect 2 
"10281:UDP"= 10281:UDP:windows media connect 3 
"10282:UDP"= 10282:UDP:windows media connect 4 
"10283:UDP"= 10283:UDP:windows media connect 5 
"10284:UDP"= 10284:UDP:windows media connect 6 
"5353:UDP"= 5353:UDP:Bonjour 

R0 sonyhcb;Sony Digital Imaging Base;c:\windows\system32\drivers\sonyhcb.sys [31/05/2003 22:37 6097] 
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [06/09/2008 23:21 114768] 
R1 CLBStor;InstantBurn Storage Helper Driver;c:\windows\system32\drivers\CLBStor.sys [25/12/2008 20:44 16048] 
R1 MemAlloc;MemAlloc;c:\windows\system32\drivers\MemAlloc.sys [14/09/2003 21:39 10016] 
R2 acedrv11;acedrv11;c:\windows\system32\drivers\ACEDRV11.sys [23/01/2008 10:19 501560] 
R2 Application Updater;Application Updater;c:\program files\Application Updater\ApplicationUpdater.exe [08/01/2010 01:51 380928] 
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [06/09/2008 23:21 20560] 
R2 Google MediaServer;Google MediaServer;c:\program files\Google\Google Media Server\GoogleMediaServer.exe [13/09/2008 20:52 622080] 
R3 LucentSoftModem;Lucent Technologies Soft Modem;c:\windows\system32\drivers\LTSM.sys [02/08/2002 16:46 816043] 
S1 LStone;Pinnacle Systems Studio AV/DV Overlay;c:\windows\system32\drivers\LStone2k.sys [14/09/2003 21:39 238048] 
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [20/02/2010 19:52 135664] 
S3 GoogleDesktopManager-110309-193829;Google Desktop Manager 5.9.911.3589;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [05/07/2008 16:23 30192] 
S3 jgameenp;jgameenp;\??\c:\docume~1\BRUNOL~1\LOCALS~1\Temp\jgameenp.sys --> c:\docume~1\BRUNOL~1\LOCALS~1\Temp\jgameenp.sys [?] 
S3 kbeepm;kbeepm;\??\c:\docume~1\Pablo\LOCALS~1\Temp\kbeepm.sys --> c:\docume~1\Pablo\LOCALS~1\Temp\kbeepm.sys [?] 
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\System32\27C.tmp --> c:\windows\System32\27C.tmp [?] 
S3 RemoteControl-USBLAN;RemoteControl-USBLAN;c:\windows\system32\driverscblan.sys [22/11/2009 20:35 39704] 
S3 sonyhcs;Sony Digital Imaging Video;c:\windows\system32\drivers\sonyhcs.sys [31/05/2003 22:37 299923] 

--- Autres Services/Pilotes en mÈmoire --- 

*NewlyCreated* - RODCO 
*Deregistered* - rodco 
*Deregistered* - txopxadu 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}] 
2007-11-19 13:47 451872 ----a-w- c:\program files\Fichiers communs\LightScribe\LSRunOnce.exe 
. 
Contenu du dossier 'T'ches planifiÈes' 

2010-04-19 c:\windows\Tasks\AppleSoftwareUpdate.job 
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34] 

2010-05-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job 
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-20 17:52] 

2010-05-01 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job 
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-20 17:52] 

2008-09-06 c:\windows\Tasks\Spybot - Search & Destroy Updater -  Scheduled Task.job 
- c:\program files\Spybot - Search & Destroy\SDUpdate.exe [2008-09-03 13:31] 

2007-09-08 c:\windows\Tasks\Symantec NetDetect.job 
- c:\program files\Symantec\LiveUpdate\NDETECT.EXE [2007-09-08 14:07] 

2006-01-19 c:\windows\Tasks\XoftSpy.job 
- c:\program files\XoftSpy\XoftSpy.exe [2007-04-26 12:39] 
. 
. 
------- Examen supplÈmentaire ------- 
. 
uStart Page = hxxp://www.google.fr/ 
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 
uDefault_Search_URL = hxxp://www.google.com/ie 
uInternet Settings,ProxyOverride = local. 
uSearchAssistant = hxxp://www.google.com/ie 
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s 
IE: &Souscrire avec ArchosLink - file://c:\program files\Archos\ArchosLink\script.js 
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200 
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html 
IE: Tout tÈlÈcharger avec FlashGet - c:\progra~1\FlashGet\jc_all.htm 
IE: TÈlÈcharger avec FlashGet - c:\progra~1\FlashGet\jc_link.htm 
DPF: DirectAnimation Java Classes 
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab 
DPF: teleir_cert - hxxps://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab 
DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} - hxxp://www.mypixmania.com/fr/fr/importer/MypixUploader.cab 
. 
- - - - ORPHELINS SUPPRIMES - - - - 

BHO-{0859770A-5169-4D58-9150-4056A7BEF90B} - (no file) 
BHO-{0D81912A-2B14-40F3-B389-4B42414F9AE5} - (no file) 
BHO-{11E660E8-2996-4FAA-8CFD-2CC604325503} - (no file) 
BHO-{71C20CE5-A8AD-4C54-B586-7B346BD6B774} - (no file) 
BHO-{8B141BE0-0292-41EB-80C0-36B8A8833323} - (no file) 
BHO-{E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file) 
HKLM-Run-SearchSettings - c:\program files\Search Settings\SearchSettings.exe 
HKU-Default-Run-Picasa Media Detector - c:\program files\Picasa2\PicasaMediaDetector.exe 
MSConfigStartUp-InstantBurn - c:\progra~1\CYBERL~1\INSTAN~1\Win2K\IBurn.exe 



************************************************************************** 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net 
Rootkit scan 2010-05-02 00:47 
Windows 5.1.2600 Service Pack 3 NTFS 

Recherche de processus cachÈs ...  

Recherche d'ÈlÈments en dÈmarrage automatique cachÈs ...  

Recherche de fichiers cachÈs ...  

Scan terminÈ avec succËs 
Fichiers cachÈs: 0 

************************************************************************** 

[HKEY_LOCAL_MACHINE\System\ControlSet014\Services\MEMSWEEP2] 
"ImagePath"="\??\c:\windows\System32\27C.tmp" 

[HKEY_LOCAL_MACHINE\System\ControlSet014\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}] 
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD\000.fcl" 

[HKEY_LOCAL_MACHINE\System\ControlSet014\Servicesodco] 


[HKEY_LOCAL_MACHINE\System\ControlSet014\Services	xopxadu] 

. 
--------------------- CLES DE REGISTRE BLOQUEES --------------------- 

[HKEY_USERS\S-1-5-21-2625698587-2756118833-3651180004-1005\Software\Microsoft\SystemCertificates\AddressBook*] 
@Allowed: (Read) (RestrictedCode) 
@Allowed: (Read) (RestrictedCode) 
. 
--------------------- DLLs chargÈes dans les processus actifs --------------------- 

- - - - - - - > 'winlogon.exe'(568) 
c:\windows\system32\NETUI2.dll 

- - - - - - - > 'explorer.exe'(2596) 
c:\windows\system32
View.dll 
c:\windows\system32\NVWRSFR.DLL 
c:\windows\system32\eappprxy.dll 
c:\windows\system32\msi.dll 
c:\windows\system32\WPDShServiceObj.dll 
c:\windows\system32\PortableDeviceTypes.dll 
c:\windows\system32\PortableDeviceApi.dll 
. 
------------------------ Autres processus actifs ------------------------ 
. 
c:\program files\Alwil Software\Avast4\aswUpdSv.exe 
c:\program files\Alwil Software\Avast4\ashServ.exe 
c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe 
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe 
c:\program files\Canon\IJPLM\IJPLMSVC.EXE 
c:\program files\Java\jre6\bin\jqs.exe 
c:\windows\system32\IoctlSvc.exe 
c:\program files\Windows Media Player\WMPNetwk.exe 
c:\windows\system32\wscntfy.exe 
c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ArcCon.ac 
c:\windows\system32undll32.exe 
c:\program files\iPod\bin\iPodService.exe 
. 
************************************************************************** 
. 
Heure de fin: 2010-05-02  00:59:08 - La machine a redÈmarrÈ 
ComboFix-quarantined-files.txt  2010-05-01 22:59 

Avant-CF: 8+962+805+760 octets libres 
AprËs-CF: 9+939+910+656 octets libres 

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe 
[boot loader] 
timeout=2 
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS 
[operating systems] 
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons 
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP êdition familiale" /fastdetect /NoExecute=OptIn 

Current=14 Default=14 Failed=13 LastKnownGood=15 Sets=1,2,3,4,5,6,7,8,9,10,11,12,13,14,15 
- - End Of File - - CEBAC8D8FD321372334D285976E3C1BB

gen-hackman · Answer

__________________________________________________________ =>/!\Ce script a été écrit spécialement pour cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<=====| --------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: Collect::[4] c:\windows\system32\drivers odco.sys c:\windows\system32\drivers\dphtja.sys c:\windows\system32\drivers\uwxyysx.sys c:\windows\system32\drivers\mviwmk.sys c:\windows\system32\drivers\jnkhuf.sys c:\windows\system32\drivers\pqektsd.sys c:\windows\system32\drivers hkpc.sys c:\windows\system32\drivers xopxadu.sys c:\documents and settings\All Users\Application Data\37527832\37527832.exe c:\documents and settings\LocalService\Application Data buwzv.dat c:\windows\system32\Smab0.dll c:\windows\System32\winldra.exe c:\windows\system32\xghhvj.exe Folder:: c:\documents and settings\All Users\Application Data\~0 c:\documents and settings\Pablo\Application Data\Search Settings c:\documents and settings\All Users\Application Data\37527832 Driver:: Application Updater jgameenp kbeepm MEMSWEEP2 RODCO txopxadu Registry:: [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un-disabled] "load32"=- "xghhvj"=- SkipFix:: ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

brutor58 · Answer

Bonjour GEn,
 je vais suivre tes instructions. 
Cette nuit après mon dernier post et lorsque Combo fix a eu fini, au redémarrage de l'ordi il m'a fallu réinstallé Avast car il m'était indiqué que mon N° de licence avait expiré au 1/02/2010....alors que jusqu'à présent il était à jour. j'en ai conclu que Combofix en faisant le ménage était "remonté" loin. 
J'ai donc voulu réinstallé Avast dernière mouture et là problème:
une fois téléchargé et installé impossible de le faire fonctionner.
A cette heure je n'ai donc plus d'antivirus.
là j'utilise mon mac pour communiquer 
bon Dimanche

gen-hackman · Answer

oui ce doit etre les rootkits (fichiers.sys) qui te le bloquent

j'attends ton rapport suivant

brutor58 · Answer

Combo fix a affiché une fenêtre me disant qu'une version plus récente existait et m'a proposé une mise à jour 
j'ai accepté 
du coup il a redémarré et je ne sais pas s'il a repris en compte le fichier CFScript. 
il a redémarré un scan en affichant directement l'étape 49  
et là il en est à la suppression de fichiers dans lesquels je vois appareitre certains que je citais dans mon premier post: 
inkhuf.sys 
miwmk.sys 
bxopxadu.sys 

l'ordi vient de rebooter avec toujours le m^me problème, pour qu'il démarre je dois choisir dernière configuration connue 
il est plutôt long a démarrer 

A+

brutor58 · Answer

Voici donc le rapport,
mais ayant un doute sur le déroulement de celui ci pour cause de redémarrage je refais une fois l'étape précédente à savoir déposer le fichier FCScript sur Combofix

ComboFix 10-05-01.04 - Bruno Lompech 02/05/2010  14:02:15.2.1 - x86
Microsoft Windows XP ...dition familiale  5.1.2600.3.1252.33.1036.18.1023.475 [GMT 2:00]
LancÈ depuis: c:\documents and settings\Bruno Lompech\Bureau\BRUNO.exe
Commutateurs utilisÈs :: c:\documents and settings\Bruno Lompech\Bureau\CFScript.txt
AV: avast! antivirus 4.8.0 [VPS 000000-0] *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
- Mode FONCTIONNALITES REDUITES -

file zipped: c:\documents and settings\LocalService\Application Databuwzv.dat
file zipped: c:\windows\system32\drivers\dphtja.sys
file zipped: c:\windows\system32\drivers\jnkhuf.sys
file zipped: c:\windows\system32\drivers\mviwmk.sys
file zipped: c:\windows\system32\drivers\pqektsd.sys
file zipped: c:\windows\system32\driversodco.sys
file zipped: c:\windows\system32\drivers	hkpc.sys
file zipped: c:\windows\system32\drivers	xopxadu.sys
file zipped: c:\windows\system32\drivers\uwxyysx.sys
file zipped: c:\windows\system32\Smab0.dll
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\~0
c:\documents and settings\All Users\Application Data\~0\mia.lib
c:\documents and settings\All Users\Application Data\~0\Uniblue RegistryBooster.exe
c:\documents and settings\All Users\Application Data\37527832
c:\documents and settings\LocalService\Application Databuwzv.dat
c:\documents and settings\Pablo\Application Data\Search Settings
c:\documents and settings\Pablo\Application Data\Search Settings\kb128	emp\ws-14662.log
c:\windows\system32\drivers\dphtja.sys
c:\windows\system32\drivers\jnkhuf.sys
c:\windows\system32\drivers\mviwmk.sys
c:\windows\system32\drivers\pqektsd.sys
c:\windows\system32\driversodco.sys
c:\windows\system32\drivers	hkpc.sys
c:\windows\system32\drivers\uwxyysx.sys
c:\windows\system32\Smab0.dll
c:\windows\system32\drivers	xopxadu.sys . . . . impossible # supprimer

.
(((((((((((((((((((((((((((((   Fichiers crÈÈs du 2010-04-02 au 2010-05-02  ))))))))))))))))))))))))))))))))))))
.

2010-05-02 12:09 . 2010-05-02 12:11	574464	----a-w-	c:\windows\system32\drivers\lifmdcnv.sys
2010-05-02 11:09 . 2010-05-02 12:04	574464	----a-w-	c:\windows\system32\drivers\kmkvstbe.sys
2010-05-01 23:58 . 2010-05-02 00:03	574464	----a-w-	c:\windows\system32\drivers\gikfgzsp.sys
2010-05-01 23:44 . 2010-05-01 23:52	574464	----a-w-	c:\windows\system32\drivers\iulbwh.sys
2010-05-01 23:37 . 2010-05-01 23:37	--------	d-----w-	c:\documents and settings\All Users\Application Data\Alwil Software
2010-04-22 10:21 . 2010-05-02 00:00	--------	d-----w-	c:\windows\LastGood
2010-04-19 15:28 . 2010-04-22 09:42	--------	d-----w-	c:\windows\LastGood.Tmp
2010-04-07 14:28 . 2010-04-07 14:28	104768	----a-w-	c:\windows\system32\drivers\AnyDVD.sys
2010-04-05 22:31 . 2010-04-05 22:44	--------	d-----w-	c:\documents and settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-02 12:13 . 2010-03-08 22:43	802304	----a-w-	c:\windows\system32\drivers	xopxadu.sys
2010-05-02 12:10 . 2008-11-08 13:56	--------	d-----w-	c:\program files\DNA
2010-05-02 12:10 . 2008-11-08 13:56	--------	d-----w-	c:\documents and settings\Bruno Lompech\Application Data\DNA
2010-05-01 23:38 . 2007-07-01 21:56	--------	d-----w-	c:\program files\Alwil Software
2010-05-01 15:42 . 2009-02-08 14:19	--------	d-----w-	c:\program files\Flock
2010-04-30 17:27 . 2004-10-31 16:47	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-04-30 16:10 . 2009-04-25 11:26	--------	d-----w-	c:\documents and settings\Bruno Lompech\Application Data\Uniblue
2010-04-30 16:00 . 2004-10-31 17:30	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-04-30 15:26 . 2008-04-09 12:45	--------	d-----w-	c:\program files\Windows Live
2010-04-30 15:22 . 2004-10-31 17:29	--------	d-----w-	c:\program files\Google
2010-04-30 15:21 . 2007-01-20 20:30	--------	d-----w-	c:\program files\NCH Swift Sound
2010-04-30 15:21 . 2007-01-20 20:31	--------	d-----w-	c:\documents and settings\All Users\Application Data\NCH Swift Sound
2010-04-30 15:19 . 2004-12-23 18:57	--------	d-----w-	c:\program files\DVD Shrink
2010-04-22 13:11 . 2004-10-31 16:48	--------	d-----w-	c:\documents and settings\Bruno Lompech\Application Data\Apple Computer
2010-04-19 15:24 . 2009-10-04 08:52	--------	d-----w-	c:\documents and settings\All Users\Application Data\CanonIJPLM
2010-04-14 16:47 . 2007-07-01 21:56	38848	----a-w-	c:\windows\system32\avastSS.scr
2010-04-14 16:47 . 2007-07-01 21:56	153184	----a-w-	c:\windows\system32\aswBoot.exe
2010-04-14 16:35 . 2007-07-01 21:56	46672	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2010-04-14 16:35 . 2008-09-06 21:21	162768	----a-w-	c:\windows\system32\drivers\aswSP.sys
2010-04-14 16:31 . 2007-07-01 21:56	23376	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2010-04-14 16:31 . 2007-07-01 21:56	100432	----a-w-	c:\windows\system32\drivers\aswmon2.sys
2010-04-14 16:31 . 2007-07-01 21:56	94800	----a-w-	c:\windows\system32\drivers\aswmon.sys
2010-04-14 16:31 . 2008-09-06 21:21	19024	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2010-04-14 16:30 . 2007-07-01 21:56	28880	----a-w-	c:\windows\system32\drivers\aavmker4.sys
2010-04-10 06:41 . 2007-01-21 09:57	--------	d-----w-	c:\documents and settings\Bruno Lompech\Application Data\Vso
2010-04-05 22:44 . 2004-12-12 09:16	--------	d-----w-	c:\program files\iTunes
2010-04-05 22:32 . 2007-06-13 10:31	--------	d-----w-	c:\program files\iPod
2010-04-05 22:32 . 2008-10-30 18:55	--------	d-----w-	c:\program files\Fichiers communs\Apple
2010-04-05 22:14 . 2005-09-19 05:24	--------	d-----w-	c:\program files\QuickTime
2010-04-05 21:55 . 2010-04-05 21:55	73000	----a-w-	c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.1.0.79\SetupAdmin.exe
2010-04-05 21:54 . 2008-10-30 18:44	--------	d-----w-	c:\program files\AirPort
2010-04-02 06:56 . 2010-04-02 06:56	503808	----a-w-	c:\documents and settings\Bruno Lompech\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-74b41001-n\msvcp71.dll
2010-04-02 06:56 . 2010-04-02 06:56	499712	----a-w-	c:\documents and settings\Bruno Lompech\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-74b41001-n\jmc.dll
2010-04-02 06:56 . 2010-04-02 06:56	348160	----a-w-	c:\documents and settings\Bruno Lompech\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-74b41001-n\msvcr71.dll
2010-04-02 06:56 . 2010-04-02 06:56	61440	----a-w-	c:\documents and settings\Bruno Lompech\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-3499ac80-n\decora-sse.dll
2010-04-02 06:56 . 2010-04-02 06:56	12800	----a-w-	c:\documents and settings\Bruno Lompech\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-3499ac80-n\decora-d3d.dll
2010-04-02 06:56 . 2007-06-18 19:37	--------	d-----w-	c:\program files\Fichiers communs\Java
2010-04-02 06:55 . 2007-06-18 19:40	--------	d-----w-	c:\program files\Java
2010-04-02 06:42 . 2009-10-04 09:14	--------	d-----w-	c:\documents and settings\All Users\Application Data\CanonIJ
2010-03-28 09:17 . 2002-12-04 09:28	85826	----a-w-	c:\windows\system32\perfc00C.dat
2010-03-28 09:17 . 2002-12-04 09:28	511422	----a-w-	c:\windows\system32\perfh00C.dat
2010-03-21 09:20 . 2009-02-08 18:00	1	----a-w-	c:\documents and settings\Pablo\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-03-19 13:31 . 2010-03-19 13:31	89256	----a-w-	c:\windows\system32\ElbyCDIO.dll
2010-03-14 12:17 . 2009-01-09 18:27	1	----a-w-	c:\documents and settings\Bruno Lompech\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-03-11 12:34 . 2007-09-28 18:25	832512	----a-w-	c:\windows\system32\wininet.dll
2010-03-11 12:34 . 2007-10-28 17:04	78336	----a-w-	c:\windows\system32\ieencode.dll
2010-03-11 12:34 . 2002-12-04 09:27	17408	------w-	c:\windows\system32\corpol.dll
2010-03-09 11:10 . 2002-12-04 09:27	430080	----a-w-	c:\windows\system32\vbscript.dll
2010-03-09 07:22 . 2010-03-09 07:22	20	----a-w-	c:\windows\system32\config\systemprofile\Application Databuwzv.dat
2010-03-09 02:28 . 2009-08-03 14:09	411368	----a-w-	c:\windows\system32\deploytk.dll
2010-03-08 23:37 . 2010-03-08 23:36	3906	----a-w-	C:\cc_20100309_0036.reg
2010-03-08 23:34 . 2010-03-08 23:32	502	----a-w-	C:\cc_20100309_0032.reg
2010-03-07 14:30 . 2010-03-07 14:30	--------	d-----w-	c:\documents and settings\Bruno Lompech\Application Data\Imperium Romanum
2010-03-07 14:29 . 2010-03-07 14:29	--------	d-----w-	c:\program files\ProtectDisc Driver Installer
2010-03-07 14:22 . 2010-03-07 14:22	--------	d-----w-	c:\program files\Kalypso
2010-02-24 13:11 . 2004-12-27 19:04	455680	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2010-02-21 12:17 . 2004-02-04 10:05	86136	----a-w-	c:\documents and settings\Bruno Lompech\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-02-20 17:58 . 2005-11-29 18:08	86136	----a-w-	c:\documents and settings\Louise\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-02-17 12:07 . 2003-05-29 20:20	2192000	----a-w-	c:\windows\system32
toskrnl.exe
2010-02-16 19:07 . 2003-05-29 20:20	2068864	----a-w-	c:\windows\system32
tkrnlpa.exe
2010-02-12 10:03 . 2010-02-25 15:32	293376	------w-	c:\windows\system32\browserchoice.exe
2010-02-12 04:34 . 2006-05-19 12:14	100864	----a-w-	c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2002-12-04 09:27	226880	----a-w-	c:\windows\system32\drivers	cpip6.sys
2004-01-31 13:25 . 2004-04-08 19:50	9862	----a-w-	c:\program files\Activescan.txt
2006-05-03 10:06 . 2007-10-10 08:13	163328	--sha-r-	c:\windows\system32\flvDX.dll
2007-02-21 11:47 . 2008-03-30 09:23	31232	--sh--r-	c:\windows\system32\msfDX.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ÈlÈments vides & les ÈlÈments initiaux lÈgitimes ne sont pas listÈs 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IncrediMail"="c:\program files\IncrediMail\bin\IncMail.exe" [2009-02-02 251264]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-13 68856]
"ccleaner"="d:\program files\CCleaner\ccleaner.exe" [2007-05-10 598920]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"Google Media Scanner"="c:\program files\Google\Google Media Server\GoogleMediaScanner.exe" [2008-09-13 319488]
"NVIEW"="nview.dll" [2002-11-06 770117]
"AnyDVD"="c:\program files\SlySoft\AnyDVD\AnyDVDtray.exe" [2010-04-09 3378112]
"BitTorrent DNA"="c:\program files\DNA\btdna.exe" [2010-04-10 323392]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2002-11-06 49152]
"{0228e555-4f9c-4e35-a3ec-b109a192b4c2}"="c:\program files\Google\Gmail Notifier\gnotify.exe" [2005-07-15 479232]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2009-12-13 30192]
"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2008-12-12 722256]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
"ArcSoft Connection Service"="c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2010-03-18 207360]
"AirPort Base Station Agent"="c:\program files\AirPort\APAgent.exe" [2009-11-11 771360]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-03-25 142120]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-04-14 2790472]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
"IncrediMail"="c:\program files\IncrediMail\bin\IncMail.exe" [2009-02-02 251264]

c:\documents and settings\Louise\Menu DÇmarrer\Programmes\DÇmarrage\
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

c:\documents and settings\Pablo\Menu DÇmarrer\Programmes\DÇmarrage\
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

c:\documents and settings\All Users\Menu DÇmarrer\Programmes\DÇmarrage\
Microsoft Office.lnk - c:\program files\Office10\OSA.EXE [2001-2-13 83360]
Rappels du Calendrier Microsoft Works.lnk - c:\program files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe [2000-7-12 24633]
VAIO Action Setup (Serveur).lnk - c:\program files\Sony\VAIO Action Setup\VAServ.exe [2002-12-4 40960]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	c:\windows\system32\dluikhtd.exe c:\windows\system32\dluikhtd.exe:changelist\0autocheck autochk *

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\OneCareMP]
@=""

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu DÈmarrer^Programmes^DÈmarrage^Adobe Gamma Loader.lnk]
path=c:\documents and settings\All Users\Menu DÈmarrer\Programmes\DÈmarrage\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Bruno Lompech^Menu DÈmarrer^Programmes^DÈmarrage^Vente Flash.lnk]
path=c:\documents and settings\Bruno Lompech\Menu DÈmarrer\Programmes\DÈmarrage\Vente Flash.lnk
backup=c:\windows\pss\Vente Flash.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
c:\program files\Picasa2\PicasaMediaDetector [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
2007-03-16 09:45	63712	----a-w-	c:\program files\Adobe\Photoshop Album Edition DÈcouverte\3.2\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent]
2007-09-07 23:01	43008	----a-w-	d:\program files\bittorrent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-03-25 23:10	142120	----a-w-	c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-17 19:53	421888	----a-w-	c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"GoogleDesktopManager"=3 (0x3)
"iPod Service"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun-disabled]
"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
"PicasaNet"="c:\program files\Hello\Hello.exe" -b

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"d:\Program Files\bittorrent.exe"=
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\IncrediMail\bin\IncMail.exe"=
"c:\Program Files\IncrediMail\bin\IMApp.exe"=
"c:\Program Files\uTorrent\uTorrent.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"d:\Program Files\eMule\emule.exe"=
"c:\Program Files\U.S. Robotics\EasyConfigurator\EasyConfigurator.exe"=
"k:\Downloads\Synology\Ds10s assistant\Application\DSAssistant.exe"=
"c:\Program Files\Synology Disk Station Assistant\DSAssistant.exe"=
"d:\Program Files\Synology\Redirector.exe"=
"c:\Program Files\IncrediMail\bin\ImpCnt.exe"=
"c:\Program Files\Google\Google Media Server\GoogleMediaServer.exe"=
"c:\WINDOWS\system32\fxsclnt.exe"=
"c:\Program Files\DNA\btdna.exe"=
"c:\Program Files\BitTorrent\bittorrent.exe"=
"c:\Program Files\Fichiers communs\Ahead\Nero Web\SetupX.exe"=
"c:\Program Files\Airfoil\Airfoil.exe"=
"c:\Program Files\Airfoil\AirfoilSpeakers.exe"=
"c:\Program Files\Real\RealOne Player\realplay.exe"=
"c:\Program Files\Logitech\Logitech Harmony Remote Software 7\HarmonyRemote.exe"=
"c:\Program Files\AirPort\APAgent.exe"=
"c:\Program Files\iTunes\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"10243:TCP"= 10243:TCP:windows media connect 1
"10280:UDP"= 10280:UDP:windows media connect 2
"10281:UDP"= 10281:UDP:windows media connect 3
"10282:UDP"= 10282:UDP:windows media connect 4
"10283:UDP"= 10283:UDP:windows media connect 5
"10284:UDP"= 10284:UDP:windows media connect 6
"5353:UDP"= 5353:UDP:Bonjour

R0 sonyhcb;Sony Digital Imaging Base;c:\windows\system32\drivers\sonyhcb.sys [31/05/2003 22:37 6097]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [06/09/2008 23:21 162768]
R1 CLBStor;InstantBurn Storage Helper Driver;c:\windows\system32\drivers\CLBStor.sys [25/12/2008 20:44 16048]
R1 MemAlloc;MemAlloc;c:\windows\system32\drivers\MemAlloc.sys [14/09/2003 21:39 10016]
R2 acedrv11;acedrv11;c:\windows\system32\drivers\ACEDRV11.sys [23/01/2008 10:19 501560]
R2 Application Updater;Application Updater;c:\program files\Application Updater\ApplicationUpdater.exe [08/01/2010 01:51 380928]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [06/09/2008 23:21 19024]
R2 Google MediaServer;Google MediaServer;c:\program files\Google\Google Media Server\GoogleMediaServer.exe [13/09/2008 20:52 622080]
R3 LucentSoftModem;Lucent Technologies Soft Modem;c:\windows\system32\drivers\LTSM.sys [02/08/2002 16:46 816043]
S1 LStone;Pinnacle Systems Studio AV/DV Overlay;c:\windows\system32\drivers\LStone2k.sys [14/09/2003 21:39 238048]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [20/02/2010 19:52 135664]
S3 GoogleDesktopManager-110309-193829;Google Desktop Manager 5.9.911.3589;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [05/07/2008 16:23 30192]
S3 jgameenp;jgameenp;\??\c:\docume~1\BRUNOL~1\LOCALS~1\Temp\jgameenp.sys --> c:\docume~1\BRUNOL~1\LOCALS~1\Temp\jgameenp.sys [?]
S3 kbeepm;kbeepm;\??\c:\docume~1\Pablo\LOCALS~1\Temp\kbeepm.sys --> c:\docume~1\Pablo\LOCALS~1\Temp\kbeepm.sys [?]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\System32\27C.tmp --> c:\windows\System32\27C.tmp [?]
S3 RemoteControl-USBLAN;RemoteControl-USBLAN;c:\windows\system32\driverscblan.sys [22/11/2009 20:35 39704]
S3 sonyhcs;Sony Digital Imaging Video;c:\windows\system32\drivers\sonyhcs.sys [31/05/2003 22:37 299923]

--- Autres Services/Pilotes en mÈmoire ---

*NewlyCreated* - LIFMDCNV
*Deregistered* - lifmdcnv
*Deregistered* - txopxadu

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-11-19 13:47	451872	----a-w-	c:\program files\Fichiers communs\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'T'ches planifiÈes'

2010-04-19 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2010-05-02 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-20 17:52]

2010-05-02 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-20 17:52]

2008-09-06 c:\windows\Tasks\Spybot - Search & Destroy Updater -  Scheduled Task.job
- c:\program files\Spybot - Search & Destroy\SDUpdate.exe [2008-09-03 13:31]

2007-09-08 c:\windows\Tasks\Symantec NetDetect.job
- c:\program files\Symantec\LiveUpdate\NDETECT.EXE [2007-09-08 14:07]

2006-01-19 c:\windows\Tasks\XoftSpy.job
- c:\program files\XoftSpy\XoftSpy.exe [2007-04-26 12:39]
.
.
------- Examen supplÈmentaire -------
.
uStart Page = hxxp://www.google.fr/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uDefault_Search_URL = hxxp://www.google.com/ie
uInternet Settings,ProxyOverride = local.
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Souscrire avec ArchosLink - file://c:\program files\Archos\ArchosLink\script.js
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
IE: Tout tÈlÈcharger avec FlashGet - c:\progra~1\FlashGet\jc_all.htm
IE: TÈlÈcharger avec FlashGet - c:\progra~1\FlashGet\jc_link.htm
DPF: DirectAnimation Java Classes
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: teleir_cert - hxxps://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} - hxxp://www.mypixmania.com/fr/fr/importer/MypixUploader.cab
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{0859770A-5169-4D58-9150-4056A7BEF90B} - (no file)
BHO-{0D81912A-2B14-40F3-B389-4B42414F9AE5} - (no file)
BHO-{11E660E8-2996-4FAA-8CFD-2CC604325503} - (no file)
BHO-{71C20CE5-A8AD-4C54-B586-7B346BD6B774} - (no file)
BHO-{8B141BE0-0292-41EB-80C0-36B8A8833323} - (no file)
BHO-{E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-02 14:09
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachÈs ... 

Recherche d'ÈlÈments en dÈmarrage automatique cachÈs ... 

Recherche de fichiers cachÈs ... 

Scan terminÈ avec succËs
Fichiers cachÈs: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet018\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\System32\27C.tmp"

[HKEY_LOCAL_MACHINE\System\ControlSet018\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD\000.fcl"

[HKEY_LOCAL_MACHINE\System\ControlSet018\Services\lifmdcnv]

brutor58 · Answer

après avoir relancé lcomme indiqué l'étape suivante j'ai une fenêtre sur écran bleu m'indiquant 'NIRCMDC' n'est pas reconnu en tant que commande interne ou externe,un programme executable ou un fichier de commandes. 
suivit à la ligne du dessous du curseur "DOS" QUI CLIGNOTE. 
comme si on attendait de moi que je fasse quelque chose 

que dois je faire ??? 

merci

brutor58 · Answer

après un ultime Combofix, qui a fait rebooter mon ordi, j'ai pu lire dans la fenêtre:
un périphérique attaché au système ne fonctionne pas correctement
le nom de volume est Disk2 Vol1 ou l'inverse... c'était rapide....
le problème c'est qu'à chaque redémarrage  Spybot redémarre....

là il prépare son compte rendu , mais j'ai 2 fen^etres qui viennent de s'ouvrir:
un message d'alerte: 

APAgent.exe Composant introuvable ( dans la barre bleue)

et le texte en dessous où il y a la croix blanche sur pastille rouge:

Cette application n'a pas pu démarrer car dnssd.dll est introuvable.
la réinstallation de cette application peut corriger le problème.

c'est quoi le APAgent.exe???

la deuxième fenêtre est l'invit à me logger sur mon compte Google gmail.

comme rien en se passe je clique pour fermer ces 2 fenêtres

brutor58 · Answer

Pour la 2ème fois Combo Fix m'a indiqué qu'il avait besoin de récupérer mes fichiers parce que ceux ci nécessitaient une recherche plus poussée...là ça envoie au serveur.

ça l'a déjà fait tout à l'heure.

je sais pas ce que j'ai chopé ni comment mais ça à l'air costauden tous cas...à moins que ce ne soit ma partition où se trouve l4Os qui parte en vrille ???

en tous cas à la fin , car je suis optimiste je suis curieux de savoir ce qui s'est réellement passé.

ça vient de planter la connection internet s'est semble t il interrompue....
ça me propose le formulaire à envoyer plus tard, mais à quelle adresse???

suite des épisodes après la répèt du Dimanche après midi, au programme:
Because the night
Venus
Back in Ussr
La mer n'existe pas (Art Mengo)
Proud Mary
Mr Jones
Like a Hobo

A+
merci

gen-hackman · Answer

bon tu es dans la merd**** l'infection se relance...

supprime Combofix , retelecharge-le , renomme-le differemment , et pas le nom du pc ni aucun nom de session......renomme-le avec des "x" et des y" ...en fait fais n importe quoi comme nom lol (par exemple : "xkyckwxc" ou "kqywxcywl")

ensuite reessaie ce cfscript :

KillAll::

Rootkit::
c:\windows\system32\drivers\lifmdcnv.sys
c:\windows\system32\drivers\kmkvstbe.sys
c:\windows\system32\drivers\gikfgzsp.sys
c:\windows\system32\drivers\iulbwh.sys
c:\windows\system32\drivers	xopxadu.sys

File::
c:\windows\system32\config\systemprofile\Application Databuwzv.dat
c:\windows\Tasks\XoftSpy.job

Folder
c:\windows\LastGood.Tmp
c:\documents and settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
c:\program files\XoftSpy
c:\program files\Application Updater

Driver::
txopxadu
iulbwh
gikfgzsp
kmkvstbe
lifmdcnv
jgameenp
kbeepm
MEMSWEEP2
Application Updater
{95808DC4-FA4A-4C74-92FE-5B863F82066B}

Registry::
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute=autochk *

MBR::

SkipFix::
------------------------------------------------------------------ 

&#9654 Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt 
&#9654 Quitte le Bloc Notes 

&#9654 Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix 

&#9654 Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. 
&#9654 Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
&#9654 Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

brutor58 · Answer

je rentre de répèt, je m'y recolles merci pour ton aide!!!!

gen-hackman · Answer

pas de soucis

brutor58 · Answer

Combofix me propose une mise à jour vers une version plus récentye ....comme la dernière fois: J'ignore ?? j'ai bien envie vu ce qui s'est passé ....

gen-hackman · Answer

oui supprime-le et retelecharge-le et tu le renommes à l'enregistrement

brutor58 · Answer

impossible de poster le dernier rapport je vais faire un cjoint...

ComboFix 10-05-02.01 - Bruno Lompech 02/05/2010  21:57:14.5.1 - x86
Microsoft Windows XP ...dition familiale  5.1.2600.3.1252.33.1036.18.1023.504 [GMT 2:00]
LancÈ depuis: c:\documents and settings\Bruno Lompech\Bureau\ymplyx.exe
Commutateurs utilisÈs :: c:\documents and settings\Bruno Lompech\Bureau\CFScript.txt
AV: avast! antivirus 4.8.0 [VPS 000000-0] *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
- Mode FONCTIONNALITES REDUITES -

FILE ::
"c:\windows\system32\config\systemprofile\Application Databuwzv.dat"
"c:\windows\Tasks\XoftSpy.job"
.

(((((((((((((((((((((((((((((   Fichiers crÈÈs du 2010-04-02 au 2010-05-02  ))))))))))))))))))))))))))))))))))))
.

2010-05-02 20:04 . 2010-05-02 20:06	574464	----a-w-	c:\windows\system32\drivers\chlki.sys
2010-05-02 19:02 . 2010-05-02 19:59	574464	----a-w-	c:\windows\system32\driversyfaz.sys
2010-05-02 17:59 . 2010-05-02 18:57	574464	----a-w-	c:\windows\system32\drivers\wishewpk.sys
2010-05-02 13:26 . 2010-05-02 15:16	574464	----a-w-	c:\windows\system32\drivers\dnnusjxf.sys
2010-05-02 12:09 . 2010-05-02 13:20	574464	----a-w-	c:\windows\system32\drivers\lifmdcnv.sys
2010-05-02 11:09 . 2010-05-02 12:04	574464	----a-w-	c:\windows\system32\drivers\kmkvstbe.sys
2010-05-01 23:58 . 2010-05-02 00:03	574464	----a-w-	c:\windows\system32\drivers\gikfgzsp.sys
2010-05-01 23:44 . 2010-05-01 23:52	574464	----a-w-	c:\windows\system32\drivers\iulbwh.sys
2010-05-01 23:37 . 2010-05-01 23:37	--------	d-----w-	c:\documents and settings\All Users\Application Data\Alwil Software
2010-04-22 10:21 . 2010-05-02 17:58	--------	d-----w-	c:\windows\LastGood
2010-04-19 15:28 . 2010-04-22 09:42	--------	d-----w-	c:\windows\LastGood.Tmp
2010-04-07 14:28 . 2010-04-07 14:28	104768	----a-w-	c:\windows\system32\drivers\AnyDVD.sys
2010-04-05 22:31 . 2010-04-05 22:44	--------	d-----w-	c:\documents and settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-02 20:08 . 2010-03-08 22:43	802304	----a-w-	c:\windows\system32\drivers	xopxadu.sys
2010-05-02 20:04 . 2008-11-08 13:56	--------	d-----w-	c:\program files\DNA
2010-05-02 20:04 . 2008-11-08 13:56	--------	d-----w-	c:\documents and settings\Bruno Lompech\Application Data\DNA
2010-05-02 13:59 . 2009-02-08 14:19	--------	d-----w-	c:\program files\Flock
2010-05-01 23:38 . 2007-07-01 21:56	--------	d-----w-	c:\program files\Alwil Software
2010-04-30 17:27 . 2004-10-31 16:47	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-04-30 16:10 . 2009-04-25 11:26	--------	d-----w-	c:\documents and settings\Bruno Lompech\Application Data\Uniblue
2010-04-30 16:00 . 2004-10-31 17:30	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-04-30 15:26 . 2008-04-09 12:45	--------	d-----w-	c:\program files\Windows Live
2010-04-30 15:22 . 2004-10-31 17:29	--------	d-----w-	c:\program files\Google
2010-04-30 15:21 . 2007-01-20 20:30	--------	d-----w-	c:\program files\NCH Swift Sound
2010-04-30 15:21 . 2007-01-20 20:31	--------	d-----w-	c:\documents and settings\All Users\Application Data\NCH Swift Sound
2010-04-30 15:19 . 2004-12-23 18:57	--------	d-----w-	c:\program files\DVD Shrink
2010-04-22 13:11 . 2004-10-31 16:48	--------	d-----w-	c:\documents and settings\Bruno Lompech\Application Data\Apple Computer
2010-04-19 15:24 . 2009-10-04 08:52	--------	d-----w-	c:\documents and settings\All Users\Application Data\CanonIJPLM
2010-04-14 16:47 . 2007-07-01 21:56	38848	----a-w-	c:\windows\system32\avastSS.scr
2010-04-14 16:47 . 2007-07-01 21:56	153184	----a-w-	c:\windows\system32\aswBoot.exe
2010-04-14 16:35 . 2007-07-01 21:56	46672	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2010-04-14 16:35 . 2008-09-06 21:21	162768	----a-w-	c:\windows\system32\drivers\aswSP.sys
2010-04-14 16:31 . 2007-07-01 21:56	23376	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2010-04-14 16:31 . 2007-07-01 21:56	100432	----a-w-	c:\windows\system32\drivers\aswmon2.sys
2010-04-14 16:31 . 2007-07-01 21:56	94800	----a-w-	c:\windows\system32\drivers\aswmon.sys
2010-04-14 16:31 . 2008-09-06 21:21	19024	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2010-04-14 16:30 . 2007-07-01 21:56	28880	----a-w-	c:\windows\system32\drivers\aavmker4.sys
2010-04-10 06:41 . 2007-01-21 09:57	--------	d-----w-	c:\documents and settings\Bruno Lompech\Application Data\Vso
2010-04-05 22:44 . 2004-12-12 09:16	--------	d-----w-	c:\program files\iTunes
2010-04-05 22:32 . 2007-06-13 10:31	--------	d-----w-	c:\program files\iPod
2010-04-05 22:32 . 2008-10-30 18:55	--------	d-----w-	c:\program files\Fichiers communs\Apple
2010-04-05 22:14 . 2005-09-19 05:24	--------	d-----w-	c:\program files\QuickTime
2010-04-05 21:55 . 2010-04-05 21:55	73000	----a-w-	c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.1.0.79\SetupAdmin.exe
2010-04-05 21:54 . 2008-10-30 18:44	--------	d-----w-	c:\program files\AirPort
2010-04-02 06:56 . 2010-04-02 06:56	503808	----a-w-	c:\documents and settings\Bruno Lompech\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-74b41001-n\msvcp71.dll
2010-04-02 06:56 . 2010-04-02 06:56	499712	----a-w-	c:\documents and settings\Bruno Lompech\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-74b41001-n\jmc.dll
2010-04-02 06:56 . 2010-04-02 06:56	348160	----a-w-	c:\documents and settings\Bruno Lompech\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-74b41001-n\msvcr71.dll
2010-04-02 06:56 . 2010-04-02 06:56	61440	----a-w-	c:\documents and settings\Bruno Lompech\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-3499ac80-n\decora-sse.dll
2010-04-02 06:56 . 2010-04-02 06:56	12800	----a-w-	c:\documents and settings\Bruno Lompech\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-3499ac80-n\decora-d3d.dll
2010-04-02 06:56 . 2007-06-18 19:37	--------	d-----w-	c:\program files\Fichiers communs\Java
2010-04-02 06:55 . 2007-06-18 19:40	--------	d-----w-	c:\program files\Java
2010-04-02 06:42 . 2009-10-04 09:14	--------	d-----w-	c:\documents and settings\All Users\Application Data\CanonIJ
2010-03-28 09:17 . 2002-12-04 09:28	85826	----a-w-	c:\windows\system32\perfc00C.dat
2010-03-28 09:17 . 2002-12-04 09:28	511422	----a-w-	c:\windows\system32\perfh00C.dat
2010-03-21 09:20 . 2009-02-08 18:00	1	----a-w-	c:\documents and settings\Pablo\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-03-19 13:31 . 2010-03-19 13:31	89256	----a-w-	c:\windows\system32\ElbyCDIO.dll
2010-03-14 12:17 . 2009-01-09 18:27	1	----a-w-	c:\documents and settings\Bruno Lompech\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-03-11 12:34 . 2007-09-28 18:25	832512	----a-w-	c:\windows\system32\wininet.dll
2010-03-11 12:34 . 2007-10-28 17:04	78336	----a-w-	c:\windows\system32\ieencode.dll
2010-03-11 12:34 . 2002-12-04 09:27	17408	------w-	c:\windows\system32\corpol.dll
2010-03-09 11:10 . 2002-12-04 09:27	430080	----a-w-	c:\windows\system32\vbscript.dll
2010-03-09 02:28 . 2009-08-03 14:09	411368	----a-w-	c:\windows\system32\deploytk.dll
2010-03-08 23:37 . 2010-03-08 23:36	3906	----a-w-	C:\cc_20100309_0036.reg
2010-03-08 23:34 . 2010-03-08 23:32	502	----a-w-	C:\cc_20100309_0032.reg
2010-03-07 14:30 . 2010-03-07 14:30	--------	d-----w-	c:\documents and settings\Bruno Lompech\Application Data\Imperium Romanum
2010-03-07 14:29 . 2010-03-07 14:29	--------	d-----w-	c:\program files\ProtectDisc Driver Installer
2010-03-07 14:22 . 2010-03-07 14:22	--------	d-----w-	c:\program files\Kalypso
2010-02-24 13:11 . 2004-12-27 19:04	455680	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2010-02-21 12:17 . 2004-02-04 10:05	86136	----a-w-	c:\documents and settings\Bruno Lompech\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-02-20 17:58 . 2005-11-29 18:08	86136	----a-w-	c:\documents and settings\Louise\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-02-17 12:07 . 2003-05-29 20:20	2192000	----a-w-	c:\windows\system32
toskrnl.exe
2010-02-16 19:07 . 2003-05-29 20:20	2068864	----a-w-	c:\windows\system32
tkrnlpa.exe
2010-02-12 10:03 . 2010-02-25 15:32	293376	------w-	c:\windows\system32\browserchoice.exe
2010-02-12 04:34 . 2006-05-19 12:14	100864	----a-w-	c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2002-12-04 09:27	226880	----a-w-	c:\windows\system32\drivers	cpip6.sys
2004-01-31 13:25 . 2004-04-08 19:50	9862	----a-w-	c:\program files\Activescan.txt
2006-05-03 10:06 . 2007-10-10 08:13	163328	--sha-r-	c:\windows\system32\flvDX.dll
2007-02-21 11:47 . 2008-03-30 09:23	31232	--sh--r-	c:\windows\system32\msfDX.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ÈlÈments vides & les ÈlÈments initiaux lÈgitimes ne sont pas listÈs 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IncrediMail"="c:\program files\IncrediMail\bin\IncMail.exe" [2009-02-02 251264]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-13 68856]
"ccleaner"="d:\program files\CCleaner\ccleaner.exe" [2007-05-10 598920]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"Google Media Scanner"="c:\program files\Google\Google Media Server\GoogleMediaScanner.exe" [2008-09-13 319488]
"NVIEW"="nview.dll" [2002-11-06 770117]
"AnyDVD"="c:\program files\SlySoft\AnyDVD\AnyDVDtray.exe" [2010-04-09 3378112]
"BitTorrent DNA"="c:\program files\DNA\btdna.exe" [2010-04-10 323392]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2002-11-06 49152]
"{0228e555-4f9c-4e35-a3ec-b109a192b4c2}"="c:\program files\Google\Gmail Notifier\gnotify.exe" [2005-07-15 479232]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2009-12-13 30192]
"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2008-12-12 722256]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
"ArcSoft Connection Service"="c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2010-03-18 207360]
"AirPort Base Station Agent"="c:\program files\AirPort\APAgent.exe" [2009-11-11 771360]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-03-25 142120]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-04-14 2790472]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
"IncrediMail"="c:\program files\IncrediMail\bin\IncMail.exe" [2009-02-02 251264]

c:\documents and settings\Louise\Menu DÇmarrer\Programmes\DÇmarrage\
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

c:\documents and settings\Pablo\Menu DÇmarrer\Programmes\DÇmarrage\
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

c:\documents and settings\All Users\Menu DÇmarrer\Programmes\DÇmarrage\
Microsoft Office.lnk - c:\program files\Office10\OSA.EXE [2001-2-13 83360]
Rappels du Calendrier Microsoft Works.lnk - c:\program files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe [2000-7-12 24633]
VAIO Action Setup (Serveur).lnk - c:\program files\Sony\VAIO Action Setup\VAServ.exe [2002-12-4 40960]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	c:\windows\system32\dluikhtd.exe c:\windows\system32\dluikhtd.exe:changelist\0autocheck autochk *

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\OneCareMP]
@=""

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu DÈmarrer^Programmes^DÈmarrage^Adobe Gamma Loader.lnk]
path=c:\documents and settings\All Users\Menu DÈmarrer\Programmes\DÈmarrage\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Bruno Lompech^Menu DÈmarrer^Programmes^DÈmarrage^Vente Flash.lnk]
path=c:\documents and settings\Bruno Lompech\Menu DÈmarrer\Programmes\DÈmarrage\Vente Flash.lnk
backup=c:\windows\pss\Vente Flash.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
c:\program files\Picasa2\PicasaMediaDetector [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
2007-03-16 09:45	63712	----a-w-	c:\program files\Adobe\Photoshop Album Edition DÈcouverte\3.2\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent]
2007-09-07 23:01	43008	----a-w-	d:\program files\bittorrent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-03-25 23:10	142120	----a-w-	c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-17 19:53	421888	----a-w-	c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"GoogleDesktopManager"=3 (0x3)
"iPod Service"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun-disabled]
"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
"PicasaNet"="c:\program files\Hello\Hello.exe" -b

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"d:\Program Files\bittorrent.exe"=
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\IncrediMail\bin\IncMail.exe"=
"c:\Program Files\IncrediMail\bin\IMApp.exe"=
"c:\Program Files\uTorrent\uTorrent.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"d:\Program Files\eMule\emule.exe"=
"c:\Program Files\U.S. Robotics\EasyConfigurator\EasyConfigurator.exe"=
"k:\Downloads\Synology\Ds10s assistant\Application\DSAssistant.exe"=
"c:\Program Files\Synology Disk Station Assistant\DSAssistant.exe"=
"d:\Program Files\Synology\Redirector.exe"=
"c:\Program Files\IncrediMail\bin\ImpCnt.exe"=
"c:\Program Files\Google\Google Media Server\GoogleMediaServer.exe"=
"c:\WINDOWS\system32\fxsclnt.exe"=
"c:\Program Files\DNA\btdna.exe"=
"c:\Program Files\BitTorrent\bittorrent.exe"=
"c:\Program Files\Fichiers communs\Ahead\Nero Web\SetupX.exe"=
"c:\Program Files\Airfoil\Airfoil.exe"=
"c:\Program Files\Airfoil\AirfoilSpeakers.exe"=
"c:\Program Files\Real\RealOne Player\realplay.exe"=
"c:\Program Files\Logitech\Logitech Harmony Remote Software 7\HarmonyRemote.exe"=
"c:\Program Files\AirPort\APAgent.exe"=
"c:\Program Files\iTunes\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"10243:TCP"= 10243:TCP:windows media connect 1
"10280:UDP"= 10280:UDP:windows media connect 2
"10281:UDP"= 10281:UDP:windows media connect 3
"10282:UDP"= 10282:UDP:windows media connect 4
"10283:UDP"= 10283:UDP:windows media connect 5
"10284:UDP"= 10284:UDP:windows media connect 6
"5353:UDP"= 5353:UDP:Bonjour

R0 sonyhcb;Sony Digital Imaging Base;c:\windows\system32\drivers\sonyhcb.sys [31/05/2003 22:37 6097]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [06/09/2008 23:21 162768]
R1 CLBStor;InstantBurn Storage Helper Driver;c:\windows\system32\drivers\CLBStor.sys [25/12/2008 20:44 16048]
R1 MemAlloc;MemAlloc;c:\windows\system32\drivers\MemAlloc.sys [14/09/2003 21:39 10016]
R2 acedrv11;acedrv11;c:\windows\system32\drivers\ACEDRV11.sys [23/01/2008 10:19 501560]
R2 Application Updater;Application Updater;c:\program files\Application Updater\ApplicationUpdater.exe [08/01/2010 01:51 380928]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [06/09/2008 23:21 19024]
R2 Google MediaServer;Google MediaServer;c:\program files\Google\Google Media Server\GoogleMediaServer.exe [13/09/2008 20:52 622080]
R3 LucentSoftModem;Lucent Technologies Soft Modem;c:\windows\system32\drivers\LTSM.sys [02/08/2002 16:46 816043]
S1 LStone;Pinnacle Systems Studio AV/DV Overlay;c:\windows\system32\drivers\LStone2k.sys [14/09/2003 21:39 238048]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [20/02/2010 19:52 135664]
S3 GoogleDesktopManager-110309-193829;Google Desktop Manager 5.9.911.3589;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [05/07/2008 16:23 30192]
S3 jgameenp;jgameenp;\??\c:\docume~1\BRUNOL~1\LOCALS~1\Temp\jgameenp.sys --> c:\docume~1\BRUNOL~1\LOCALS~1\Temp\jgameenp.sys [?]
S3 kbeepm;kbeepm;\??\c:\docume~1\Pablo\LOCALS~1\Temp\kbeepm.sys --> c:\docume~1\Pablo\LOCALS~1\Temp\kbeepm.sys [?]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\System32\27C.tmp --> c:\windows\System32\27C.tmp [?]
S3 RemoteControl-USBLAN;RemoteControl-USBLAN;c:\windows\system32\driverscblan.sys [22/11/2009 20:35 39704]
S3 sonyhcs;Sony Digital Imaging Video;c:\windows\system32\drivers\sonyhcs.sys [31/05/2003 22:37 299923]

--- Autres Services/Pilotes en mÈmoire ---

*NewlyCreated* - CHLKI
*Deregistered* - chlki
*Deregistered* - txopxadu

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-11-19 13:47	451872	----a-w-	c:\program files\Fichiers communs\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'T'ches planifiÈes'

2010-04-19 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2010-05-02 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-20 17:52]

2010-05-02 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-20 17:52]

2008-09-06 c:\windows\Tasks\Spybot - Search & Destroy Updater -  Scheduled Task.job
- c:\program files\Spybot - Search & Destroy\SDUpdate.exe [2008-09-03 13:31]

2007-09-08 c:\windows\Tasks\Symantec NetDetect.job
- c:\program files\Symantec\LiveUpdate\NDETECT.EXE [2007-09-08 14:07]
.
.
------- Examen supplÈmentaire -------
.
uStart Page = hxxp://www.google.fr/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uDefault_Search_URL = hxxp://www.google.com/ie
uInternet Settings,ProxyOverride = local.
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Souscrire avec ArchosLink - file://c:\program files\Archos\ArchosLink\script.js
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
IE: Tout tÈlÈcharger avec FlashGet - c:\progra~1\FlashGet\jc_all.htm
IE: TÈlÈcharger avec FlashGet - c:\progra~1\FlashGet\jc_link.htm
DPF: DirectAnimation Java Classes
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: teleir_cert - hxxps://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} - hxxp://www.mypixmania.com/fr/fr/importer/MypixUploader.cab
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{0859770A-5169-4D58-9150-4056A7BEF90B} - (no file)
BHO-{0D81912A-2B14-40F3-B389-4B42414F9AE5} - (no file)
BHO-{11E660E8-2996-4FAA-8CFD-2CC604325503} - (no file)
BHO-{71C20CE5-A8AD-4C54-B586-7B346BD6B774} - (no file)
BHO-{8B141BE0-0292-41EB-80C0-36B8A8833323} - (no file)
BHO-{E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-02 22:03
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachÈs ... 

Recherche d'ÈlÈments en dÈmarrage automatique cachÈs ... 

Recherche de fichiers cachÈs ... 

Scan terminÈ avec succËs
Fichiers cachÈs: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet022\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\System32\27C.tmp"

[HKEY_LOCAL_MACHINE\System\ControlSet022\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD\000.fcl"

[HKEY_LOCAL_MACHINE\System\ControlSet022\Services\chlki]

brutor58 · Answer

Dernier post de la soirée et pardon d'être aussi "présent"...
le fichier c joint au cas où:
https://www.cjoint.com/?fcwEJVgIke

Bonne soirée et bonne semaine
et encore merci

gen-hackman · Answer

la "mise à jour que tu me dis ca serait pas la console de recuperation doont tu parles ??????????????

brutor58 · Answer

Bonsoir Gen, revoici le vérolé,
non non non la console de récupération s'est installée correctement lors de la première utilisation de Combo Fix.

les mises à jours proposé l'on été lors de la première utilisation lorsque j'ai renommé Combo Fix BRUNO, une fenêtre m'a proposé une mise à jour vers une version plus récente lorsque j'ai eu déposé le fichier FCScript, j'ai accepté puis quelques instants après la session s'est arrêté , l'ordi a redémarré et Combo Fix a fini sont travail et je t'ai posté mon premier rapport.
la 2 ème fois cette même proposition est apparue lorsque j'ai renommé Combo Fix mplyx mais là j'ai refusé pour voir s'il y avait une différence: aucune la session s'est aussi fermée et le PC a redémarré.
et Là je viens de le rallumer et ç'est tout pareil:
mise à jour windows securité impossible, Avast qui peut pas démarrer, mais touyt va bien je flippe pas plus que ça.
je m'en remets complètement à toi!!!
si tu y arrivers c'est clair que je te serais reconnaissant, voir redevable!!!
bon courage
et toujours merci
Brutor

gen-hackman · Answer

bonsoir :) refais un OTL stp ?

brutor58 · Answer

c'est parti

brutor58 · Answer

Désolé d'être un peu long, je passe par le MAc pour te répondre et dois transférer via cle USB entre le pC et le MAc voici les cjoint OTL et EXTRA:

https://www.cjoint.com/?fdvifWz2UR

https://www.cjoint.com/?fdvjhqCtqF

gen-hackman · Answer

bon c'est une horreur :(

&#9654 Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
* - Coche    Afficher les fichiers et dossiers cachés
* - Décoche Masquer les extensions des fichiers dont le type est connu
* - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)

&#9654 clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    * Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers :

C:\WINDOWS\system32\msscript.ocx

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
    * Une nouvelle fenêtre de ton navigateur va apparaître
    * Clique alors sur les deux fleches
    * Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
    * Enfin colle le résultat dans ta prochaine réponse.

Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.

&#9654 clic droit "executer en tant qu'administrateur" sur OTL.exe pour le lancer.

ensuite :


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous Customs Scans/Fixes :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe
ApplicationUpdater.exe

:Services
Application Updater
MEMSWEEP2
jgameenp
kbeepm
lbrtfdc
CHLKI 
txopxadu
wishewpk
uqxywv
ryfaz
dnnusjxf
gikfgzsp

:OTL
O2 - BHO: (no name) - {0859770A-5169-4D58-9150-4056A7BEF90B} - No CLSID value found.
O2 - BHO: (no name) - {0D81912A-2B14-40F3-B389-4B42414F9AE5} - No CLSID value found.
O2 - BHO: (no name) - {11E660E8-2996-4FAA-8CFD-2CC604325503} - No CLSID value found.
O2 - BHO: (no name) - {71C20CE5-A8AD-4C54-B586-7B346BD6B774} - No CLSID value found.
O2 - BHO: (no name) - {8B141BE0-0292-41EB-80C0-36B8A8833323} - No CLSID value found.
O2 - BHO: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found.
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - No CLSID value found.
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - No CLSID value found.
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Infodelivery present
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Value error.)
O16 - DPF: DirectAnimation Java Classes Reg Error: Value error. (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O34 - HKLM BootExecute: (C:\WINDOWS\system32\dluikhtd.exe C:\WINDOWS\system32\dluikhtd.exe:changelist) - C:\WINDOWS\System32\dluikhtd.exe File not found
@Alternate Data Stream - 512 bytes -> H:\Mes documents de Brutor 58\Raccourci vers comptes familliaux annuels.lnk:CA_INOCULATEIT
@Alternate Data Stream - 512 bytes -> H:\Mes documents de Brutor 58\desktop.ini:CA_INOCULATEIT
@Alternate Data Stream - 512 bytes -> H:\Mes documents de Brutor 58\côtes fenêtres.wps:CA_INOCULATEIT
@Alternate Data Stream - 512 bytes -> H:\Mes documents de Brutor 58\comptes familliaux annuels.xls:CA_INOCULATEIT
@Alternate Data Stream - 512 bytes -> H:\Mes documents de Brutor 58\commande a70 pixmania.wps:CA_INOCULATEIT
@Alternate Data Stream - 512 bytes -> C:\Documents and Settings\Bruno Lompech\Bureau\desktop.ini:CA_INOCULATEIT

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"iTunesHelper"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoResolveSearch"=0
"NoDriveTypeAutoRun"=145

:Files
C:\Program Files\Application Updater
C:\WINDOWS\System32\drivers	xopxadu.sys
C:\WINDOWS\System32\drivers\uqxywv.sys
C:\WINDOWS\System32\drivers\chlki.sys
C:\WINDOWS\System32\driversyfaz.sys
C:\WINDOWS\System32\drivers\wishewpk.sys
C:\WINDOWS\System32\drivers\dnnusjxf.sys
C:\WINDOWS\System32\drivers\gikfgzsp.sys
C:\WINDOWS\gmer.reg
C:\WINDOWS\gmer.bat
C:\WINDOWS\_delis32.ini
C:\WINDOWS\aucfg.ini
C:\Documents and Settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
C:\Documents and Settings\Bruno Lompech\Application Data\Search Settings
C:\Documents and Settings\Louise\Application Data\Dealio
C:\Documents and Settings\Louise\Application Data\Search Settings
C:\Documents and Settings\Pablo\Application Data\Dealio
C:\Documents and Settings\Sophie\Application Data\Dealio
C:\Documents and Settings\Louise\Application Data\Search Settings

:commands
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

brutor58 · Answer

eh ben dis donc c'est pas de la tarte!!! ptrmière réponse avec Virus Total Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.50 2010.05.03 - AhnLab-V3 2010.05.03.00 2010.05.03 - AntiVir 8.2.1.224 2010.05.03 - Antiy-AVL 2.0.3.7 2010.04.30 - Authentium 5.2.0.5 2010.05.03 - Avast 4.8.1351.0 2010.05.03 - Avast5 5.0.332.0 2010.05.03 - AVG 9.0.0.787 2010.05.03 - BitDefender 7.2 2010.05.03 - CAT-QuickHeal 10.00 2010.05.03 - ClamAV 0.96.0.3-git 2010.05.03 - Comodo 4750 2010.05.03 - DrWeb 5.0.2.03300 2010.05.03 - eSafe 7.0.17.0 2010.05.03 - eTrust-Vet 35.2.7465 2010.05.03 - F-Prot 4.5.1.85 2010.05.03 - F-Secure 9.0.15370.0 2010.05.03 - Fortinet 4.0.14.0 2010.05.03 - GData 21 2010.05.03 - Ikarus T3.1.1.80.0 2010.05.03 - Jiangmin 13.0.900 2010.05.03 - Kaspersky 7.0.0.125 2010.05.03 - McAfee 5.400.0.1158 2010.05.03 - McAfee-GW-Edition 6.8.5 2010.05.03 - Microsoft 1.5703 2010.05.03 - NOD32 5083 2010.05.03 - Norman 6.04.12 2010.05.03 - nProtect 2010-05-03.01 2010.05.03 - Panda 10.0.2.7 2010.05.03 - PCTools 7.0.3.5 2010.05.03 - Prevx 3.0 2010.05.03 - Rising 22.45.04.03 2010.04.30 - Sophos 4.53.0 2010.05.03 - Sunbelt 6253 2010.05.03 - Symantec 20091.2.0.41 2010.05.03 - TheHacker 6.5.2.0.275 2010.05.03 - TrendMicro 9.120.0.1004 2010.05.03 - TrendMicro-HouseCall 9.120.0.1004 2010.05.03 - VBA32 3.12.12.4 2010.05.03 - ViRobot 2010.5.3.2301 2010.05.03 - VirusBuster 5.0.27.0 2010.05.03 - Information additionnelle File size: 110592 bytes MD5...: 72c0b9f6fcda5f4a057ae65b587ccaa9 SHA1..: 0f01e0d2e41d7453a2f0b3859dbb6fbecbdd5934 SHA256: dc0336a0e54ccf8ddeff5c5cee1a2525fd7d4503fbcd49cc4ea4f3a203cf7fc2 ssdeep: 1536:MYT/1oXZxnQaRhW6xupMCMlHM1dpahzp2jwk3XR:NiPnFRTJCJmp2jhR
PEiD..: - PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xf6d7
timedatestamp.....: 0x4802c2b7 (Mon Apr 14 02:34:31 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x11133 0x12000 6.41 7705dc57750a27159b691764024caf2f
.data 0x13000 0x9a4 0x1000 2.53 cbd9d6a4526dea4fcb153829a7f3eea5
.rsrc 0x14000 0x45f8 0x5000 4.06 13109b382c63915d3a7f47afda0e9b4f
.reloc 0x19000 0x150e 0x2000 4.07 a7ffdb82cf839dfe29e56241498e70cb

( 7 imports )
> msvcrt.dll: memcpy, _XcptFilter, malloc, free, _initterm, _amsg_exit, _adjust_fdiv, _unlock, __dllonexit, _lock, _onexit, isleadbyte, _snprintf, _itoa, wctomb, __badioinfo, __pioinfo, _fileno, _lseeki64, _write, _isatty, _beginthreadex, _vsnprintf, _purecall, memset, _iob, _errno, _wcsicmp
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> ole32.dll: CoTaskMemAlloc, CLSIDFromProgID, CoCreateInstance, CoTaskMemFree, CreateOleAdviseHolder
> ADVAPI32.dll: RegDeleteKeyA, RegDeleteValueA, RegEnumKeyExA, RegCreateKeyExA, RegOpenKeyExA, RegSetValueExA, RegQueryValueExA, RegCloseKey
> KERNEL32.dll: OutputDebugStringA, InterlockedCompareExchange, Sleep, InterlockedExchange, WideCharToMultiByte, GetLocaleInfoA, LoadLibraryA, GetModuleFileNameA, GetLastError, GetWindowsDirectoryA, lstrlenW, HeapReAlloc, GetVersionExA, lstrlenA, OpenFile, GetVersion, RtlUnwind, GetProcessHeap, HeapFree, HeapAlloc, InterlockedIncrement, ResetEvent, WaitForSingleObject, InterlockedDecrement, TlsGetValue, GetCurrentThreadId, CreateEventA, TlsSetValue, TlsFree, CloseHandle, TlsAlloc, SetEvent, FreeLibrary, LeaveCriticalSection, EnterCriticalSection, DeleteCriticalSection, InitializeCriticalSection, MultiByteToWideChar, GetTickCount, QueryPerformanceCounter, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter
> USER32.dll: CharNextA, PtInRect, GetKeyState, ReleaseDC, GetDC, GetActiveWindow, ShowWindow, IntersectRect, EqualRect, OffsetRect, SetWindowRgn, GetParent, ClientToScreen, GetWindowRect, IsWindowVisible, CreateWindowExA, SetWindowPos, SendMessageA, SetFocus, BeginPaint, GetClientRect, EndPaint, DefWindowProcA, SetParent, UnregisterClassA, SetTimer, GetMessageA, IsDialogMessageA, TranslateMessage, DispatchMessageA, KillTimer, CreateDialogParamA, GetWindowLongA, SetWindowLongA, PostThreadMessageA, EnumThreadWindows, SendMessageTimeoutA, DestroyWindow, GetSystemMetrics, EnableWindow, LoadCursorA, RegisterClassA, LoadIconA, DrawEdge, DrawIcon, LoadStringA, IsWindow, EndDialog, DialogBoxParamA
> GDI32.dll: SetWindowOrgEx, SetViewportExtEx, GetDeviceCaps, CreateRectRgnIndirect, SetWindowExtEx, SetMapMode, CreateDCA, GetViewportExtEx, GetWindowExtEx, LPtoDP, DeleteDC, SetViewportOrgEx

( 5 exports )
DLLGetDocumentation, DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
RDS...: NSRL Reference Data Set
- pdfid.: - trid..: DirectShow filter (52.6%)
Windows OCX File (32.2%)
Win32 Executable MS Visual C++ (generic) (9.8%)
Win32 Executable Generic (2.2%)
Win32 Dynamic Link Library (generic) (1.9%) sigcheck:
publisher....: Microsoft Corporation
copyright....: Copyright (C) Microsoft Corp. 1996-2006, All Rights Reserved
product......: Microsoft (R) Script Control
description..: Microsoft (R) Script Control
original name: msscript.dll
internal name: msscript.dll
file version.: 1.0.0.16599
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

brutor58 · Answer

voici le rapport OTL. Tant que j'y penses, une chose me chiffonnait aussi depuis quelques temps, lors de l'ouverture d'un dossier, les sous dossiers ou fichiers étaient rangés dans n'importe quel ordre, ilm me fallait toujours les reclasser soit par type ou genre...une piste peut être ??

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named Teatimer.exe was found!
No active process named ApplicationUpdater.exe was found!
========== SERVICES/DRIVERS ==========
Service Application Updater stopped successfully!
Service Application Updater deleted successfully!
Service MEMSWEEP2 stopped successfully!
Service MEMSWEEP2 deleted successfully!
Service jgameenp stopped successfully!
Service jgameenp deleted successfully!
Service kbeepm stopped successfully!
Service kbeepm deleted successfully!
Service lbrtfdc stopped successfully!
Service lbrtfdc deleted successfully!
Error: No service named CHLKI was found to stop!
Service\Driver key CHLKI not found.
Error: No service named txopxadu was found to stop!
Service\Driver key txopxadu not found.
Error: No service named wishewpk was found to stop!
Service\Driver key wishewpk not found.
Error: No service named uqxywv was found to stop!
Service\Driver key uqxywv not found.
Error: No service named ryfaz was found to stop!
Service\Driver key ryfaz not found.
Error: No service named dnnusjxf was found to stop!
Service\Driver key dnnusjxf not found.
Error: No service named gikfgzsp was found to stop!
Service\Driver key gikfgzsp not found.
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0859770A-5169-4D58-9150-4056A7BEF90B}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0859770A-5169-4D58-9150-4056A7BEF90B}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0D81912A-2B14-40F3-B389-4B42414F9AE5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0D81912A-2B14-40F3-B389-4B42414F9AE5}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11E660E8-2996-4FAA-8CFD-2CC604325503}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{11E660E8-2996-4FAA-8CFD-2CC604325503}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{71C20CE5-A8AD-4C54-B586-7B346BD6B774}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{71C20CE5-A8AD-4C54-B586-7B346BD6B774}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8B141BE0-0292-41EB-80C0-36B8A8833323}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8B141BE0-0292-41EB-80C0-36B8A8833323}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A057A204-BACC-4D26-9990-79A187E2698E}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A057A204-BACC-4D26-9990-79A187E2698E}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A5366673-E8CA-11D3-9CD9-0090271D075B}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A5366673-E8CA-11D3-9CD9-0090271D075B}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\{E0E899AB-F487-11D5-8D29-0050BA6940E3} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E0E899AB-F487-11D5-8D29-0050BA6940E3}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Infodelivery\ deleted successfully.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control DirectAnimation Java Classes Reg Error: Value error.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes Reg Error: Value error.\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\DirectAnimation Java Classes Reg Error: Value error.\ not found.
File oft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab not found.
Starting removal of ActiveX control Microsoft XML Parser for Java
Registry error reading value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java\DownloadInformation\INF .
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\Microsoft XML Parser for Java\ not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session manager\BootExecute:C:\WINDOWS\system32\dluikhtd.exe C:\WINDOWS\system32\dluikhtd.exe:changelist deleted successfully.
ADS H:\Mes documents de Brutor 58\Raccourci vers comptes familliaux annuels.lnk:CA_INOCULATEIT deleted successfully.
ADS H:\Mes documents de Brutor 58\desktop.ini:CA_INOCULATEIT deleted successfully.
ADS H:\Mes documents de Brutor 58\côtes fenêtres.wps:CA_INOCULATEIT deleted successfully.
ADS H:\Mes documents de Brutor 58\comptes familliaux annuels.xls:CA_INOCULATEIT deleted successfully.
ADS H:\Mes documents de Brutor 58\commande a70 pixmania.wps:CA_INOCULATEIT deleted successfully.
ADS C:\Documents and Settings\Bruno Lompech\Bureau\desktop.ini:CA_INOCULATEIT deleted successfully.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\iTunesHelper deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\"NoResolveSearch"|0 /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\"NoDriveTypeAutoRun"|145 /E : value set successfully!
========== FILES ==========
C:\Program Files\Application Updater folder moved successfully.
File move failed. C:\WINDOWS\System32\drivers	xopxadu.sys scheduled to be moved on reboot.
File move failed. C:\WINDOWS\System32\drivers\uqxywv.sys scheduled to be moved on reboot.
C:\WINDOWS\System32\drivers\chlki.sys moved successfully.
C:\WINDOWS\System32\driversyfaz.sys moved successfully.
C:\WINDOWS\System32\drivers\wishewpk.sys moved successfully.
C:\WINDOWS\System32\drivers\dnnusjxf.sys moved successfully.
C:\WINDOWS\System32\drivers\gikfgzsp.sys moved successfully.
C:\WINDOWS\gmer.reg moved successfully.
C:\WINDOWS\gmer.bat moved successfully.
C:\WINDOWS\_delis32.ini moved successfully.
C:\WINDOWS\aucfg.ini moved successfully.
C:\Documents and Settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}\x86\x86 folder moved successfully.
C:\Documents and Settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}\x86 folder moved successfully.
C:\Documents and Settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521} folder moved successfully.
C:\Documents and Settings\Bruno Lompech\Application Data\Search Settings\kb130	emp folder moved successfully.
C:\Documents and Settings\Bruno Lompech\Application Data\Search Settings\kb130 folder moved successfully.
C:\Documents and Settings\Bruno Lompech\Application Data\Search Settings folder moved successfully.
C:\Documents and Settings\Louise\Application Data\Dealio\kb124	emp folder moved successfully.
C:\Documents and Settings\Louise\Application Data\Dealio\kb124ules folder moved successfully.
C:\Documents and Settings\Louise\Application Data\Dealio\kb124es folder moved successfully.
C:\Documents and Settings\Louise\Application Data\Dealio\kb124 folder moved successfully.
C:\Documents and Settings\Louise\Application Data\Dealio folder moved successfully.
C:\Documents and Settings\Louise\Application Data\Search Settings\kb128	emp folder moved successfully.
C:\Documents and Settings\Louise\Application Data\Search Settings\kb128 folder moved successfully.
C:\Documents and Settings\Louise\Application Data\Search Settings folder moved successfully.
C:\Documents and Settings\Pablo\Application Data\Dealio	emp folder moved successfully.
C:\Documents and Settings\Pablo\Application Data\Dealioes folder moved successfully.
C:\Documents and Settings\Pablo\Application Data\Dealio\kb124	emp folder moved successfully.
C:\Documents and Settings\Pablo\Application Data\Dealio\kb124ules folder moved successfully.
C:\Documents and Settings\Pablo\Application Data\Dealio\kb124es folder moved successfully.
C:\Documents and Settings\Pablo\Application Data\Dealio\kb124 folder moved successfully.
C:\Documents and Settings\Pablo\Application Data\Dealio folder moved successfully.
C:\Documents and Settings\Sophie\Application Data\Dealio\kb124	emp folder moved successfully.
C:\Documents and Settings\Sophie\Application Data\Dealio\kb124ules folder moved successfully.
C:\Documents and Settings\Sophie\Application Data\Dealio\kb124es folder moved successfully.
C:\Documents and Settings\Sophie\Application Data\Dealio\kb124 folder moved successfully.
C:\Documents and Settings\Sophie\Application Data\Dealio folder moved successfully.
File\Folder C:\Documents and Settings\Louise\Application Data\Search Settings not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: All Users
 
User: Bruno Lompech
->Temp folder emptied: 183495 bytes
->Temporary Internet Files folder emptied: 589513 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Default User
->Temporary Internet Files folder emptied: 172425 bytes
 
User: LocalService
->Temp folder emptied: 65748 bytes
->Temporary Internet Files folder emptied: 98438 bytes
 
User: Louise
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 157915 bytes
->Java cache emptied: 13383636 bytes
->Flash cache emptied: 10393 bytes
 
User: NetworkService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: Pablo
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 157915 bytes
->Java cache emptied: 49674487 bytes
->Flash cache emptied: 7180 bytes
 
User: Sophie
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Flash cache emptied: 5094 bytes
 
User: Zami
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Flash cache emptied: 348 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 184992 bytes
%systemroot%\System32 .tmp files removed: 5788672 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 856 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 623941 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 68,00 mb
 
 
OTL by OldTimer - Version 3.2.4.0 log created on 05032010_222655

Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\System32\drivers	xopxadu.sys scheduled to be moved on reboot.
C:\WINDOWS\System32\drivers\uqxywv.sys moved successfully.

Registry entries deleted on Reboot...

brutor58 · Answer

et pour finir le fichier cjoint au cas où...:

https://www.cjoint.com/?fdwOu3xFvv

et bon courage, mais n'oublie pas de jouer de la guitare je peux attendre

j'ai vu que le fichier txopxadu.sys qui semble être une des sources de mon malheur ne peut pas être analysé par virus total ni killé par unlocker ...
c'est du solide !!! c'est plus un virus c'est une pandémie !!!
une fois l'histoire finie tu pourras me donner ton adresse je te ferais parvenir un ptit truc pour te remercier du temps que tu y passes.
cordialement
Brutor

gen-hackman · Answer

tu peux me dire ce que tu trouves dans :

C:\Documents and Settings	a session\Menu Démarrer\Programmes\Démarrage

brutor58 · Answer

Bonjour, 
en faisant ce que tu me demandes, je viens de m'apercevoir que dans : 
C:\Documents and Settings\ma session\      il y avait un dossier Menu Dmarrer en plus du dossier Démarrer , et là ça sent le traquenard non ?? je n'ai jamais eu ce dossier et il est en lecture seule et en date du 5 juillet 2008. a t il qq chose à voir avec toutes les manips que tu m'a demandé de faire ???

brutor58 · Answer

Après analyse ce dossier contient Google media server.... 
voici le contenu que tu me demandais: 

fichier desktop.ini avec dedansles choses suivantes: 
(.shellClassInfo) 
LocalizedResourceName=@%SystemRoot% "antislatch"(désolé y'en a pas sur le clavier du Mac) "system32 "re antislash"shell32.dll,-21787 
je vais maintenant faire le SF exe

brutor58 · Answer

voici le fichier j'y ai rajouté tout de même l'endroit où se trouve le fichier que FS ne trouve pas...

1. ========================= SEAF 1.0.0.7 - C_XX
2. 
3. CommencÈ #: 09:22:13 le 05/05/2010
4. 
5. Valeur(s) recherchÈe(s):
6. 
7. txopxadu.sys
8. 
9. (!) --- Recherche registre
10. 
11. ====== Fichier(s) (TC: Date de crÈation, TM: Date de modification, DA, Dernier accËs) ======
12. 
13. "c:\WINDOWS\system32\drivers	xopxadu.sys" [ ----A---- | 0 ]
14. TC: 09/03/2010,00:43:45 | TM: 05/05/2010,09:34:44 | DA: 05/05/2010,09:34:44
15. 
16. =========================
17. 
18. ====== Dossier(s) (TC: Date de crÈation, TM: Date de modification, DA, Dernier accËs) ======
19. 
20. Aucun dossier trouvÈ
21. 
22. 
23. ====== EntrÈe(s) du registre ======
24. 
25. Aucune entrÈe du registre trouvÈe
26. 
27. =========================
28. 
29. Fin #: 09:35:52 le 05/05/2010 ( E.O.F )



                 il est pourtant là:
                C:\WINDOWS\system32\drivers

je ne sais pas ce que j'ai chopé ni où mais c'est du très lourd.
En fait Avast le voyait mais ne pouvait le supprimer...mais maintenant je n'ai plus avast puisque ce même virus l'empêche de se réinstaller...
dois je tenter un autre anti virus?? le dernier de windows par exemple???

gen-hackman · Answer

bonjour je vais etudier ce fichier pour l'exterminer

telecharge ceci :

http://sd-1.archive-host.com/membres/up/829108531491024/Mes_Tools/Upload_alone.exe

double-clic , un bloc-notes s'ouvre , copie-colle ceci dedans :

c:\WINDOWS\system32\drivers	xopxadu.sys

onglet fichier , enregistrer , ferme le bloc notes , une archive va se créer sur ton bureau et une page internet va s'ouvrir , fais toi parcourir , puis envoie cette archive....

on va lui faire la peau...

brutor58 · Answer

voici la chose :
Save_L_K_Bruno Lompech.zip/

/Volumes/Transcend/Save_L_K_Bruno Lompech - copie.zip
ça à pas l'air de marcher l'envoie du Zip ... je tente autrement

brutor58 · Answer

je n'arrive pas à joindre l'archive... comment puis je faire ?? là je suis revenu sur le PC

brutor58 · Answer

j'avais pas compris que le upload de cette archive devait se faire sur le site en question... je n'avais pas eu d'invitation à le faire..
c'est en reclicant sur l'exe upload-alone que je l'ai eu .
ais je finalement fais comme il fallait ???
merci

gen-hackman · Answer

tu as bien copié le nom dans le texte qui s'est ouvert et cliqué sur enregistrer ?

l'archive est bien là mais vide

brutor58 · Answer

oui

gen-hackman · Answer

ok essaie d'en faire la copie dans C:\, 

double-clic upload_alone.exe , copie-colle ceci dedans :

c:	xopxadu.sys

onglet fichier , enregistrer , ferme le bloc notes , une archive va se créer sur ton bureau et une page internet va s'ouvrir , fais toi parcourir , puis envoie cette archive....

brutor58 · Answer

je viens de refaire la manip et là j'ai eu directement l'invit pour uploader mon archive. la première fois je l'ai mis dans DOSSIER1 et la seconde dans DOSSIER2
l'archive est vide effectivement tout comme lorsque tu fais un clic droit  + propriétés sur le fichier "virus" il ne pèse rien : o octets, il est aussi impossible à déplacer, le seul truc que j'ai pas tenté c'est de le renommer....
il est très très coriace le lascar!!!

brutor58 · Answer

petite différence entre la première et deuxième fois, après l'Upload ce coup là l'archive n'est pas restée sur mon bureau...
autre anecdote: j'ai eu un message comme quoi des mises à jours windows s'étaient installées ( écusson vert) et que c'est pour ça que l'ordi avait redémarré....
toutefois l'écusson jaune est revenu dans la barre de tâche et Avast ne peut toujours pas se mettre en route.
Au fait , toutes les manips que je fais depuis le début se font sans aucune protection ( il ne reste de toutes façons que Spybot mais je le désactive à chaque fois)

gen-hackman · Answer

essaie ceci :

demarrer / executer , tape cmd puis entrée

dans la fenetre noire qui s'ouvre tape :

attrib -r -h -s -a "%Systemroot%\System32\drivers	xopxadu.sys"

puis entrée et retente

brutor58 · Answer

il me dit que syntaxe du nom de fichiers, repertoire ou de volume incorrects...

gen-hackman · Answer

tu as essayé en copiant/collant au lieu de taper?

brutor58 · Answer

j'ai rajoiuté un espace entre a et " dans la frappe je les avait collé du coup la réponse est:
attrib -r-h-s-a n'est pas reconnu en tant que commande interne ou externe, un programme executable ou un fichier de commande

gen-hackman · Answer

tu as oublié des espaces avant les "-"

colle carrement la ligne

brutor58 · Answer

je sais pas le faire en dos...une fois la phrase copiée comment la colle t on dans le dos??

gen-hackman · Answer

clic droit / coller ^^

i · Answer

oui ça j'ai fait mais ça marche pas... ça me mets ^V quand je fais ça...

i · Answer

et il suffise que je l'écrive pour que dans la foulée ça fonctionne...promios juré tout à l'heure en clic droit j'avais rien....

i · Answer

bon ben la réponse c'est:
impossible de modifier l'attribut -C jusqu'à ...txopxadu.sys

je dois partir à une réunion je t'abandonne mais te casse pas trop la binette je peux encore attendre
merci pour ta disponibilité
Bruno

gen-hackman · Answer

bon je vais te faire un petit prog ca ira plus vite ^^

brutor58 · Answer

Bonsoir,
là j'écris du mac pendant que sur le PC je suis tes instruction.
Donc je viens de charger ton programme et l'ai laissé s'exécuter ça me donne :

dans la fenêtre DOS: processing suivi du chemin du fichier "pas gentil" puis une flèche et C: txopxadu.sys
0 fichiers copiés

et un message:

"Impossible de trouver le fichier A.txt
Voulez vous créer un nouveau fichier ?

premier essai je dis oui

j'obtiens un fichier A.txt vide...

je recommence 

même affichage 
 deuxième essai je choisis non

Fichier txt vide....


Aie Aie Aie

gen-hackman · Answer

oui touche pas c'est un fichier caché qui indique a windows des configurations d'affichage. 

forcement si la copie n'a pas reussi , le texte est vide... 

je l'aurai un jour je l'aurai !!!lol ^^ 

bref.....bon alors là , derniere tentative , apres on passe à radical 

attention c'est du très lourd !! ne touche à rien tant que le rapport final ne s'ouvre pas , ce programme à plus de droits que le systeme lui-même !! 

desactive toutes tes defenses (antivirus/antispyware/Parefeu/toute protection en tout genre) 
desactive le parefeu windows si actif 
ferme toutes tes fenetres et travail en cours
ferme msn , internet explorer, mozilla......

si tu as des soucis , fais le en mode sans echec 

je te remets le lien : 

un seul document texte va s'ouvrir , tu tapes juste : 

txopxadu 

onglet fichier , enregistrer , puis fermer 

laisse faire le tool 

https://www.androidworld.fr/ 

on va voir si elle va nous ennuyer longtemps cette 022 ^^ 
?G3?-?@¢??@?(TM)©®?

brutor58 · Answer

Bonjour Gen,
je viens juste de tenter l'affaire avant de partir emmener mon fils chez le médoc, et j'ai une répose 404 au lien que tu me donnes...
sinon pour le mode sans echec je peux pas je ne peux démarrer qu'en derniere bonne config connue...
j'ai tout désactivé
retour à la maison vers 13h00
A+
et toujours merci

brutor58 · Answer

Salut Gen

Le lien reste infructueux il m'est dit que le dossier n'est pas sur le serveur.
ceci étant tu en as peut être ras le ponpon de mon problème ce que je comprendrais tout à fait!! Moi même....
heureusement il reste la guitare pour se détendre.
bonne semaine
Brutor

gen-hackman · Answer

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

&#9654 Télécharge List_Kill'em

 et enregistre le sur ton bureau 

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

&#9830 Executer Shortcut
&#9830 Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

&#9654 choisis l'option Kill-Rtk

un document texte va s'ouvrir à l'apparition de : Text Please

&#9654copie/colle le texte en gras ci-dessous :

txopxadu 

ensuite onglet "Fichier" clic sur enregistrer , puis ferme ce bloc notes

Laisse travailler l'outil 

à la fin un rapport s'ouvre ,

&#9654 poste le resultat

brutor58 · Answer

Bonjour Gen, 
à lire le rapport il semble que celà est fonctionné, non ?? 
le voici: 
¤¤¤¤¤¤¤¤¤¤ Kill_Rtk By g3n-h@ckm@n ¤¤¤¤¤¤¤¤¤¤ 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤ Rootkit ¤¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ 
  
¤¤¤¤¤ Services : 


¤¤¤¤¤ Files : 

¤ File deleted !! : C:\WINDOWS\System32\Drivers	xopxadu.sys  
  
¤¤¤¤¤ Keys | Root 

¤ Key deleted !! : HKLM\System\CurrentControlSet\Enum\Root\LEGACY_txopxadu  
¤ Key deleted !! : HKLM\System\ControlSet030\Enum\Root\LEGACY_txopxadu  
¤ Key deleted !! : HKLM\System\ControlSet031\Enum\Root\LEGACY_txopxadu  
¤ Key deleted !! : HKLM\System\ControlSet032\Enum\Root\LEGACY_txopxadu  
  
¤¤¤¤¤ Keys | Services 


dois je redémarrer?? 

après visite dans C: Windows....je trouve ça:
https://www.cjoint.com/?fkiNGwh1N0
il à l'air d'être toujours là le vilain !!!
bonne journée 
Brutor

brutor58 · Answer

par curiosité je suis allé vérifier dans la base de registre si les fichiers indiqués comme effacés l'étaient réellement. j'ai fait des copies d'écran où sont développées les arborescences .

https://www.cjoint.com/?fkjh02rOwp

https://www.cjoint.com/?fkjiLR5LSO

https://www.cjoint.com/?fkjjqSZyK6

je ne l'ai fait que pour un des fichiers, peut être celà t'aidera t il ??

puis je sans danger essayer ( mais je crois pas une seconde au résultat) d'effacer à la "mano" les clés en question ??

bonne journée

Brutor

gen-hackman · Answer

tu peux mais ca ne marchera pas   

pourquoi ? parce que le service ne veut pas se stopper , et du coup , recrée le driver aussi sec apparement  

si tu pouvais retrouver le truc qui t'a infecté , (l'executable....)

je vois qu il est en zip aussi.....si tu arriver a envoyer le zip sur cijoint....

?G3?-?@¢??@?(TM)©®?

brutor58 · Answer

Bonjour,
de mémoire le dernier exe c'était dvd shrink 3.2 qui d'ailleurs fonctionnait bizarement. Il me fallait systématiquement l'installer à chaque utilisation. Le raccourci ne fonctionnait jamais. Je l'avais déjà d'installé sur mon ordi et ne l'utilisait presque plus jusqu'au jour où j'en ai eu de nouveau besoin et je suis allé sur le site pour voir s'il existait une version plus récente et finalement je l'ai téléchargé après paieemnt via sms et l'ai installé. Je l'ai désinstallé depuis.
je tente le C joint pour les 3 fichiers en question : car si tu regardes bien il y a un zip, un 7z et le fichier .sys

autre dysfonctionnement : aucuns de mes raccourcis sur le bureau menant vers le net ne focntionne... et toujours les fichiers dans le désordre lorsqu'on ouvre un dossier;;idem pour les sous dossier d'un dossier.

voici les trois liens vers la "Chose":

https://www.cjoint.com/?fkmYF2f80o

https://www.cjoint.com/?fkmZWl14Hq

https://www.cjoint.com/?fkm01rSr5I

hasta la vista !!!!

Si la dernière étape c'est le formatage, quel moyens ais de conserver mes drivers  qui sont clean ??

sinon de mémoire j'ai dû faire un back up de C il ya qqs mois ça peut aider ??

bon courage ...

gen-hackman · Answer

tu as encore l'exe de dvd shrink 3.2 ?

brutor58 · Answer

Je ne suis pas sûr d'avoir compris.. au bout des liens il n'ya que les fichiers...qui sont vides non ??

j'ai toujours l'exe mais ne sais pas comment te l'envoyer car trop graos semble t il pour C joint


sinon existe t il un utilitaire capable de lister les derniers programmes installés ??

petite idée saugrenue:
je créé un dossier Drivers1: j'y glisse tout ce qui est dans Driver sans txo machin chouette
j'essaie d'effacer driver
je dis à Windows " mais là je sais pas comment faire" d'aller dans Drivers1 pour fonctionner 
compliqué mais tu crois que ça peut "berner" l'autre tx de mes 2 ??

Au fait tu parmais de service qu'on peut pas arrêter je suis allé jeter un peil dans mes services justement. J'ai Ad aware 2007 que je ne sais m^me pas d'où il vient et qui est en automatique et que je ne peux que démarrer dans les choix... bizarre non ??

gen-hackman · Answer

combien, pese l'exe .?

brutor58 · Answer

1,8 mega

brutor58 · Answer

Et sinon avec un outil du style disk manager qui fait des copies bit à bit si je copie ma sauvegarde de C: qui est sur un disque Externe vers le C: actuel quels sont les risques ???de mémoire lorsque cette copie se fait ça "écrase" ce qui est sur le disque de destination..

gen-hackman · Answer

clic droit sur l'exe / envoyer vers / dossier compressé 

ensuite tu peux envoyer l'archive sur cijoint

brutor58 · Answer

désolé c'est ce que j'avais tenté la première fois mais mêm compressé il reste trop^volumineux et sup à 1 Mo
donc pas possible...

gen-hackman · Answer

????????,, cijoint.fr prend jusqu'a 8 Mo

c'est pas plutot cjoint.com qui te dit ca ?

brutor58 · Answer

oui c'est Cjoint qui me le dit en me diant que mon fichier fait plus de 1024, j'ai traduit ça par mo c'est quand mêm pas 1 Go quand même..
je retourne voir

brutor58 · Answer

nan nan j'ai bien vu:
fichier original non compresse: 1.06 et pas 1.8Mo comme je le disais
une fois compressé, comme le taux refuse de faire plus de 2% (???) il reste à 1069Ko ce qui est pratiquement la même chose....

gen-hackman · Answer

lol envoie-le par ici :

http://www.cijoint.fr

brutor58 · Answer

Bonjour Gen,
là ça a marché !!!

http://www.cijoint.fr/cjlink.php?file=cj201005/cijhkYNCrY.zip 
bonne journée

et sinon côté utilitaires permettant de retrouver les derniers exe installés?? t'as une piste??
cordialement
Bruno

gen-hackman · Answer

hello je ne pense pas que ce soit lui le fautif :

Antivirus  	Version  	Dernière mise à jour  	Résultat
a-squared	4.5.0.50	2010.05.10	-
AhnLab-V3	2010.05.13.00	2010.05.12	-
AntiVir	8.2.1.242	2010.05.12	-
Antiy-AVL	2.0.3.7	2010.05.13	-
Authentium	5.2.0.5	2010.05.13	-
Avast	4.8.1351.0	2010.05.12	-
Avast5	5.0.332.0	2010.05.12	-
AVG	9.0.0.787	2010.05.13	-
BitDefender	7.2	2010.05.13	-
CAT-QuickHeal	10.00	2010.05.13	-
ClamAV	0.96.0.3-git	2010.05.13	-
Comodo	4830	2010.05.13	-
DrWeb	5.0.2.03300	2010.05.13	-
eSafe	7.0.17.0	2010.05.11	Win32.TrojanC2Lop
eTrust-Vet	35.2.7484	2010.05.12	-
F-Prot	4.5.1.85	2010.05.12	-
F-Secure	9.0.15370.0	2010.05.13	-
Fortinet	4.1.133.0	2010.05.12	-
GData	21	2010.05.13	-
Ikarus	T3.1.1.84.0	2010.05.13	-
Jiangmin	13.0.900	2010.05.12	-
Kaspersky	7.0.0.125	2010.05.13	-
McAfee	5.400.0.1158	2010.05.13	-
McAfee-GW-Edition	2010.1	2010.05.13	-
Microsoft	1.5703	2010.05.12	-
NOD32	5110	2010.05.12	-
Norman	6.04.12	2010.05.12	-
nProtect	2010-05-12.01	2010.05.13	-
Panda	10.0.2.7	2010.05.12	-
PCTools	7.0.3.5	2010.05.13	-
Prevx	3.0	2010.05.13	-
Rising	22.47.02.04	2010.05.12	-
Sophos	4.53.0	2010.05.13	-
Sunbelt	6297	2010.05.13	-
Symantec	20101.1.0.89	2010.05.13	-
TheHacker	6.5.2.0.280	2010.05.13	-
TrendMicro	9.120.0.1004	2010.05.13	-
TrendMicro-HouseCall	9.120.0.1004	2010.05.13	-
VBA32	3.12.12.4	2010.05.12	-
ViRobot	2010.5.12.2312	2010.05.12	-
VirusBuster	5.0.27.0	2010.05.12	-
Information additionnelle
File size: 1117491 bytes
MD5...: efc4643607d821ee5b1e306b5181917c
SHA1..: 97183f7f81c3036f8b23127ea78c509f85115f14
SHA256: eb2b029003e4b600a4204fc72d896195835b3337d32eabcaece481722cb5379a
ssdeep: 24576:FL/wd7+1p7BYkKHH5G2ZD8IYwPR/FH5zoTSVGJpN5y5MZTEf7:d/R1IkgH
5GAD8IYwPRtt/GJpO5MI7
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x9264
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x899c 0x8a00 6.58 115b61e1c5465331d9474f97dba7cecc
DATA 0xa000 0x248 0x400 2.73 bdcce76ec0f282cbbb668e7d373997fd
BSS 0xb000 0xe50 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0xc000 0x8c2 0xa00 4.24 1620d6ec7f3163d926b520226c9399bd
.tls 0xd000 0x8 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0xe000 0x18 0x200 0.20 d293bf8d4ebe9826d58e1d27c25fe4b6
.reloc 0xf000 0x844 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x10000 0x263c 0x2800 4.65 1c54afdf76abdf9a5d212b90692c7ecd

( 8 imports )
> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, WideCharToMultiByte, TlsSetValue, TlsGetValue, MultiByteToWideChar, GetModuleHandleA, GetLastError, GetCommandLineA, WriteFile, SetFilePointer, SetEndOfFile, RtlUnwind, ReadFile, RaiseException, GetStdHandle, GetFileSize, GetSystemTime, GetFileType, ExitProcess, CreateFileA, CloseHandle
> user32.dll: MessageBoxA
> oleaut32.dll: VariantChangeTypeEx, VariantCopyInd, VariantClear, SysStringLen, SysAllocStringLen
> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey, OpenProcessToken, LookupPrivilegeValueA
> kernel32.dll: WriteFile, VirtualQuery, VirtualProtect, VirtualFree, VirtualAlloc, Sleep, SetLastError, SetFilePointer, SetErrorMode, RemoveDirectoryA, ReadFile, GetWindowsDirectoryA, GetVersionExA, GetUserDefaultLangID, GetSystemInfo, GetSystemDefaultLCID, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetFullPathNameA, GetFileSize, GetFileAttributesA, GetExitCodeProcess, GetEnvironmentVariableA, GetCurrentProcess, GetCommandLineA, InterlockedExchange, FormatMessageA, DeleteFileA, CreateProcessA, CreateFileA, CreateDirectoryA, CloseHandle
> user32.dll: TranslateMessage, SetWindowLongA, PeekMessageA, MsgWaitForMultipleObjects, MessageBoxA, LoadStringA, ExitWindowsEx, DispatchMessageA, DestroyWindow, CreateWindowExA, CallWindowProcA, CharPrevA, CharNextA
> comctl32.dll: InitCommonControls
> advapi32.dll: AdjustTokenPrivileges

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Inno Setup installer (96.7%)
Generic Win/DOS Executable (1.6%)
DOS Executable Generic (1.6%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
packers (Kaspersky): Yoda, UPX
sigcheck:
publisher....: DVD Shrink
copyright....: n/a
product......:
description..: DVD Shrink Setup
original name:
internal name:
file version.:
comments.....: This installation was built with Inno Setup: https://jrsoftware.org/
signers......: -
signing date.: -
verified.....: Unsigned

brutor58 · Answer

Bonjour Gen,
matutinal dis donc!!!!
merci pour l'analyse. 
du coup j'ai pas trop idée de quoi faire...ce virus m'empêche toute mise à jour en ligne et rend inactif tous mes raccourcis vers des sites internet. il me faut systématiquement taper l'adresse.
je tente le transfert de mon vieux back up sur disque externe vers mon C:?? mais celà écrasera t il le dossier "drivers" actuel où se trouve le txopxadu.sys??

et si le dernier recours c'est C:formate comme je ne l'ai jamais fait quelle est la marche à suivre??
à savoir que mes disques de réinstallation sont ceux d'origine du VAIO sony.
bonne journée

gen-hackman · Answer

tu as essaye de reinitialiser dans l onglet avancé des options internet dans le panneau de config ?

brutor58 · Answer

ah ba non car par manque de pratique je n'y ai pas pensé...
je le fais
merci du conseil

gen-hackman · Answer

tiens au jus ^^

brutor58 · Answer

je viens donc de faire ce que tum'as dit.
Chose surprenante:
lors du démarrage du PC j'ai l'impression qu'il a démarré en mode normal alors que d'hab c'est dernière config connue obligatoire...
et je n'ai rien fait de nouiveau sur ce PC....
en faisant ce que tu m'as dit j'ai juste fait une mise à jours vers internet Exporateur 8.
le fichier vérolé est tours là;
Après l'installation de ie8 l'ordi a redémarré et là aussi il a bien redémarré. Avast ne veut toujours pas démarrer je vais le désinstaller et le réinstaller pour voir.

A+

gen-hackman · Answer

non quitte à le virer :

&#9654 Passer de Avast à AntiVir :

&#9654 Télécharge Désinstalleur d'Avast!.

&#9654 redemarre en mode sans echec :

Comment aller en Mode sans échec 
1) Redémarres ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... ) 
(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...) 


&#9654 Désinstalle via Ajout/Suppression de Programmes (si présents) :

    * Avast!


&#9654 ensuite execute le desinstaller
 
Ceci effacera la majorité des traces du produit Avast! d'Alwil Software.

&#9654 redemarre

&#9654 Télécharge Ccleaner sur ton Bureau. : 

  &#9654 Clique sur  "download the latest version"
  &#9654 Installe-le en laissant seulement les options suivantes cochées :

- Ajouter un raccourci sur le Bureau
- Contrôler automatiquement les mises à jour de CCleaner

  &#9654 Lance le Nettoyage
  &#9654 Clique sur Chercher des erreurs et sauvegarde si tu le souhaites.

plus de precision sur la configuration de ccleaner te seront donnees plus tard


 tuto Comment utiliser CCleaner.
***************

&#9654 Télécharge Antivir en Francais ou Antivir en Francais sur ton Bureau.: 



 &#9654 Double clique sur l'exécutable téléchargé pour lancer l'installation.
 &#9654 À la fin de l'installation, clique sur Finish.
 &#9654 Ouvre Antivir, assure-toi qu'il soit bien à jour !
 &#9654 Dans l'onglet Protection Locale, choisis Contrôler.
 &#9654 Active la recherche de rootkits via le + de Recherche de Rootkits, puis dans Sélection manuelle, coche tout (tes partitions de disque dur).
 &#9654 Clique sur la loupe du milieu pour lancer le scan en tant qu'Administrateur.
 &#9654 Poste moi le rapport généré : Pour cela, clique sur l'onglet Aperçu, puis choisis Rapports, tu trouveras son rapport..
 &#9654 Sélectionne le rapport et clique sur l'icône "Afficher le fichier de rapport du rapport sélectionné.


&#9654 Note : Pour une éradication des menaces plus efficace, lance le scan en mode sans échec.

Pourquoi changer ? :Avast Vs Antivir

 Tuto de configuration en vidéo (Merci Nico)

brutor58 · Answer

Bonjour Gen,

je n'ai pris connaissance de ton dernier message que ce matin§!!
et depuis il s'est passé pas mal de choses!!!
dans le désordre:
j'ai réussi sans avoir rien changé ni téléchargé à avoir accès au mode sans échec et de là j'ai tenté tout un tas de truc....qui n'ont pas marché.
en désespoir de cause j'ai téléchargé l'antivirus de Microsoft: Microsoft Security essentiel qu'il m'a fallu installer en mode normal car impossible en mode sans échec. Après iinstallation j'ai lancé un scan qui s'est fini cette nuit. Il a trouvé notre fichier vérolé  et 2 autres. je t'ai fait une copie écran ( ce sera le premier lien cjoint) et je suis allé sur l'encyclopédie des virus de microsoft et je t'ai fait un pdf du descriptif de ce virus ( deuxième lien cjoint)
Il a donc tout supprimé et depuis ça remarche !!! en tout cas le fichier txopxadu.sys a disparu !!!
j'ai depûis pu faire mes mises à jours Windows en ligne ( écusson jaune) et tout semble normal.
Pour autant je vais finir ta procédure avec CC cleaner que j'avais déjà et téléchargé Antivir tout de même.
ET pour, peut être finir, je voudrais absoluement te remercier pour le temps que tu m'as consacré.  Il y a t il moyen de te faire parvenir un gage de remerciement ?? Aimes tu le bon vin par exemple ??si oui jer me ferais unplaisir de te faire parvenir qq chose, mais celà impose une adresse postale...et peut êre que déontologiquement c'est quelque chose qui ne se fait pas ??
j'attends de tes nouvelles et merci encore
voici les liens:
https://www.cjoint.com/?fpizqPxGNC
https://www.cjoint.com/?fpiAR3tJlw
bon week end

gen-hackman · Answer

salut bah une bouteille n'est pas de l argent j'aurais refusé l'argent de toutes facons ! :) pour antivir je pense qu il est plus efficace que MSSE si le souci est resolu : Pour nettoyer les outils utilsés et mieux sécuriser ton pc -------------------------------------------------------------- ▶---> Télécharge ToolsCleaner2sur ton Bureau. * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur ToolsCleaner2.exe pour le lancer. * Clique sur Recherche et laisse le scan agir. * Clique sur Suppression pour finaliser. * Tu peux, si tu le souhaites, te servir des Options Facultatives. * Clique sur Quitter pour obtenir le rapport. * Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). ___________________________________________________ ▶ Tu peux supprimer ToolCleaner ___________________________________________________ ▶ Télécharge :ATF Cleaner par Atribune Double-clique (clic droit "en tant qu'administrateur" pour Vista) ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected a NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus. __________________________________________________ ▶ Tu peux garder ATF pour d'eventuels netttoyages un peu plus poussés __________________________________________________ ▶ Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : * Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... * Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. * Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse * Veille a ce que dans les options le reglage soit au demarrage de windows et réglé sur "effacement securisé" 35 passes (guttman) __________________________________________________ Attention : ne pas toucher au PC pendant qu'il travaille ! ▶ Nettoyage et Défragmentation de tes Disques *Nettoyage : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général" Cliques sur le bouton "nettoyage de disque", OK tu le fais pour chacun de tes disques ________________________________________________ *Vérifications des erreurs : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ________________________________________________ ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK tu le fais pour chacun de tes disques _______________________________________________ Note : si tu as un utilitaire pour défragmenter , utilises le à la place pour ce faire Defraggler est proposé _________________________________________________ ▶ Peux-tu vérifier ta Console Java ? : et installer la nouvelle version si besoin est (dans ce cas désinstalle avant l'ancienne version). voici pour desinstaller : JavaRa Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). * Choisis Français puis clique sur Select. * Clique sur Recherche de mises à jour. * Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. * Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. * L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. * Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. * Ferme l'application. Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. _________________________________________________ ▶ Mets à jour Adobe Reader si ce n'est pas le cas (désinstalle avant la version antérieure) __________________________________________________ ▶ Je te conseille si tu n en as pas , afin de mieux securiser ton pc , d'installer un parefeu : Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO https://www.commentcamarche.net/telecharger/securite/16545-online-armor-personal-firewall/ https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html https://forum.pcastuces.com/sujet.asp?f=25&s=35606 https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html https://manuelsdaide.com/contact/ http://www.open-files.com/forum/index.php?showtopic=29277 https://www.commentcamarche.net/telecharger/securite/24863-zonealarm/ ___________________________________________________ ▶ Tu peux aussi vider ta corbeille,quoi que Ccleaner le fasse tout seul _____________________________________________________ ▶ Si nous avons utilisé MalwareByte's Anti-Malware , vide sa quarantaine : * Lance le programme puis clique sur . * Sélectionne tous les éléments puis clique sur . * Quitte le programme. ______________________________________________________ ▶ si tu as installé Antivir : Configuration ________________________________________________________ ▶ Idem pour ton antivirus : vide sa quarantaine si ce n'est pas déjà fait ______________________________________________________ ▶ Désactive et réactive la restauration de système, pour cela : suis les instructions du lien : Lien XP Lien Vista ▶ Sitôt fait , recrées un point de restoration dit "sain" pour parer à quelques eventuels problêmes dans le futur ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Quelques conseils et recommandations pour l'avenir : ▶ Passe un coup de MalwareByte's Anti-Malware de temps en temps (1 fois par semaine , suivant l'utilisation que tu fais de ton PC. ▶ Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser. * Pense aussi à faire une défragmentation de tes disques durs de temps en temps (garde suffisamment d'espace sur C:\ (1/3 de libre pour être à l'aise)) _____________ ▶ Pour bien protéger ton PC : [1 seul Antivirus] + [1 seul Pare feu] + [Un bon Antispyware] + [Mises à Jour récentes Windows et Logiciels de Protection] + [Utilisation de Firefox -ou autres- (Internet Explorer présente des failles de sécurité qui mettent longtemps avant d'être corrigées mais il faut absolument le conserver pour les mises à jour Windows et Windows live Messenger)] Je te conseille d'installer cette extension pour Firefox pour securiser ton surf : WOT Je te conseille d'installer cette extension pour Internet Explorer pour securiser ton surf : WOT PS : En fait la meilleure des protections c'est toi même : ce que tu fais avec ton PC : où tu surfes, télécharges...ect.... Les virus utilisent les failles de ton PC pour infecter un système ▶ dans le souhait de vouloir desinstaller un antivirus au profit d'un autre , voici quelques liens : Desinstaller Avast Desinstaller BitDefender Desinstaller Norton Desinstaller Kaspersky Desinstaller AVG ou tout en un : Désinstallation Antivirus , Parefeu , Antispyware _____________ ▶ Si tu as Vista n'oublie pas de réactiver le controle des comptes des utilisateurs(UAC) ___________ ▶ Si tu as Spybot S&D et que nous avons desactive le "Tea-timer" tu peux le réactiver ___________ ▶ si nous avons affiché les fichiers cachés , n'oublies pas de les remettre en attribut "caché" ▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage * - Décoche Afficher les fichiers et dossiers cachés * - coche Masquer les extensions des fichiers dont le type est connu * - coche Masquer les fichiers protégés du système d'exploitation (recommandé) ▶ clique sur Appliquer, puis OK. ____________ Voila, Bonne lecture, à bientot , une fois tout ceci fait, tu peux mettre le topic en resolu Bonne continuation et surtout , prudence et bon surf :)

brutor58 · Answer

merci gen pour tous ses conseils que je vais suivvre dès le WE prochain car là si tu vois l'heure.... je rentre du taff....
A titre perso je voulais absoluement te remercier pour le temps que tu m''as consacré et si tu le souhaites la bouteille peut partir via la poste dès que tu me donnes ton adresse ou être offerte en main propre si tu n'est pas loin de mon lieu d'habitation. Reste juste à voir comment se communiquer tout ça de façon sécurisée je présume ??
j'ai une adresse gmail avec le même pseudo si c'est plus simple 
donc en l'attente merci encore
et je te ferais le rapport de ta méthodologie ce WE;
A+
Brutor

gen-hackman · Answer

salut

regarde en haut de ta page il y a une petite enveloppe rouge et blanche qui t'indique que tu as un message prive :)